| CALENDAR  ENTRY  COMMENT  CATEGORY  ARCHIVE  PROFILE  LINKS 
GENOウィルスとやら。
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・FTPに接続するとパスワードを収集され新たな攻撃の踏み台にされる
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨

----------------------------------------------------------------------------

【感染の確認方法】
cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が
 起動するか確認する
 ※このウイルスに感染していると
  コマンドプロンプト、レジストリエディタが立ち上がらない。

■確認方法
 1.スタートから「ファイル名を指定して実行」
 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
   「regedit.exe」と入力して「OK」ボタンを押す。
   ※立ち上がったことを確認したら弄らず閉じること
 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   ※立ち上がったことを確認したら△



sqlsodbc.chmのファイルサイズの確認を確認する
 ■Windows XP:
  改ざんされていなければ
  C:¥WINDOWS¥system32¥sqlsodbc.chm 50,727 bytes
 ■Windows 2000:
  そもそも存在しないはずなので、
  C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認。
 ■確認方法
  1.スタートから「ファイル名を指定して実行」
  2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   →背景が黒いウィンドウが開いた場合3へ
   →起動しない場合:感染疑い濃厚
  3.背景が黒いウィンドウを選択。
   小文字で「dir C:¥WINDOWS¥system32¥sqlsodbc.chm」と入力してEnterキー

---------------------------------------------------------------------------

感染予防対策(1)
 1.Adobe Flash Player の最新版にアップデート
 2.Adobe Acrobat Reader の最新版にアップデート
 3.NoScriptの導入(Firefoxの導入)
 4.Adobe Acrobat Readerの JavaScript 機能OFF
 5.危険IPのブロック

諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

 1.Adobe Readerを起動し「編集」メニューの「環境設定」
   「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
   OKを押して設定確定後、Adobe Readerを終了
 ↓
 2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
   設定は SpeedUp - Fast がおすすめ
   注意すべきは
   Acroform(拡張子なし)
   Annotations(拡張子なし)
   これら2つのチェックボックスを
   オン(チェックが入っている)状態にしておく必要がある
   そうしないと Adobe Reader が起動しなかったりする
   このとき追加作業として
   EScript.apiとEScript.JPNのチェックボックスを
   オフ(チェックを外す)状態にしておくとより安心かもしれない


危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
 Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています
 このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます
 遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です
 場合によっては、遠隔操作をされてしまう可能性があるものですので、
 このポートは停止しておきましょう

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」
-> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや
 各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にしOKボタンをクリックしプロパティ画面を閉じる
変更をしたらPCを再起動する

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします
またAdobe Reader&各ポートの環境設定をどうするかも各自考える必要があります


------------------------------------------------------------------------------


え、よくわかんない┌|゜□゜;|┐


とりあえず我がPC君は感染しておらず=当ウェブログも改竄されておらず
ちょ、ちょ、ちょ、情報収集中の状態での記事upでごめんなさい_| ̄|○







PV「X」-鬼束ちひろ-
Comment








<< NEW | TOP | OLD>>