[公告] 痞客邦新服務上線 每日星座運勢測算[公告] 痞客邦應用市集全新改版![公告] 痞客邦「應用市集」新 App 上架-iFontCloud Professional[公告] 痞客邦後台發表文章提供插入多張圖片新功能[公告]痞客邦新服務上線 部落客商店聚集就在《痞市集》

這篇沒貼圖,但跟大家平常看圖有關。

JSRedir-R(通稱GENO病毒)是最近在日本同人界網站中迅速擴張的病毒,中毒電腦的一切資料、帳號、密碼均可能外洩,目前最有效的解毒方法為重灌Windows

目前各大防毒軟體廠商似乎尚未做出對應。雖然是從同人創作網站開始傳播的,但其實任何網站都可能被感染,請大家務必小心。現在已經是想上網收個圖都可能中毒的時代了。

(5/18為止,ニコニコ動画、Pixiv以及各家部落格尚無遭受感染的情報。不過其他用來檢索ニコニコ動画的排行網站就有可能被感染,請注意。)

下列網站,可用來檢查想去的網站是否中毒:

GENOウイルスチェッカー

把想檢查的網址貼在最上面的欄位,按下右邊的「チェックする(檢查)」即可。

檢查出來的危險度如為1000%,就代表這個網站已經被感染了。如僅為100%,目前應該還沒有被感染。到05/20 21:53為止,出現1000%以外的數值都還是安全的。

傳播方式:

1.瀏覽被病毒感染的網站,瀏覽者電腦中毒。

2.中毒電腦的帳號密碼外洩。

3.如果中毒者有開設網站,病毒會經由竊取的FTP帳號密碼自動去竄改中毒者的網站內容,因此中毒者不僅電腦中毒,連網站也被病毒感染。

4.別人連上中毒者的網站,跟著中毒。(以下無限循環)

檢查是否中毒的方法:

1.在XP底下按Ctrl+Alt+Del叫出工作管理員,切到「處理程序」,按「影像名稱」來排序。找到SVCHOST.EXE,如果後面的使用者名稱是「SYSTEM」、「NETWORK SERVICE」、「LOCAL SERVICE」的話就是正常的。如果為其他字樣,就有中毒的可能。

SVCHOST  

(正常情況如上圖示)

2.到桌面左下方開始→執行,輸入「cmd.exe」,如果沒有出現一個黑底白字的視窗(電腦老玩家應該都熟悉的DOS畫面),就有中毒的可能。

3.同樣在開始→執行,輸入「regedit.exe」,如果沒有出現「編輯登錄程式」的視窗,就有中毒的可能。

4.顯示隱藏檔,檢查sqlsodbc.chm是否有被修改過。

XP:檢查C:\WINDOWS\system32\sqlsodbc.chm的大小,中文XP下正常的sqlsodbc.chm檔為52,378位元組

VISTA:檢查C:\Windows\Help\mui\sqlsodbc.chm的大小,找不到的話,可能直接用搜尋檔案功能找sqlsodbc.*比較快。同樣應為52,378位元組。

其他細節請參考文末所附的日本wiki。

預防方式:

安裝XP SP3,將瀏覽器、Flash Player、Adobe Reader、防毒軟體更新到最新版。取消Adobe
Reader偏好設定中的JavaScript功能。別點選來路不明的網址。不過即使是知名網站也可能被感染,因此,無論如何都想到處開網站來看的話,日
本網站建議用手機上網。目前還沒有手機被感染的案例。不過……這僅限於日本,台灣這邊流行的是筆電上網,所以還是請多小心吧。

注意:用Firefox連上Google搜尋時,會預先幫你讀取搜尋出來的連結內容,因此即使沒點連結也可能中毒。請關閉此功能。
步驟:在Firefox網址列輸入about:config,對火狐發誓一定會小心之後,在篩選條件欄輸入network.prefetch-next,在篩選出來的那行字上點兩下滑鼠,把值設定成false。(如圖示)

ff

日文wiki網站參考:

通称「GENOウイルス」・同人サイト向け対策まとめ

GENOウィルス・何をすれば良いか分からない人のまとめ

中文Blog相關文章:

Purr&Hiss:注意!!針對同人網站進行擴散的病毒

星宿喵的萌落格:小心新病毒「JSRedir-R」(GENO/gumblar)

(本文歡迎自由引用轉載)

Posted by suoni at 痞客邦 PIXNET 留言(9) 引用(1) 人氣()


open trackbacks list Trackbacks (1)

留言列表 (9)

Post Comment
  • tze
  • 這這這.....(☉_☉)
    還真是要命的消息呀
    如果pixiv出事了..災情應該非常恐怖吧
    要謹慎一點了...( ̄_ ̄)


    先吃個布丁壓壓驚( ̄Q ̄)╯
  • 只要PIXIV官方人員自己別出紕漏就沒事,一般使用者是沒辦法把毒帶到PIXIV去的。

    suoni replied in 2009/05/19 00:54

  • ruby
  • 想請問一下,要是找不到sqlsodbc檔案該怎麼辦?(已經把顯示隱藏檔打勾)
    找了半天都找不到...
  • 如果是用搜尋檔案的方式,要記得把副檔名也顯示出來。

    無論如何都找不到的話……根據下列文章,可直接排除中毒的可能。可以參考看看。
    http://doomsday-specter.blogspot.com/2009_05_21_archive.html

    suoni replied in 2009/05/21 22:05

  • nick9815
  • 為什麼Adobe Reader 要關java script呢?
    最近逛別人的部落格,有些部落格,防毒軟體就會出現警告!(汗)
  • PDF檔是可以加入JavaScript語法的,當然就有可能被用於進行惡意攻擊。
    看普通的文件通常也用不到JavaScript,不如關掉,安全許多。

    suoni replied in 2009/05/24 22:41

  • 鹿人
  • #3相關的提問O_O

    >看普通文件通常也用不到JavaScript
    問一下@@
    這裡說的文件是指「網頁」還是「PDF」或「Flash」?

    不過這起事件很意外呢
    中文相關的資訊網站
    像是重灌狂人等,都沒有注意到呢O_O
    好稀奇(?)因為還沒入侵中文網站的關係嗎?

    -----

    另外補充一下正常的「sqlsodbc.chm」資料 (這裡的取樣是中文XP)

    存在路徑:%WinDir%\system32
    檔案大小:51.1 KB (52,378 位元組)
    MD5:783c214023fa93031dd4ff9ec76bf319
  • 多謝補充!

    >看普通文件通常也用不到JavaScript
    這邊我是指PDF。

    現在很多網站都會用JavaScript功能,要是瀏覽器也關掉,還真會有一些困擾。
    便利跟安全之間總是要做一些取捨啦。

    病毒都是要等大流行才會被人重視的。
    是也不用太緊張,使用電腦上保持良好習慣就是了。

    suoni replied in 2009/05/25 22:12

  • Freedy
  • 請問,若只有「sqlsodbc.chm」檔案大小很奇怪(只有1.29K),其他檢測一切正常,那這樣算有感染嗎?看「sqlsodbc.chm」上次修改日期已經是2004年的事情了@@
  • 這沒人說得準,心有疑慮的話,建議安裝防毒軟體掃個毒。
    因為即使不是中這個病毒,也可能有其他的問題。
    總之,可以參考文末引用的Purr&Hiss那篇文章,看看有沒有類似的電腦徵狀。

    suoni replied in 2009/05/25 23:40

  • MISHA
  • 請索尼大讓我引用這篇文章的部分內容至我的BLOG中 OTL~!
    我會附上詳細來源地址的~A_A!
  • 沒有問題,歡迎轉載。

    suoni replied in 2009/05/30 17:20

  • もうそう無界
  • 結合 Google 工具列 定搜尋按鈕→達成隨手驗毒OˇO///

    這是我突然想到的應用O_O/
    方法分享給有在觀注此防毒事件的大家ˇˇˇ


    原理:
    透過 Google 工具列的新增自訂搜尋按鈕功能
    結合驗毒網站:http://geno.2ch.tc/index.php 的網址組合特性
    達成在瀏覽器使用中,隨時都可以透過 Google 工具列來隨手驗毒~//

    適用對象:已安裝各種瀏覽器版本的 Google 工具列的電腦
    (工具列官方安裝頁面:http://toolbar.google.com


    操作步驟、效果、使用方法(如下)
    → 圖解(看圖說故事?):http://g.imagehost.org/0969/geno_2ch_tc.jpg
    → 私人Wiki(圖+文字簡述):(點擊這則留言的個人網頁,即可參閱OˇO/)
  • 謝謝提供新知!
    希望大家都能平安躲過這波病毒攻擊。

    suoni replied in 2009/06/14 17:04

  • 徵信社
  • 謝謝分享
  • 路人甲
  • 但是我的處理程式裡面 有四分之一都是WinXP-D 正常嗎0.0?

You haven’t logged in yet, please use guest status to leave message. You can also log in with above service account and leave message

other options