GENOウイルス(JSRedir-R、GENO VIRUS)
介紹用影片↑
通称「GENOウイルス」・同人サイト向け対策まとめ
以下一部份是上面網頁翻譯,一部份是根據原文所述的改良方法
原連結中還有已確認受感染的網站
但只列出網站的ジャンル,作用不大
故此沒有翻譯,有需要的可自行前往
現在、新種のコンピュータウイルス「JSRedir-R」(通称GENOウイルス)が
急速に拡大中です。※ソフトによって検出名称は変わります
現在,新品種電腦病毒「JSRedir-R」(通稱GENO病毒)
正在急速擴散中
* このウイルスはサイトを見ただけで感染し、個人情報を抜かれる可能性があります。
* 大手サイトだけでなく、同人サイトの感染や亜種も出て情報が錯綜しています。
* サイト管理人は、別途自サイトの用の対策が必要です。
* 此病毒只瀏覽網站就會感染,有可感會被盜取個人情報
* 同人與大手網站有變種報告,情況變得相當複雜
* 網站管理者,以及個人網站應當作出對策
現状では対策さえちゃんとやっていれば感染を防げます。
必要以上に慌てたり騒いだりせず、どうか落ち着いて行動してください。
只要現在做好對策就能防禦。
無需過份恐慌,只需確實的做好預防工作。
★まず感染してるか確認してください。
(末按:以下過程並非翻譯)
首先請確認是否已受到感染
2K,XP側:
1.開始→執行→cmd
或(win+r→cmd.exe)
2.開始→執行→regedit
或(win+r→regedit.exe)
以上兩者如果開不到就代表很可能中標了
3開始→控制台→資料夾選項→檢視→進階設定→隱藏已知檔案類型的副檔名
無法取消打勾就代表很可能中標了
4,檢測sqlsodbc.chm
(末按:此為末日的改良方法,原方法太笨按下不譯
中英日版的sqlsodbc.chm大小似乎是不同的
以下同時提供中英日版的sqlsodbc.chm大小和MD5)
在我的電腦→地址列輸入%windir%\system32,尋找sqlsodbc.chm
檢查其檔案大小和MD5
(如果沒有sqlsodbc.chm,則可以完全排除在中毒之嫌外)
文中提到的方法為使用ElleFileInfo
ttp://www.vector.co.jp/soft/winnt/util/se297267.html
但末日並不建議使使用,這軟件不但要安裝,而且要拿很多權限
推荐使用virustotal
此站主要是用作讓多個引擎分析檔案
也可看到檔案各類資料(如這次需要的MD5)
最重要是不用安裝
在virustotal上傳檔案
瀏覽,找回剛才提及的sqlsodbc.chm檔
發送檔案
上傳完畢後按顯示最新報告
附加訊息下方找到File size和MD5
根據所使用的文字版本,和下列資料核對
如果不一致就可能是中標了
英文
File size: 46133 bytes
MD5...: 10289f161b74cb252c3b57e4da89eb65
File size: 50727 bytes
MD5...: F639AFDE02547603A3D3930EE4BF8C12
繁體中文
File size: 52378 bytes
MD5...: 783c214023fa93031dd4ff9ec76bf319
簡體中文
File size: 48693 bytes
MD5...: 9160d647cc12000070ebb999e51fdad3
已知以下防毒程式可以測檢出此病毒
・Kaspersky
・avast!
・ウイルスバスタ2009 (即是PC-cillin)
(末按:原文中還有一個網上掃毒的網址,但中文系統似乎用不到)
※因為使用的防毒程式不同,檢測出來的病毒名會差異。
例如:avast!檢測出來的病毒名稱為JS:Redirector-H* (*為數字)
有關網頁管理者
サイト管理人は
1. 感染の有無を確認→とりあえず感染してるか確認する手順(2000,XP)
→とりあえず感染してるか確認する手順(Vista)
2. ウェブにアップした自サイトのソースにおかしな記述がないか確認する
★全てのページをチェックする必要があります
index以外全て改ざんされていた、全体の約7~8%くらいしかされていなかったなど、
人によって状況は違うので全てチェックしてください
※感染している場合の症状
* .htmlファイルのbodyタグ直前、.phpファイルの先頭、.jsファイルの末尾に覚えのない難読化されたjavascript(unescape、eval、replaceが入っていたら黒)が埋め込まれる
* 「images」ディレクトリ内に「images.php」というファイルが生成される
感染サイトのソースコード例(画像)
網頁管理者請確認
1.自身有否中毒(參考前述方法)
2.檢查已上載網頁
有必要全部頁面檢查
被病毒改變的頁面量因人而異
網站受感染的症狀
.html的body前;或.php的最前;或.js的最後
被嵌入一堆難明的javascript
images目錄內生成了images.php
受感染網站一例
(影片中1:56亦有例子)
網站確認時注意
空間插入的廣告比較簡單並不會這麼複雜難明
有網站報告,即使伺服器機個初始化(recovery、clean install、還原出廠設定)後仍會再次被感染
因此有需要連ftp的密碼也更改
1.サイトの消去・あるいはバーチャルホストの停止
2.感染していないことが確認出来るPCを探す
3.感染していないPCでのFTP等のパスワードの変更
4.感染していないPCでサイトへの告知(拡散防止のため)
5.感染PCのバックアップ
6.感染したPCの初期化(リカバリ、クリーンインストール、工場出荷状態に戻す)
を実行
7.PCが完全にクリーニングされていることの確認
8.サイト再開への準備
という流れを頭に入れておきましょう。
感染していないことが確認できるPCがない場合は、7.まではFTP等にも触れず、サイト上で事情報告をすることも避けておきましょう。
※1 必要なファイルやID/パスワードは、再インストールの前にバックアップを取っておく
※2 再インストール後もマルウェアの影響が残る可能性があるので、HTMLファイルのバックアップには要注意
※3 一般的なマルウェア、スパイウェアへの感染に対処する場合は、spybotやAdAwareといったアンチスパイウェアソフトを導入することを推奨
已受感染的處理辦法
1.將網站刪除,或者停止Virtual Host
2.尋找未受感染的電腦
3.在未受感染的電腦更改ftp等的密碼
4.在未受感染的電腦上傳網站通知(防止擴散)
5.為受感染的電腦備份
6.為受感染的電腦初始化(recovery、clean install、還原出廠設定)
7.確認電腦完全清除
8.準備再開網站
直到7次前,都不要讓受感染的電腦再次接觸ftp(網站空間)
如果沒有能確定未受感染的電腦,就請在7之後再執行3,4
※1 必需的檔案和密碼,請在重安裝之前備份
※2 重安裝後仍然有被惡意程式影響的可能,要注意html檔的備份
※3 一般的惡意程式和後門程式推荐使用spybot和AdAware之類的軟件預防
留言
會註明來源~~謝謝ˊUˋ!
可以的話最好請順便告知會轉到哪裡吧