GENOウイルス対策
■ adobe readerを9.1.1にアップデートする(9.1:9.1.0では駄目)
(9.1.0)
http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
(9.1.1↑,をインストールしてから↓を適用)
http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1.1/misc/AdbeRdrUpd911_all_incr.msp
バージョン情報はadobe readerを起動してヘルプ→adobe reader ?についてで表示されます
■ adobe javascriptをオフに
adobe readerを開いて メニュー→編集→環境設定→javascript→adobe javascriptを使用のチェックを外す
■ adobe flashplayerを最新版に更新
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe
■ FirefoxにてNoscriptを利用
(Operaでflashオフにするのも有効です([F12]を押す→[プラグインを有効にする]のチェックを外す。
Javaも切っとくともっと安全([F12]を押す→[Javaを有効にする]のチェックを外す)
(sleipnir、IEでも上手に設定するとなんとかなりますが、難しいです。)
swfのロード、pdfの関連づけ、activeXの無効化がきちんと出来れば問題ないが、IEコンポーネント利用ブラウザでは難しい
そのアタリが比較的楽に設定できる上にJavaScriptを犠牲にする必要がないOperaはお勧め
■ hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
hostsファイルの在処
Windows XPの場合→「C:\WINDOWS\system32\drivers\etc」
Windows 2000の場合→「C:\WINNT\system32\drivers\etc」
Windows 95/98/MEの場合→「C:\Windows」
■ Vistaの人ははUACをONにする
--------------------------------------------------------------------------------
ウソクソ情報
■ javascriptを切ってても感染する(5/17現在)
今の時点ではウソだが将来的に、pdf or swfをjavascript経由せずに直接読み込ませるタイプのものが出てきたらアウト
とにかく↑のアドビ関連のアップデートを怠らないこと。
■ 感染した場合、インターネットキャッシュを削除すれば直る。
絶対にありえません。
--------------------------------------------------------------------------------
GENOウイルスの特徴
対策が甘いとWebページを開いただけで感染する。
一度感染したら回復が難しい。
既知のadobe製品等の脆弱性を突いてくる。
感染者のFTPアカウントを用いてサイトを改竄し、新たなウイルス配布拠点とする。
感染サイトのjavascriptの時点で、前回のものより複雑化しており、いまいちセキュリティ会社の対応が追いついていない。
--------------------------------------------------------------------------------
GENOウイルス感染確認方法
(現状(05/20)では感染が発覚したからといってどうにもできない、安心したい人用)
regedit.exe(レジストリエディタ)が起動するか確認する。
※このウイルスに感染しているとレジストリエディタが立ち上がらない。
確認方法
[Windowsキー]+[R]を押す。
「ファイルを指定して実行」という画面が出てくるので、入力欄に「regedit.exe」と入力して[OK]ボタンを押す。
※立ち上がったことを確認したらなにもせずに閉じる。
sqlsodbc.chmのファイルサイズの確認を確認する
Windows XP:
改竄されていなければ、C:\WINDOWS\system32\sqlsodbc.chmのサイズは50,727 bytesとなる。
Windows 2000:
そもそも存在しないはずなので、C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
.Net Framework等をインストールしていれば存在するようです。こちらに詳しく書かれています。
--------------------------------------------------------------------------------
誤検出対処法
(どちらのソフトも利用してないので、他ページからの転載。ミスがあればできれば報告お願いします。)
ノートンを使ってる方
Norton AntiVirus を起動する。
[オプション]をクリックする。メニューが表示されたら、[Norton AntiVirus]をクリックします。
左画面で、[Auto-Protect]-[例外]とクリックする。
右画面で、[新規]をクリックする。
除外したいファイル、フォルダ、ドライブへのパス(2ちゃんねるのログフォルダ等)を入力するか、または[参照]ボタンをクリックして、ファイル、フォルダ、ドライブを選択する。 フォルダを除外するには、[項目]ボックスにパスとフォルダ名を入力する必要があります。
Windows 98/Me を実行している場合、[次の検査から除外]セクションの適切なボックスにチェックマークを付けて、除外したい活動の種類を選択する。
Windows 2000/XP を実行している場合、ファイル、フォルダ、ドライブをウイルス検出から除外できる。 ファイル、フォルダ、ドライブを圧縮ファイルスキャンからのみ除外することも選択できる。
左の[オプション]画面で、[手動スキャン]-[例外]とクリックする。
手順 4 から 7 を繰り返す。
[OK]をクリックして、[Norton AntiVirusのオプション]ウィンドウを閉じる。
avast!を使ってる方
タスクトレイのavastのアイコンを右クリック
オンアクセス保護の管理
標準シールド
詳細な設定
追加設定
検査しない場所の修正
追加
2ちゃんねるのログフォルダ等を登録
--------------------------------------------------------------------------------
GENOウイルス感染からの復帰方法
(当方、この対処法について全く確認していません。自己責任でお願いします。)
C:\WINDOWS\Prefetch 内を全部削除
[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig
スタートアップに何も書かれていない行があったのでチェックをOFF
regeditを起動して(起動できない場合は command を実行してその中から regedit を実行) \\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認
再起動
C:\WINDOWS\System32\sqlsodbc.chm を削除 → 復活しないことを確認
正常なsqlsodbc.chmに差し替え
以下サイト様から引用
GENOウイルスチェッカー
http://geno.2ch.tc/