GENOウイルスまとめ
http://w.atwiki.jp/geno/
GENOウイルスまとめ
ja
2010-01-10T02:27:53+09:00
1263058073
-
Adobe Readerを更新する方法
https://w.atwiki.jp/geno/pages/24.html
**Adobe Readerを更新する方法
このウイルスはAdobe Readerの脆弱性(簡単に言うと弱点)を突いたものです。
日ごろから最新版をチェックし、更新しておきましょう。
※更新も大切ですが、2010年1月現在では[[Acrobat JavaScriptを切っておく>Acrobat JavaScriptをオフにする方法]]と安全です。
***1.Adobe Readerを起動
***2.ヘルプ(&u(){H})メニューよりアップデートの有無をチェック(&u(){U})を選ぶ
&ref(http://www29.atwiki.jp/geno/pub/aup.png,width=400,height=400)
***3.表示される手順にそって更新する。
2010-01-10T02:27:53+09:00
1263058073
-
2chでスレを開いただけで対策ソフトが怒り出す件
https://w.atwiki.jp/geno/pages/23.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**2chでスレを開いただけで対策ソフトが怒り出す件
まず先に言っておきます。
&big(){&bold(){&color(red){2chはウイルスに感染していません}}}
スレ内にウイルスのソースの一部が貼られ、過剰反応しているに過ぎません。
これによって感染することはありませんのでご安心ください。
&bold(){&color(red,yellow){<!>IEやFirefoxなどの普通のブラウザで閲覧した場合}}
「チェストへ移動」「無視」などを選ぶと閲覧できます。
&bold(){&color(red,yellow){<!>Janeなどの専用ブラウザを使用して閲覧している場合}}
ログフォルダを監視から除外すれば反応しなくなります。
また、感度を「高」から「普通」に下げても反応しなくなります。
#ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast01.png)
#ref(http://www29.atwiki.jp/geno?cmd=upload&act=open&pageid=23&file=avast02.png,width=400,height=750)
2010-01-10T00:49:53+09:00
1263052193
-
よくある質問
https://w.atwiki.jp/geno/pages/22.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**「超」よくある質問
・[[なんか怖いんだけどどうすればいいの?>#id_10b900a9]]
・[[感染したかどうか確認したいんだけど>#id_ea04677e]]
・[[確認したら感染してたよ……>#id_4f399364]]
・[[どこのサイトで感染したのか分かる?>#id_57bae781]]
・[[○○ってソフトなら安全なの?>#id_44f3d880]]
・[[○○ってサイト感染してる?>id_54d941f4]]
・[[cmdやregeditって何?起動しても大丈夫?>#id_383290a9]]
・[[java何とかって何?どうすりゃいい?>#id_22184117]]
・[[ググっただけで対策ソフトに怒られた!>#id_f4c42f3a]]
・[[2chのスレ開いただけで対策ソフトに怒られた!>#id_defec018]]
・[[C:\Program Filesにxeroxってフォルダがあるとダメなの?>#id_b8863ef5]]
・[[タスクマネージャにsvchost.exeがいっぱいあるけどこれアウト?>#id_b882e0f8]]
・[[このまとめ読んでも意味がさっぱりわかりません>#id_f1a44b39]]
・[[まとめが重くて見れません>#id_755d3686]]
・[[まとめも怖くて見れません>#id_06d0e398]]
----
***なんか怖いんだけどどうすればいいの?
とりあえずAdobe ReaderとFlash Playerを最新版に更新しておけば一安心。
ついでに[[Adobe ReaderのJavaScriptを切って>http://www29.atwiki.jp/geno/pages/19.html]]おけばもっと安心です。
***感染したかどうか確認したいんだけど?
対策・確認・駆除メニューの下にある各OS向けページをご覧ください。
**
2010-01-10T00:47:38+09:00
1263052058
-
これまでのあらすじ
https://w.atwiki.jp/geno/pages/21.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**これまでのあらすじ
***04/04(土)
・PC一般板のGENOスレで「GENOのサイトが改竄されている」との報告が出る。(10:43)
・スレでの報告から、GENOサイトにアクセスするとウィルスに感染する可能性があることが明らかになる。
・ν速にスレが立つ。(20:26)
・改竄されたまま一日を終える。
***04/05(日)
・この日の夜から短縮URLによる各板へのウィルス爆撃が本格化。多数の犠牲者が出る。
・GENOの店舗に赴いた有志が店員にこの一件を尋ねる。「Webのことは店舗ではわかりません」
・セキュリティ板で通販サイト juicyrock.co.jp もGENOと同様の改竄を受けていることが報告される。
・楽天のショップ www.rakuten.ne.jp/gold/i-na/ でGENOウィルスを検出したという話題が出る。
・GENOサイトは完全放置のまま1日が終わる。
***04/06(月)
・社員がようやく出社してきたのか、サイトがメンテナンス中になる。(10:00頃)
※ただし「メンテナンス中」に切り替えたのはトップを含む数ページのみで、未だ改竄された商品ページなどにアクセス可能だった。
・価格.comなど価格比較サイトからGENOへのリンクが消える。
・GENOウィルス事件を[[ガジェット通信>http://getnews.jp/archives/8719]]が報じる。[[livedoor>http://news.livedoor.com/article/detail/4096830/]]、[[excite>http://www.excite.co.jp/News/column/20090406/Getnews_8719.html]]に配信される。(12:32)
・juicyrock.co.jp が403になる。その後復旧、「お詫び」が発表される。
・www.rakuten.ne.
2010-01-10T00:47:05+09:00
1263052025
-
Windows Vistaでの確認方法
https://w.atwiki.jp/geno/pages/20.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**Windows Vistaでの感染確認方法
ウイルスのほうで攻撃対象をXPと2000に絞っているので、余計なことをしなければ感染しません。
それにVistaはUACという機能がデフォルトで有効なので、適当に許可しない限り大丈夫です。
感染事例がないので確認方法は割愛します。
2010-01-10T00:48:51+09:00
1263052131
-
Acrobat JavaScriptをオフにする方法
https://w.atwiki.jp/geno/pages/19.html
**Acrobat JavaScriptをオフにする方法
Adobe ReaderではJavaScriptを使うことができますが、
この機能を悪用したウイルスが今回のGENOウイルスです。
滅多に使うことはないので環境設定より切ってしまいましょう。
***1.Adobe Readerを起動
***2.編集(&u(){E})メニューより環境設定(&u(){N})を選ぶ
&ref(http://www29.atwiki.jp/geno/pub/ajs01.png,width=400,height=400)
***3.左の分類よりJavaScriptを選ぶ
&ref(http://www29.atwiki.jp/geno/pub/ajs02.png,width=400,height=400)
***4.左側「Acrobat JavaScript を使用(&u(){J})」のチェックボックスをオフにしてOKボタン
&ref(http://www29.atwiki.jp/geno/pub/ajs03.png,width=400,height=400)
2010-01-10T02:32:46+09:00
1263058366
-
対策
https://w.atwiki.jp/geno/pages/18.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**対策
・[[Adobe Readerを最新にする>http://get.adobe.com/jp/reader/]]
・[[Adobe Flash Playerを最新にする>http://get.adobe.com/jp/flashplayer/]]
・[[該当IPアドレス>http://www3.atword.jp/gnome/2000/01/13/block-list/]]への接続を遮断
・[[Adobe ReaderのJavascriptを切る>>http://www29.atwiki.jp/geno/pages/19.html]]
・掲示板などに貼られている怪しいリンクをむやみに開かない
・ウイルス定義ファイルを更新する
・[[WindowsUpdate>http://update.microsoft.com/]] : 「高速」を選んで出てきたものをすべて適用
2010-01-10T00:50:42+09:00
1263052242
-
Windows 2000での確認方法
https://w.atwiki.jp/geno/pages/17.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**Windows 2000での確認方法
Windows 2000では一部環境を除いて元々sqlsodbc.chmがありません。
なので、ファイルがない事を確認すればOKです。
もしあってもXPのsqlsodbc.chmとサイズが同じであれば問題ありません。
以下、画像をつかった説明ですが、2000環境がないためXPのSSに修正を施したものです。
細部において異なるかもしれませんが、赤く強調した部分がわかれば問題ありません。
***1.スタートから「ファイル名を指定して実行」
#ref(http://www29.atwiki.jp/geno/pub/2k01.png,width=400,height=297)
***2.入力欄に「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
#ref(http://www29.atwiki.jp/geno/pub/2k02.png,width=400,height=270)
&bold(){&color(red,yellow){<!>下のような背景が黒いウィンドウが起動した⇒そのまま以下の手順で確認作業を行う}}
&bold(){&color(red,yellow){<!>黒いウィンドウが起動しなかった⇒感染の疑い濃厚}}
#ref(http://www29.atwiki.jp/geno/pub/2k03.png,width=400,height=400)
***3.次の鍵括弧の中身をコピーする→「dir C:\WINNT\system32\sqlsodbc.chm」
***4.黒いウィンドウのどこかで右クリックして貼り付け、そのままEnterキーを押す
#ref(http://www29.atwiki.jp/geno/pub/2k04.png,width=400,height=400)
***5.以下のようにズラズラっと表示されるので赤枠の部
2010-01-10T00:48:23+09:00
1263052103
-
Windows XPでの確認方法
https://w.atwiki.jp/geno/pages/16.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**Windows XPでの感染確認方法
なんだか混乱していてどうしていいのかわからない人が多いので細かい確認方法を。
基本的にsqlsodbc.chm以外の確認方法(xeroxやsvchost)は関係ないので無視すること。
なお、「cmdを起動すると活性化する」というのは他のウイルスの挙動です。気にしない。
***1.スタートから「ファイル名を指定して実行」
#ref(http://www29.atwiki.jp/geno/pub/xp01.png,width=400,height=208)
***2.入力欄に「cmd」(全部小文字で)と入力して「OK」ボタンを押す
#ref(http://www29.atwiki.jp/geno/pub/xp02.png,width=400,height=242)
&bold(){&color(red,yellow){<!>下のような背景が黒いウィンドウが起動した⇒そのまま以下の手順で確認作業を行う}}
&bold(){&color(red,yellow){<!>黒いウィンドウが起動しなかった⇒感染の疑い濃厚}}
#ref(http://www29.atwiki.jp/geno/pub/xp03.png,width=400,height=400)
***3.次の鍵括弧の中身をコピーする→「dir C:\WINDOWS\system32\sqlsodbc.chm」
***4.黒いウィンドウのどこかで右クリックして貼り付け、そのままEnterキーを押す
#ref(http://www29.atwiki.jp/geno/pub/xp04.png,width=400,height=400)
***5.以下のようにズラズラっと表示されるので赤丸の部分を確認
&bold(){&color(red,yellow){<!>赤丸の部分が50,727⇒感染の疑いほぼなし}}
&bo
2010-01-10T00:48:10+09:00
1263052090
-
報道
https://w.atwiki.jp/geno/pages/15.html
_________________________________________
* このページはあくまで2009年5月の内容です。
* 2010年1月現在話題となっている亜種には対応していません。
* ご注意ください。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
**報道
PCの通販ショップにウィルス騒動!? « 未来検索ガジェット通信
http://getnews.jp/archives/8719
livedoor ニュース - PCの通販ショップにウィルス騒動!?
http://news.livedoor.com/article/detail/4096830/
PCの通販ショップにウィルス騒動!? | エキサイトニュース
http://www.excite.co.jp/News/column/20090406/Getnews_8719.html
PC通販ショップGENOのサイトにマルウェアが仕込まれる - スラッシュドット・ジャパン
http://slashdot.jp/security/09/04/07/042220.shtml
PC通販サイト「GENO」のサイトに改ざんの疑い
http://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html
中古PC通販サイト「GENO」が不正アクセスで改ざん:Security NEXT
http://www.security-next.com/010247.html
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
薬事日報のサイトが改ざん~閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/vi
2010-01-10T00:49:13+09:00
1263052153