エシィーの滅默と墨麗｜【死很大】關於GENO病毒（0520更新）

04 | 2012/05 | 06
日	月	火	水	木	金	土
-	-	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31	-	-

プロフィール

ASHE

Author:ASHE
【往正常向日記請點我】

【賺取WebMoney教學請點我】
＊本BLOG含有ＢＬ內容
＊請勿無斷轉載任何文章或圖片
＊連結請告知；ＴＢ請隨意
＊comments是我的精神糧食

最近の記事

PLURK

Plurk.com

最近のコメント

【Unlight】聲優妄想雜談
ASHE(12/05)
【Unlight】聲優妄想雜談
煌夜(12/04)
【後宮名簿】我喜歡的NICO歌手
呱(06/04)
【REPO】ANS2
呱(06/04)
【萌え】山中ヒコ - 王子と小鳥
ASHE(06/04)
【萌え】山中ヒコ - 王子と小鳥
路人摳隆(06/03)
【カワイイ】花町特典＋Hen．変
路人A(03/17)
【王子♡】王子と小鳥ＤｒａｍａCD
ASHE(03/01)

カテゴリー

CalendArchive

≪ ≫
-	-	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31	-	-

Banners

---賺ＷｅｂＭｏｎｅｙ好站推薦---

---低調推廣串連---

因為不明錯誤所以mp3 player暫時關閉>< ---MP3 Player---

リンク

最近のトラックバック

Pets

ブロとも申請フォーム

この人とブロともになる

ブログ内検索

RSSフィード

Powered By FC2ブログ

ブログやるならFC2ブログ

スポンサーサイト

--.--.-- --:--｜スポンサー広告｜

上記の広告は１ヶ月以上更新のないブログに表示されています。新しい記事を書く事で広告が消せます。

｜

【死很大】關於GENO病毒（0520更新）

2009.05.20 00:34｜[遊戲]PC主機｜

這幾天宿網狀況真差，害我開始擔心起來。Pixiv很慢、大部分日站都很慘、fc2的接續狀況更是糟到不行，讀超久又動不動給我找不到伺服器。聽說nico已經有動畫開始淪陷，不曉得是不是真的……我的生命不能沒有nico呀！而且JavaScript關了不就跟不能看nico一樣囧

關於最近肆虐日本的H1N1……不是，是GENO電腦病毒（木馬），我是很多天前就在pixiv得到資訊，然後那時資訊還沒這麼流通（中文幾乎沒有），所以為了確認自己電腦沒中毒，花了很多時間爬充滿專門用語的日文和英文站orz

現在已經有很多專門頁面可供查證，不過我還是寫一下自己的檢證經驗好了。
就當作對已有資訊的補完？對於初心者應該有用……吧orz
我把所有看過的檢證法（五種）都盡可能詳細寫在這裡。

參考網站（日）：GENOウイルスまとめ、同人サイト向け対策まとめ、UnderForge of Lack
參考網站（中）：注意!!針對同人網站進行擴散的病毒、看網頁就會中的病毒：JSRedir-R
（可以只讀中文站，我當時沒有中文資料所以很多東西確認得很辛苦＝＝）

*0520更新*
這個網站：GENOウイルスチェッカー　Ver.1.1
可以在事前告訴你網址的感染機率，出現1000％的話表示中毒。請多加利用。
--------------------------------------------------------------

GENO病毒（JSRedir-R）是利用Adobe的安全性漏洞，啟用網站JavaScript感染，是光看網頁就會感染的病毒，所以請務必將Adobe更新到最新版，以及更新一下Windows安全性更新。停用JavaScript也可以解決，只是很多網站會不能看。
※JavaScript和JAVA完全是不同的東西
※Windows最近抓盜版抓很兇，進行安全性更新時請確認不要更新到不該更新的東西，不然你的螢幕每60分會陷入黑畫面告訴你可能是盜版受害者。（黑畫面解決法請自行咕狗）

檢證有沒有中毒（不論是不是GENO）的流程大概是這樣：

（1）
按ctrl+alt+del叫出工作管理員，看一下目前的處理程序，點一下上面的名稱，使他們按字母排序，找到SVCHOST.EXE（正常XP的話應該都在四個以上，有很多個是正常）
如果後面的使用者是「SYSTEM」「NETWORK SERVICE」「LOCAL SERVICE」的話，表示安全。（就是沒有其他程式冒用你的名字或系統在使用）

（2）最為普遍的GENO檢證
Windows (XP、2000、VISTA) 系統共用：
A）開始→執行→輸入 cmd.exe（可以只輸入cmd） →確定
→出現黑色DOS視窗，表示沒有問題，視窗可以留著第3步用，繼續步驟B
→如果沒有任何反應（CMD-命令提示字元啟動不了），很可能已經被感染

B）再度叫出執行視窗，輸入regedit→確定
→出現登錄編輯程式視窗。這個視窗第四步驟有用。
→若沒有任何反應（啟動失敗），很可能已經被感染

※「開始→執行」也可以用快速鍵：鍵盤上的視窗鍵+R
※步驟B的登錄編輯視窗，是在手動清除病毒中非常重要的工具，即使不是GENO，這工具死掉了也是一件非常嚴重的事情。我之前中海盜，在安全模式下手動砍登錄檔的時候也是用到它。話說我之前要設無線網路和繪茶需要固定IP，為了查IP和DNS，黑窗cmd可以說是開到不要再開了XD

（3）更穩當的複寫確認
A）請到C:＼WINDOWS＼system32＼這個資料夾，找到sqlsodbc.chm（圖示上有個黃問號，很好認），右鍵→內容，確認它的容量。

不想慢慢找的話，還有一個方法，就是在步驟2-A開的cmd黑視窗輸入：
「dir C:＼WINDOWS＼system32＼sqlsodbc.chm」然後按enter，它會告訴你容量。

※Windows2000有可能根本不存在這個檔案，不過如果有裝Office的話可能會自動生成。系統做出來的sqlsodbc.chm應該和XP版是一樣的東西。

B）請確認sqlsodbc.chm的容量
中文作業系統→51.1KB＝52,378bytes
（日文OS→50,727bytes；英文OS→46,133bytes）

※據說GENO使用這個檔案是比較稀有的病毒，確認容量是要檢查這檔案是否被覆寫。
※據說被覆寫之後容量很可能會落在1000～2000bytes之間或是大於正常值。

如果還不放心，可以去找驗證MD5值的工具，就知道這個sqlsodbc.chm有無被竄改。
我驗出來的兩個數值如下（繁體中文OS）：
MD5：783C214023FA93031DD4FF9EC76BF319
CRC32：1443C432
SHA-1：我沒驗orz
這個亂數就如同檔案的身份證，每個檔案都不一樣。

（4）縝密檢查
打開步驟2-B開出來的登錄編輯程式視窗，前往以下目錄：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
檢查有沒有尾墜或檔名奇異的檔案（如.tfhj或者B[a]等）。一般來講不出dll,drv,ax,acm等等。
（這個要平常有接觸的人才看得出來……）

（5）
其他症狀：
＊記憶體使用量大幅增加、CPU使用率動不動飆到50％上下
＊防毒軟體無法更新、無法連上如Windows Update、AntiVirusKitt等相關網站
＊瀏覽器常常異常中止
＊Google的搜索結果被竄改
＊Acrobat 軟體自動跳出並啟動、並以非常高頻率要求更新
＊PDF檔案無端增值佔用電腦空間
＊重新啟動時看見那傳說中的藍色當機畫面
（即使不是GENO，以上症狀也可能是其他病毒……）

至於關於事前預防（關閉語法、遮斷IP等等）還有以確認感染網站列表，
可以參考我上面貼的注意!!針對同人網站進行擴散的病毒這個站！

感染不乏大手社團和公司官方網站、同人分類統整資訊網站，尤其同人站以很快的速度在擴張。大家要多小心一點，因為一向低調的女性向這次遭殃得很嚴重。

另外目前已確認avast!似乎偵測得到病毒了，其餘軟體不明。
由於病毒變種的速度可能相當快，大家還是小心為妙！

｜コメント：0 ｜トラックバック：0 ｜

トラックバック

この記事にトラックバックする(FC2ブログユーザー)