2009年05月18日

GENOウィルスに関してその2PC関連覚書

感染状況チェックについて、下のサイトの記事がとても分かりやすかったのでご紹介。スクリーンショットもあります。

UnderForge of Lack » Blog Archive » Gumblar ?とおもったら

「Gumblar」はGENOウィルスの初期の呼称、つまり同じものです。

・レジストリエディタの起動確認
(コマンドプロンプトは新種や亜種だと感染していても開く場合があるので飛ばす)
・ファイルの検索で「sqlsodbc.chm」を探してプロパティを確認する
 →ファイルサイズが 50K (49.5K) あるいは 50,727バイト=未感染の確率高い(完全にシロとは言えないのが現状です;)
 →ファイルサイズが1000-2500バイト前後=感染の可能性が高い
(前回紹介した方法ではコマンドプロンプトからの確認でしたが、コマンドプロンプトは開かない方が無難なようなので)

この2つの確認が現在もっとも有用とされているようです。



何かの参考になるかどうかは分かりませんが、5/15頃私がGENO入りの可能性のあるページを閲覧した際の体験を書いておこうと思います。

訪問先のサイトのドメインを、話を簡易にするために「A」とします。国内のレンタルサーバーです。
私はNoScriptを使っており、既にドメインAはホワイトリストに入れてありました。

JavaScriptを無効にしていると、画像ファイルが管理者の設定したように閲覧できなかったり、メニュー等の表示が途中で切れたり、開かなかったりする場合があります。
とあるページで、「JavaScriptをONにすればもっと画像が見られるのかな?」と思い、NoScriptのオプションアイコンをクリックし、新しいドメインをホワイトリストに入れようと試みました。
その「新しく追加しようと思ったドメイン」が、GENOの悪さに使われている(あくまで現時点)「martuz.cn」でした。
「.cn」、つまり中国のドメインは、ネットゲームのアカウントハック等でもよく使われているため悪い予感がしたのですが、
「martuz.cnを一時的に許可」
しようとしたところ、「情報が盗まれる可能性がある」と出たので、やめておきました。

(この時、別のソースチェッカーサイトで検査したのですが、その時点では危険は検出されなかったので、誤動作と思ってしまいました…;)

GENOの動作については、
・感染したサイトを開く
・悪意あるJavaScriptが、「martuz.cn」からGENO入りのファイルを掴ませる
という流れになっていると推測されているようです。

ここで重要なのは、(あくまで現在ですが)NoScriptを使っている場合、
「感染しているドメインAを既にホワイトリストに入れていても、罠入りドメイン(ここではmartuz.cn)を許可していない限り水際で防ぐことができる」
ということです。
ですから、NoScriptをお使いの方は、

「サイトURLにある以外の、正体不明のドメイン(特に中国関連のもの)は極力許可しない」
「勿論、既にGENO関連と判明しているドメイン(例:martuz.cn)は絶対に許可しない」
「許可するかどうかの判断に困ったら、とりあえずそのページをGENOチェッカーにかけてみる」


ことを念頭に置くと、かなり危険を減らせるのではないかと思います。

また、今見ているサイトは大丈夫だろうか?と調べたい場合も、NoScriptのオプションをクリックして、今見ているページにどれだけのドメインが関わっているか、怪しいドメインはないか…とチェックするだけでもなかなか有用です。

危険ドメインはこれからも増加する可能性が非常に高いです。
(これは、ネットゲームのアカウントハック対策に慣れた方なら良くご存じのことと思います。)
定期的にまとめwikiなどを見て危険なドメインを確認し、可能であればhostsファイルを編集してディフェンスを高めるのがよいかと思います。
posted by 大道寺零(管理人) at 23:45 | Comment(0) | TrackBack(0) | PC関連覚書
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。