もうそう無界
もうそう無界

同人病毒!GENOウイルス!

針對同人網站進行擴散的病毒


針對同人相關網站進行擴散感染的病毒--「JSRedir-R」--(通稱「GENO VIRUS」)已經在各個日站四散了!
有些作品甚至連官方網站也已經被感染,有經常逛日本網站的要注意一下哦!! 
※ 資訊來源:

* 利於傳遞概況的說明網站:(比這頁還淺顯很多XDD) / ◎ 受害者名單(被敵方(?)鎖定的感染客群):

2009.5.20 增加通報ニコニコ一例

  • ニコニコ動画確認感染:sm7082009,【clear】magnetを歌ってみた【蛇足】
    翻唱系列似乎有被鎖定,感染率高,請各位注意!
    • 由此可見,Adobe 家的 Flash 漏洞也有可能造成傳染!!
      ニコニコ動画網站是動態網頁,網頁被竄改的機率趨近零!也沒有 PDF 文件的開啟機會
      所以剩下就是 Flash 影片傳染!有可能是上傳者在製作相關動畫的時候,病毒就潛進去了!

網頁檢測

網址安全性檢測:http://geno.2ch.tc/index.php(GENOウイルスチェッカー Ver.1.1)
輸入有疑慮的網址後按下「チェックする」鍵,便會出現安全報告。
(感謝K島No.72955 提供)
結合 Google 工具列 自訂按鈕,到處都可以驗毒(由本 Wiki 提供操作圖文)


檢測結果說明
  • 「1000%」:表示該網址確定感染(確認時間點05/19 20:45)
  • 「100%」:100% 表示非常危險!請勿進入!!![已廢除]表示該網址目前安全(確認時間點05/19 20:45)
    • 当方確認のGENOウイルスのみに関して05/30 07:47現在では100%(値を修正しました。)以外安全です。
    • GENO Virus Checker現在是數值低於100%才算安全, 不再是1000%


  • 目前不滿100%的網站,才是沒有危險的網站!!


  • 另外 IE 的 FlashPlayer 一定要更新
    • 重要な修正:IE 用の FlashPlayer 最新版 をインストールしてください。


  • 另外 GENO病毒在特性上(網頁傳染→竄改原始碼),不會感染到主流BLOG服務(livedoor,fc2等),故主流BLOG服務為高安全性。
    • 編按:
      會不會感染,主要要看提供網站(例如FC2)而定。
      因為要達成感染條件的話,勢必要把感染碼竄改到 Html 的 <head> 標籤裡面。
      這方面就PHP方向的網站來說,要有相當權限的架站者,才有權修改檔案、有被傳染的機會。
      所以被感染的機率比較低,除非BLOG服務提供者的高層價展管理員中標了 囧
      不過這種可能性很低,因此才會推導到BLOG有高度安全的說法;反過來講,純手工製作的網頁(像各大同人官網)或自行撰寫架設的網站,被竄改的散播的「時機」就高出很多。 
※ 除編按以外,520ニコニコ增例事件,情報來源為 Purr&Hiss: 注意!! 經由同人網站進行大幅擴散的病毒 - yam天空部落

感染徵兆(=判別方法)

感染病毒的主要徵兆為:

  • 無法執行「cmd.exe」、「regedit.exe」
  • 瀏覽器異常中止
  • 「Google」的「搜索結果」被竄改
  • 「PDF」檔案,無故增值佔用電腦空間(對策:PDF加密、開啟「禁止改作」功能)
  • sqlsodbc.chm 數值改變

    請至C槽(或你的作業系統槽)> WINDOWS > system32 > 找到「sqlsodbc.chm」檔案,
    以右鍵方式查看數值,正常中文系統時,其檔案大小應為 52,378 bytes


建議用 MD5 來判斷更準(MD5 比對工具軟體

正常的「sqlsodbc.chm」資料如下

中文 XP(以五度確認資料正確性)
  • 存在路徑:%WinDir%\system32
  • 檔案大小:51.1 KB (52,378 位元組)
  • MD5:783c214023fa93031dd4ff9ec76bf319 
※ 這是繁體中文XP系統的情況!其他語系系統有可能不適用!屆時請找相同語系的其他使用者互相比對確認。
中文 Vista
  • 存在路徑:%WinDir%\Help\mui\sqlsodbc.chm(找不到的話,可能直接用搜尋檔案功能找sqlsodbc.*比較快)
  • 檔案大小:51.1 KB (52,378 位元組) 
※ 這是繁體中文Vista系統的情況!其他語系系統有可能不適用!屆時請找相同語系的其他使用者互相比對確認。


  • 「AntiVirusKitt(?)」軟體無法更新
  • 無法連上特定網站如「Windows Update」、「AntiVirusKitt」相關網站
  • 網路連線被監視,使用者名稱密碼遭側錄盜用
  • 「Acrobat」軟體自動跳出並啟動
  • 記憶體使用量無故大幅增加
  • 重新啟動時,無故看見令人懷念(?)地獄般的藍色錯誤畫面

如果有以上徵兆,請趕快掃毒!!!


病毒檢測

* 詳細操作參考建議:看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新GENOウィルス・何をすれば良いか分からない人のまとめ

方法1

Windows (XP、2000、VISTA) 系統:開始→執行→輸入 cmd.exe →確定
→出現黑色視窗,表示沒有問題便可直接關掉,進行下面●步驟
→沒有任何反應,很可能已經被感染 
編按:用 cmd.exe 來判斷有點奇怪 囧(應該沒有什麼病毒會把他殺掉吧...)
●同時按住R鍵和WINDOWS開始鍵(其他方法也可以= =),再度叫出開始/執行視窗
輸入「regedit.exe」(全部小寫)
→會出現「登錄碼編輯程式」視窗,表示沒有問題便可直接關掉
→若沒有任何反應,很可能已經被感染 
編按:呃... 那不是基本功能嗎?這病毒會影響的範圍是這些???
   「cmd」、「regedit」這些基本功能,真的有可能癱瘓嗎O_O?那那隻病毒也太神奇了吧 囧(好吧 好像真的有人不能開 囧)

方法2

---(檢測方式翻譯來自K島善心島民No.39296)---
快速檢查自已電腦有沒有被感染的方法(XP)
首先先按 Ctrl + Alt + Del 叫出「工作管理員」
選擇「處理程序」
點一下「影像名稱」,讓排序順序照著英文字母
尋找「SVCHOST.EXE」
只要「SVCHOST.EXE」後面的「使用著名稱」如果是
「SYSTEM」、「NETWORK SERVICE」、「LOCAL SERVICE」其中一種的話表示還沒被感染 
---(謝謝善心島民No.39296翻譯)---


針對方法2:如果「使用者名稱」是空白的,請啟動「Terminal Service」服務功能即可。

Service 啟動方法
  1. 開始→執行(或是 Win標誌+R)
  2. 輸入「Services.msc」(此為 Windows 的正常服務)
  3. 在右邊找「Terminal Service」,點進去就可以啟動它了。
  4. 從重新開「工作管理員」,「使用者名稱」就有名字了。 
※ 但要注意的是,這項服務的功能,「疑似」會同時開啟「遠端桌面」功能,請自行斟酌。


感染前對策

---(翻譯來自善心島民No.39317、No.39323、No.39329)---

  1. 更新Adobe軟體
  2. 遮蔽已知的惡意IP
  3. 切斷「AdobeReader」的「JavaScript」
  4. 定期更新「Windows Update」
  5. 更新病毒定義檔
  6. 關掉網頁瀏覽的「JavaScript」功能←這會阻礙一些網頁瀏覽的便利性。
    但真的很害怕的話,也可以先關閉。
    等到確定對方網站沒感染病毒時再開啟「JavaScript」。


關掉網頁瀏覽的「JavaScript」功能

  • IE:工具→網際網路選項→安全性→自訂層級→停用所有關於script的功能(必須重新開啟瀏覽器以完成此設定)
  • Firefox:工具>選項>內容>啟用JavaScript去勾,或者配合擴充套件
  • safari:編輯>喜好設定>安全性>啟用JavaScript去勾

---(謝謝No.39317、No.39323、No.39329三位善心島民)---


事前遮蔽惡意IP

然後如果防毒軟體(諾頓或其他)可以嘗試遮蔽惡意IP,請將以下IP遮蔽: 

94.229.65.160/27(94.229.65.160 - 94.229.65.191)

zlkon.lv:

94.247.2.0/23 (94.247.2.0 - 94.247.3.255)

martuz.cn

95.129.145.58
95.129.144.0/23 (95.129.144.0-95.129.145.255)

Botnet C&C BackDoor Connection

78.109.29.112


感染途徑

※ 本節「感染途徑」為もうそう無界查看各方相關資訊,暫時推擬出來的說法,基本上沒有亂推,如有錯誤請吝指教,謝謝。
  Flash 的部份雖有ニコニコ案一例,但僅為推測!就目前來看 FLV 受感染的可能性大於 swf 感染。
  因為 swf 是播放介面ニコニコ每頁都共用同一個 swf,如果以中標那傷害範圍將近世界末日了 囧
  至於 MP4 透過 Flash 高畫質播放,目前來說應該很安全。因為 MP4 不是 Adobe 發明、產生的特殊格式,沒有漏洞沒機會被竄改。

瀏覽入侵

  • 瀏覽已被感染的網站。
  • 有可能的植入對象類型有(開啟/瀏覽→立即中毒):PDF(內被植入惡意JavaScript)、Flash(*.swf<?>,*.flv)、html 眾網頁(<head>植入看似亂碼的JavaScript)!!


傳染散播

  1. 竄改「網頁檔」:推測,如果電腦已被感染上此病毒,該電腦上所有的「*.htm」、「*.html」甚至「*.php」、「*.asp」
    都有機會被已「本文植入的方式竄改」!
    其竄改內容疑似是 <head> 區域的 JavaScript。
    可用記事本等文件編輯器開啟檢視,如有莫名奇妙之亂碼請刪除亂碼,並避免上傳到您的網站!
  2. 竄改「Adobe」家的檔案
    • 「PDF」:凡遭感染後,電腦內的所有「*.pdf」均有可能被竄改!
      防範措施不外乎,在感染前重新封裝PDF,在封裝時「設定不可修改之選項效果」,並設定PDF文件修改者密碼,或是設定閱覽加密,來防止未來被竄改植入的可能
      如發現檔案大小異常增值,請勿轉發上傳到網路,造成其他人的感染!
    • 「Flash」:凡遭感染後,電腦內所有「*.swf」、「*.flv」均有可能被植入竄改!


  • 電腦感染後,被竄改的文件如再上傳到其他網站,將會繼續造成連環性的感染、入侵,如發現異常狀況請不要上傳這類檔案!
  • 另外,此病毒會竄改網頁,不論是不是你創造的網頁!
    也就是說,如果平常有「儲存網頁」習慣的朋友,電腦被感染後的那些「被你儲存」收藏在電腦的網頁,也都有可能感染!
    如果遇到此情形,請勿使用瀏覽器開啟該網頁!請使用掃毒隔離、或者該脆刪除,務必避免上傳到其他地方
    也可以    用「記事本」軟體來用文件形式開啟,把被植入的亂碼殺掉!再做其他抉擇


その他

目前「PIXIV」以及「BLOG」都沒有受到感染的徵兆,應該能安心使用
各位最近如果有逛過任何名單的同人網站,請立刻掃毒!!
記得按時更新「WINDOWS」和其他軟體更新!


請特別注意!!!

※ 根據 網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新 @ Suoni's Artwork :: 痞客邦 PIXNET :: 提供的情報指出

  GENOウイルスまとめ - よくある質問 的「ググっただけで対策ソフトに怒られた!何これ!」項目,也有提到這項漏洞!


用 Firefox 連上Google搜尋時,會預先幫你讀取搜尋出來的連結內容,因此即使沒點連結也可能中毒。強烈建議關閉此功能!!!


詳細操作

  • 步驟:在Firefox網址列輸入「about:config」,對火狐發誓一定會小心之後
    篩選條件欄輸入「network.prefetch-next」,在篩選出來的那行字上點兩下滑鼠,把值設定成「false」。(如圖示)
關閉 network.prefetch-next 功能












相關報導

日文


英文


リンク

集中處理情報

日方專門 Wiki:

相關章節


情報

最初的 K島 討論串

  • JSRedir-R如何透過網路擴散感染--小心新病毒「JSRedir-R」(GENO/gumblar)
  • 簡單明瞭的自我檢測步驟--看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)


その他(依照私心推薦的參考價值排序)

  1. 看網頁就會中的病毒:JSRedir-R(通稱GENO病毒)5/19再更新 @ Suoni's Artwork :: 痞客邦 PIXNET ::
  2. Purr&Hiss: 注意!! 經由同人網站進行大幅擴散的病毒 - yam天空部落
  3. 近期讓ACG相關系同人或官方網站受害嚴重的GENO VIRUS這裡有介紹如何阻擋大量IP:「如何在COMODO防火牆設置遮蔽IP設定來防制GENO病毒」
  4. 通称「GENO」、新種のPCウイルスが急速に拡大中 | 暇人の午後 IV
  5. 九組情報帖
  6. 星宿喵的萌落格 » 小心新病毒「JSRedir-R」(GENO/gumblar) 


◎ 此章節僅為個人屬性需求(?)特別緊急關注+情報收集彙整

  多數為多方瀏覽爬文、整合或個人實證及衍伸推測,所集成的文字敘述,其結果的正確性無法做出1000%的保證,請自行比較或腦內判斷。

  此章節將會持續追蹤到在事件退燒為止,日後將不定期更新。
「同人病毒!GENOウイルス!」をウィキ内検索
最終更新:2009年12月22日 21:08