|
|
|
2009.05.27
カテゴリ:HP作成/PC関係話
現在、二次創作サイト界隈で大いに流行ってるらしいですね。
こんばんは、室戸です。 とりあえず、大元のサーバーが感染してない限り、 プラウザ上で更新するプログやPBS手ブロ系なんかは大丈夫みたいですが・・・。 FTP使う自サイト持ってる場合は、かなり要注意みたいです。 個人的には、常駐のセキュリティソフトとニフティのオンラインスキャンでチェックして、 公開されてる感染しているかの確認手順を試してみたんですが、一応問題無しでした。 あとはウェブ上のFTPで更新する自サイトを、全ページソースを目視でチェックしました。 なかなか、大変な作業でした よ …。 以前からJavaScript出来るだけ無いサイトになるように作ってはいたんですが、 今回のことでサイト内のJavaScript全撤去することに決めました。 作るときは兎も角、閲覧時は結構邪魔だなと思ってたし、この機会に。 (まあ、レンタルサーバーの自動挿入される広告スクリプトは仕方ないですが。 それにしても、まだ具体的な対処法が見つかってないというのは凄く不安です。 普段プラウザのJavaScriptは切ってて必要な時だけオンにするという方法使ってて、 ちょっと面倒くさいなとか思ってたんですが・・・。 そう言うのも予防の一助には必要なんですね。 以下、GENOについての転載可の情報があったので貼っておきます。 -------------------------------------------------------- 先月くらいから巷を賑わせていたコンピュータ・ウィルスGumblarが同人サイト界隈に侵略を開始した模様です。 このウィルスにサイト持ちの方が感染すると、PC内部にトロイの木馬が埋め込まれ、勝手にサイトのコードを改ざんされた上にFTPのIDとパスワードを抜かれてしまいます。バックドアも仕掛けられるので犯罪の踏み台に利用される可能性大。 感染者はウィルスを埋め込んだサイトをWEB上で公開させられ、それを見た不特定多数の閲覧者がウィルスに感染……という経路で次々と感染者を増やしていきます。 なお、このウィルスに現在ワクチンは存在せず、感染したPCはOSのリカバリ(クリーンインストール、要するに買ってきたときの初期状態に戻す)しか手はないようです。FTPはもちろん他のIDパスも抜かれている可能性があるため銀行やクレカ、メール、ブログなどあらゆるIDパスの変更推奨とのこと。 なお、現在ほとんどのアンチウィルスソフトがこのウィルスに対応していないため、感染確認や予防などの自衛手段は自分で対策するしかありません。 具体な対策法としては ・WindowsUpdate ・PDFリーダーを最新にする (AdobeReader や Foxit Reader) ・AdobeFlashを最新にする ・Javascriptを切る ・どっかに貼られている怪しいリンクをむやみに開かない ・ウイルス定義ファイルを更新する などが有効の模様。 感染するとsqlsodbc.chmが上書きされるのでプロパティで要確認。 sqlsodbcファイルの所在地は 【XP】C:\WINDOWS\system32\以下 【VISTA】C:\Windows\Help\mui\0409\以下 あるいはC:\Windows\Help\mui\0411\以下 【2000】C:\WINDOWS\system32\sqlsodbc.chm あるいはC:\WINNT\以下 (基本的に2000にはsqlsodbc.chmは存在しませんがインスコ済アプリの種類、もしくは当該ウィルスによって上記等に作成) 正常の場合ファイルサイズは50,727バイトです。ウィルスに感染しているとこれが1000~2000くらいの値になるとのことです。 (ファイルサイズ確認方法:XPの場合はマイコンピュータ>Cドライブ>WINDOWS>system32>sqlsodbc.chmを右クリックでプロパティ表示) 他の症状としてはコマンドプロンプトとレジストリエディタが立ち上がらなくなるので、スタート→ファイル名を指定して実行→regeditもしくはcmdと入力→OKでアプリケーションが立ち上がらなければ感染の可能性大。 あとレジストリエディタは下手にいじるとPC自体がどうにかなっちゃう危険があるのでPCに詳しくない人は起動だけ確認して何も触らず即閉じましょう。 感染したときの挙動は上記のsqlsodbc.chm書き換えの他、 ・コマンドプロンプトを実行中ではないのにcmd.exeが起動している ・cmdやregeditが起動しない(Explorerが落ちる) ・一部のアンチウイルスソフトが更新不能 ・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト) ・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集 ・Googleの検索結果を改竄(リンクを弄られる) ・explorer.exeや一部のブラウザが異常終了 ・Acrobatが勝手に起動 ・Adobeが5分に1回のペースで更新を要求してくる ・覚えのないPDFファイルやシステムファイルが勝手に増殖 ・CPU、メモリ使用率が異様にUP ・再起動時にBSOD などが上げられています。 今のところ感染報告があるOSはXPと2000とMeです。MACは未確認。VISTAは多分UACを有効にしてると水際で防げるっぽい。ただし無効にしてたらわからん。 ※VISTAでも感染との報告有り。(おそらくUAC無効時?) とにかくこういうウィルスはあっという間に亜種が出回るので(現にGumblarはZlkonの亜種)ウィルスチェックとウィルス定義ファイルの更新とウィンドウズアップデートは面倒がらずにこまめに行いましょう。 日本ではGENOウィルスと呼ばれています。これは最初に公で感染が確認されたサイトがPC通販サイトのGENOだったためです。 その他公的なサイトではいくつかの楽天ショップや旅行代理店、有名なところでは小林製薬、照英オフィシャルサイトが感染(対策済)。 その他同人サイトで感染が確認されたジャンル多数。詳しくはwikiで最新情報をチェックしてください。 その他詳しくは下記URL参照。 同人サイト向け・通称「GENOウイルス」対策まとめ ttp://www31.atwiki.jp/doujin_vinfo/ GENOウイルスまとめ ttp://www29.atwiki.jp/geno/pages/13.html Zlkon, Gumblar 問題に関して ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/ あと言っとくけど感染するのは「感染サイトを閲覧したユーザー」であって、感染者がサイトを閲覧してもそのサイトが感染するわけじゃありませんよー。念のため。 では皆様、リアルでもネットでもウィルス対策は入念にして楽しい週末を! ※上記の文章は無断転載歓迎・改変可。リンクや報告もいりません。 ※文章最終更新:2009/5/18(mon)22:52 (本館・別館共通) お気に入りの記事を「いいね!」で応援しよう
Last updated
2009.05.27 18:13:07
[HP作成/PC関係話] カテゴリの最新記事
|
