GENOウイルススレ
1 :192.168.0.774:
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/
|
|
|
2 :192.168.0.774:2009/05/16(土) 14:07:34 ID:EILz2Sb70
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3 :192.168.0.774:2009/05/16(土) 14:08:00 ID:EILz2Sb70
以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html
国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html
国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4 :192.168.0.774:2009/05/16(土) 14:08:20 ID:EILz2Sb70
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
5 :192.168.0.774:2009/05/16(土) 14:08:46 ID:EILz2Sb70
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
6 :192.168.0.774:2009/05/16(土) 14:09:24 ID:EILz2Sb70
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
7 :192.168.0.774:2009/05/16(土) 14:10:56 ID:hzDONx9U0
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
8 :192.168.0.774:2009/05/16(土) 14:14:11 ID:cmMngAoD0