05.17 日常

こんばんわnicoです
最近最近新種のコンピュータウイルス「JSRedir-R」（通称GENOウイルス）がはやってきているようで、周りでも注意を促しているこちらでも！
サイトを閲覧しただけで感染するみたいです　おそろしや

ジャンプ系、ゲーム系、アニメ系、創作系、特撮系、芸能系などなど多方面で、デビルに近いジャンルであるバサラやメガテン系、バイオでの報告もあるらしいです
また、特撮サイトでは特にでんおサイトが多い様子（絶つならPCからの閲覧を禁止にするべきか…

詳しくはこちらでどぞ
「同人用まとめwiki」
http://www31.atwiki.jp/doujin_vinfo/

「まとめwiki」
http://www29.atwiki.jp/geno/


感染した場合、FTPのIDやパス、また通販やメールなどで使用するパスやクレジットカードの情報、個人情報が抜かれる可能性もあるようです

サイト管理人さんは自サイトのソースを見ることで感染確認をできます
java script（unescape、eval、replace）が埋め込まれるらしいのでご注意
画像を見ましたが、自分がいれたものとの違いがすぐわかります

まとめwikiみた限りではIEのほかにLinux、Apacheなどのブラウザも感染してるぽいので、その他のブラウザ使用者さんも確認してみるといいかもしれません
＞私はすでに確認済みで大丈夫でした

感染していた場合OSのリカバリ（OSのクリーンインストール）しかないようです


とりあえず確認しているかの手順

１．ウィンドウズキー（Windowsのマークのあるキー）を押しながらRキー　を押す  

２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　→背景が黒いウィンドウが開いた場合３へ
　→起動しない場合：感染疑い濃厚

３．もう一度ウィンドウズキーを押しながらRキーを押す

４．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「regedit.exe」（全部小文字で）と入力して「OK」ボタンを押す
　→「レジストリエディタ」というウィンドウが開いた場合５へ
　→起動しない場合：感染疑い濃厚

５．「レジストリエディタ」はすぐにウィンドウを閉じる。
　　背景が黒いウィンドウを選択。
　　小文字で「dir C:¥WINDOWS¥system32¥sqlsodbc.chm」と入力してEnterキー
　　1個のファイル　50,727バイト　と表示されればOK
※1　vistaユーザーの場合は「C:¥Windows¥Help¥mui」以下のディレクトリにsqlsodbc.chmが存在する
※2　muiディレクトリ内に「0411」ディレクトリが存在する場合がある（このディレクトリ自体は無害なので気にしなくて良い）ので、その場合は「0411」内から「sqlsodbc.chm」ファイルを探すこと

正常なsqlsodbc.chm
ファイルサイズ：50,727バイト
CRC32：B61C7A80
MD5：F639AFDE02547603A3D3930EE4BF8C12
SHA-1：FBDD32ED13D27E4102621E1067FDF3634F33B2C3

上書きされたsqlsodbc.chmの例（あくまで例でありこの限りではない）
ファイルサイズ：1,323 バイト
CRC32：7585CBB6
MD5：BF7209B9589AD09A25740F6D47D0ADEA
SHA-1：D695F957AA9DEB0E4D92F4546DB3A883B1909008


他にもこんな症状有り
・コマンドプロンプトを実行中ではないのにcmd.exeが起動している
・cmdやregeditが起動しない（Explorerが落ちる）
・特定のサイトに接続できなくなる
・ブラウジングがまともにできない
・Adobeが5分に1回のペースで更新を要求してくる
・CPUの稼働率が何も作業していないのに50％近くに上がる(CPUのコア数によって違う)


対策
・WindowsUpdate
・PDFリーダーを最新にする　（AdobeReader　や Foxit Reader）
・AdobeFlashを最新にする
・94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
・Adobe ReaderとブラウザのJavascriptを切る
・貼られている怪しいリンクをむやみに開かない
・ウイルス定義ファイルを更新する

詳しくは上のまとめwikiをごらんくだし
同人まとめwikiのほうが細かく説明してくれているのでわかりやすいです