2009/05/21

GENOウイルス(JSRedir-R、GENO VIRUS)


介紹用影片↑

通称「GENOウイルス」・同人サイト向け対策まとめ
以下一部份是上面網頁翻譯,一部份是根據原文所述的改良方法
原連結中還有已確認受感染的網站
但只列出網站的ジャンル,作用不大
故此沒有翻譯,有需要的可自行前往



現在、新種のコンピュータウイルス「JSRedir-R」(通称GENOウイルス)が
急速に拡大中です。※ソフトによって検出名称は変わります

現在,新品種電腦病毒「JSRedir-R」(通稱GENO病毒)
正在急速擴散中

* このウイルスはサイトを見ただけで感染し、個人情報を抜かれる可能性があります。
* 大手サイトだけでなく、同人サイトの感染や亜種も出て情報が錯綜しています。
* サイト管理人は、別途自サイトの用の対策が必要です。

* 此病毒只瀏覽網站就會感染,有可感會被盜取個人情報
* 同人與大手網站有變種報告,情況變得相當複雜
* 網站管理者,以及個人網站應當作出對策

現状では対策さえちゃんとやっていれば感染を防げます。
必要以上に慌てたり騒いだりせず、どうか落ち着いて行動してください。

只要現在做好對策就能防禦。
無需過份恐慌,只需確實的做好預防工作。

★まず感染してるか確認してください。
(末按:以下過程並非翻譯)
首先請確認是否已受到感染
2K,XP側:
1.開始→執行→cmd
或(win+r→cmd.exe)
2.開始→執行→regedit
或(win+r→regedit.exe)
以上兩者如果開不到就代表很可能中標了
3開始→控制台→資料夾選項→檢視→進階設定→隱藏已知檔案類型的副檔名
無法取消打勾就代表很可能中標了

4,檢測sqlsodbc.chm
(末按:此為末日的改良方法,原方法太笨按下不譯
中英日版的sqlsodbc.chm大小似乎是不同的
以下同時提供中英日版的sqlsodbc.chm大小和MD5)
在我的電腦→地址列輸入%windir%\system32,尋找sqlsodbc.chm
檢查其檔案大小和MD5
(如果沒有sqlsodbc.chm,則可以完全排除在中毒之嫌外)
文中提到的方法為使用ElleFileInfo
 ttp://www.vector.co.jp/soft/winnt/util/se297267.html
但末日並不建議使使用,這軟件不但要安裝,而且要拿很多權限
推荐使用virustotal
此站主要是用作讓多個引擎分析檔案
也可看到檔案各類資料(如這次需要的MD5)
最重要是不用安裝

在virustotal上傳檔案
瀏覽,找回剛才提及的sqlsodbc.chm檔
發送檔案
上傳完畢後按顯示最新報告
附加訊息下方找到File size和MD5
根據所使用的文字版本,和下列資料核對
如果不一致就可能是中標了

英文
File size: 46133 bytes
MD5...: 10289f161b74cb252c3b57e4da89eb65

File size: 50727 bytes
MD5...: F639AFDE02547603A3D3930EE4BF8C12

繁體中文
File size: 52378 bytes
MD5...: 783c214023fa93031dd4ff9ec76bf319

簡體中文
File size: 48693 bytes
MD5...: 9160d647cc12000070ebb999e51fdad3



已知以下防毒程式可以測檢出此病毒
 ・Kaspersky
 ・avast!
 ・ウイルスバスタ2009 (即是PC-cillin)
(末按:原文中還有一個網上掃毒的網址,但中文系統似乎用不到)
※因為使用的防毒程式不同,檢測出來的病毒名會差異。
例如:avast!檢測出來的病毒名稱為JS:Redirector-H* (*為數字)



有關網頁管理者

サイト管理人は

1. 感染の有無を確認→とりあえず感染してるか確認する手順(2000,XP)
          →とりあえず感染してるか確認する手順(Vista)

2. ウェブにアップした自サイトのソースにおかしな記述がないか確認する
  ★全てのページをチェックする必要があります
  index以外全て改ざんされていた、全体の約7~8%くらいしかされていなかったなど、
  人によって状況は違うので全てチェックしてください

※感染している場合の症状

* .htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる
* 「images」ディレクトリ内に「images.php」というファイルが生成される

感染サイトのソースコード例(画像)

網頁管理者請確認
1.自身有否中毒(參考前述方法)
2.檢查已上載網頁
有必要全部頁面檢查
被病毒改變的頁面量因人而異

網站受感染的症狀
.html的body前;或.php的最前;或.js的最後
被嵌入一堆難明的javascript
images目錄內生成了images.php
受感染網站一例
(影片中1:56亦有例子)

網站確認時注意
空間插入的廣告比較簡單並不會這麼複雜難明
有網站報告,即使伺服器機個初始化(recovery、clean install、還原出廠設定)後仍會再次被感染
因此有需要連ftp的密碼也更改






1.サイトの消去・あるいはバーチャルホストの停止
2.感染していないことが確認出来るPCを探す
3.感染していないPCでのFTP等のパスワードの変更
4.感染していないPCでサイトへの告知(拡散防止のため)
5.感染PCのバックアップ
6.感染したPCの初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)
  を実行
7.PCが完全にクリーニングされていることの確認
8.サイト再開への準備
という流れを頭に入れておきましょう。
感染していないことが確認できるPCがない場合は、7.まではFTP等にも触れず、サイト上で事情報告をすることも避けておきましょう。

※1 必要なファイルやID/パスワードは、再インストールの前にバックアップを取っておく
※2 再インストール後もマルウェアの影響が残る可能性があるので、HTMLファイルのバックアップには要注意
※3 一般的なマルウェア、スパイウェアへの感染に対処する場合は、spybotやAdAwareといったアンチスパイウェアソフトを導入することを推奨


已受感染的處理辦法
1.將網站刪除,或者停止Virtual Host
2.尋找未受感染的電腦
3.在未受感染的電腦更改ftp等的密碼
4.在未受感染的電腦上傳網站通知(防止擴散)
5.為受感染的電腦備份
6.為受感染的電腦初始化(recovery、clean install、還原出廠設定)
7.確認電腦完全清除
8.準備再開網站
直到7次前,都不要讓受感染的電腦再次接觸ftp(網站空間)
如果沒有能確定未受感染的電腦,就請在7之後再執行3,4

※1 必需的檔案和密碼,請在重安裝之前備份
※2 重安裝後仍然有被惡意程式影響的可能,要注意html檔的備份
※3 一般的惡意程式和後門程式推荐使用spybot和AdAware之類的軟件預防

2 則留言:

MISHA 說...

您好~想引用這篇文章的部分內容至我的BLOG
會註明來源~~謝謝ˊUˋ!

末日幽靈 說...

沒問題
可以的話最好請順便告知會轉到哪裡吧