奇面組 通称「GENOウィルス」対策掲示板 68443

検索:

通称「GENO」ウィルスについて

1:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 09:26:41

4月頃から多くの同人サイトが通称「GENO」ウィルスと呼ばれるウィルスに感染し、被害を広げています。
このウィルスは感染したPCからFTPアクセスでサイトを更新することによって、更新したサイトが感染し、ウィルスの新たな発信源になるというものです。ウィルスには、感染したサイトをブラウザアクセスすることによってPCに感染し、FTPパスワードやIDなどを抜かれるようです。
これはAdobe Reader及びAdobe FLASH PLAYERの脆弱性を利用したウィルスです。上記二本のソフトは、必ず最新版に更新してください。サイト閲覧に不要と判断するなら、アンインストールしてしまうのが、もっとも安全です。
WindowsUpdateもお願いします。
また、感染するとPCをクリーンインストール(初期化・購入時の状態に戻す)しか駆除の方法が現在ありません。クリーンインストールには膨大な労力と時間がかかります。その労力と時間を無駄にしないためにも、感染しないことが何よりも大切です。

ここを訪れるサイトの管理者の方は、是非とも一度お持ちのPCとサイトを確認してみてください。

チェック方法など詳しく調べてくださっているサイトのURLを貼っておきます。必ずご一読ください。
「通称「GENOウィルス」同人サイト向け対策まとめ」http://www31.atwiki.jp/doujin_vinfo/
「GENOウィルスまとめ」http://www29.atwiki.jp/geno/
「GENOウィルス・何をすれば良いか分からないい人のまとめ」http://www40.atwiki.jp/gegegeno/


特に同人サイトでの感染が多く報告されています。一般サイトにも感染が広がってきました。セキュリティソフトでの対策が現時点では遅れていますので、被害を拡大しない、何より自分のサイト、PCが感染しないためにもよろしくお願いいたします。

この掲示板は、奇面組ジャンルで通称「GENO」ウィルスの情報を共有し、少しでもジャンル内ので感染の蔓延を防ごうという目的で作りました。
対策さえきっちりと行えば、そんなに恐ろしいウィルスではないのですが、その対策が未処置のPC、サイトがあるとそこから一気に広がる恐れがあります。
なので、各サイトの管理者の方は、自身のサイト及びPCの対策をお願いします。

なお、この掲示板には、URLを貼ることはできますが、不要の感染を防止するために、まとめサイト以外のURLを貼ることはおやめください。

また、自身のサイトの安全報告をする際は、必ず「●月●日●●時●●分現在」と記入してください。対策済サイトが再感染する例が増えているためです。ご協力お願いいたします。

最後に、掲示板の情報は必ずしも最新の情報ではありません。上にも書いたとおり、安全確認されたサイトが、再び感染する例もありますので、閲覧には慎重な姿勢を崩さないようお願いいたします。また、閲覧の結果感染したからと言って、その責をサイト管理者及び掲示板管理者に求められても困りますので、ネットでの常套文句ですが、「自己責任」という事を肝に銘じて、感染被害拡大を防ぐため、ご協力お願いいたします。
2:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 11:43:50

JPCERTコーディネーションセンター(コンピュータのセキュリティに関する組織)にて今回のウィルスの注意喚起がなされました。またこの件に関する報道も始まっています。

JPCERTコーディネーションセンター
http://www.jpcert.or.jp/

ウェブの改ざん被害に注意、4月末登場の亜種が猛威 - 専門家が注意呼びかけ(Security NEXT記事)
http://www.security-next.com/010487.html
3:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 12:44:48

5/20 12:00現在
各セキュリティソフトの対応を上回るスピードで亜種が生み出されているようです。まとめに書いてある感染判定方法のひとつ「sqlsodbc.chmのサイズを確認する」という確認項目をすり抜ける亜種が見つかりました。

現時点で取りうる究極の対策は「ネット断ちする」、次善の策で「Adobe Reader」「Adobe FLASH PLAYER」をアンインストールする、と言う究極的なものです。
その為、巡回の自粛は必要でしょうが、「Windows Update」「Adobe Readerを9.1.1にアップデートし、JavaScriptをOFF」「Adobe FLASH PLAYERを10,0,22,87にアップデート(InternetExplorer6.0の場合)」「IEの場合、JavaScriptをOFF」「Firefoxの場合NoScriptプラグインを導入」と言った対応が最低でも必要になってきました。
ウィルスの正体はHTMLソースに埋め込まれたJavaScriptのプログラム(コード)ですので、JavaScriptをOFFにしてプログラムを起動しないようにすると、感染を防ぐことに一定の効果はあると思われます。ただし、こうすると一部のサイトでは正常な表示ができなくなり、閲覧できないサイトも出てきます。

FTPパスとIDを抜くというような機能も持っているため、感染すると個人情報を抜かれる可能性(現状では不明ですが)もあります。特にPCに何らかのIDやパスワードを入力した記憶のある方は、対策を行ってください。
4:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 14:22:00

上の記事で訂正。
ウィルスの正体はJavaScriptのコードではありませんでした、すみません…。
このコードは、「ウィルスをダウンロードさせるためのサイトへ誘導する」コードでした。
このコードが書かれたサイトを閲覧すると、このコードが実行され、閲覧したPCに勝手にウィルスがダウンロードされ実行されます。その結果、PCがウィルスに感染した状態となります。
ウィルスの正体は別にあるようです…。
ですので、サーバ上でこのコードを除去しても、PCが感染していればまたすぐにサイトへ攻撃が始まります。
サーバ上のファイルの変更は、PCのウィルスを除去(PCの初期化)してから行ってください。
5:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 16:50:53

Yahoo!にもニュースが掲載されました。
「JPCERT/CC、「GENO」ウイルスに対して注意喚起 ~ サイト閲覧するだけで感染」(Yahoo!ニュース記事)
http://headlines.yahoo.co.jp/hl?a=20090520-00000011-rbb-sci
6:たかや@港坂製作所(掲示板管理人) :

2009/05/20 (Wed) 22:52:30

5/20 22:00現在
セキュリティソフトの対応が少しずつ追いついてきたようですが、未だに完全駆除できるセキュリティソフトがないようです。
検知がやっとなので、検知された場合、速やかにPCを初期化するようにしてください。

未感染PCのこのウィルスに対する対策としては、上記にもある通り、Adobe Readerを最新(9.1.1)に更新しJavaScriptをOFFにする、Adebe FLASH PLAYERを最新(10,0,22,87)に更新、ブラウザのJavaScriptをOFFにする、が最も有効なようです。
7:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 08:50:29

おはようございます。
5/20 8:30現在
セキュリティソフトのG DataSoftware社が「GENOウィルスについて」という対策記事を出しました。
基本的な内容の記事ですが、一読の価値はあると思います。
「GENOウィルスについて」(G DataSoftware記事)
http://gdata.co.jp/press/archives/2009/05/geno.htm

セキュリティソフト各社、対応頑張ってくれてますが、亜種がそれを上回るペースで増殖中で、対応されたはずのセキュリティソフトをすり抜ける例も出てきました。
駆除に対応しているものはまだ出ていない様子です。
くどいですが、警戒を怠らないでください。
8:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 08:53:06

しまった、間違えた。落ち着け、自分。
5/20→5/21
すいません…。
9:カメグルマン :

2009/05/21 (Thu) 17:06:32

ども、はじめまして てのは変ですが、カメグルマンです。
いつも情報更新、ありがとうございます。お疲れ様です。

役に立つかどうかは分かりませんが、so-netセキュリティ通信にも記事がありました。

「サイト改ざん:汚染・再汚染サイトが相次ぎ発覚、攻撃サイトは再び移動」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890
(↑ 5/18の記事ですが…)

通称となっている『GENOウィルス』とは呼んでおりませんが、
記事内容から察するに、該当のものだと思います。
対策法というよりこれまでの被害報告という感じですが、関連情報ということで。
10:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 23:02:18

カメグルマンさん、お疲れ様です。
この記事、該当のウィルスのものですね。ありがとうございます。
いろんなところで報道が始まって、同人関係者以外にも周知が広まってきているのが幸いです。

5/21 21:00現在
攻撃に使われた大元ホスト「gumblar.cn」「martuz.cn」は現在閉鎖され、新たな攻撃は終了していますが、亜種の活動は続いており、まだ予断を許しません。
いつ新たな大元ホストが開設され、感染PCからの情報収集が再開されるかわかりませんし、感染したサイトからの感染は、感染サイト全てが感染状態から脱出しないとなくなりません。
感染されている方は、今の内にPCの初期化と使用ソフトに最新のアップデートをかけてください。
サイトをもたれている方は、感染PCの初期化、ソフトのアップデートを行った後、FTPのIDやパスワードを変えた上で、サーバ上のファイルを全て削除し、サイトを再構築してください。
また、セキュリティソフトはまだ検知に対応しているものが少ない状態です。亜種の出現が早く、完全に駆除できるものはありません。
かなり不便ですが、ブラウザのJavaScriptはOFFにする設定が感染を防ぐ有効な手段です。その他、使用ソフトは最新のアップデートを適用するようにしてください。
11:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 23:33:31

INTERNET WATCHにニュース記事が出ています。参考のためにURL載せておきます。
「被害が多発する「Gumblarウィルス」への対策を実施しよう」
http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html
12:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 23:42:47

2ちゃんねる情報ですが、5/17時点での多くのセキュリティソフトは、その時点のウィルスをスルーし、PC感染を起こしていたことがわかりました。
この時点で危険と思われるサイトを巡回していた方は、一度調査された方が確実かと思います。
現在、一部のセキュリティソフトは、検知には対応したという情報がありますが、全てのセキュリティソフトが対応したという情報はまだ入手していません。
セキュリティソフトの過信は禁物なので、地道に上記の対策を取ってください。
13:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 23:44:11

上記の内容ですが、こちらで全て検証したわけでないので、セキュリティソフト固有名詞は除去しました。お騒がせして申し訳ありません。
14:たかや@港坂製作所(掲示板管理人) :

2009/05/21 (Thu) 23:48:06

FC2でサーバを借りている方は、6/2からFTP関連の設定を全員変更することになります。
従来のFC2IDメールアドレスとFC2パスワードでのFTP接続ができなくなるようです。
FC2からのメールもご確認ください。
15:たかや@港坂製作所(掲示板管理人) :

2009/05/22 (Fri) 09:22:20

おはようございます。

5/22 8:00現在
ウィルスの送信元であるホストが閉鎖されたことにより、感染サイトからのPC感染は落ち着いてきつつありますが、感染したPCはいつまた別のホストからの攻撃に晒されるかわかりませんので、今の内に感染PCの初期化を行ってください。
(別ホスト対応の亜種が出ないとも限りませんので…)
また、PCの感染を放置していると、別のホストからの攻撃が始まった時にまたサイトの感染が拡大しますので、お願いします。

Adobe FLASH PLAYERのアップデートに関してですが、本来のAdobeのアップデートサイトと似せた、別のウィルスを仕込む悪質サイトが確認されています。
Adobe FLASH PLAYERのアップデートは、必ずAdobe社のトップページから「Get ADOBE FLASH PLAYER」のアイコンをクリックして行うようにしてください。
なお、これはInternetExplorタイプの更新方法です。その他のブラウザに関しては別の方法をとっているものもあるかも知れませんので、各ブラウザの更新方法を確認してください。
また、FLASH PALYERのアップデートは、ブラウザを複数種類使用している場合、各ブラウザ事に必要になりますのでご注意ください。
16:たかや@港坂製作所(掲示板管理人) :

2009/05/22 (Fri) 22:25:34

So-netセキュリティに企業の感染サイトが出ている記事があります。
これが全てではないでしょうし、個人運営のサイトは含まれていませんが、この一覧にあるサイトに期間中訪れた方は確認をお願いします。
「正規サイト改ざん:ここまで広がった国内でのサイト汚染、訪問歴確認を」(So-netセキュリティ記事)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1895

記事の中の■のあとの英文字列が、通称「GENO」ウィルスの攻撃サイト(ウィルスが感染PCから抜き取った情報を送っていた先)です。
17:たかや@港坂製作所(掲示板管理人) :

2009/05/24 (Sun) 00:40:50

こんばんは。

5/23 22:00現在
攻撃元サイトの閉鎖を受けて、大きな動きはありません。
今日未明時点での各セキュリティソフトの対応状況が出ているサイトがあったので確認したのですが、日本で流通している大手セキュリティソフトは23日1時現在、
検知にはほぼ対応しているようです。ただし、駆除はできるという確認はできていないので、できないと思ってもらった方が確実です。
また、このウィルス以外のウィルスも活動していますし、新たな亜種出現の可能性もありますので、セキュリティソフトの過信は禁物です。

禁止ワードがらみでこちらの掲示板ではアドレスが投稿できないのが残念ですが…。
18: :

2009/11/28 (Sat) 01:07:49

この投稿は表示制限されています。
表示には管理者の承認が必要です。
19: :

2009/11/30 (Mon) 03:29:37

この投稿は表示制限されています。
表示には管理者の承認が必要です。
20:TIGER :

2009/12/29 (Tue) 14:14:53

https://bbs6.fc2.com//bbs/img/_436600/436529/full/436529_1262063693.jpg
チソコハメまくったら一週間で30万貯まっててワラタww
ヤり目的だったのにこんなに金貰えるとかウマ過ぎだろ常考
21:ラピ夫 :

2010/02/08 (Mon) 09:05:47

https://bbs6.fc2.com//bbs/img/_436600/436529/full/436529_1265587547.jpg 一晩中馬乗りで犯されてまくったぜww

8回も搾られてチOコ痛てぇけど、
13万.貰えたから、これからエ□ゲ漁りにいってくるwww
22:たつべぇぇ :

2010/03/22 (Mon) 08:06:19

https://bbs6.fc2.com//bbs/img/_436600/436529/full/436529_1269212779.jpg めっちゃハメられてwwww20万もらたwwwwwwww
  • 名前: E-mail(省略可):
  • 画像:
Copyright © 1999- FC2, inc All Rights Reserved.