可能な限り情報追って行こうと思います。(が、対策など常に最新の情報が必要なものは、必ず他の信頼の於ける専門サイトを調べてください。
パソコンウィルスの話。(5/24版)
GENOウイルス(Gumblaroid)について。
■対処
・FlashとReaderを最新のものにアップデートする。
最新
Flash Player 10.0.22.87
Adobe Reader 9.1.1
その他、このウイルスの攻撃に利用されている脆弱性の修正版は以下
Flash Player 9.0.159.0、10.0.22.87
Adobe Reader 7.1.1、8.1.4、9.1.1
・ReaderのJavaScriptを切る
adobe readerを開いて メニュー→編集→環境設定→javascript→adobe javascriptを使用のチェックを外す
・ブラウザのJavaScriptを管理
信用の於けないサイトではオンにしない
・VistaはUACをONにする
■感染確認方法
・sqlsodbc.chmのファイルサイズの確認を確認する
Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■駆除
リカバリが確実。
■詳細な情報
http://www3.atword.jp/gnome/2009/05/24/gumblaroid-%E3%81%8A%E3%81%95%E3%82%89%E3%81%84%E3%81%A8%E3%81%8B%E3%83%BB%E3%83%BB/
こちらが詳しいです。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1895
So-netの特集記事。
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-051900-3410-99
ノートン先生によるウイルス詳細。
--------------------------------------------------
引き続きご注意ください。
--------------------------------------------------
--------------------------------------------------
[どう危険?]
��有効な対策を講じていないPCブラウザで)サイトを閲覧するだけで感染するウィルスです。
○対処方法が、今のところクリーンインストールしかない
一度感染したら、クリーンインストールする他に、パソコンを元の状態に戻すことは不可能です。(感染してから修理する、というのはほぼ不可能なようです。以下GENOスレより↓
<!--転載ここから-->
>>819 名前:スパムのような警告メール[sage] 投稿日:2009/05/18(月) 10:42:24 ID:ua7Ctj4Z0
>>■私見による蛇足
>>幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
>>実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
>>セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)
>>実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
>>自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
>>戻すことのできるセキュリティソフトは確認できていません。
>>また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
>>変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
>>セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
>>良いのではないかと思われます。
>>以上、要件のみにて失礼致します。
<!--/転載ここまで-->
○感染した状態でFTP接続すると、FTPの情報(ID・パス)を抜き取られる→サイトに勝手にウィルスコードを追加される→書き換えられたサイトが新たな感染源となる
また、抜き取られるID・パスが、FTPのものだけとは限りません。
--------------------------------------------------
[感染してた!どうすれば?]
→gnomeさんからの転載
<!--転載ここから-->
>>以上2点を満たす場合、残念ながらウィルスに感染している可能性が高いです。
>>
>>まず、LANケーブルを引っこ抜いてください!
>>笑い事ではなく、物理的にインターネットから切り離してください。
>>
>>このへんを見ながら回復を図ってもよいのですが、はっきりいって不毛です。(回復した後も、本当に安全かどうか疑心暗鬼になってしまうため)
>>
>>バックアップを取った後、必要なhtml, php, js を "unescape" で grep し、悪意コードの痕跡を消し去り、OSをクリーンインストールしたほうが無難です。
>>
>>一応 MalwareBytes でも削除できたという報告はありますが、私は確認していません。
>>
>>PCのサニタイズが完了したら、あなたのPCに関係するすべてのパスワード変更を行ってください。
>>
>>現在のPCの名称(Login名)とパスワードの変更
>>
>>金銭的な損害の可能性のあるアカウントのパスワード変更(特に Yahoo, PayPal)
>>※現在までに金銭的な被害があったという報告は確認できません。
>>
>>所有しているサイトのパスワードの変更(FTPパスワードも)
>>
>>その他、ありとあらゆるパスワードの見直し
<!--/転載ここまで-->
***ネットから(物理的に)切断した後、”ウィルスのデータを完全に消去する前に”再起動等パソコンの電源を落とす処理を行わないでください。不具合(explorerのクラッシュ)が起こる可能性があります。↓GENOスレより
<!--転載ここから-->
>>847 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 11:24:25 ID:ua7Ctj4Z0
>>そだ、>>1の
>>>・再起動時にBSOD
>>踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
>>www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>>>あと、 BSoD になる理由が判明
>>>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>>>強引に explorer.exeをクラッシュさせてる様子
>>>
>>>これってアレだ・・
>>> 下手にIPブロックすると起動できなくなる・・
>>> 起動するためには IP情報、その他を抜かれるという・・・
>>>
>>>どこまでいやらしいんだオマエハ・・・・
<!--/ここまで-->
gnomeさんが↑対処法の一例を挙げてくださっています。
http://www3.atword.jp/gnome/2009/05/19/gumblaroid-%E6%84%9F%E6%9F%93%E6%99%82%E3%80%81bsod-%E3%81%A7%E8%B5%B7%E5%8B%95%E3%81%97%E3%81%AA%E3%81%8F%E3%81%AA%E3%81%A3%E3%81%A6%E3%81%97%E3%81%BE%E3%81%A3%E3%81%9F%E6%96%B9%E3%81%B8/
--------------------------------------------------
[現状での対策方法]※並べ替えしました
○PDFリーダーを最新にする (AdobeReader や Foxit Reader)
Adobe-9.1.1が最新バージョンです。
いっそアンインストールしてしまうのも有り。
○AdobeFlashを最新にする
Player-10.0.22.87が最新バージョンです。
>>Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
>>Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したve
とのこと。
○Javascriptを切る※必須
他の対策を全てしていても、これを忘れると致命的。必ず切ってください。
※IE6の必須対策-以下GENOスレより転載。
<!--転載ここから-->
>>偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない):インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
<!--/転載ここから-->
※Firefox-先読み機能をオフにした方が良いっぽい。自分も知らなかったのでやり方メモ。
アドレスバーに「about:config」と入力してエンター押す→自己責任オケー→フィルタ欄に「network.prefetch-next」と入力すると下欄に該当が出てくる→trueになってたらダブルクリックでfalseに変更。
お勧めプラグイン↓
http://prefbar.mozdev.org/installation.html
の、Japanese versionを入れるとよさげ。JSやFlashのオンオフが手軽に行えます。
※ニコとかつべとか見たい人-専用プレイヤーで見るといいと思。
nFinder
http://hagesoft.web.fc2.com/hist_nFinder.html
tubePlayer
http://janesoft.net/tube/
ざっと見た感じ、この二種が使い良さそうかなと思われますた。
○WindowsUpdate
※XP-SP3を適用。
但しAMD機の場合、SP3適用によって別の不具合が起こりうるので↓
http://www.itmedia.co.jp/enterprise/articles/0805/13/news062.html
パッチを適用してからアップデートしてください。
※VISTA,7-現在は大丈夫ですが、いつ対応亜種が出現してもおかしくない状況です。
※MAC使いさん-今のところ感染報告はありません。が、やっぱり対応してこないとも限らないのでご注意ください。
○貼られている怪しいリンクをむやみに開かない
ソースチェッカーで確認。
ソースチェッカー(Java Flashにチェック入れる)
http://wepawet.cs.ucsb.edu/
W3C謹製ソースチェッカー(Show Sourceにチェック入れる)
http://validator.w3.org/
○アンチウィルスソフトの定義ファイルを常に最新の状態に
○hostsファイル(スタートメニューのファイルフォルダ検索で出てきます。メモ帳で開いて編集可能)に以下を追記
※追加/19日
��!--ここから-->
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
0.0.0.0 findyourbigwhy.cn
0.0.0.0 bigtopsuper.cn
0.0.0.0 jii.be
0.0.0.0 zief.pl
0.0.0.0 litefront.cn
��!--/ここまで-->
zlkon~に接続しようとしても飛べないようにするための設定。
※PeerGuardian等のFW-怪しいアドレスをブロックリストに追加。
>>焼却リスト:http://www3.atword.jp/gnome/2000/01/13/block-list/
***これら対策を全て完璧にしていても「今のところはとりあえず大丈夫」というだけです。充分ご注意ください***
--------------------------------------------------
[確認される症状]
○sqlsodbc.chmを改変
正常であれば、ファイルサイズが50,727 bytes/40.**kbとなっている筈。ファイルサイズが極端に違う+ファイルの更新が3月21日付け=アウトの可能性極高し。
http://app.m-cocolog.jp/t/typecast/273348/502126/58005559
↑こちらの方が、sqlsodbc.chmファイルを手軽にチェックできるツール?の作り方を公開してくださっています。(自分で簡単に作れます)
○一部のアンチウイルスソフトが更新不能
○特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
○ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
○Googleの検索結果を改竄(リンクを弄る)
○explorer.exeや一部のブラウザが異常終了
○Acrobatが勝手に起動
○PDFファイルやシステムファイルが増殖
○CPU、メモリ使用率がUP
○再起動時にBSOD
→上記転載記事
GENOスレ814さんが書いてくれた分かり易いテンプレ。
<!--転載ここから-->
>>814 名前:スパムのような警告メール[sage] 投稿日:2009/05/18(月) 10:38:36 ID:ua7Ctj4Z0
>>Webサイト製作 ご担当者さま
>>
>>■ お願い
>>
>>御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
>>ダウンロードさせるスクリプトが挿入されております。
>>
>>状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。
>>
>>
>>この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
>>パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
>>Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
>>
>>同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
>>感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
>>FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
>>スクリプトの埋め込みを行なうようです。
>>
>>他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
>>HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
>>なっております。
>>
>>■ 確認した感染ページ
>>
>><多分、全てのページが感染中>
>>
>> ●HTMLファイルの場合
>> <body>タグの直前に難読化されたコードが埋め込まれる。
>> (例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
>> 危険コードが埋めこまれないようです)
>> ●PHPの場合
>> ファイルの最初に難読化されたコードが埋め込まれる。
>> ●JSの場合
>> ファイルの最後に難読化されたコードが埋め込まれる。
>> その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
>>
>>815 名前:スパムのような警告メール[sage] 投稿日:2009/05/18(月) 10:39:31 ID:ua7Ctj4Z0
>>■感染していると思われるページの危険部分
>>
>>(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)
>>
>>|
>>
>>■ 感染していると思われるウイルスの情報
>>
>>HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
>>呼ばれているものと思われます。下記のサイトの情報をご参照ください。
>>
>>まとめサイト
>> http://www29.atwiki.jp/geno/
>>
>>各社の告知
>> So-NET セキュリティ通信
>> 多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
>> http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
>> 多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
>> http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
>> 正規サイト改ざん(3) ウイルスに感染しないための対策
>> http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
>> 国内の正規サイト改ざん:攻撃サイトを変え再襲来
>> http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
>> [ITmedia]新手のWebベースマルウェアが急拡大
>> http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
>>
>>専門的な解説等
>> http://ilion.blog.shinobi.jp/Entry/85/
>> http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%A%A4%E9+martuz%2Ecn+%A4%D8
>> http://www3.atword.jp/gnome/
>>
>>このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、jsといったファイルが書き換えられて現在の状況になっているものと思われます。
>>
<!--/転載ここまで-->
0 件のコメント:
コメントを投稿