這篇沒貼圖,但跟大家平常看圖有關。
JSRedir-R(通稱GENO病毒)是最近在日本同人界網站中迅速擴張的病毒,中毒電腦的一切資料、帳號、密碼均可能外洩,目前最有效的解毒方法為重灌Windows。
目前各大防毒軟體廠商似乎尚未做出對應。雖然是從同人創作網站開始傳播的,但其實任何網站都可能被感染,請大家務必小心。現在已經是想上網收個圖都可能中毒的時代了。
(5/18為止,ニコニコ動画、Pixiv以及各家部落格尚無遭受感染的情報。不過其他用來檢索ニコニコ動画的排行網站就有可能被感染,請注意。)
下列網站,可用來檢查想去的網站是否中毒:
把想檢查的網址貼在最上面的欄位,按下右邊的「チェックする(檢查)」即可。
檢查出來的危險度如為1000%,就代表這個網站已經被感染了。如僅為100%,目前應該還沒有被感染。到05/20 21:53為止,出現1000%以外的數值都還是安全的。
傳播方式:
1.瀏覽被病毒感染的網站,瀏覽者電腦中毒。
2.中毒電腦的帳號密碼外洩。
3.如果中毒者有開設網站,病毒會經由竊取的FTP帳號密碼自動去竄改中毒者的網站內容,因此中毒者不僅電腦中毒,連網站也被病毒感染。
4.別人連上中毒者的網站,跟著中毒。(以下無限循環)
檢查是否中毒的方法:
1.在XP底下按Ctrl+Alt+Del叫出工作管理員,切到「處理程序」,按「影像名稱」來排序。找到SVCHOST.EXE,如果後面的使用者名稱是「SYSTEM」、「NETWORK SERVICE」、「LOCAL SERVICE」的話就是正常的。如果為其他字樣,就有中毒的可能。
(正常情況如上圖示)
2.到桌面左下方開始→執行,輸入「cmd.exe」,如果沒有出現一個黑底白字的視窗(電腦老玩家應該都熟悉的DOS畫面),就有中毒的可能。
3.同樣在開始→執行,輸入「regedit.exe」,如果沒有出現「編輯登錄程式」的視窗,就有中毒的可能。
4.顯示隱藏檔,檢查sqlsodbc.chm是否有被修改過。
XP:檢查C:\WINDOWS\system32\sqlsodbc.chm的大小,中文XP下正常的sqlsodbc.chm檔為52,378位元組。
VISTA:檢查C:\Windows\Help\mui\sqlsodbc.chm的大小,找不到的話,可能直接用搜尋檔案功能找sqlsodbc.*比較快。同樣應為52,378位元組。
其他細節請參考文末所附的日本wiki。
預防方式:
安裝XP SP3,將瀏覽器、Flash Player、Adobe Reader、防毒軟體更新到最新版。取消Adobe
Reader偏好設定中的JavaScript功能。別點選來路不明的網址。不過即使是知名網站也可能被感染,因此,無論如何都想到處開網站來看的話,日
本網站建議用手機上網。目前還沒有手機被感染的案例。不過……這僅限於日本,台灣這邊流行的是筆電上網,所以還是請多小心吧。
注意:用Firefox連上Google搜尋時,會預先幫你讀取搜尋出來的連結內容,因此即使沒點連結也可能中毒。請關閉此功能。
步驟:在Firefox網址列輸入about:config,對火狐發誓一定會小心之後,在篩選條件欄輸入network.prefetch-next,在篩選出來的那行字上點兩下滑鼠,把值設定成false。(如圖示)
日文wiki網站參考:
中文Blog相關文章:
Purr&Hiss:注意!!針對同人網站進行擴散的病毒
星宿喵的萌落格:小心新病毒「JSRedir-R」(GENO/gumblar)
(本文歡迎自由引用轉載)
這這這.....(☉_☉) 還真是要命的消息呀 如果pixiv出事了..災情應該非常恐怖吧 要謹慎一點了...( ̄_ ̄) 先吃個布丁壓壓驚( ̄Q ̄)╯
只要PIXIV官方人員自己別出紕漏就沒事,一般使用者是沒辦法把毒帶到PIXIV去的。
想請問一下,要是找不到sqlsodbc檔案該怎麼辦?(已經把顯示隱藏檔打勾) 找了半天都找不到...
如果是用搜尋檔案的方式,要記得把副檔名也顯示出來。 無論如何都找不到的話……根據下列文章,可直接排除中毒的可能。可以參考看看。 http://doomsday-specter.blogspot.com/2009_05_21_archive.html
為什麼Adobe Reader 要關java script呢? 最近逛別人的部落格,有些部落格,防毒軟體就會出現警告!(汗)
PDF檔是可以加入JavaScript語法的,當然就有可能被用於進行惡意攻擊。 看普通的文件通常也用不到JavaScript,不如關掉,安全許多。
>看普通文件通常也用不到JavaScript 問一下@@ 這裡說的文件是指「網頁」還是「PDF」或「Flash」? 不過這起事件很意外呢 中文相關的資訊網站 像是重灌狂人等,都沒有注意到呢O_O 好稀奇(?)因為還沒入侵中文網站的關係嗎? ----- 另外補充一下正常的「sqlsodbc.chm」資料 (這裡的取樣是中文XP) 存在路徑:%WinDir%\system32 檔案大小:51.1 KB (52,378 位元組) MD5:783c214023fa93031dd4ff9ec76bf319
多謝補充! >看普通文件通常也用不到JavaScript 這邊我是指PDF。 現在很多網站都會用JavaScript功能,要是瀏覽器也關掉,還真會有一些困擾。 便利跟安全之間總是要做一些取捨啦。 病毒都是要等大流行才會被人重視的。 是也不用太緊張,使用電腦上保持良好習慣就是了。
請問,若只有「sqlsodbc.chm」檔案大小很奇怪(只有1.29K),其他檢測一切正常,那這樣算有感染嗎?看「sqlsodbc.chm」上次修改日期已經是2004年的事情了@@
這沒人說得準,心有疑慮的話,建議安裝防毒軟體掃個毒。 因為即使不是中這個病毒,也可能有其他的問題。 總之,可以參考文末引用的Purr&Hiss那篇文章,看看有沒有類似的電腦徵狀。
請索尼大讓我引用這篇文章的部分內容至我的BLOG中 OTL~! 我會附上詳細來源地址的~A_A!
沒有問題,歡迎轉載。
這是我突然想到的應用O_O/ 方法分享給有在觀注此防毒事件的大家ˇˇˇ 原理: 透過 Google 工具列的新增自訂搜尋按鈕功能 結合驗毒網站:http://geno.2ch.tc/index.php 的網址組合特性 達成在瀏覽器使用中,隨時都可以透過 Google 工具列來隨手驗毒~// 適用對象:已安裝各種瀏覽器版本的 Google 工具列的電腦 (工具列官方安裝頁面:http://toolbar.google.com ) 操作步驟、效果、使用方法(如下) → 圖解(看圖說故事?):http://g.imagehost.org/0969/geno_2ch_tc.jpg → 私人Wiki(圖+文字簡述):(點擊這則留言的個人網頁,即可參閱OˇO/)
謝謝提供新知! 希望大家都能平安躲過這波病毒攻擊。
謝謝分享
但是我的處理程式裡面 有四分之一都是WinXP-D 正常嗎0.0?