GENOウイルスが猛威をふるっているようです
ウイルスと言っても、インフルエンザなどではなく、パソコンに感染する方のウイルスのことです。
どんなウイルスなのかというと、実はよくわかっていないみたいなのですが、感染するOSはWindows 2000/XP/Vista/7(?)
感染したホームページを見ただけで感染します、現状アンチウイルスソフトでは見つけられないそうです。
感染する際に、ウイルスを呼び込むためシステムをクラッシュさせます、ブルースクリーンとか出ます。
PDFファイルがシステム上に大量に出来て、動作が重くなります。
サイト持ちの場合、FTPを通して自分のサイトを勝手に改竄し、ウイルスを呼び込んでくるコードを追加します。
サイトが感染しているかどうかの調べ方
ここのサイトに怪しいと思われるURLを入力し、JavaScript/PDFにチェックを入れます。
結果が出たら、そこの文章内を”gumblar.cn””martuz.cn”で検索します。
あればそのサイトは感染していると思われます。
その他の症状
- sqlsodbc.chmを改変
- cmd.exe、regedit.exeが起動不能
- 一部のアンチウイルスソフトが更新不能
- 特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
- ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
- FTPに接続するとパスワードを収集され新たな攻撃の踏み台にされる
- Googleの検索結果を改竄(リンクを弄る)
- explorer.exeや一部のブラウザが異常終了
- Acrobatが勝手に起動
- PDFファイルやシステムファイルが増殖
- CPU、メモリ使用率がUP
- 再起動時にBSOD
- 詳しくはここを読んでください。
- 主に同人関係の個人サイトが被害にあっているらしく、感染報告が相次いでいます。
当然ですが、Windows 7RCについての記述があまりないので、少し調べてみました。
Windows 7には最初から C:\Windows\Help\mui\0411\"sqlsodbc.chm" があります
通常の sqlsodbc.chm は以下
sqlsodbc.chm 98.7 KB (101,136 バイト)
MD5 :17AD7EA318FA49B0B7338063D75EDA0B
SHA-1 :D7E22080BF67CA6AE29BB12A51E865C22DDA48F7
CRC32 :929889FB
すでに"gumblar.cn"はドメインが放棄されているようで、今は専ら"martuz.cn"からの攻撃になっているようです。
"martuz.cn"のウイスルが置いてある所のアドレスは"95.129.145.58"ですが、"martuz.cn"からのアクセスを全て遮断したい場合は、"95.129.144.0-95.129.145.255"をブロックして下さい。