http://www29.atwiki.jp/geno/ GENOウイルスまとめ ja 2010-01-11T17:52:46+09:00 http://www29.atwiki.jp/geno/pages/2.html **メニュー ・[[概要>http://www29.atwiki.jp/geno/#id_4b63cecd]] ・[[結果>http://www29.atwiki.jp/geno/#id_baba8e5d]] ・[[対策>http://www29.atwiki.jp/geno/#id_e3e36241]] ・[[確認>http://www29.atwiki.jp/geno/#id_24099a3d]] ・[[関連>http://www29.atwiki.jp/geno/#id_88f23385]] 2010-01-11T17:52:46+09:00 http://www29.atwiki.jp/geno/pages/1.html **GENOウイルスって何？ Adobe ReaderやJava、Windowsの脆弱性を突いた新種のコンピュータウイルスです。 日本での最初の感染が通販サイトのGENOだったため、２ちゃんねるその他でそう呼ばれました。 このwikiでは&color(red){2009年4～5月頃に話題となったウイルス}を「&color(red){GENOウイルス}」と表記します。 （名前が名前なため、一般的には、攻撃元のURLより&bold(){「Gumblar」}と呼ぶことが多いようです。） これの何が怖いって、&color(red){普通にホームページを見ただけで感染する}から大騒ぎしたのです。 しかし、2009年5月、攻撃元がなくなったため、次第に事態は収束していきました。 2009年10～11月頃、「GENOウイルス」と非常によく似たウイルスが猛威を振るい始めました。 これは[[Kasperskyのウイルスニュース>http://www.kaspersky.co.jp/news?id=207578788]]より&bold(){「Gumblar.X」}と呼ばれています。 （似てはいるものの、基本的に&color(red){「GENOウイルス」とは別物}と考えてください。） そして、2009年12月頃、通称&bold(){「8080」}と呼ばれるウイルスが流行し始めました。 2010年1月現在話題となっているのはこちらです。 （似ているようですが、&color(red){「GENOウイルス」とは全く別物}です。） &bold(){【ここまでのまとめ】} 　　2009年04月～「Gumblar」（いわゆるGENOウイルス） 　　2009年10月～「Gumblar.X」（GENOウイルスとは別物） 　　2009年12月～「8080」（これもGENOウイルスとは別物） **で、感染するとどうなるの？ 他のウイルスを呼び込まれる可能性があります。 また、ホームページを作っている人は、FTPアカウントを乗っ取られ、改ざんされてしまいます。 他の人が改ざんされたページを見ると、その人もウイルスに感染してしまいます。 **なんか怖いんだけどどうすればいいの？ 以下は「Gumblar.X」や「8080」にも効果があります。上の方ほど優先度が高いです。 ・[[Microsoft Updateを実施する>http://update.microsoft.com/]] ・[[Java Runtime Environmentを更新する>http://java.com/ja/download/installed.jsp]] ・[[Adobe ReaderのJavaScriptを切る>Acrobat JavaScriptをオフにする方法]] ・[[Adobe Readerを更新する>Adobe Readerを更新する方法]] ・ウイルス対策ソフトの定義ファイルを更新する ・[[Adobe Flash Playerを更新する>http://get.adobe.com/jp/flashplayer/]] ・[[QuickTimeを更新する>http://www.apple.com/jp/quicktime/download/]] **感染してるか確認するには？ ウイルス対策ソフトの定義ファイルを更新し、スキャンを実行してください。 ウイルス対策ソフトを所有していない場合は、オンラインスキャンを試してみましょう。 ・[[シマンテックセキュリティチェック>http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym]] ・[[ウイルスバスター オンラインスキャン>http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan]] ・[[マカフィー・フリースキャン>http://www.mcafee.com/japan/mcafee/home/freescan.asp]] **関連リンク ・[[Zlkon, Gumblar 問題に関して - UNDERFORGE OF LACK>http://www3.atword.jp/gnome/zlkon-gumblar-%e5%95%8f%e9%a1%8c%e3%81%ab%e9%96%a2%e3%81%97%e3%81%a6/]] 2010-01-11T02:50:36+09:00 http://www29.atwiki.jp/geno/pages/19.html **Acrobat JavaScriptをオフにする方法 Adobe ReaderではJavaScriptを使うことができますが、 この機能を悪用したウイルスが今回のGENOウイルスです。 滅多に使うことはないので環境設定より切ってしまいましょう。 ***１.Adobe Readerを起動 ***２.編集(&u(){E})メニューより環境設定(&u(){N})を選ぶ &ref(http://www29.atwiki.jp/geno/pub/ajs01.png,width=400,height=400) ***３.左の分類よりJavaScriptを選ぶ &ref(http://www29.atwiki.jp/geno/pub/ajs02.png,width=400,height=400) ***４.左側「Acrobat JavaScript を使用(&u(){J})」のチェックボックスをオフにしてOKボタン &ref(http://www29.atwiki.jp/geno/pub/ajs03.png,width=400,height=400) 2010-01-10T02:32:46+09:00 http://www29.atwiki.jp/geno/pages/24.html **Adobe Readerを更新する方法 このウイルスはAdobe Readerの脆弱性（簡単に言うと弱点）を突いたものです。 日ごろから最新版をチェックし、更新しておきましょう。 ※更新も大切ですが、2010年1月現在では[[Acrobat JavaScriptを切っておく>Acrobat JavaScriptをオフにする方法]]と安全です。 ***１.Adobe Readerを起動 ***２.ヘルプ(&u(){H})メニューよりアップデートの有無をチェック(&u(){U})を選ぶ &ref(http://www29.atwiki.jp/geno/pub/aup.png,width=400,height=400) ***３.表示される手順にそって更新する。 2010-01-10T02:27:53+09:00 http://www29.atwiki.jp/geno/pages/18.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **対策 ・[[Adobe Readerを最新にする>http://get.adobe.com/jp/reader/]] ・[[Adobe Flash Playerを最新にする>http://get.adobe.com/jp/flashplayer/]] ・[[該当IPアドレス>http://www3.atword.jp/gnome/2000/01/13/block-list/]]への接続を遮断 ・[[Adobe ReaderのJavascriptを切る>>http://www29.atwiki.jp/geno/pages/19.html]] ・掲示板などに貼られている怪しいリンクをむやみに開かない ・ウイルス定義ファイルを更新する ・[[WindowsUpdate>http://update.microsoft.com/]] : 「高速」を選んで出てきたものをすべて適用 2010-01-10T00:50:42+09:00 http://www29.atwiki.jp/geno/pages/23.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **2chでスレを開いただけで対策ソフトが怒り出す件 まず先に言っておきます。 &big(){&bold(){&color(red){2chはウイルスに感染していません}}} スレ内にウイルスのソースの一部が貼られ、過剰反応しているに過ぎません。 これによって感染することはありませんのでご安心ください。 &bold(){&color(red,yellow){<!>IEやFirefoxなどの普通のブラウザで閲覧した場合}} 「チェストへ移動」「無視」などを選ぶと閲覧できます。 &bold(){&color(red,yellow){<!>Janeなどの専用ブラウザを使用して閲覧している場合}} ログフォルダを監視から除外すれば反応しなくなります。 また、感度を「高」から「普通」に下げても反応しなくなります。 #ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast01.png) #ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast02.png,width=400,height=750) 2010-01-10T00:49:53+09:00 http://www29.atwiki.jp/geno/pages/13.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **感染した（？）サイト一覧 危険なURLを含むためノーリンク。 アクセスする際はコピペして自己責任でどうぞ。 なお、「対応済」とあってもまだ安心はできないので注意。 ・www.geno-web.jp（対応済） ・www.geno.co.jp（対応済） ・www.rakuten.ne.jp/gold/i-na/（対応済） ・www.juicyrock.co.jp（対応済） ・www.naxos.co.jp（対応済） ・www.crestronjapan.com（対応済） ・mag-puppine.com/about/（対応済） ・afi2000.web.fc2.com（対応済） ・hobbycomplex.com（対応済） ***各サイトのWebサーバ、OS情報 WebサーバやOSに共通項は見られない。攻撃手法は不明。共通のCMSを使っているのではとの推測もあるが現在のところ未確認。 |サイト|サーバー| |www.geno.co.jp|Apache2.2.3 CentOS| |www.rakuten.ne.jp/gold/i-na/|Apache| |www.juicyrock.co.jp|Apache1.3.33 Debian GNU/Linux| |www.naxos.co.jp|Microsoft IIS 5.0| |www.crestronjapan.com|Microsoft IIS 5.0| |mag-puppine.com/about/|Apache/2.0.52 Red Hat| 2010-01-10T00:49:27+09:00 http://www29.atwiki.jp/geno/pages/15.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **報道 ＰＣの通販ショップにウィルス騒動！？ &#171; 未来検索ガジェット通信 http://getnews.jp/archives/8719 livedoor ニュース - ＰＣの通販ショップにウィルス騒動！？ http://news.livedoor.com/article/detail/4096830/ ＰＣの通販ショップにウィルス騒動！？ | エキサイトニュース http://www.excite.co.jp/News/column/20090406/Getnews_8719.html PC通販ショップGENOのサイトにマルウェアが仕込まれる - スラッシュドット・ジャパン http://slashdot.jp/security/09/04/07/042220.shtml PC通販サイト「GENO」のサイトに改ざんの疑い http://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html 中古PC通販サイト「GENO」が不正アクセスで改ざん：Security NEXT http://www.security-next.com/010247.html 多数サイトが改ざん(1)　PC通販「GENO」など閲覧者にウイルス感染のおそれ http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857 多数サイトが改ざん(2)　狙われた「Adobe Reader」と「Adobe Flash Player」 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856 薬事日報のサイトが改ざん～閲覧者にウイルス感染のおそれ http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864 正規サイト改ざん(3)　ウイルスに感染しないための対策 http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867 国内の正規サイト改ざん：攻撃サイトを変え再襲来 （2009/05/13 セキュリティ通信） http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884 人気の夜遊びウェブサイトへアクセスした人の週末が台無しに http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html 新手のWebベースマルウェアが急拡大 正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。 http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html SophosLabs ブログ (英語) Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks. http://www.sophos.com/blogs/sophoslabs/v/post/4405 小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html 小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性 http://headlines.yahoo.co.jp/hl?a=20090515-00000002-vgb-secu Symantec 脅威レポートのタブ（Volume XIII ハイライト） http://www.symantec.com/ja/jp/business/theme.jsp?themeid=threatreport 2010-01-10T00:49:13+09:00 http://www29.atwiki.jp/geno/pages/20.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **Windows Vistaでの感染確認方法 ウイルスのほうで攻撃対象をXPと2000に絞っているので、余計なことをしなければ感染しません。 それにVistaはUACという機能がデフォルトで有効なので、適当に許可しない限り大丈夫です。 感染事例がないので確認方法は割愛します。 2010-01-10T00:48:51+09:00 http://www29.atwiki.jp/geno/pages/17.html ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ * このページはあくまで2009年5月の内容です。 * 2010年1月現在話題となっている亜種には対応していません。 * ご注意ください。 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ **Windows 2000での確認方法 Windows 2000では一部環境を除いて元々sqlsodbc.chmがありません。 なので、ファイルがない事を確認すればOKです。 もしあってもXPのsqlsodbc.chmとサイズが同じであれば問題ありません。 以下、画像をつかった説明ですが、2000環境がないためXPのSSに修正を施したものです。 細部において異なるかもしれませんが、赤く強調した部分がわかれば問題ありません。 ***１．スタートから「ファイル名を指定して実行」 #ref(http://www29.atwiki.jp/geno/pub/2k01.png,width=400,height=297) ***２．入力欄に「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す #ref(http://www29.atwiki.jp/geno/pub/2k02.png,width=400,height=270) &bold(){&color(red,yellow){<!>下のような背景が黒いウィンドウが起動した⇒そのまま以下の手順で確認作業を行う}} &bold(){&color(red,yellow){<!>黒いウィンドウが起動しなかった⇒感染の疑い濃厚}} #ref(http://www29.atwiki.jp/geno/pub/2k03.png,width=400,height=400) ***３.次の鍵括弧の中身をコピーする→「dir C:\WINNT\system32\sqlsodbc.chm」 ***４.黒いウィンドウのどこかで右クリックして貼り付け、そのままEnterキーを押す #ref(http://www29.atwiki.jp/geno/pub/2k04.png,width=400,height=400) ***５.以下のようにズラズラっと表示されるので赤枠の部分を確認 &bold(){&color(red,yellow){<!>ファイルが見つかりません⇒感染の疑いほぼなし}} &bold(){&color(red,yellow){<!>ファイルの詳細が表示された⇒下の2つめの画像を確認}} #ref(http://www29.atwiki.jp/geno/pub/2k05.png,width=400,height=400) &bold(){&color(red,yellow){<!>赤丸の部分が50,727⇒感染の疑いほぼなし}} &bold(){&color(red,yellow){<!>赤丸の部分が50,727以外⇒感染の疑い濃厚}} #ref(http://www29.atwiki.jp/geno/pub/2k06.png,width=400,height=400) 2010-01-10T00:48:23+09:00