スポンサーサイト

--年--月--日 --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

豚インフルより怖いGENOウイルス増殖中

2009年05月20日 00:30

GENOウイルス、知ってますか?(`・ω・´)

先月初めに通販サイトGENOから発生した新種のウイルスで、これが現在猛威を振るっています。

Adobe ReaderやAdobe Flash Playerの脆弱性を突いた新種のウイルスでして、
感染したウェブサイトを見ただけで感染すると言われています。

人間で言えば空気感染レベルの凄まじさで、これはネットをやる以上は最低限覚えておいてから
ネットサーフィンした方がいいでしょう。
感染したらどうなるのか?

バックドア型のウイルスであり、パスワードなどの個人情報が抜かれている可能性があります。



(1)感染したWebページをひらく

(2)感染したjsが、94.247.2.195の改変jquery.jsを実行

(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)

(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開

(5)bufferOverrunでウィルス本体の起動を試行

「GENOウイルスまとめ」     ・・・→  (`・ω・´)ポチ

確認方法

感染するとC:\WINDOWS\system32\sqlsodbc.chmが上書きされる様子

以下「GENOウイルスまとめ」様のサイトで紹介されていたWindows XPでの感染を確認する方法を
紹介します。

1・スタート→「ファイル名を指定して実行」→「cmd」と入力します。



「OK」をクリック。

2・コマンドプロンプトが起動するので


dir C:\WINDOWS\system32\sqlsodbc.chm と入力。(これをコピペ可)

ちなみにこの時点でコマンドプロンプトが起動しなかった場合は、すでに感染の疑いが強いです。

3・Enterキーを叩くと「sqlsodbc.chm 」のファイルサイズが表示されます。



感染していない状態の正常な数値が50,727バイトであり、この数値の場合はまず安心。
ただしこの数値以外の値であった場合は感染している疑いがあります。
即、以下の方法をとってください。

対処方法

▽Adobe Readerを最新にする
▽Adobe Flash Playerを最新にする
▽該当IPアドレスへの接続を遮断
▽Adobe ReaderのJavascriptを切る
▽掲示板などに貼られている怪しいリンクをむやみに開かない
▽ウイルス定義ファイルを更新する
▽WindowsUpdate
▽OSの再インストール(これが1番確実で効果が高い)


ただしOSの再インストール以外は、上記方法でも確実とは言い切れません。

一部のウイルス対策ソフトでは検知されるようですが、もともと発見されにくい新種ウイルスであり
大半のアンチウィルスソフトで検知できません。

さらに亜種が発生するスピードが極めて速く、検知可能とされていた一部のウイルス対策ソフトでも
最新の亜種までは検知できない状況です。

個人的にオススメするフリーの対策ソフトは今回紹介したばかりの「COMODO Internet Security」です。



このソフトであれば「疑わしき未知のウイルス」として拾ってくれる可能性もあり、たとえ拾いきれなくても
バックドア型のウイルス 特有の個人情報の送信を遮断できます。

とにかく完全な対策方法がない今、今後の情報に注目し注意してウェブを巡回してください。

お疲れ様でした。

参考リンク

・GENOウイルスチェッカー
・GENOウイルスまとめ
・秒間サンデー
・「GENOウィルス」がヤバい9つの理由。これはもっと騒がれるべき


コメント

  1. 名無しさん | URL | -

    pspから1ゲット

  2. yuu | URL | -

    おおっ、これはタメになります。
    自分のパソコンはセーフでした!ありがとうございます。

  3. BAUER | URL | -

    セーフ。情報感謝っス!

  4. 名無しさん | URL | -

    私もセーフです。
    本当にありがとうございました!!!!

  5. hir | URL | -

    セーフ!!
    フェーズ7レベルの恐ろしさですね

  6. PJ | URL | -

    火狐の、先読み機能を切っておかないと、検索結果に表示されただけで、感染する可能性があるらしいです。
    アドレス欄にabout:configで
    network.prefetch-nextをfalseにすると、先読み機能がOFFになります。(らしいです。)

  7. yzfr1 | URL | -

    こういうウイルス作る人は死刑でいいと思います(`・ω・´)
    まあ無理か…

    当面はlinuxマシンでネットを徘徊します。

  8. ビスタ | URL | -

    あまえびさん!!

    あまえびさんに質問です
    以下「GENOウイルスまとめ」様のサイトで紹介されていたWindows XPでの感染を確認する方法を紹介します。
    ↑って書いてあるんでVistaの場合はどうすればいいのでしょうか?
    同じ方法でいいのでしょうか?回答まってま~す

  9. 南極熊 | URL | Fw4GgpdY

    自分もセーフでした。
    情報ありがとうございましたm(_ _)m

  10. 名無しさん | URL | ZV6zfbF2

    おはようございます

    いつも拝見させていただいております。一週間前にダチのPCが当にこれにかかりました。

    二人で対処方法を探りながら、最初は最インスコで直したのですが、あらぬ事かその2日後にまた再発致しました。

    どこかのリンクを踏んでるとは思うのですが・・・この記事をダチに送りましたので、気をつけるように言っておきますね。

    ためになる記事いつもありがとうございます。
    多謝多謝

  11. DAITI7 | URL | -

    怖いwww

    チェックしとくかな

  12. 名無しさん | URL | -

    >>8
    Vistaは感染事例がないそうです。
    ウイルスのほうで攻撃対象をXPと2000に絞っているので、余計なことをしなければ感染しません。
    それにVistaはUACという機能がデフォルトで有効なので、適当に許可しない限り大丈夫です。

    WIKIより

  13. テクノ | URL | K.9jSh0o

    セーフ
    情報ありがとうございます。

  14. parakeet | URL | H57Y.SVI

    自分のパソコンはセーフでした。
    情報感謝です。

  15. papasu | URL | -

    情報ありがとうございます。
    皆さんと同じくセーフでした。

  16. 名無しさん | URL | -

    つい先日新しいPCを購入したのですが、もともとXPのを予定してたのですが、vistaしか在庫が無いとの事なのでvista買いました。性能も大分XPに追いついているし今回の件も合わせて考えるとvistaでよかったと安堵。
    しかし、今後vistaに的を絞った亜種なんかが出てきたらやばそうですね。
    一応あまえびさんの記事にある対処方法は実行しておきました。

    そういえばコメントにありましたがFirefoxの先読み機能があると感染する可能性があるというのは真なのでしょうか?

  17. snake | URL | -

    セーフでした。 良かった(゜o゜)

  18. sy | URL | -

    うちのpc何のまいぶれもなく勝手に電源が落ちることがある
    それと迷惑メールが2週間で200通くらい来るヨ

  19. 名無しさん | URL | NkOZRVVI

    初めまして、初カキコです
    Hotspot Shieldの件ですがあれはかなり前に使っていたことがあって
    その時はセキュリティも反応せず広告もなかったんですが、有名になりバージョンが新しくなって作者が下心を出したんでしょうかね
    使わないほうが無難だと思います

  20. なす | URL | -

    まあIP偽装程度ならfirefoxのアドオンにもあるしね

  21. Fe | URL | e8yA9VuU

    早速試してみました。
    どうやら大丈夫だったようです。

    それと皆さんに注意事項を、コマンドプロンプトを終了する場合は必ずexitと入力してエンターを押して終了させます。×ボタンで終了は簡単に言うと強制終了と同じなのでPCに不具合が発生する可能性があります。

  22. hiro | URL | nrv/khRs

    このサイトのトップページを表示するだけでAviraがHTML/Crypted.Genを見つけたって怒るorz

    OperaでもIE8でも検出されるがfirefoxは反応なし。

    誤認識かな...

    あんまり関係ない話ですいません。



  23. ああああ | URL | /KLTfG6.

    GENOウイルスチェッカー↓
    http://geno.2ch.tc/index.php
    こんなのありますけど、どうなんでしょうか?

  24. 名前 | URL | k5mosoK6

    コマンドプロンプト起動後。
    dir C:WINDOWSsystem32sqlsodbc.chmを打つと、

    ドライブCのボリュームラベルがありません。
    ボリュームのシリアル番号は○○○○-○○○○です

    と表示ささるんですが、どうしてでしょう?

  25. あまえび | URL | PxH./MFc

    >hiroさん
    とりあえず現在調査中。大丈夫だとは思いますが同様のコメもあるので
    念のためGENOも踏んでなかったし、自分も現在ウイルスに感染してないし反応は出ません

    >ああああさん、情報サンキューです
    リリース初日にチェックしましたがセーフでした

  26. あまえび | URL | PxH./MFc

    >k5mosoK6さん、手順ミスがなくコマンドプロンプトがまともに反応しないなら感染の可能性あります

    ここでチェック
    GENOウイルスチェッカー↓
    http://geno.2ch.tc/index.php

  27. QOPS | URL | -

    横からですが

    dir C:WINDOWSsystem32sqlsodbc.chmを

    と打ったのなら

    dir C:WINDOWSsystem32sqlsodbc.chmを

    にしないとパスが通ってないため(が抜けている)

    ボリュームラベルは HDDに名前を付けて無い場合に
    出るメッセージ。

  28. QOPS | URL | -

    ↑¥ 抜けるんですね。
    コマンドプロンプト以外で
    普通に検索 探す場所 C:¥Windows¥system32にして
    sqlsodbc.chm を検索 探したら右クリ プロパティで
    サイズ確認出来ますよ。

コメントの投稿

(コメント編集・削除に必要)
(管理者にだけ表示を許可する)

トラックバック

この記事のトラックバックURL
http://amaebi2.blog37.fc2.com/tb.php/152-9747780f
この記事へのトラックバック



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。