針對同人網站進行擴散的病毒
- 針對同人相關網站進行擴散感染的病毒--「JSRedir-R」--(通稱「GENO VIRUS」)已經在各個日站四散了!
- 有些作品甚至連官方網站也已經被感染,有經常逛日本網站的要注意一下哦!!
※ 資訊來源:*
* 利於傳遞概況的說明網站:★(比這頁還淺顯很多XDD) / ◎ 受害者名單(被敵方(?)鎖定的感染客群):●
2009.5.20 增加通報ニコニコ一例
- ニコニコ動画確認感染:sm7082009,【clear】magnetを歌ってみた【蛇足】
翻唱系列似乎有被鎖定,感染率高,請各位注意!
- 由此可見,Adobe 家的 Flash 漏洞也有可能造成傳染!!
ニコニコ動画網站是動態網頁,網頁被竄改的機率趨近零!也沒有 PDF 文件的開啟機會
所以剩下就是 Flash 影片傳染!有可能是上傳者在製作相關動畫的時候,病毒就潛進去了!
網頁檢測
- 網址安全性檢測:http://geno.2ch.tc/index.php(GENOウイルスチェッカー Ver.1.1)
- 輸入有疑慮的網址後按下「チェックする」鍵,便會出現安全報告。
- (感謝K島No.72955 提供)
結合 Google 工具列 自訂按鈕,到處都可以驗毒(由本 Wiki 提供操作圖文)
檢測結果說明
「1000%」:表示該網址確定感染(確認時間點05/19 20:45)
- 「100%」:100% 表示非常危險!請勿進入!!!
[已廢除]表示該網址目前安全(確認時間點05/19 20:45)
- 当方確認のGENOウイルスのみに関して05/30 07:47現在では100%(値を修正しました。)以外安全です。
- GENO Virus Checker現在是數值低於100%才算安全, 不再是1000%
- 另外 IE 的 FlashPlayer 一定要更新
- 重要な修正:IE 用の FlashPlayer 最新版 をインストールしてください。
- 另外 GENO病毒在特性上(網頁傳染→竄改原始碼),不會感染到主流BLOG服務(livedoor,fc2等),故主流BLOG服務為高安全性。
- 編按:
會不會感染,主要要看提供網站(例如FC2)而定。
因為要達成感染條件的話,勢必要把感染碼竄改到 Html 的 <head> 標籤裡面。
這方面就PHP方向的網站來說,要有相當權限的架站者,才有權修改檔案、有被傳染的機會。
所以被感染的機率比較低,除非BLOG服務提供者的高層價展管理員中標了 囧
不過這種可能性很低,因此才會推導到BLOG有高度安全的說法;反過來講,純手工製作的網頁(像各大同人官網)或自行撰寫架設的網站,被竄改的散播的「時機」就高出很多。
※ 除編按以外,520ニコニコ增例事件,情報來源為 Purr&Hiss: 注意!! 經由同人網站進行大幅擴散的病毒 - yam天空部落
感染徵兆(=判別方法)
感染病毒的主要徵兆為:
- 無法執行「cmd.exe」、「regedit.exe」
- 瀏覽器異常中止
- 「Google」的「搜索結果」被竄改
- 「PDF」檔案,無故增值佔用電腦空間(對策:PDF加密、開啟「禁止改作」功能)
- sqlsodbc.chm 數值改變
請至C槽(或你的作業系統槽)> WINDOWS > system32 > 找到「sqlsodbc.chm」檔案,
以右鍵方式查看數值,正常中文系統時,其檔案大小應為 52,378 bytes
正常的「sqlsodbc.chm」資料如下
中文 XP(以五度確認資料正確性)
- 存在路徑:%WinDir%\system32
- 檔案大小:51.1 KB (52,378 位元組)
- MD5:783c214023fa93031dd4ff9ec76bf319
※ 這是繁體中文XP系統的情況!其他語系系統有可能不適用!屆時請找相同語系的其他使用者互相比對確認。
中文 Vista
- 存在路徑:%WinDir%\Help\mui\sqlsodbc.chm(找不到的話,可能直接用搜尋檔案功能找sqlsodbc.*比較快)
- 檔案大小:51.1 KB (52,378 位元組)
※ 這是繁體中文Vista系統的情況!其他語系系統有可能不適用!屆時請找相同語系的其他使用者互相比對確認。
- 「AntiVirusKitt(?)」軟體無法更新
- 無法連上特定網站如「Windows Update」、「AntiVirusKitt」相關網站
- 網路連線被監視,使用者名稱密碼遭側錄盜用
- 「Acrobat」軟體自動跳出並啟動
- 記憶體使用量無故大幅增加
- 重新啟動時,無故看見令人懷念(?)地獄般的藍色錯誤畫面
如果有以上徵兆,請趕快掃毒!!!
病毒檢測
* 詳細操作參考建議:看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新、GENOウィルス・何をすれば良いか分からない人のまとめ
方法1
- Windows (XP、2000、VISTA) 系統:開始→執行→輸入 cmd.exe →確定
- →出現黑色視窗,表示沒有問題便可直接關掉,進行下面●步驟
- →沒有任何反應,很可能已經被感染
編按:用 cmd.exe 來判斷有點奇怪 囧(應該沒有什麼病毒會把他殺掉吧...)
- ●同時按住R鍵和WINDOWS開始鍵(其他方法也可以= =),再度叫出開始/執行視窗
- 輸入「regedit.exe」(全部小寫)
- →會出現「登錄碼編輯程式」視窗,表示沒有問題便可直接關掉
- →若沒有任何反應,很可能已經被感染
編按:呃... 那不是基本功能嗎?這病毒會影響的範圍是這些???
「cmd」、「regedit」這些基本功能,真的有可能癱瘓嗎O_O?那那隻病毒也太神奇了吧 囧(好吧 好像真的有人不能開 囧)
方法2
---(檢測方式翻譯來自K島善心島民No.39296)---
- 快速檢查自已電腦有沒有被感染的方法(XP)
- 首先先按 Ctrl + Alt + Del 叫出「工作管理員」
- 選擇「處理程序」
- 點一下「影像名稱」,讓排序順序照著英文字母
- 尋找「SVCHOST.EXE」
- 只要「SVCHOST.EXE」後面的「使用著名稱」如果是
- 「SYSTEM」、「NETWORK SERVICE」、「LOCAL SERVICE」其中一種的話表示還沒被感染
---(謝謝善心島民No.39296翻譯)---
- 開始→執行(或是 Win標誌+R)
- 輸入「Services.msc」(此為 Windows 的正常服務)
- 在右邊找「Terminal Service」,點進去就可以啟動它了。
- 從重新開「工作管理員」,「使用者名稱」就有名字了。
※ 但要注意的是,這項服務的功能,「疑似」會同時開啟「遠端桌面」功能,請自行斟酌。
感染前對策
---(翻譯來自善心島民No.39317、No.39323、No.39329)---
- 更新Adobe軟體
- 遮蔽已知的惡意IP
- 切斷「AdobeReader」的「JavaScript」
- 定期更新「Windows Update」
- 更新病毒定義檔
- 關掉網頁瀏覽的「JavaScript」功能←這會阻礙一些網頁瀏覽的便利性。
但真的很害怕的話,也可以先關閉。
等到確定對方網站沒感染病毒時再開啟「JavaScript」。
關掉網頁瀏覽的「JavaScript」功能
- IE:工具→網際網路選項→安全性→自訂層級→停用所有關於script的功能(必須重新開啟瀏覽器以完成此設定)
- Firefox:工具>選項>內容>啟用JavaScript去勾,或者配合擴充套件
- safari:編輯>喜好設定>安全性>啟用JavaScript去勾
---(謝謝No.39317、No.39323、No.39329三位善心島民)---
事前遮蔽惡意IP
然後如果防毒軟體(諾頓或其他)可以嘗試遮蔽惡意IP,請將以下IP遮蔽:
94.229.65.160/27(94.229.65.160 - 94.229.65.191)
zlkon.lv:
94.247.2.0/23 (94.247.2.0 - 94.247.3.255)
martuz.cn
95.129.145.58
95.129.144.0/23 (95.129.144.0-95.129.145.255)
Botnet C&C BackDoor Connection
78.109.29.112
感染途徑
※ 本節「感染途徑」為もうそう無界查看各方相關資訊,暫時推擬出來的說法,基本上沒有亂推,如有錯誤請吝指教,謝謝。
Flash 的部份雖有ニコニコ案一例,但僅為推測!就目前來看 FLV 受感染的可能性大於 swf 感染。
因為 swf 是播放介面ニコニコ每頁都共用同一個 swf,如果以中標那傷害範圍將近世界末日了 囧
至於 MP4 透過 Flash 高畫質播放,目前來說應該很安全。因為 MP4 不是 Adobe 發明、產生的特殊格式,沒有漏洞沒機會被竄改。
瀏覽入侵
- 瀏覽已被感染的網站。
- 有可能的植入對象類型有(開啟/瀏覽→立即中毒):PDF(內被植入惡意JavaScript)、Flash(*.swf<?>,*.flv)、html 眾網頁(<head>植入看似亂碼的JavaScript)!!
傳染散播
- 竄改「網頁檔」:推測,如果電腦已被感染上此病毒,該電腦上所有的「*.htm」、「*.html」甚至「*.php」、「*.asp」,
都有機會被已「本文植入的方式竄改」!
其竄改內容疑似是 <head> 區域的 JavaScript。
可用記事本等文件編輯器開啟檢視,如有莫名奇妙之亂碼請刪除亂碼,並避免上傳到您的網站!
- 竄改「Adobe」家的檔案
- 「PDF」:凡遭感染後,電腦內的所有「*.pdf」均有可能被竄改!
防範措施不外乎,在感染前重新封裝PDF,在封裝時「設定不可修改之選項效果」,並設定PDF文件修改者密碼,或是設定閱覽加密,來防止未來被竄改植入的可能,
如發現檔案大小異常增值,請勿轉發上傳到網路,造成其他人的感染!
- 「Flash」:凡遭感染後,電腦內所有「*.swf」、「*.flv」均有可能被植入竄改!
- 電腦感染後,被竄改的文件如再上傳到其他網站,將會繼續造成連環性的感染、入侵,如發現異常狀況請不要上傳這類檔案!
- 另外,此病毒會竄改網頁,不論是不是你創造的網頁!
也就是說,如果平常有「儲存網頁」習慣的朋友,電腦被感染後的那些「被你儲存」收藏在電腦的網頁,也都有可能感染!
如果遇到此情形,請勿使用瀏覽器開啟該網頁!請使用掃毒隔離、或者該脆刪除,務必避免上傳到其他地方!
也可以用「記事本」軟體來用文件形式開啟,把被植入的亂碼殺掉!再做其他抉擇
その他
- 目前「PIXIV」以及「BLOG」都沒有受到感染的徵兆,應該能安心使用
- 各位最近如果有逛過任何名單的同人網站,請立刻掃毒!!
- 記得按時更新「WINDOWS」和其他軟體更新!
請特別注意!!!
※ 根據 網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新 @ Suoni's Artwork :: 痞客邦 PIXNET :: 提供的情報指出
GENOウイルスまとめ - よくある質問 的「ググっただけで対策ソフトに怒られた!何これ!」項目,也有提到這項漏洞!
- 用 Firefox 連上Google搜尋時,會預先幫你讀取搜尋出來的連結內容,因此即使沒點連結也可能中毒。強烈建議關閉此功能!!!
詳細操作
- 步驟:在Firefox網址列輸入「about:config」,對火狐發誓一定會小心之後
在篩選條件欄輸入「network.prefetch-next」,在篩選出來的那行字上點兩下滑鼠,把值設定成「false」。(如圖示)
相關報導
日文
英文
リンク
集中處理情報
日方專門 Wiki:
相關章節
情報
最初的 K島 討論串
- JSRedir-R如何透過網路擴散感染--小心新病毒「JSRedir-R」(GENO/gumblar)
- 簡單明瞭的自我檢測步驟--看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)
その他(依照私心推薦的參考價值排序)
- 看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新 @ Suoni's Artwork :: 痞客邦 PIXNET ::
- Purr&Hiss: 注意!! 經由同人網站進行大幅擴散的病毒 - yam天空部落
- 近期讓ACG相關系同人或官方網站受害嚴重的GENO VIRUS:這裡有介紹如何阻擋大量IP:「如何在COMODO防火牆設置遮蔽IP設定來防制GENO病毒」
- 通称「GENO」、新種のPCウイルスが急速に拡大中 | 暇人の午後 IV
- 九組情報帖
- 星宿喵的萌落格 » 小心新病毒「JSRedir-R」(GENO/gumblar)
◎ 此章節僅為個人屬性需求(?)特別緊急關注+情報收集彙整
多數為多方瀏覽爬文、整合或個人實證及衍伸推測,所集成的文字敘述,其結果的正確性無法做出1000%的保證,請自行比較或腦內判斷。
此章節將會持續追蹤到在事件退燒為止,日後將不定期更新。
最終更新:2009年12月22日 21:08