2009年05月17日

サイトを改竄するGENOウィルスにご注意くださいPC関連覚書

GENOウィルスは、「JSRedir-R」を正式名称とするマルウェアで、

・仕込まれて改竄されたサイトを見ると、その時使用していたPCが感染する
・PCが感染すると、
  *登録されているID・パスワードが抜かれてしまう(カード情報等はまだ未確認だが、セキュリティソフト上では警告が出る)
  *一部のソフト(Adobeアクロバットリーダー等)が不安定になる
FTPのパスが抜かれることによって、感染した人のサイトが改竄(同じウィルスコードが仕込まれる)→それを見た人がまた感染…というように伝染していく

という動作を行います。
現在、大手メーカーやサービスサイト、個人サイトに至るまで種類の別なく感染報告(小林製薬webサイトなど)があり、猛威をふるっています。

サイトを持たず閲覧のみの方はPCの、サイト管理者の方はご自身のPCとサイト両方の感染チェックを行ってみてください。

巡回先のサイト様がこの影響で現在一時閉鎖なさったのをきっかけに、当方でも注意を呼び掛ける次第です。
実はそのサイトでは1昨日NoScriptのブラックリスト除外をしようとした時にアラートが出たのですが、誤動作かと思い(ソースチェッカーでのチェックでもシロだったので…)報告を怠ってしまいました。その時行動していれば何か手助けができたかもしれないのにと思うと、申し訳ない気持ちでいっぱいです。
M様、PCとサイトの再構築等、手間のかかる作業が多く、精神的にもさぞ大変なことと思いますが、ご自身が安心できるタイミングでの再開をゆっくりお待ちしております。
適切なタイミングでの指摘を怠ってしまい、本当に申し訳ありませんでした。、
私も以前、アカウントハックサイトを踏みかかってクリーンインストールしたことがあり、それだけでもかなり消耗しました。ましてサイトの内容に関わることでご心労いかばかりと思いますが、どうぞお心を強く持ってくださいませ。

具体的な対処・チェックは追記以降に書きます。

[ご注意]

こうしたウィルス・マルウェアの危険を呼び掛けるサイトやwikiが改竄されてしまうのも非常によくあることです。
セキュリティソフト等での自衛が第一であることをお忘れなく、どのサイトの閲覧についても自己責任でご用心ください。
(以下は2009/5/17 17時頃の情報です。古くなっている場合がありますので必ずまとめサイト等で最新情報をご確認ください。)




【参考サイト】
同人サイト向け・通称「GENOウイルス」対策まとめ - トップページ

まとめサイトもう一つあるのですがどうもつながりにくいようなので、よくまとまっているこちらを。
「同人サイト向け」とありますが、内容はごく一般的なので、同人という言葉が苦手な方も気にしないでご覧いただくのをお勧めします。
感染するとどうなるのか、チェックの方法についてなど、分かりやすく記述されています。


*訪問先サイト・自サイトの安全を確認する*

GENOウイルスチェッカー Ver.1.0

に、訪問しようとするサイトのURLを入れてチェックしましょう。
チェックは100%完全とは言えませんが、かなり強力な目安になります。
サイト管理者の方は、とりあえずご自分のサイトURLでチェックしてみてください。


*自身のPCの感染の有無を確認する*

WinXPのみ手順を引用しつつまとめてみました。
その他のOS、詳細はまとめサイトからご覧ください。



GENOに感染した場合、
・コマンドプロンプトが起動しない
・レジストリエディタが起動しない

という特徴的な症状が発生します。
それをチェックしつつ、重要なファイルの容量を確認して、感染の有無をチェックするのが現状で分かっているチェック方法です。

[チェック1:コマンドプロンプトが開くか]

追記:感染している場合、コマンドプロンプトを開くとやばいらしいという情報もあるようなので、ここは飛ばして、次の「レジストリエディタが開くか」をチェックするのが無難なようです

1. ウィンドウズキー(Windowsのマークのあるキー)を押しながらRキー を押す

2. 「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
 → 背景が黒いウィンドウが開いた場合3へ
 → 起動しない場合: 感染疑い濃厚

[チェック2:レジストリエディタが開くか]

3. もう一度ウィンドウズキーを押しながらRキーを押す

4. 「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「regedit.exe」(全部小文字で)と入力して「OK」ボタンを押す

 →「レジストリエディタ」というウィンドウが開いた場合5へ
 → 起動しない場合: 感染疑い濃厚

5. 「レジストリエディタ」はすぐにウィンドウを閉じる。
  レジストリエディタが立ち上るかどうかが重要(感染していると立ちあがらない)なので、あとは何も弄る必要はありません。十分な知識がなくレジストリエディタを操作すると、PCの動作に影響をを及ぼす場合がありますのでご注意ください。

[チェック3:sqlsodbc.chmのサイズを確認する]

  背景が黒いウィンドウ(最初に開いたコマンドプロンプトのウィンドウ)を選択。
  小文字で
dir C:\WINDOWS\system32\sqlsodbc.chm

  と入力してEnterキー
  
  (WindowsがCドライブ以外に入っている場合は適宜変更してください)

   ※「ドライブCのボリュームラベルがありません
     C:\WINDOWS\system32のディレクトリファイルが見つかりません」
   と出た場合、マイコンピュータのCドライブのプロパティ開けて
   全般タブの一番上にある空欄に適当な名前を付けてから再度検索するか
   マイコンピュータからフォルダを辿って直接system32内を探してください。

  1個のファイル 50,727バイト と表示されればOK →
   49.5kbyteと表示された場合、右クリック、プロパティで50,727byteかどうか見る
  ★それ以外の数値の場合は 感染の疑い濃厚



[感染防止のためにすべきこと]

・WindowsUpdateを最新状態に
・お使いのセキュリティソフトを最新状態に(私はカスペルスキーで検知できました)
(しかしベンダーの対応も追いつけていないようです。過信はしない方が良さそうですね。)
・定義更新期限切れ、入っていないという人は、検知実績のあるフリーソフト「avast!」がお勧め。とにかく丸腰は言語道断。

・adobe readerを9.1.1にアップデートする(9.1:9.1,0では駄目)
・adobe flashplayerを最新版に更新

GENOウィルスはjavascriptを利用して悪さをするので、ブラウザでのjavascriptをオフにするのがまず一番。

IEはツール→オプションからJavaScriptを無効にできます。
こういう状況下では、IEはハッキリ言ってお勧めできません。

お勧めはFirefoxブラウザで「NoScript」アドオンを使うことです。
私はこのアドインで今回水際防止ができました。
導入直後は面倒くさいですが、信用できるサイトだけをボンボンとホワイトリストに入れて行けば非常に快適、安心してwebサイトを見ることができます。

Operaならば、
・flashオフ
・pdfをOperaでダウンロード

する設定にしましょう。

また、adobereaderをお使いの方は、adobe javascriptもオフにしましょう。

  adobe readerを開いて
 メニュー→編集→環境設定→javascript→「adobe javascriptを使用」のチェックをオフ

*ファイアーウォールで強制遮断

現在、以下のIP・ドメインの危険が確認されています。
これらを禁止IPに追加するのが強力な対策です。

 94.229.65.160/27(94.229.65.160 - 94.229.65.191)
 zlkon.lv:
  94.247.2.0/23 (94.247.2.0 - 94.247.3.255)
 martuz.cn
  95.129.145.58
  95.129.144.0/23 (95.129.144.0-95.129.145.255)
 Botnet C&C BackDoor Connection
  78.109.29.112

↑に示したドメインには、絶対にブラウザからアクセスしないでください!!!

詳しい設定方法は
同人サイト向け・通称「GENOウイルス」対策まとめ - ソフト別設定方法
をどうぞ。



*hostsに危険IPを追加する*

これは同人向けまとめになかったようなので。

以前からネットゲーム等のアカウントハッキング対策を取っており、hostsファイルの編集ができる方なら、以下を追加しておけばさらに安心です。

  127.0.0.1 zlkon.lv
  127.0.0.1 gumlar.cn
  127.0.0.1 martuz.cn

↑に示したドメインには、絶対にブラウザからアクセスしないでください!!!

hostsファイルに、「絶対に踏みたくないドメイン名」を追加しておくと、たとえそのドメインを含むサイトに直接アクセスしても何も起こらなくなり、非常に強力な対策となりえます。

ここで挙げた危険ドメインは現在確認されているもののみです。これから増える可能性が高く、その場合には新しく確認されたものを各自で追加しなければなりませんのでご注意ください。

hostsファイルの編集方法については以前当ブログでも解説いたしましたので、興味がおありでしたらご覧ください。

ぜろだまBlog: アカウントハッキング対策(1)〜hostsの設定〜

サイトが感染した場合の対処については、まとめサイト等をご覧になってください。


当方のサイト(zerodama.comドメイン直下のページ・ファイル)につきましては、現在チェッカー等で未感染を確認しておりますが、もしアクセスの際にセキュリティソフト等で警告が出たという場合は、ご連絡いただけましたらとてもありがたく思います。どうぞよろしくお願いします。
posted by 大道寺零(管理人) at 17:58 | Comment(5) | TrackBack(0) | PC関連覚書
この記事へのコメント
懇切な情報ありがとうございました。
自PC内とHPをチェックして一応安全ということでした。
今日来ていたスパムメールの誘導先などもいろいろとGENOウイルスチェッカーにかけてみましたが、
他の方のコメントスパムにあったFC2上のエログで
 危険度62%
 まあまあ危険なURLです。詳しい人に聞いてみましょう。
というのが出てきました。危ない危ない。

なお先日ご紹介の「NoScript」もあれから使っていますけれど、ホワイトリスト方式の使い勝手悪くなく、スパムの誘導先を覗くことの多い私としては重宝しています。
重ねてお礼申し上げます。
Posted by 末期ぃ at 2009年05月17日 22:07
対策リンクからお邪魔しました。
丁寧な情報有難う御座いました。PCには詳しくないのですが、とても分かりやすかったので無事に対処することが出来ました。お礼申し上げます。
Posted by digitalbaroque at 2009年05月18日 12:14
>>末期ぃさん

つたない記事でお役に立てたのでしたら幸いです。
特に末期ぃさんはサイトの性格上、ヤバげなサイトに探検隊することが多いので、どうぞお気を付けくださいね。
NoScript、アップデートもマメですし、時々厳しくされ過ぎて困ることもありますが、もう手放せなくなっています。更新してくださるスタッフの方には頭が上がりませんよね、ほんと。
過信は禁物ですが、今のところなかなかいい仕事をしてくれます。

>>digitalbaroqueさん

コメントありがとうございます。少しでもお役に立てたのでしたらなにより嬉しいです。
亜種や新種の脅威がまだまだ強く、気の抜けない状態ですが、自分が噛み砕けるようにと意識して生地を描いたので、分かりやすいと言っていただけてとても光栄です。
情報はすぐ古くなってしまうので、お互いまとめサイト等で注意しながら最新情報を確認して行きましょう。
Posted by 大道寺零 at 2009年05月19日 00:02
知り合いのWEBでavast!がJS:Redirector-H7を検知するので色々調べていたんですがGENOウイルスチェッカーでは100%安心と出ました。

webが改ざんされて仕込まれたのか、どうなのか、もう少し調べてみます
Posted by misabi at 2009年05月26日 17:29
>>misabiさん

コメントありがとうございます。
今回の件ではかなりavastの検知率が高く、評価を高めたようですね。
チェッカーでの結果との違いは気になるところですね。
チェッカーの開発過程で、fc2等のブログサービスの独自埋め込みタグ(無害)等が結果に反応することがあるという報告があって、その手のものかもしれませんが、用心するにこしたことはありませんね。
当方avastユーザーではないため、お役に立てず申し訳ございません…
Posted by 大道寺零 at 2009年05月27日 17:46
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。