http://w.atwiki.jp/doujin_vinfo/ 通称「GENOウイルス」・同人サイト向け対策まとめ ja 2010-01-08T16:57:19+09:00 1262937439 https://w.atwiki.jp/doujin_vinfo/pages/1.html 　　　　　　　　&color(green){ミラーサイト→}[[通称「GENOウイルス」・同人向け対策まとめ＠ミラー>http://wiki.livedoor.jp/doujin_vinfo/]] &color(blue){2009年11月以降、このウイルスと似たウイルスによってWebサイトが改竄される状況が再発しています。} &color(blue){また2010年1月現在、再びGENOウイルスが猛威を振るっているようです。} &color(blue){このまとめサイトは2009年5月に作られたもので、基本は押さえてありますが、情報が古くなっています。各自で情報収集やアップデート、ウィルスチェックを行ってください。} &color(blue){サイトの管理人さんは、自分のサイトが改竄されていないか再度確認してください。 } 　&color(blue){参考：[[So-netセキュリティ通信>http://www.so-net.ne.jp/security/]]} 　　　　　&color(blue){[[新手の正規サイト改ざん(2)：一般ユーザーの方、サイト管理者の方へ>http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2108]]} 現在、新種のコンピュータウイルス「JSRedir-R」(通称GENOウイルス)が急速に拡大中です。&bold(){※ソフトによって検出名称は変わります} ・このウイルスはサイトを見ただけで感染し、個人情報を抜かれる可能性があります。 ・企業サイトだけでなく、同人サイトの感染や亜種も出て情報が錯綜しています。 ・サイト管理人は、別途自サイトの用の対策が必要です。 現状では対策さえちゃんとやっていれば感染を防げます。 必要以上に慌てたり騒いだりせず、どうか落ち着いて行動してください。 &color(red){★まず感染してるか確認してください。} 　【[[とりあえず感染してるか確認する手順(2000,XP) ]]】 　【[[とりあえず感染してるか確認する手順（Vista）]]】 &color(red){★サイトを持っている人はここも確認してください。} 　【[[サイト管理人向け]]】 &color(red){★もっとわかりやすく教えてほしい人はこちらへ↓} （管理者別人です） 　&sizex(5){&color(red){【 [[何をすれば良いか良く分からない人用のまとめ>http://www40.atwiki.jp/gegegeno/]] 】}} ★2010/1/8現在も、これらのウイルスの最新のものに対するセキュリティソフトでの完全な保護は確立されていないようです。 　感染した場合は【[[感染してしまった時の対処方法]]】へ ★[[感染が判明したジャンル/サイト傾向]]（2009年5月30日17:10時点） &color(red){※※※}[[【注意】2009/5/16 9:00～9:30の間に当サイトを利用した方へ]]&color(red){※※※} . 2010-01-08T16:57:19+09:00 1262937439 https://w.atwiki.jp/doujin_vinfo/pages/30.html 【2009年5月30日17:10時点】 ※感染報告が1件以上あったジャンルです。（2ケタ以上の感染・感染疑いを含む） ※適切な対策を済ませているサイトも、すでに二次感染を招いている恐れがあるため 　注意喚起の意味を込めて掲載しています。 ※ここに挙がっていないジャンルも感染が広がっている恐れがあります 動画系 01.ニコニコのぞき見検索&SayMove! 02.ボーカロイド（同人サイト・サーチ） 03.歌ってみた系ランキングサーチ アニメ系 01.エヴァ（小説サーチ） 02.忍たま乱太郎（同人サイト） 03.ガンダム系：00、SEED、初代（同人サイト） 04.コードギアス（同人サイト） 05.プリキュア（同人サイト） 06.グレンラガン（同人サイト・半公式） 少年漫画（ジャンプ系） 01.リボーン（オンリー・プチオンリー・同人・ファンサイト） 02.テニスの王子様（ミュ・同人・ファンサイト） 03.ジョジョ、スティール・ボール・ラン含む（同人サイト・大手ファンサイト） 04.D.Gray-man（同人サイト） 05.ワンピース（同人サイト） 06.デスノート（同人サイト） 07.遊戯王系列：無印・ＧＸ・５Ｄ’ｓ（同人サイト） 08.銀魂（同人サイト） 09.ブリーチ（同人サイト） 10.キャプテン翼（同人サイト） 11.魔人探偵脳噛ネウロ（同人サイト） 12.ヒカルの碁（同人サイト） 13.SKET DANCE（同人サイト） 14.ホイッスル！（同人サイト） 15.NARUTO（同人サイト） 16.聖闘士星矢（同人サイト） 17.トリコ(同人サイト) 18.バクマン。(同人サイト) 少年漫画（その他） 01.鋼の錬金術師（オンリーイベントサイトおよび同人サイト） 02.レッツ＆ゴー（同人サイト） 03.コナン（同人サイト） 04.隠の王（同人サイト） 05.黒執事（同人サイト） 06.パンドラハーツ（同人サイト） 07.コロコロ系よろず（同人サイト） 08.ケロロ軍曹（同人サイト） 09.あひるの空（同人サイト） 10.絶対可憐チルドレン（同人サイト） 11.手塚治虫（同人サイト） 12.トッキュー！！（同人サイト） 少女漫画 01.夏目友人帳 青年漫画 01.ヘタリア（サーチ・同人サイト・携帯向け同盟サイト） 02.おお振り（アンソロサイト及び同人サイト） 　※オンリーイベント・サーチの感染は誤情報でした。失礼しました。 03.天体戦士サンレッド（同人サイト） 04.福本系：越境、銀と金（同人サイト） 小説 01.小野不由美（サーチ） 02.涼宮ハルヒの憂鬱（女性向け同人サイト） 03.十二国記（同人サイト） 04.今日からマのつく自由業！（同人サイト） 05.指輪物語（同人サイト） 06.京極夏彦（同人サイト） 07.海堂尊・愚痴外来シリーズ（同人サイト） ゲーム（ＲＰＧ・ＡＣＴ） 01.幻想水滸伝（同人サイト） 02.戦国BASARA（アンソロ・同人サイト・サーチ？） 03.戦国無双（同人サイト） 04.バイオハザード（同人サイト） 05.メガテン系：真・女神転生、デビルサマナー、ペルソナ４、ライドウ（同人サイト） 06.テイルズ系：アビス、ヴェスペリア、シンフォニア、デスティニー、２、イノセンス（同人サイト、同盟） 07.ポケモン（同人サイト） 08.スターオーシャンシリーズ（同人サイト） 09.インフィニットアンディスカバリー（同人サイト） 10.ゼルダの伝説（同人サイト） 11.三國無双（同人サイト） 12.ファイアーエムブレム（同人サイト） 13.ファイナルファンタジー系：総合、6、7、8、10、12、ディシディア（同人サイト） 14.サガフロンティア（同人サイト） 15.ドラゴンクエスト（同人サイト） ゲーム（恋愛） 01.Vitaminシリーズ（サーチ・同人サイト） 02.コーエー系：遙かなる時空の中で、金色のコルダ、アンジェリーク、ネオアンジェリーク（同人サイト） 03.Fate（同人サイト） 04.ニトロプラスキラル系：咎狗の血、sweet pool（同人サイト･アンソロサイト） 05.Starry☆Sky(同人サイト） 06.クインロゼ（同人サイト） 07.薄桜鬼（同人サイト） 08.鬼畜眼鏡（同人サイト） 09.&color(red){イーアンツ系：リボンマジック・ティアラモード・サンダルダッシュ（公式サイト）} 　※再公開後も感染ファイルが公開されていた模様 10.&color(red){株式会社まどか（公式サイト）} 11.コナミ系：ときめきメモリアルGS１、２、テニプリ（同人サイト） 12.幕末恋華 13.フルハウスキス 14.シュガービーンズ ゲーム（他） 01.ブレイブルー（サーチ・同人サイト） 02.東方（同人サイト・超大手の模様） 03.コナミ音系：ポップン、ビートマニアⅡDX、ゼクトバッハ叙事詩（同人サイト） 04.セブンスドラゴン（同人サイト） 05.イナズマイレブン（同人サイト） 06.ひぐらし、うみねこ（同人サイト） 07.逆転裁判（同人サイト） 08.TalesWeaver（同人サイト） 09.牧場物語（同人サイト） 10.大乱闘スマッシュブラザーズ（同人サイト？） 11.任天堂系よろずサイト 12.テーブルトークRPG（プレイ用サイト） 13.Elona（ファンサイト） 14.星のカービィ（同人サイト） オリジナル 01.創作小説サイト 02.創作同人ゲームサイト（男・女） 03.創作イラストサイト 04.歴史創作サイト？ 05.少女系創作サイト 06.創作系ボイスドラマ企画サイト 特撮・芸能 01.平成仮面ライダー系：電王、剣（同人サイト） 02.KAT-TUN、NEWS（同人サイト） 03.Sound Horizon（同人サイト） 他・分類不明 01.ドリーム小説(夢絵)マナーサイト 02.なりきりチャット系：版権よろず、ファンタジー 03.創作・イラスト＆伺かサイト 04.お題配布サイト . 2010-01-08T12:48:55+09:00 1262922535 https://w.atwiki.jp/doujin_vinfo/pages/28.html &color(red){2009/5/16 9時～9時半の間}、自由編集モード中に、愉快犯とみられるユーザーによってリンクの「GENOウイルスまとめサイト」へのURLが&color(red){【ウイルス感染した別のサイトのもの】}に書き換えられていました。 該当時間に別サイトを閲覧した可能性のある方は再度チェックをお願いします。 &color(red){現在は全ページの編集を管理者に限定しており、@Wikiの感染報告もありません。} 2010-01-08T12:36:51+09:00 1262921811 https://w.atwiki.jp/doujin_vinfo/pages/2.html **メニュー -[[トップページ]] -[[とりあえず感染してるか確認する手順(2000,XP)]] -[[とりあえず感染してるか確認する手順（Vista）]] -[[よくある質問]] -[[感染した場合の主な症状]] -[[感染してしまった時の対処方法]] -[[感染前の対策]] -[[サイト管理人向け]] -[[Macユーザー向け]] -[[感染・改ざんの流れ]] -[[まとめを見ても分からない場合]] -[[【注意】2009/5/16 9:00～9:30の間に当サイトを利用した方へ]] -[[編集履歴]] ---- **リンク 当サイトへのリンクはご自由に -[[GENOウイルスまとめサイト>>http://www29.atwiki.jp/geno/]] -[[@wiki>>http://atwiki.jp]] -[[@wikiご利用ガイド>>http://atwiki.jp/guide/]] // リンクを張るには "[" 2つで文字列を括ります。 // ">" の左側に文字、右側にURLを記述するとリンクになります ---- ★ご質問は[[GENOウィルス・質問用掲示板>http://www1.atchs.jp/gegegeno/]]をご利用ください。管理人に問い合わせ頂いても お答えできません。 //**更新履歴 //#recent(20) &link_editmenu(text=ここを編集) 2010-01-08T12:36:35+09:00 1262921795 https://w.atwiki.jp/doujin_vinfo/pages/25.html *Macユーザー向け情報 今現在のウイルスの構造ではMacに感染しないと言われています。 ただし変異してウィルスの対象になるかもしれない可能性がわずかながらあるので、下記の対策を予防としてやっておきましょう。【2009/5/17 10:00時点の情報です】 ○10.3までのOSユーザー Flash Playerを外す Acrobat ReaderおよびPDFの拡張子割り当て機能を外す ○TigerとLeopard Acrobatは9.1、Flash Playerは10.0.22.87以上に更新する Acrobat Readerの初期設定からAcrobat JavaScriptをオフにする（AcrobatReaderは「プレビュー.app」で代用可能なので始めから入れない手もある） 10.5.7のアップデートは ATIグラフィックスカード搭載MacでVMware Fusionの3Dアクセラレーション機能使ってると不具合ありなので該当者は注意。 ttp://journal.mycom.co.jp/news/2009/05/15/006/index.html ○Webブラウザ内閲覧機能を切るかJavaScriptオフにする ○Firefoxの場合 3.0.10に更新してNoScript入れること（ツール→アドオン→アドオンを追加→「NoScript」を入れる） 非表示状態になったFlashコンテンツをどうしても見たいときはマウスポインタを置き、リンク先が不正URLでないか確認した上で「一時的に許可」 ○Safari・OmniWebなどWebKitベースブラウザの場合 「ダウンロードしたファイルを開く」をオフにする（Safariの「一般」で設定できるが見落とされてしまうことが多い） Safariの開発メニューを表示させる方法：環境設定→詳細→メニューバーに"開発"メニューを表示　にチェックを入れる Safariの「開発」でJavaScriptをオフにした場合でも、設定→セキュリティ→「JavaScriptを有効にする」および「プラグインを有効にする」も切っておく。 OmniWebなら初期設定→プラグインでFlashプラグインの活動を停止できる（OmniWebだけのシャットダウン、Safariには影響しません） ○自分のサイトが汚染されていないかソースを見て確認すること、FTPパスを変更すること ○動画はようつべならMacTubes、ニコならMacNicoTunesで見る。 ○BootCampでXPを入れている人 C:¥WINDOWS¥system32¥sqlsodbc.chm　このサイズ表示（ディスク上のサイズではない） 50,727 bytes以外の数値に改ざんされていないかチェックすること。 sqlsodbc.chmが表示されない／まとめWikiに新しく上がった要チェックファイルが見つからない場合 ・不可視属性ファイルを可視化する→ターミナル起動 不可視含め全ファイル表示：defaults write com.apple.finder AppleShowAllFiles true リターンしてFinder再起動：killall Finder 全部のFinderが消えて再起動し、不可視ファイルが表示された状態になる。 ※戻すとき：defaults write com.apple.finder AppleShowAllFiles false 不可視→可視はTinkerTool、Onyxなどを使うのもおk TinkerTool：http://www.bresink.de/osx/0TinkerTool/download.html Onyx：http://www.titanium.free.fr/pgs2/english/download.html ★マカー用ウイルススキャンソフト（フリー） ClamXav：http://www.clamxav.com/ 左のページナビのDLをクリックすればOSのバージョンごとに案内が出る。 ダウンロードしたらまず「ウイルス定義を更新」をクリックして最新の定義をいれること。 環境設定のスケジュールで定期スキャンが設定できるが、ウイルス定義の更新は自動では されないので、なるべく使用せず手動スキャン推奨。 フォルダ監視ができるのでサイトのローカル保存フォルダを指定するのは大丈夫。 ※Mac対応した亜種が発生して感染しても定義を更新するまで引っかからない可能性がある ※過信しないことが最大のセキュリティ 2010-01-08T12:35:13+09:00 1262921713 https://w.atwiki.jp/doujin_vinfo/pages/19.html ★Avast!、カスペルスキー、ウィルスバスター2009、ニフティオンラインスキャンでも感知できず改ざんがあったようです。 現状できることは以下のとおり【2009/5/18 23:00時点の情報です】 **WindowsUpdateを最新にする 　やり方→[[WindowsUpdateのやり方]] 　SP（サービスパック）は最新のものをあてること 　パッチは5月の最新のものが配布中 　&bold(){★ウイルスバスターのInternet Explorer 8.0(以下IE8)対応について} 　　手動(下に黄色のシールドからの更新しない場合)でのWindowsUpdateには 　　IE8が含まれます。 【トレンドマイクロ製品における Microsoft Internet Explorer 8 の対応について】 http://esupport.trendmicro.co.jp/Pages/JP-2064814.aspx 個人向けのウイルスバスターの2008、2009、14、16が対応済みです。 ウイルスバスター月額版・90日版も対応済みです。 (2009年5月22日時点/記事は2009年5月22日更新) 【ウイルスバスター製品のサポート期間について】 http://www.trendmicro.co.jp/support/news.asp?id=1143 ウイルスバスター2007以前をご使用の方は、2008もしくは2009へのアップグレードをしてください。 ウイルスバスター2007は、2008年12月31日にてサポートが終了しています。 ※Windows2000をご使用の方は、ウイルスバスター2007を使用してください。 　ウイルスバスター2008以降ではWindows 2000をサポートしておりません。 (2009年5月22日時点/記事は2008年9月19日更新) 　　　※ウイルスバスター2009のバージョン確認方法　→[[画像で説明>http://www31.atwiki.jp/doujin_vinfo?cmd=upload&act=open&pageid=19&file=2009.jpg]] 　　　　①以下の順にバージョン情報まで行く。 　　　　　[メイン画面を起動]→[ヘルプとサポート]→[バージョン情報] 　　　　②バージョン情報の「プログラムバージョン」の部分を確認。 　&bold(){★Windows Xp SP3インストール時に発生する無限ループ} 　　http://cgi.sainet.or.jp/~kouji/ugoke3/pcsub50.htm 　　AMD使用でSP3にするとメーカーがHP以外でも故障する恐れがあるので 　　必ずパッチを当ててからにするように(リブート繰り返します) **ファイアウォールを有効にし、以下のIPを遮断する 　gumbler.cn 　　94.229.65.160/27（94.229.65.160 - 94.229.65.191） 　zlkon.lv: 　　94.247.2.0/23 (94.247.2.0 - 94.247.3.255) 　martuz.cn 　　95.129.145.58 　　95.129.144.0/23 (95.129.144.0-95.129.145.255) 　Botnet C&C BackDoor Connection 　　78.109.29.112 　★[[ソフト別設定方法]] 　※ avast!にはファイアウォール機能が備わっていないため、 　　IP遮断には別途ファイアウォールを導入する必要があります。 　　またファイアウォールによってはIP遮断ができないものもあるので、 　　その場合にもIP遮断のできるファイアウォールの導入をおすすめします。 　　→ フリーのファイアウォール 　　　　●ZoneAlarm 　　　　　　http://download.zonealarm.com/bin/free/jp/download/znalm.html 　　　　●PC Tools Firewall Plus 　　　　　　http://www.pctools.com/jp/firewall/ 　　　　●Comodo Firewall Pro 　　　　　　http://www.personalfirewall.comodo.com/download_firewall.html 　　　　　　参考：Comodo Firewall Pro @ まとめWiki 　　　　　　http://www4.atwiki.jp/comodopf/ **adobe製品（AcrobatReader,FlashPlayer等）を最新のバージョンに更新する 　自PCからAdobeReader等を起動することで、最新バージョンのアップデートが可能 　2009/6/10現在のAdobe Acrobat Reader最新バージョンは9.1.2 　　※Adobeからのダウンロードだけでは9.1.2にならないことがあります 　　　[[画像によるアップデートの説明>http://www31.atwiki.jp/doujin_vinfo/?cmd=upload&act=open&page=%E6%84%9F%E6%9F%93%E5%89%8D%E3%81%AE%E5%AF%BE%E7%AD%96&file=9.1.1.jpg]] 　※1　最新バージョンにしてもできるだけ使用しない、やむを得ず使用する場合は 　　　「編集」→「環境設定」でAcrobatJavaScriptを無効にする 　※2　FlashPlayerは各ブラウザごとにアップデートが必要なので注意 ★本物そっくりの「Flash Player 10」偽サイト出現、目的はウイルス配布 　http://itpro.nikkeibp.co.jp/article/NEWS/20090514/330029/?ST=securityhole ↑便乗悪質偽装トロイの木馬散布サイトが出てきているので注意。 　Adobe公式サイト→ダウンロード→FlashPlayer、必ずURLを確認すること **Adobe Acrobat Readerの JavaScript 機能OFF 　諸事情でAdobe Reader 最新版を使わざるを得ない場合 　2009年6月10日現在の最新版バージョン9.1.2設定例 　１．Adobe Readerを起動し「編集」メニューの「環境設定」 　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す） 　　OKを押して設定確定後、Adobe Readerを終了。 　２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理 　　設定は SpeedUp - Fast がおすすめ。 　　　注意すべきは 　　　Acroform（拡張子なし） 　　　Annotations（拡張子なし） 　　　これら2つのチェックボックスをオン（チェックが入っている）状態に 　　　しておく必要がある。 　　　そうしないと Adobe Reader が起動しなかったりする。 　　　このとき追加作業として 　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態に 　　　しておくとより安心かもしれない。 **ブラウザのjavascriptを無効にする ※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります ●InternetExplorer　ツール→インターネットオプション→セキュリティ→ 　　レベルのカスタマイズ→スクリプトのとこ全部無効にチェック 　　（ブラウザ再起動をしないと適用されない） ●Opera　ツール→クイック設定→「javascriptを有効にする」のチェックを外す ●safari　編集→設定→「JavaScriptを有効にする」のチェックを外す ●Sleipnir　ツール→Sleipnirのオプション→ビュー（Trident）→ 　　デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す ●Lunascape　ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す 　　※SP3でIE8を使うと重くなる場合、Sleipnir＆IE8Sleipnirエディション 　　　もしくはLunascape5を使うといいようです。 ●Firefox　ツール→オプション→コンテンツでJavaScript有効にするをはずす 　※FireFoxの場合、プラグイン「NoScript」のインストールが推奨されているようです 　　また、「IE Tab」をインストールすればIEのみに対応したサイトの表示も手動で 　　切り替え可能になるのでいざという時便利 &bold(){★Firefoxのgoogleの検索結果を先読みする機能について} 　（LunascapeでGecko使ってる場合も同じと思われる） ・先読みしたページがウィルス感染してるとアウトと言われることが 　あるが、現状(2009/5/17 09:50)では 　「たぶん関係ないが、安全が確認されるまでは念のために切っておくべき」 ・検索先読みは、キャッシュファイルを保存するだけなので 　それだけでJavaScriptコードを実行するわけではない ・ただしキャッシュファイルがアンチウイルスソフトに引っかかることはある 　【対策】 　FirefoxのURLバーに｢about:config｣と入力する。※警告が出てきても大丈夫 　上のフィルタという所に｢network.prefetch-next｣と入力して、 　出てきた値がtrueだったらダブルクリック→falseにする。 ※感染したサイトには悪意をもったイメージファイルがアップされていたとの報告有り。InternetExplorerの場合、ある状況によっては画像ファイルからも感染するおそれがあるが、IE8では対策済み。逆に言えばIE7以前では危ない。 **それ以外にも ・可能な限りアプリケーションは最新にアップデートをしておく ・vistaユーザーはUAC（ユーザーアカウント制御）を有効にする 　（通常はデフォルトで有効になっています） ・疑わしきURLはクリックしない ・信頼できないサイトでJavascriptやActiveXは許可しない ・ウイルス対策ソフトの導入と定期的な定義ファイルの更新 （初心者であればサポート面で有料の統合セキュリティソフトをおすすめ） 2010-01-08T12:34:22+09:00 1262921662 https://w.atwiki.jp/doujin_vinfo/pages/22.html よくある質問、初心者が悩みやすいことはここで先に確認してください。 【2009/5/17 10:00時点の情報です】 **感染とかなんかよくわからない [[感染・改ざんの流れ]]を見てください。 **sqlsodbc.chmが見つからない Cドライブ→WINDOWS→system32で、sqlsodbcというファイルを探す わからない人は マイコンピュータを開く→ Ctrl+F →ファイルやフォルダを検索 ファイル名に「sqlsodbc」、検索先を「マイコンピュータ」で探す &color(red){★コントロールパネル→フォルダオプション} &color(red){　「表示の登録されている拡張子は表示しない」のチェックを外して下さい} **「cmd.exe」「regedit.exe」とは cmd.exe……コマンドプロンプト。スタート→アクセサリ→コマンドプロンプトで起動。起動すると黒画面が表示される regedit.exe……レジストリエディタ。マイコンピュータ→C:¥→WIndows→system32以下に存在。初心者はいじらないように どちらもスタート→ファイル名を指定して実行→cmdあるいはregeditで起動できる **タスクマネージャの起動の仕方 「Ctrl+Alt+Delete」、あるいは「Windowsキー＋L」で起動 **携帯閲覧は平気？ 携帯電話でサイトを閲覧しても、現状では感染しない模様。 **Vistaなら感染しないって本当？ UAC（ユーザーアカウント制御）を無効にしていなければ現時点では感染報告はないと見られているが、今後感染する可能性は高いので警戒は必要。 （UACはデフォルトで有効） **JavaとJavaScriptは別物？ 全くの別物。名前は似ているが全然違う 今回Javaは関係なく、まず皆JavaScriptの話をしている **JavaScriptの無効化方法 ツール→オプションからJavaScriptを無効にできる。IEの場合はブラウザ再起動をしないと適用されないので注意 **FireFoxアドオンの入手方法 　ツール→アドオンでテキストボックスに名前入れて検索 **ウィルスを検知したセキュリティソフト 2009/5/16現在、ウイルスバスター2009、カスペルスキー、Avast!、ニフティオンラインスキャンでウィルスを検知したとの報告があるが、完全ではないので過信しないように。 ★セキュリティソフトは複数入れると不具合を起こすことがあります 2010-01-08T12:32:30+09:00 1262921550 https://w.atwiki.jp/doujin_vinfo/pages/23.html *とりあえず感染してるか確認する手順（Vistaユーザー） 【2009/5/17 10:00時点の情報です】 &bold(){１．}ウィンドウズキー（Windowsのマークのあるキー）を押し、でてきたメニューの「検索の開始」に「ファイル名を指定して実行」と入力、でてきたプログラムをクリック &bold(){２．}「ファイル名を指定して実行」という画面が出てくるので、入力欄に 　　「cmd.exe」（全部半角で）と入力して「OK」ボタンを押す 　→ 背景が黒いウィンドウが開いた場合、そのまま閉じて３へ 　→ 起動しない場合：&color(red){感染疑い濃厚}→ [[感染してしまった時の対処方法]]へ &bold(){３．}もう一度１．を実行 &bold(){４．}「ファイル名を指定して実行」という画面が出てくるので、入力欄に 　　「regedit.exe」（全部半角で）と入力して「OK」ボタンを押す 　　　（「続行するにはあなたの許可が必要です」というダイアログが出た場合は、 　　　　「続行(C)」ボタンを押す） 　→「レジストリエディタ」というウィンドウが開いた場合すぐに閉じて５へ 　→ 起動しない場合：&color(red){感染疑い濃厚}→ [[感染してしまった時の対処方法]]へ &bold(){５．}C:¥Windows¥Help¥mui」以下のディレクトリにsqlsodbc.chmがあります 　　わからなければ「エクスプローラ」でCドライブから 　　Windows→Help→muiフォルダの中を探してください 　　　　※muiディレクトリ内に「0411」「0409」などのディレクトリが存在する 　　　　場合がある（このディレクトリ自体は無害なので気にしなくて良い）ので、 　　　　その場合は「0411」「0409」内から「sqlsodbc.chm」ファイルを探すこと 　　　　※見つからない場合、コントロールパネルのフォルダオプションの 　　　　「表示の登録されている拡張子は表示しない」のチェックが外れているか 　　　　確認してください 　　　　外していないと「sqlsodbc」ってファイルしか見つからず 　　　　「sqlsodbc.chm」で検索しても見つかりません 　　sqlsodbc.chm を右クリック → プロパティでボリュームを確認 　　1個のファイル　50,727バイト　と表示されればOK 　　&bold(){49.5kbyteと表示された場合、右クリック、プロパティで50,727byteかどうか見る} 　　★それ以外の数値の場合は&color(red){感染の疑い濃厚} 念のためMD5値の確認も推奨 　・HashTab Shell Extension 　　http://www.forest.impress.co.jp/lib/sys/file/fileuty/hashtabshlex.html 　を使い、CRC32,MD5,SHA1の情報を取得する。 正常なsqlsodbc.chmは 　ファイルサイズ： 50,727バイト 　CRC32： B61C7A80 　MD5： F639AFDE02547603A3D3930EE4BF8C12 　SHA-1： FBDD32ED13D27E4102621E1067FDF3634F33B2C3 &bold(){６．}以下のウイルス対策ソフトを導入するか、オンラインスキャンする 　・Kaspersky 　・avast! 　・ウイルスバスタ2009 　・ニフティオンラインスキャン 　　http://www.nifty.com/security/vcheck/?mid=601287&lid=20 ※使用したアンチウィルスソフトによって、検出された場合のウィルス名称に 　差異があります。 　例：avast!　での検出名　JS:Redirector-H*　（*は数字） 　など ※現在上記検索にもひっかからない亜種が出てきているため、絶対とは限りません &color(blue){また、SymantecでもKasperskyでも、オンラインスキャンでは感染していることが} &color(blue){わからないようだ、という報告も出ています。}【2009/5/17 23:29】 2010-01-08T12:32:07+09:00 1262921527 https://w.atwiki.jp/doujin_vinfo/pages/12.html *とりあえず感染してるか確認する手順（2000・XPユーザー） 【2009/5/17 10:00時点の情報です】 &bold(){１．}ウィンドウズキー（Windowsのマークのあるキー）を押しながらRキー　を押す &bold(){２．}「ファイルを指定して実行」という画面が出てくるので、入力欄に 　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す 　→ 背景が黒いウィンドウが開いた場合３へ 　→ 起動しない場合：&color(red){感染疑い濃厚}→ [[感染してしまった時の対処方法]]へ &bold(){３．}もう一度ウィンドウズキーを押しながらRキーを押す &bold(){４．}「ファイルを指定して実行」という画面が出てくるので、入力欄に 　　「regedit.exe」（全部小文字で）と入力して「OK」ボタンを押す 　→「レジストリエディタ」というウィンドウが開いた場合５へ 　→ 起動しない場合：&color(red){感染疑い濃厚}→ [[感染してしまった時の対処方法]]へ &bold(){５．}「レジストリエディタ」はすぐにウィンドウを閉じる。 　　コントロールパネルのフォルダオプションの 　　「表示の登録されている拡張子は表示しない」のチェックが外れているか 　　確認。外れていない場合は外す。 → &bold(){2000ユーザー} 　C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認 　「エクスプローラ」でCドライブから 　　WINDOWS→system32フォルダの中を探します 　※sqlsodbc.hlp は存在するので注意 　★インストールしているアプリケーション（某有名会計ソフト）によっては 　　sqlsodbc.chm が自動作成されるようです 　　その場合、XPのsqlsodbc.chmと同じMD5値になるようです 　→ sqlsodbc.chmが無い、もしくはXPのMD5値と同一の場合６へ 　→ XPとは値の違うsqlsodbc.chmがある場合：&color(red){感染疑い濃厚}→ [[感染してしまった時の対処方法]]へ →&bold(){XPユーザー} 　　背景が黒いウィンドウを選択。 　　小文字で「dir C:¥WINDOWS¥system32¥sqlsodbc.chm」と入力してEnterキー 　　&color(red){¥を全角にしてあるので、コピペせずすべて半角で手入力すること} 　　WindowsがCドライブ以外に入っている場合は適宜変更してください 　　　※「ドライブCのボリュームラベルがありません 　　　　　C:\WINDOWS\system32のディレクトリファイルが見つかりません」 　　　と出た場合、「エクスプローラ」を使うなどして 　　　マイコンピュータからCドライブ→WINDOWS→ 　　　system32フォルダの中から直接sqlsodbc.chmを探します 　　1個のファイル　50,727バイト　と表示されればOK → ６へ 　　&bold(){49.5kbyteと表示された場合、右クリック、プロパティで50,727byteかどうか見る} 　　★それ以外の数値の場合は&color(red){感染の疑い濃厚}→ [[感染してしまった時の対処方法]]へ 　念のためMD5値の確認も推奨 　・ElleFileInfo 　http://www.vector.co.jp/soft/winnt/util/se297267.html 　を使い、CRC32,MD5,SHA1の情報を取得する。 　正常なsqlsodbc.chmは 　ファイルサイズ：50,727バイト 　CRC32：B61C7A80 　MD5：F639AFDE02547603A3D3930EE4BF8C12 　SHA-1：FBDD32ED13D27E4102621E1067FDF3634F33B2C3 &bold(){６．}以下のウイルス対策ソフトを導入するか、オンラインスキャンする 　・Kaspersky 　・ニフティオンラインスキャン 　　http://www.nifty.com/security/vcheck/?mid=601287&lid=20 　・avast! 　・ウイルスバスタ2009 ※使用したアンチウィルスソフトによって、検出された場合のウィルス名称に 　差異があります。 　例：avast!　での検出名　JS:Redirector-H*　（*は数字） 　など ※現在上記検索にもひっかからない亜種が出てきているため、絶対とは限りません &color(blue){また、SymantecでもKasperskyでも、オンラインスキャンでは感染していることが} &color(blue){わからないようだ、という報告も出ています。}【2009/5/17 23:29】 2010-01-08T12:31:43+09:00 1262921503 https://w.atwiki.jp/doujin_vinfo/pages/27.html 同人板・【管理も】同人サイト・GENOウィルス注意5【閲覧も】（実質6） 以降にまとめられたテンプレです スレ立ての際に活用ください【10-894時点】 ★現行11 **1 新種のコンピュータウィルスが流行っています。 感染サイトを見ただけで感染・発症する危険があります。 変化が早く、20日現在、大手ベンダーのアンチウイルスソフトが対応してきていますが、 完全に検知・駆除ができているとは言い難い状況です。 PCでネットする人全員の感染チェックを推奨します。 特にサイト管理人は二次被害を起こす恐れがあるため、早急に感染チェックをしてください。 ※情報集約のためのスレにつき、このスレでは質問は受け付けません。 　善意からの回答もご遠慮ください。 　知りたいことは↓のまとめを読み、質問は専用の「GENOウイルス質問用スレ」へどうぞ ================================================ ■同人サイト向け・通称「GENOウイルス」対策まとめ http://www31.atwiki.jp/doujin_vinfo/ http://wiki.livedoor.jp/doujin_vinfo/（ミラー） ■初心者用・何をすれば良いか良く分からない人用のまとめ http://www40.atwiki.jp/gegegeno/ ■質問用掲示板「GENOウイルス質問用スレ」※GENOウイルスの件専用 http://www1.atchs.jp/gegegeno/ ================================================ ※スレ内には、悪意あるソースコードや、誤認情報を貼る人もいますので、ご注意ください。 ※感染サイトURLが貼られるケースもあります。むやみにリンクを踏まないようにご注意ください。 ※書き込む際は、名前欄にはGENO#GENOと入力してください。 ※まとめサイトへの報告と意見は、まとめサイト管理人が分かりやすいように>>1へアンカーをつけてください。 ※過去スレ、症状、その他については>>2-10あたり **2 まずは、何をしたらいいの？　>>2 主な症状>>3 自ジャンルで感染を見つけてしまった　>>4 [[よくある質問]]　>>5 ソースチェックはどうやって？　>>6 ■絵で見て分かる簡単な画像 ttp://ranobe.com/up/src/up360283.jpg ■絵で見て分かる　更に画像 ttp://ranobe.com/up/src/up360236.gif ※まずしないといけない事※ 自分が感染していないかをチェックと 自分のサイトが感染していないかチェックをしましょう １、自分が感染していないかチェック ttp://www31.atwiki.jp/doujin_vinfo/pages/12.html ２、サイト管理人は、自サイトが感染していないかチェック ttp://www31.atwiki.jp/doujin_vinfo/pages/16.html **3 主な症状 ◆感染後にFTPに接続するとログイン情報が盗まれ、FTP上のファイルに閲覧者を感染させるスクリプトを勝手に書き加えられる ◇web上でのやりとりを監視、ユーザー名やパスワード等の情報を収集している恐れあり ◇一部のアンチウイルスソフトが更新不能 ◇Windows Update、アンチウイルスソフト関連サイトなどにアクセス不能 ◇Googleの検索結果を改竄(リンクを弄る) ◇explorer.exeや一部のブラウザが異常終了 ◇Acrobatが勝手に起動 ◇PDFファイルやシステムファイルが増殖 ◇CPU、メモリ使用率がUP（パソコンが重くなる） ◇再起動時に正常に起動できず、画面が真っ青になって警告が表示される ◆sqlsodbc.chmを改変 ◆cmd.exe、regedit.exeが起動不能 これらの症状が全て出るとは限りませんが、 ◆の症状があったら感染濃厚です。 **4 当スレでは感染報告については、注意喚起の観点から ・感染が認められたジャンル名 のみ報告ＯＫです。 感染報告をする際は、ジャンル名・ジャンル内シリーズ名など 伏字・略称にせず、わかりやすく書いてくだささい。 晒しやウォチ、風評被害を防ぐため、個人サイトを特定できる形で話題に出すのはＮＧです。 また、アドレス晒しは、踏むとマジで危ないので絶対厳禁。 ※　対策済みの所も注意喚起の意味で、ジャンル名記載が残されています。 ※　報告は、まとめサイトの人が分かりやすいように、>>1へアンカーをつけてください。 **5 【よくある質問】 Q：感染するとどうなるの？ A：あなたのパソコンに侵入したウイルスは、 　ホームページビルダーやFFFTPなどでサイトを更新した時 （FTP通信を行った時）にFTPのIDとパスワードを盗みます。 　その後盗んだパスでサイトのソースに悪意を持ったコードが勝手に挿入され、 　そのサイトを見た人を感染させます。 　その他の個人情報が盗まれるのかどうかはまだわかっていません。 Q：ウィルス対策ソフトが反応していないから大丈夫だよね？ A：マルウェアは対策が遅れる事があり、セキュリティソフトも対策が間に合っていない場合があります。 　又、対策したと思われても、亜種が出てくる可能性も常にあります。 Q：VistaとMacは感染しないの？ A：某企業サイトでの発見直後はVista、Macには感染しないと言われています。 　（新種も現れており、100％安心できる状況とは断言出来ません） Q：～～が感染しているって本当？？ A:誤報が先走り、実際の感染確認が出ていないケースがたびたびあります。 例）ニフティ（ポータルサイトやスキャンページを見ても問題ないので落ち着いて） Q：チェッカーの数値が０じゃなかった！　感染!? A：チェッカーの数値が高くても、ウイルスとは無関係なJavascriptに反応しているだけの場合も有ります 。まずは深呼吸 　>>6の「手動」をよく読んで、安全な手段でソースを確認しましょう。 Q：閲覧先のサイトに変なコードがあるんだけど！ A：元々記載されている、広告などの安全なスクリプトの可能性も高いです。まずは落ち着いて。 　>>6の「手動」をよく読んで、wikiの「[[サイト管理人向け]]」にあるコードと見比べてください。 Q：とにかく何をしたらいいの？ A：>>2を読んでください。 Q：素人なので、とにかく何もかもが分からない。 A：http://www40.atwiki.jp/gegegeno/ 　よく読んで学んでください。 **6 ページが感染しているかどうかは、ソースをチェックする事で分かります。 ソースのチェック方法は、ご自身の自己判断でお願いします。 以下に紹介するチェックは、大まかな危険を知るためのものです。 特有のコードがあるかどうかのチェックに使いますので、 この結果を見て＝即感染と誤認しないようにお願いします。 ※アクセスが集中すると、サーバーが重たくなる可能性があります。 ●GENOウィルスチェッカー 　http://geno.2ch.tc/ ●ソースチェック 　 http://wepawet.cs.ucsb.edu/ 　ここで「URL」と書かれている右のフォームに感染が疑われるURLを入力。 　「Resource type」のチェックボックスは「JavaScript/PDF」にチェックを入れ、 　「Submit for analysis」をクリック。 　すると解析結果が出るので、Ctrl+Fをタイプしてページ内を「gumblar.cn」「martuz.cn」で検索。 ●ソースチェッカーオンライン(http://so.7walker.net/guide.php ) 　右側に表示されるソースを見て、Wikiの「サイト管理人向け」に 　あるようなおかしなコードの有無を調べる。 　※ソース以外の情報（左下の「安全度」等）は一切無視する。 ●手動 　調べたいリンク先を右クリックなどから保存する。 　保存されたHTMLファイルを右クリックなどから 　メモ帳などのテキストエディタで開き、Wikiの「サイト管理人向け」に 　あるようなおかしなコードの有無を調べる。 **7 ◎テンプレまとめ　（同人向けまとめWiki管理人が管理） http://www31.atwiki.jp/doujin_vinfo/pages/27.html 2009-06-07T13:33:06+09:00 1244349186