【管理も】同人サイト・GENOウィルス注意2【閲覧も】

新種のコンピュータウィルスが流行っています。
感染サイトを踏んだだけで発症し、大半のアンチウィルスソフトで検知されません。
変化が早く、一部の検知可能なソフトも最新型には対応できていない状況です。

感染の場合ワクチンはなく、クリーンインスコ必須、パス変必須（ＦＴＰパス抜きされる）です。

現時点で大半のセキュリティソフトをくぐり抜けてしまうため、
とりあえずジャンル関係なく、全ジャンルでサイト管理人・閲覧者に感染チェックを推奨します。
特にサイト管理人は二次被害を起こしてしまいますので、早急な確認が望ましいと思われます。

・確認点

【sqlsodbc.chmが改ざんされていないかを確認】
　Windows XP:　改ざんされていなければ
　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　Windows 2000: そもそも存在しないはずなので、
　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
【cmd.exe、regedit.exeが立ち上がるかどうか】
　このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。

前スレ
【管理も】同人サイト・GENOウィルス注意【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242391122/

関連スレ
GENOウイルススレ　★5
http://pc11.2ch.net/test/read.cgi/sec/1242415022/

次からは>>1の上のほうに入れてください

同人サイト向け・通称「GENOウイルス」対策まとめ
ttp://www31.atwiki.jp/doujin_vinfo/

当スレでは感染報告については、注意喚起の観点から

・感染が認められたジャンル名

のみ報告ＯＫです。
感染報告をする際は、ジャンル名・ジャンル内シリーズ名など
伏字・略称にせず、わかりやすく書いてくだささい。

晒しやウォチ、風評被害を防ぐため、個人サイトを特定できる形で話題に出すのはＮＧです。
また、アドレス晒しは、踏むとマジで危ないので絶対厳禁。

[現状での対策方法]

WindowsUpdate
PDFリーダーを最新にする　（AdobeReader　や Foxit Reader）
AdobeFlashを最新にする
FW（ファイアウォール）を有効にし、以下のIPを遮断→94.247.0.0/16、94.229.65.160/27（最新）
Javascriptを切る
貼られている怪しいリンクをむやみに開かない
ウイルス定義ファイルを更新する

[確認される症状]
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染するとＦＴＰのパス抜かれて、自サイトにウイルスのjavaスクリプト貼られるらしい。
結果、サイトがゾンビ化し来た閲覧者に二次感染する

02.テニス（ミュ・同人・ファンサイト）

全カテゴリにわたって感染してるサイトがあったので
こちらにしたほうがいいと思います

■■■感染していたら（HP管理人向け）■■■
・とりあえずFTP上のファイルを全て削除し、閲覧できない状態にしましょう。
　感染ファイルを残しておくと閲覧者が感染しさらに拡大することになります。

・PCはクリーンインストールするしか手がありません。早急に。
　完了するまでネットに接続しないよう、LANケーブルやルータを引っこ抜いて完全に遮断してしまいましょう。

・可能であれば携帯や感染していないサブマシンなどから相互リンクサイトなどの管理人に報告。
　サーチに登録している人はサーチ管理人にも必ず連絡し、注意喚起をお願いして下さい。

・クリーンインストールが完了したら、すぐにＦＴＰのパスワードを変更してください。
　感染時に使っていたＩＤとパスは既に悪意あるユーザーに漏れています。
　以後、しばらくは短期・不定期にパスワードを変えた方が安全でしょう。

>>1乙
wiki編集できなかったのでこちらに。どなたか追加してくださると有難いです

★Vistaの場合 sqlsodbc.chm は
　C:\Windows\Help\mui\0409
　C:\Windows\Help\mui\0411
このどちらか、あるいは両方のディレクトリの中に sqlsodbc.chm があります。
sqlsodbc.chm を右クリック→プロパティでボリュームが確認できますので、
そこが　50,727 bytes　なら正常です。

■■■初心者向けまとめ ■■■

【sqlsodbc.chmが改ざんされていないかを確認】
　Windows XP:　改ざんされていなければ
　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　Windows 2000: そもそも存在しないはずなので、
　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
確認方法
１）マイコンピュータ→Cドライブ→WINDOWSフォルダ→system32フォルダを開く
２）Ctrl+Fか目視で　sqlsodbc.chm　を探す
３）ファイル右クリック→プロパティでサイズを確認
４）サイズ：49.5 KB (50,727 バイト)と表示されればとりあえず一つクリア
　→それ以外なら感染してる可能性高

Firefoxはデフォルトのままだとgoogleの検索結果を先読みする。
先読みしたページがウィルス感染してるとアウト。

［対策］
FirefoxのURLバーに｢about:config｣と入力する。※警告が出てきても大丈夫
上のフィルタという所に｢network.prefetch-next｣と入力して、
出てきた値がtrueだったらダブルクリック→falseにする。

以上　GENOウイルススレ　★5より

※sqlsodbc.chmが見つからない人
マイコンピュータを開く→Ctrl+F→ファイルやフォルダを検索
ファイル名に「sqlsodbc」
検索先を「マイコンピュータ」で探せ
時間かかるけど確実だから

【cmd.exe、regedit.exeが立ち上がるかどうか】
　このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
確認方法
１）スタート→ファイル名を指定して実行→regeditもしくはcmdと入力→OK押す
２）コマンドプロンプト(cmd.exe・黒い背景のウィンドウ)
　　レジストリエディタ(regedit.exe・起動しても何も触らずすぐ閉じるが吉。初心者がいじると危険)
　　が立ち上がれば一つクリア
　→実行できない場合は感染してる可能性高

>>1以外のﾃﾝﾌﾟﾚ貼りは荒らしということでおK？

>>1だけどテンプレお願いしたのは自分の方です
まとめが多すぎて追い切れなくてどれ貼れば良かったのかわからなくて
とりあえず難民出ないようにスレ立てだけやりました。申し訳ない

>>1
そろそろニュー速でスレが立ちそうだから
同人関係なく普通のサイトがやばいという主旨に変えたほうが良いと思うよ

>>11
ちゃんとした対策だ安心しろ

オンラインウィルススキャン
ttp://www.kaspersky.com/virusscanner

ソースチェッカーオンライン
ttp://so.7walker.net/guide.php

Amazonやらスクエニやらは確認出来る人いる？
マジならシャレにならん…

スレ立て＆テンプレ貼り乙です
このウイルス作った奴がきちんと裁かれますように

まとめWikiに載ってる感染確認方法全部やった
全部クリアしたよ

でもwindows updateに繋がんね('A`)
何でだよ

>>847 をJavaScript

現在ウィルス検出出来てるソフトも新種・亜種にはなかなか対応出来ないため、JavaScript切るのがとりあえず確実
ﾈｻﾌしないのが一番安全。

※単にJavaとだけ言うと、JavaScriptではなくJavaアプレットを指すことがあります。名前は似てるけど別物
ここで確実に切ってほしいのはJavaScript。
ちなみにJavaアプレットを使っているページではタスクトレイにマークが表示される。念のためこちらも最新のものに更新して、使ってる覚えがなければ切っておくとベター。


（前スレのテンプレ案からちょっと直しました。（Java/Javascriptの件）指摘あればお願いします。）

>>1乙
ageて行こう

１行目は編集してたときの残骸なのでなかったことにしてくだしあ＿|￣|○

>>18
大丈夫、私も繋がらない。
感染はして無い。

今Windowsのアップデートにだけつながらないのはアクセス集中してる可能性高くないかな

やべー
状況報告見てると大手の法人サイトショッピングサイトも次々と感染してるような？

いちおつ
公式サイトだったら伏せたりせず詳しく書いてもいいんでないかね

感染チェックはクリアしたけど
明日どころか今日今この瞬間もウィルスは進化してるわけだし
日記代わりのブログに更新停止宣言してきた
ftpソフトいったん破棄して、騒ぎが収まってから
ftpソフト再インストールした方が安全かな

間違ってクリックしないように
とりあえずデスクトップにあるftpへのショートカットはお前らも捨てとけ

>>18
繋がるけど重くなってる

自分は感染しているサイトを見た覚えは何だけど
SQLSODBC.CHMというファイルが2つあって
そのどちらもファイルサイズは49.5ｋ
しかし>>1で確認される症状は無く、自分のサイトのファイルも特に問題ないみたい
このウイルスは潜伏期間とかあったりするのか？
サイトをアップデートしたのは一月前くらいなんだけど・・・

>>22-23
そうか、アクセス集中してんのか

とりあえず家のPCは大丈夫そうだが、問題は家族なんだよなぁ
ｶｰﾁｬﾝ、何も知らずに毎晩ヤフオク見てるからなー
いつどこで感染するか分からんから、家族にPC使う人いたら暫く使わせないようにしようぜ

>>23
>>23
並大抵のアクセス集中じゃなきゃ繋がらないなんてことはないぞ。少なくともMSの鯖は。
現に俺は接続出来た。

>>28
亜種が沸いてるからなんとも胃炎
気になるならテンプレ通りにやってみるしかない
それかクリーンインスコ

>>28
つSQLSODBC.CHMを右クリック→プロパティ

vistaも感染するのか？

Windows Xp SP3インストール時に発生する無限ループ
http://cgi.sainet.or.jp/~kouji/ugoke3/pcsub50.htm

AMD使用でSP3にするとメーカーがHP以外でも故障する恐れがあるから
必ずパッチを当ててからにするように(リブート繰り返します)

他のウィルスって可能性もあるんでは？
完全スキャンしても大丈夫だったならタイミング悪かっただけかもしれない

前スレでも言ってる人いたけど
wikiの週間飛翔はジャンプに変えた方がいいんじゃない？
あまり2ch発祥の伏字や略語使わない方が普及しやすいと思う

>>33
油断は禁物

亜種がばんばん出て来てるのが怖い、後手に回るしかないからな…

戦国BASARAだがアンソロサイトが感染してる
一応報告

>>15のソースチェッカーオンラインで
感染サイトみるとどういう表示になる？

>>33
前スレをVistaで検索

感染サイトをいくつか見つけたので

・東方　音楽サークルの告知サイト
・ひぐらし　男性向けイラストサイト
・コナン　ノマカプサイト
・オリJUNEサークルの告知サイト
・ヘタリアの携帯向け同盟サイト（PCレン鯖）

>>32
両方プロパティで確認した
というかスマン、>>8見たら49.5kで問題ないみたいだな
お騒がせした
感染して無いみたいでほっとしたｗ

>>36
同意
ふざけてるように思われるしね。

有名感染サイト

GENO
2ちゃんねる
小林製薬
集英社 new!
スクエニ new!
Amazon new!(未確認)

>>44
集英社も？

>>44
集英社もスクエニも確認されたのか・・・

wikiの編集方法が分からない…誰か感染ジャンルの青年漫画の項に
前スレにでてた福本伸行作品（逆境、銀と金）も追加してほしい

その二つはちゃんと確認されてないんじゃないの

アマゾンからクレジット情報消しときたいんだが今アクセスするのは危険だよな…
ほんともうやだ

風評だすとマズイんじゃないの

アマゾンとりあえずログアウトしてくるか・・・

セキュ板の方でもいわれてるけど、
アマゾン、スクエニは釣りじゃなくガチなの？
あと集英社じゃなく小学館って書かれてなかったか。

こんな状況だ、釣りは本当にやめようよ。
釣りじゃないなら「そのサイトのどこで確認したのか」まで書いてほしい。

>>44
風雪のルルで逮捕

2ちゃんはどの板とかある？

>>52
ほんと同意
面白がって書いてる奴も信じられないわ…

誰か感染ジャンル一覧頼む

Amazonは感染してないみたい
その他は未確認

805 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/16(土) 12:56:45
view-source:http://www.amazon.co.jp/

いまんところmartuないぞ

伝説の呂布登場か

>>52
禿同
2ｃｈは結局専ブラで見ればおｋってことだよね
ブラウザで見てる人は専ブラ入れればいいんじゃないかな

>>49
>>51
このウイルスは自分自身が感染しないかぎり情報を盗まれない
今Amazonにアクセスするのは逆に危険

スクエニとか集英社は本当に確認したの？
Amazonも未確認になってるけど…
具体的にどこが感染してるんだろ
企業サイトは具体的にいっちゃってOKだろう

amazonは釣りでしょ
さっき行ってみたけど何も問題が無かった。

小学館とスクエニは公式サイトが感染していると書かれたが未確認（前スレ992）
Amazonは本スレで「ショッピングサイトが感染してた」という話の流れから名前が出ただけ
集栄は>44まで名前すら出てきてない

まあなんだ、もちつけ

アマゾンって今行くの危険か？ログアウトしておくべき？
もし購入履歴流出したりしたら死にそう…

アニメ系
01.エヴァ（小説サーチ）
02.忍たま乱太郎（同人サイト）
03.ガンダム00（同人サイト）
04,プリキュア
05,天体戦士サンレッド（同人サイト）
06,コードギアス（同人サイト）
07,ガンダム00（同人サイト）
08,レッツ&ゴー
09,イナズマイレブン

少年漫画（週刊ジャンプ系）　※集英社公式
01.リボーン（プチオンリー告知サイト・ファンサイト）
02.テニミュ（同人サイト・ファンサイト）
03.ジョジョの奇妙な冒険（同人サイト）
04,ワンピース（同人サイト）
05,デスノート（同人サイト）
06,D.Gray-man（同人サイト）

少年漫画（その他）
01.鋼の錬金術師（オンリー告知サイト・同人サイト）

青年漫画
01.ヘタリア（同人サイト）
02.おお振り（アンソロ告知サイト・同人サイト）
03.福本伸行作品（逆境、銀と金）

同人板での対応がわからないのだが、具体的なURLを晒す気は全くないのか？
ジャンル名のみという対応が無用な混乱をさせている気がする

あぶねぇ・・・ネトゲで顔文字とか出すためにUACを無効にしてたよ
色々チェックして感染してないことはわかったからよかった

ガンＳＥＥＤノマカプサイトでavast!が反応（トロイの木馬）した
先月末の話なんだけど、このウイルスだった可能性ってあるのかな

ゲーム（ＲＰＧ・ＡＣＴ）
01.幻想水滸伝（同人サイト）
02.戦国BASARA（同人サイト） /03.戦国無双（同人サイト）
04.バイオハザード（同人サイト）
05.メガテン（真、サマナー、ライドウ、ペルソナ４ ）（同人サイト）
06,テイルズオブジアビス（主人公受け）（同人サイト）
07,セブンスドラゴン
08.ブレイブルー

ゲーム（恋愛）
01.乙女ゲームのVitamin（同人サイト）
02.遙かなる時空の中で（同人サイト）
03.Fate（同人サイト）
04,ニトロプラスキラル咎狗（同人サイト・アンソロ告知サイト）
05,乙女ゲームのStarry☆Sky(同人サイト）
06,乙女ゲームのクインロゼ(同人サイト）
07乙女ゲームの薄桜鬼同人サイト

ゲーム（その他とか仕分け不明とか）
01,ポップンミュージック（同人サイト）
02,東方（大手同人サイト）

小説・ライトノベル
01,小野不由美系サーチ（サーチ）

創作
01,創作小説/02創作同人ゲーム

その他の接触確率の高そうな報告例
01,非同人系ゲーム同盟サイト/02,模型イベントホビーコンプレックス告知サイト

情報が混乱してるね、小林製薬みたい確定できてるとこ以外は
釣りの可能性も高いからうのみにすんな

>>64
だからえっちなものは買うなと…

ここのテンプレとwikiに、同人以外の感染公式サイトも載せて欲しい。
うかつに見て回れないので、知ってる人はぜひ。
俺、いまんとこ、小林製薬しかしらん。

>>60
そうか…
母親にウイルスのこと言ったらクレジット情報消しといてくれとぎゃいぎゃいやかましくてな。ありがとう。
自分のPCは感染してないからしばらくネット絶つわ

>>65
>>69
ありがとう

>>15の下の方のチェッカーでアマゾン試したらなんともなかったよ
携帯から書き込んでますがマカです

>>59
専ブラ入れたいんだが怖くて検索結果踏めないｗｗ

>>66
個人サイト出しＯＫにしちゃうと、晒しとか乱入してきて、よけい混乱しそうな気がする。
ジャンル特定されれば、大体は関連ジャンルスレがあると思うから
あとはそっちで個々に対応決めてもらうのはどうだろう。

ただ、アンソロ系・イベント系はもう少し特定できる形で書いてもいいように
個人的には思っている

>>72
照英のブログ見に行っちゃだめだぞ
あとsageない方がよくね？この状況だし注意喚起しときたい

ノートン使いの自分涙目な状況なんだけど､落ち着くまで
ノートンと一緒にavast入れておいた方がいいのかな
セキュリティソフト２つ入れるのってよくないと言うけど､
背に腹は代えられないってことで同じことしてる人いる？

アマとかは来てないだろう
流石に不確定でこれらは洒落になんないから確証得手からにしてほしい

検索したら二つでてきたんだけど
sysytem32内のSQLSODBC.CHMサイズは50,727 バイト
I386のなかにSQLSODBC.CHMが50,727 バイトと38.718バイトってあるけどこれは問題なし？
コマンドプロンプトもレジストリも開きます。

>>66
貼ると必ず踏む奴が出るし、勘違いした正義漢が騒ぎを大きくしかねないから
あとここの住人はurlが無くてもあんま混乱してないかと

>>66
個人サイトの晒しは絶対ありえない文化だと思っていてくれればおｋ

>>66
2ちゃんで個人サイト晒すのだけはNG
ただアンソロとかは何アンソロかぐらいは書いてもいいんじゃないかと

>>79
ノートン切ってからavast入れなよ

>>77
すごく微妙なのはわかっている。ただ、今回の騒動は1ヶ月以上前から発生しているんだよ。
それが全然沈静化していない。そこら辺も考えてみると、結構恐い話だってことがわかると思う。
それに基本的には表立って報道もされていないしな。

ＵＲＬ出したら被害拡大するじゃねーか何言ってんだ

>>79
なぜセキュリティソフト一緒にｓたら駄目なのか根本的に知っておいた方がいい
アンチウイルスソフトを同居させると、機能合致してどちも起動しない
最悪PCアボンだから駄目だってことなんだよ
そもそもアンチウイルス入れるとき、他にアンチウイルスが入ってたら
インストールさえも出来ないと思う

鯖缶に警告メール出すからドメイン晒せって言ってるんだけど
ttp://www.2ch.net/←ここまで
個人サイト云々とかアホは黙ってろ

>>86
騒ぎ自体は１ヶ月以上前からだし同人サイトでの感染疑惑は４月中から
あったが何故ここにきて一気に出てきたんだろうね？

豚インフル国内感染者10名突破！3ヶ月の大型イベント禁止でコミケ終了のお知らせ
http://tsushima.2ch.net/test/read.cgi/news/1242447512/

>>86
気持ちはわかるが、過剰反応で派生する事態も恐い

取りあえず同人板はこうだ、と今は理解してくれれば有難い

ジャンル指定だけでいいんじゃないか？
下手に特定するとそこ行ってないから大丈夫って思いそう

>>90
海外発で今月になって日本上陸したから
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html

>>81
感染してたら1000とか2000バイトになるらしい
万いっててcmd.exe、regedit.exeが起動するなら大丈夫じゃない？

>>93
でもあまりにも抽象的なのもネット徘徊するな専ブラで２ｃｈだけ見ろって事に
まぁソレが一番だろうけど

挙動おかしいなと思ってたんだよ
感染確認した　orz

参考にsqlsodbc.chmのファイル情報調べたらリカバるわ


ftpに繋がらなくなってた(ウィルス関係あるのかな？)から人様に迷惑をかけてはいないのが救いだ

コマンドは立ち上がるし正常だった
自サイトのコードも正常だった

sqlsodbc.chmファイルサイズが異常に小さい
最終更新日がなぜか2008年3月なんだけど

ニフティでスキャンしたら
WINDOWSファイルの中のファイルに
Trojan-PSW.Win32.Kates.c
感染発見

これは真っ黒ですね・・・？

>>79
もう何年も前の古いPCの頃だけど、ノートンとavast入れてたら動作不安定になった
原因はもしかしたら別だったかもしれんが、その時はノートン捨てた

先月あたりからやたらavast反応すると思ったらこれだったのか
とりあえず感謝のお布施でもしてきたくなった

同人は横の繋がり強いから
該当ジャンルが出たらアウト
即チェックすべし

がいいと思うけど