微妙にコードを書き替えられているので再度感染、ということも多いみたいです。
このコンピューターウイルスは、感染されたサイトを見る人も感染され、どんどん広がって行きます。
GENOウイルスの特徴
* 対策が甘いとWebページを開いただけで感染する。
* 一度感染したら回復が難しい。
* 既知のadobe製品等の脆弱性を突いてくる。
* 感染者のFTPアカウントを用いてサイトを改竄し、新たなウイルス配布拠点とする。
* 感染サイトのjavascriptの時点で、前回のものより複雑化しており、いまいちセキュリティ会社の対応が追いついていない。
最近adobe製品にはお世話になっているので、私も対策しています。
お勧めの対策を載せておきます。
http://
■ adobe readerを9.1.1にアップデートする(9.1:9.1.0では駄目)
(9.1.0)
http://
(9.1.1↑,をインストールしてから↓を適用)
http://
バージョン情報はadobe readerを起動してヘルプ→adobe reader についてで表示されます
■ adobe javascriptをオフに
adobe readerを開いて メニュー→編集→環境設定→javascript→adobe javascriptを使用のチェックを外す
■ adobe flashplayerを最新版に更新
http://
IE用のアップデーターです。↓も必ずインストールしてください。 05/30更新 重要!
http://
■ Opera(→ダウンロード)でプラグイン、Javaをオフ。(JavaScriptのみでは全く安全です。)
1.[F12]を押す→[プラグインを有効にする]のチェックを外す。
2.[F12]を押す→[javaを有効にする]のチェックを外す。
sleipnir、IEでも上手に設定するとなんとかなりますが、難しいです。
この方法だと多くのサイトで利用されているJavaScriptを犠牲にせず、簡単に安全なブラウジングが実現できます。
さらに、QuickTimeなどの新たな脆弱性にも対処できます。
■ Vistaの人ははUACをONにする
とりあえず感染してるか確認する手順(2000・
XPユーザー)
1. ウィンドウズキー(Windowsのマークのあるキー)を押しながらRキー を押す
2. 「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→ 背景が黒いウィンドウが開いた場合3へ
→ 起動しない場合: 感染疑い濃厚 → 感染してしまった時の対処方法へ
3. もう一度ウィンドウズキーを押しながらRキーを押す
4. 「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」(全部小文字で)と入力して「OK」ボタンを押す
→「レジストリエディタ」というウィンドウが開いた場合5へ
→ 起動しない場合: 感染疑い濃厚 → 感染してしまった時の対処方法へ
5. 「レジストリエディタ」はすぐにウィンドウを閉じる。
コントロールパネルのフォルダオプションの
「表示の登録されている拡張子は表示しない」のチェックが外れているか
確認。外れていない場合は外す。
→ 2000ユーザー
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認
「エクスプローラ」でCドライブから
WINDOWS→system32フォルダの中を探します
※sqlsodbc.hlp は存在するので注意
★インストールしているアプリケーション(某有名会計ソフト)によっては
sqlsodbc.chm が自動作成されるようです
その場合、XPのsqlsodbc.chmと同じMD5値になるようです
→ sqlsodbc.chmが無い、もしくはXPのMD5値と同一の場合6へ
→ XPとは値の違うsqlsodbc.chmがある場合: 感染疑い濃厚 → 感染してしまった時の対処方法へ
→ XPユーザー
背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
\を全角にしてあるので、コピペせずすべて半角で手入力すること
WindowsがCドライブ以外に入っている場合は適宜変更してください
※「ドライブCのボリュームラベルがありません
C:\WINDOWS\system32のディレクトリファイルが見つかりません」
と出た場合、「エクスプローラ」を使うなどして
マイコンピュータからCドライブ→WINDOWS→
system32フォルダの中から直接sqlsodbc.chmを探します
1個のファイル 50,727バイト と表示されればOK → 6へ
49.5kbyteと表示された場合、右クリック、プロパティで50,727byteかどうか見る
★それ以外の数値の場合は 感染の疑い濃厚 → 感染してしまった時の対処方法へ
念のためMD5値の確認も推奨
・ElleFileInfo
http://
を使い、CRC32,MD5,SHA1の情報を取得する。
正常なsqlsodbc.chmは
ファイルサイズ:50,727バイト
CRC32:B61C7A80
MD5:F639AFDE02547603A3D3930EE4BF8C12
SHA-1:FBDD32ED13D27E4102621E1067FDF3634F33B2C3
6. 以下のウイルス対策ソフトを導入するか、オンラインスキャンする
・Kaspersky
・ニフティオンラインスキャン
http://
・avast!
・ウイルスバスタ2009
※使用したアンチウィルスソフトによって、検出された場合のウィルス名称に
差異があります。
例:avast! での検出名 JS:Redirector-H* (*は数字)
など
※現在上記検索にもひっかからない亜種が出てきているため、絶対とは限りません
また、SymantecでもKasperskyでも、オンラインスキャンでは感染していることが
わからないようだ、という報告も出ています。
感染が確認された場合は「サイトが感染している」と確認した時点で、とにかく1度ファイルを全部削除することが大事です。
【これ以上感染者を増やさない】ことが重要ですので、
1.サイトの消去・あるいはバーチャルホストの停止
2.感染していないことが確認出来るPCを探す
3.感染していないPCでのFTP等のパスワードの変更
4.感染していないPCでサイトへの告知(拡散防止のため)
5.感染PCのバックアップ
6.感染したPCの初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)
を実行
7.PCが完全にクリーニングされていることの確認
8.サイト再開への準備
という流れを頭に入れておきましょう。
感染していないことが確認できるPCがない場合は、7.まではFTP等にも触れず、サイト上で事情報告をすることも避けておきましょう。
※1 必要なファイルやID/パスワードは、再インストールの前にバックアップを取っておく
※2 再インストール後もマルウェアの影響が残る可能性があるので、HTMLファイルのバックアップには要注意
(「インターネット一時ファイル」は、感染源のキャッシュがあるので削除をしてください)
※3 一般的なマルウェア、スパイウェアへの感染に対処する場合は、spybotやAdAwareといったアンチスパイウェアソフトを導入するこ とを推奨
