GENOウイルスまとめ
http://w.atwiki.jp/geno/
GENOウイルスまとめ
ja
2010-01-11T17:52:46+09:00
1263199966
-
メニュー
https://w.atwiki.jp/geno/pages/2.html
**メニュー
・[[概要>http://www29.atwiki.jp/geno/#id_4b63cecd]]
・[[結果>http://www29.atwiki.jp/geno/#id_baba8e5d]]
・[[対策>http://www29.atwiki.jp/geno/#id_e3e36241]]
・[[確認>http://www29.atwiki.jp/geno/#id_24099a3d]]
・[[関連>http://www29.atwiki.jp/geno/#id_88f23385]]
2010-01-11T17:52:46+09:00
1263199966
-
トップページ
https://w.atwiki.jp/geno/pages/1.html
**GENOウイルスって何?
Adobe ReaderやJava、Windowsの脆弱性を突いた新種のコンピュータウイルスです。
日本での最初の感染が通販サイトのGENOだったため、2ちゃんねるその他でそう呼ばれました。
このwikiでは&color(red){2009年4~5月頃に話題となったウイルス}を「&color(red){GENOウイルス}」と表記します。
(名前が名前なため、一般的には、攻撃元のURLより&bold(){「Gumblar」}と呼ぶことが多いようです。)
これの何が怖いって、&color(red){普通にホームページを見ただけで感染する}から大騒ぎしたのです。
しかし、2009年5月、攻撃元がなくなったため、次第に事態は収束していきました。
2009年10~11月頃、「GENOウイルス」と非常によく似たウイルスが猛威を振るい始めました。
これは[[Kasperskyのウイルスニュース>http://www.kaspersky.co.jp/news?id=207578788]]より&bold(){「Gumblar.X」}と呼ばれています。
(似てはいるものの、基本的に&color(red){「GENOウイルス」とは別物}と考えてください。)
そして、2009年12月頃、通称&bold(){「8080」}と呼ばれるウイルスが流行し始めました。
2010年1月現在話題となっているのはこちらです。
(似ているようですが、&color(red){「GENOウイルス」とは全く別物}です。)
&bold(){【ここまでのまとめ】}
2009年04月~「Gumblar」(いわゆるGENOウイルス)
2009年10月~「Gumblar.X」(GENOウイルスとは別物)
2009年12月~「8080」(これもGENOウイルスとは別物)
**で、感染するとどうなるの?
他のウイルスを呼び込まれる可能性があります。
また、ホームページを作っている人は、FTPアカウントを乗っ取られ、改ざんされてしまいます。
他の人が改ざんされたページを見ると、その人もウイルスに感染してしまいます。
**なんか怖いんだけどどうすればいいの?
以下は「Gumblar.X」や「8080」にも効果があります。上の方ほど優先度が高いです。
・[[Microsoft Updateを実施する>http://update.microsoft.com/]]
・[[Java Runtime Environmentを更新する>http://java.com/ja/download/installed.jsp]]
・[[Adobe ReaderのJavaScriptを切る>Acrobat JavaScriptをオフにする方法]]
・[[Adobe Readerを更新する>Adobe Readerを更新する方法]]
・ウイルス対策ソフトの定義ファイルを更新する
・[[Adobe Flash Playerを更新する>http://get.adobe.com/jp/flashplayer/]]
・[[QuickTimeを更新する>http://www.apple.com/jp/quicktime/download/]]
**感染してるか確認するには?
ウイルス対策ソフトの定義ファイルを更新し、スキャンを実行してください。
ウイルス対策ソフトを所有していない場合は、オンラインスキャンを試してみましょう。
・[[シマンテックセキュリティチェック>http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym]]
・[[ウイルスバスター オンラインスキャン>http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan]]
・[[マカフィー・フリースキャン>http://www.mcafee.com/japan/mcafee/home/freescan.asp]]
**関連リンク
・[[Zlkon, Gumblar 問題に関して - UNDERFORGE OF LACK>http://www3.atword.jp/gnome/zlkon-gumblar-%e5%95%8f%e9%a1%8c%e3%81%ab%e9%96%a2%e3%81%97%e3%81%a6/]]
2010-01-11T02:50:36+09:00
1263145836
-
Acrobat JavaScriptをオフにする方法
https://w.atwiki.jp/geno/pages/19.html
**Acrobat JavaScriptをオフにする方法
Adobe ReaderではJavaScriptを使うことができますが、
この機能を悪用したウイルスが今回のGENOウイルスです。
滅多に使うことはないので環境設定より切ってしまいましょう。
***1.Adobe Readerを起動
***2.編集(&u(){E})メニューより環境設定(&u(){N})を選ぶ
&ref(http://www29.atwiki.jp/geno/pub/ajs01.png,width=400,height=400)
***3.左の分類よりJavaScriptを選ぶ
&ref(http://www29.atwiki.jp/geno/pub/ajs02.png,width=400,height=400)
***4.左側「Acrobat JavaScript を使用(&u(){J})」のチェックボックスをオフにしてOKボタン
&ref(http://www29.atwiki.jp/geno/pub/ajs03.png,width=400,height=400)
2010-01-10T02:32:46+09:00
1263058366
-
Adobe Readerを更新する方法
https://w.atwiki.jp/geno/pages/24.html
**Adobe Readerを更新する方法
このウイルスはAdobe Readerの脆弱性(簡単に言うと弱点)を突いたものです。
日ごろから最新版をチェックし、更新しておきましょう。
※更新も大切ですが、2010年1月現在では[[Acrobat JavaScriptを切っておく>Acrobat JavaScriptをオフにする方法]]と安全です。
***1.Adobe Readerを起動
***2.ヘルプ(&u(){H})メニューよりアップデートの有無をチェック(&u(){U})を選ぶ
&ref(http://www29.atwiki.jp/geno/pub/aup.png,width=400,height=400)
***3.表示される手順にそって更新する。
2010-01-10T02:27:53+09:00
1263058073
-
対策
https://w.atwiki.jp/geno/pages/18.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**対策
・[[Adobe Readerを最新にする>http://get.adobe.com/jp/reader/]]
・[[Adobe Flash Playerを最新にする>http://get.adobe.com/jp/flashplayer/]]
・[[該当IPアドレス>http://www3.atword.jp/gnome/2000/01/13/block-list/]]への接続を遮断
・[[Adobe ReaderのJavascriptを切る>>http://www29.atwiki.jp/geno/pages/19.html]]
・掲示板などに貼られている怪しいリンクをむやみに開かない
・ウイルス定義ファイルを更新する
・[[WindowsUpdate>http://update.microsoft.com/]] : 「高速」を選んで出てきたものをすべて適用
2010-01-10T00:50:42+09:00
1263052242
-
2chでスレを開いただけで対策ソフトが怒り出す件
https://w.atwiki.jp/geno/pages/23.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**2chでスレを開いただけで対策ソフトが怒り出す件
まず先に言っておきます。
&big(){&bold(){&color(red){2chはウイルスに感染していません}}}
スレ内にウイルスのソースの一部が貼られ、過剰反応しているに過ぎません。
これによって感染することはありませんのでご安心ください。
&bold(){&color(red,yellow){<!>IEやFirefoxなどの普通のブラウザで閲覧した場合}}
「チェストへ移動」「無視」などを選ぶと閲覧できます。
&bold(){&color(red,yellow){<!>Janeなどの専用ブラウザを使用して閲覧している場合}}
ログフォルダを監視から除外すれば反応しなくなります。
また、感度を「高」から「普通」に下げても反応しなくなります。
#ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast01.png)
#ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast02.png,width=400,height=750)
2010-01-10T00:49:53+09:00
1263052193
-
感染したサイト一覧
https://w.atwiki.jp/geno/pages/13.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**感染した(?)サイト一覧
危険なURLを含むためノーリンク。
アクセスする際はコピペして自己責任でどうぞ。
なお、「対応済」とあってもまだ安心はできないので注意。
・www.geno-web.jp(対応済)
・www.geno.co.jp(対応済)
・www.rakuten.ne.jp/gold/i-na/(対応済)
・www.juicyrock.co.jp(対応済)
・www.naxos.co.jp(対応済)
・www.crestronjapan.com(対応済)
・mag-puppine.com/about/(対応済)
・afi2000.web.fc2.com(対応済)
・hobbycomplex.com(対応済)
***各サイトのWebサーバ、OS情報
WebサーバやOSに共通項は見られない。攻撃手法は不明。共通のCMSを使っているのではとの推測もあるが現在のところ未確認。
|サイト|サーバー|
|www.geno.co.jp|Apache2.2.3 CentOS|
|www.rakuten.ne.jp/gold/i-na/|Apache|
|www.juicyrock.co.jp|Apache1.3.33 Debian GNU/Linux|
|www.naxos.co.jp|Microsoft IIS 5.0|
|www.crestronjapan.com|Microsoft IIS 5.0|
|mag-puppine.com/about/|Apache/2.0.52 Red Hat|
2010-01-10T00:49:27+09:00
1263052167
-
報道
https://w.atwiki.jp/geno/pages/15.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**報道
PCの通販ショップにウィルス騒動!? « 未来検索ガジェット通信
http://getnews.jp/archives/8719
livedoor ニュース - PCの通販ショップにウィルス騒動!?
http://news.livedoor.com/article/detail/4096830/
PCの通販ショップにウィルス騒動!? | エキサイトニュース
http://www.excite.co.jp/News/column/20090406/Getnews_8719.html
PC通販ショップGENOのサイトにマルウェアが仕込まれる - スラッシュドット・ジャパン
http://slashdot.jp/security/09/04/07/042220.shtml
PC通販サイト「GENO」のサイトに改ざんの疑い
http://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html
中古PC通販サイト「GENO」が不正アクセスで改ざん:Security NEXT
http://www.security-next.com/010247.html
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
薬事日報のサイトが改ざん~閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html
新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
http://www.sophos.com/blogs/sophoslabs/v/post/4405
小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html
小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
http://headlines.yahoo.co.jp/hl?a=20090515-00000002-vgb-secu
Symantec
脅威レポートのタブ(Volume XIII ハイライト)
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=threatreport
2010-01-10T00:49:13+09:00
1263052153
-
Windows Vistaでの確認方法
https://w.atwiki.jp/geno/pages/20.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**Windows Vistaでの感染確認方法
ウイルスのほうで攻撃対象をXPと2000に絞っているので、余計なことをしなければ感染しません。
それにVistaはUACという機能がデフォルトで有効なので、適当に許可しない限り大丈夫です。
感染事例がないので確認方法は割愛します。
2010-01-10T00:48:51+09:00
1263052131
-
Windows 2000での確認方法
https://w.atwiki.jp/geno/pages/17.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**Windows 2000での確認方法
Windows 2000では一部環境を除いて元々sqlsodbc.chmがありません。
なので、ファイルがない事を確認すればOKです。
もしあってもXPのsqlsodbc.chmとサイズが同じであれば問題ありません。
以下、画像をつかった説明ですが、2000環境がないためXPのSSに修正を施したものです。
細部において異なるかもしれませんが、赤く強調した部分がわかれば問題ありません。
***1.スタートから「ファイル名を指定して実行」
#ref(http://www29.atwiki.jp/geno/pub/2k01.png,width=400,height=297)
***2.入力欄に「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
#ref(http://www29.atwiki.jp/geno/pub/2k02.png,width=400,height=270)
&bold(){&color(red,yellow){<!>下のような背景が黒いウィンドウが起動した⇒そのまま以下の手順で確認作業を行う}}
&bold(){&color(red,yellow){<!>黒いウィンドウが起動しなかった⇒感染の疑い濃厚}}
#ref(http://www29.atwiki.jp/geno/pub/2k03.png,width=400,height=400)
***3.次の鍵括弧の中身をコピーする→「dir C:\WINNT\system32\sqlsodbc.chm」
***4.黒いウィンドウのどこかで右クリックして貼り付け、そのままEnterキーを押す
#ref(http://www29.atwiki.jp/geno/pub/2k04.png,width=400,height=400)
***5.以下のようにズラズラっと表示されるので赤枠の部分を確認
&bold(){&color(red,yellow){<!>ファイルが見つかりません⇒感染の疑いほぼなし}}
&bold(){&color(red,yellow){<!>ファイルの詳細が表示された⇒下の2つめの画像を確認}}
#ref(http://www29.atwiki.jp/geno/pub/2k05.png,width=400,height=400)
&bold(){&color(red,yellow){<!>赤丸の部分が50,727⇒感染の疑いほぼなし}}
&bold(){&color(red,yellow){<!>赤丸の部分が50,727以外⇒感染の疑い濃厚}}
#ref(http://www29.atwiki.jp/geno/pub/2k06.png,width=400,height=400)
2010-01-10T00:48:23+09:00
1263052103