03 | 2017/04 | 05
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 - - - - - -
プロフィール

ASHE

Author:ASHE
【往正常向日記請點我】

【賺取WebMoney教學請點我】
*本BLOG含有BL內容
*請勿無斷轉載任何文章或圖片
*連結請告知;TB請隨意
*comments是我的精神糧食

最近の記事

PLURK

最近のコメント

カテゴリー

CalendArchive

Banners

---賺WebMoney好站推薦---
お得なポイント貯まる!ECナビ

ポイント ちょびリッチ

マクロミルへ登録
---低調推廣串連---


因為不明錯誤所以mp3 player暫時關閉>< ---MP3 Player---

リンク

最近のトラックバック

ブロとも申請フォーム

この人とブロともになる

ブログ内検索

RSSフィード

スポンサーサイト

--.--.-- --:--|スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【死很大】關於GENO病毒(0520更新)

2009.05.20 00:34|[遊戲]PC主機
這幾天宿網狀況真差,害我開始擔心起來。Pixiv很慢、大部分日站都很慘、fc2的接續狀況更是糟到不行,讀超久又動不動給我找不到伺服器。聽說nico已經有動畫開始淪陷,不曉得是不是真的……我的生命不能沒有nico呀!而且JavaScript關了不就跟不能看nico一樣囧

關於最近肆虐日本的H1N1……不是,是GENO電腦病毒(木馬),我是很多天前就在pixiv得到資訊,然後那時資訊還沒這麼流通(中文幾乎沒有),所以為了確認自己電腦沒中毒,花了很多時間爬充滿專門用語的日文和英文站orz

現在已經有很多專門頁面可供查證,不過我還是寫一下自己的檢證經驗好了。
就當作對已有資訊的補完?對於初心者應該有用……吧orz
我把所有看過的檢證法(五種)都盡可能詳細寫在這裡。

參考網站(日):GENOウイルスまとめ同人サイト向け対策まとめUnderForge of Lack
參考網站(中):注意!!針對同人網站進行擴散的病毒看網頁就會中的病毒:JSRedir-R
(可以只讀中文站,我當時沒有中文資料所以很多東西確認得很辛苦= =)

*0520更新*
這個網站:GENOウイルスチェッカー Ver.1.1
可以在事前告訴你網址的感染機率,出現1000%的話表示中毒。請多加利用。
--------------------------------------------------------------

GENO病毒(JSRedir-R)是利用Adobe的安全性漏洞,啟用網站JavaScript感染,是光看網頁就會感染的病毒,所以請務必將Adobe更新到最新版,以及更新一下Windows安全性更新。停用JavaScript也可以解決,只是很多網站會不能看。
※JavaScript和JAVA完全是不同的東西
※Windows最近抓盜版抓很兇,進行安全性更新時請確認不要更新到不該更新的東西,不然你的螢幕每60分會陷入畫面告訴你可能是盜版受害者。(畫面解決法請自行咕狗)

檢證有沒有中毒(不論是不是GENO)的流程大概是這樣:

(1)
按ctrl+alt+del叫出工作管理員,看一下目前的處理程序,點一下上面的名稱,使他們按字母排序,找到SVCHOST.EXE(正常XP的話應該都在四個以上,有很多個是正常)
如果後面的使用者是「SYSTEM」「NETWORK SERVICE」「LOCAL SERVICE」的話,表示安全。(就是沒有其他程式冒用你的名字或系統在使用)

(2)最為普遍的GENO檢證
Windows (XP、2000、VISTA) 系統共用:
A)開始→執行→輸入 cmd.exe(可以只輸入cmd) →確定
→出現色DOS視窗,表示沒有問題,視窗可以留著第3步用,繼續步驟B
→如果沒有任何反應(CMD-命令提示字元啟動不了),很可能已經被感染

B)再度叫出執行視窗,輸入regedit→確定
→出現登錄編輯程式視窗。這個視窗第四步驟有用。
→若沒有任何反應(啟動失敗),很可能已經被感染

※「開始→執行」也可以用快速鍵:鍵盤上的視窗鍵+R
※步驟B的登錄編輯視窗,是在手動清除病毒中非常重要的工具,即使不是GENO,這工具死掉了也是一件非常嚴重的事情。我之前中海盜,在安全模式下手動砍登錄檔的時候也是用到它。話說我之前要設無線網路和繪茶需要固定IP,為了查IP和DNS,窗cmd可以說是開到不要再開了XD


(3)更穩當的複寫確認
A)請到C:\WINDOWS\system32\這個資料夾,找到sqlsodbc.chm(圖示上有個黃問號,很好認),右鍵→內容,確認它的容量。

不想慢慢找的話,還有一個方法,就是在步驟2-A開的cmd視窗輸入:
dir C:\WINDOWS\system32\sqlsodbc.chm」然後按enter,它會告訴你容量。

※Windows2000有可能根本不存在這個檔案,不過如果有裝Office的話可能會自動生成。系統做出來的sqlsodbc.chm應該和XP版是一樣的東西。

B)請確認sqlsodbc.chm的容量
中文作業系統→51.1KB=52,378bytes
(日文OS→50,727bytes;英文OS→46,133bytes)

※據說GENO使用這個檔案是比較稀有的病毒,確認容量是要檢查這檔案是否被覆寫。
※據說被覆寫之後容量很可能會落在1000~2000bytes之間或是大於正常值。

如果還不放心,可以去找驗證MD5值的工具,就知道這個sqlsodbc.chm有無被竄改。
我驗出來的兩個數值如下(繁體中文OS):
MD5:783C214023FA93031DD4FF9EC76BF319
CRC32:1443C432
SHA-1:我沒驗orz
這個亂數就如同檔案的身份證,每個檔案都不一樣。


(4)縝密檢查
打開步驟2-B開出來的登錄編輯程式視窗,前往以下目錄:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
檢查有沒有尾墜或檔名奇異的檔案(如.tfhj或者B[a]等)。一般來講不出dll,drv,ax,acm等等。
(這個要平常有接觸的人才看得出來……)

(5)
其他症狀:
*記憶體使用量大幅加、CPU使用率動不動飆到50%上下
*防毒軟體無法更新、無法連上如Windows Update、AntiVirusKitt等相關網站
*瀏覽器常常異常中止
*Google的搜索結果被竄改
*Acrobat 軟體自動跳出並啟動、並以非常高頻率要求更新
*PDF檔案無端值佔用電腦空間
*重新啟動時看見那傳說中的藍色當機畫面
(即使不是GENO,以上症狀也可能是其他病毒……)


至於關於事前預防(關閉語法、遮斷IP等等)還有以確認感染網站列表,
可以參考我上面貼的 注意!!針對同人網站進行擴散的病毒 這個站!

感染不乏大手社團公司官方網站同人分類統整資訊網站,尤其同人站以很快的速度在擴張。大家要多小心一點,因為一向低調的女性向這次遭殃得很嚴重。

另外目前已確認avast!似乎偵測得到病毒了,其餘軟體不明。
由於病毒變種的速度可能相當快,大家還是小心為妙!

コメント

非公開コメント

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。