GENOでウィルス感染か?
コメントで教えていただいたのですが
パソコンショップGENOのページが4/4の朝から改ざんされ、トップページにアクセスするとウィルスに感染するとの情報が流れているそうです。
以下頂いたコメントを含めて紹介します。
症状は
AdobeReaderなどの脆弱性を突かれて、ブラックリストにもあるラトビアに接続するのだそうで確かにAdobeReadeのインストールを促されました。
改ざんされたGENOのページのスクリプトはブラウザからAdobeReaderやFlashPlayer(?)を起動して、別のサイトからPDFやSWFをダウンロードさせ、それで感染する、ということのようです。
このウィルス(バックドア)は一説によるとPC内のデータをラトビアのサーバー(94.247.2.195)に送信するのだそうです。
現段階ではセキュリティソフトの対応が追いついて無く、検知できても駆除出来ない可能性があります。
私はAVAST4を入れた母艦で今日どうやら感染したようです。
感染すると
タスクマネージャプロセス一覧を見ると、コマンドプロンプトを実行中ではないのにcmd.exeが起動しています。
CPUの稼働率が何も作業していないのに50%近くに上がります。
コマンドプロンプトで「netstat」を打ち込んで、通信しているアドレスに「94.247.2.195」があれば、現在進行形でウィルスが動作中なのだそうです。(2ch情報ですが)
(私の場合はこれはありませんでしたが)
「netstat -a」とすると、全部の接続をリストアップするようです。
感染の場合はリカバリ必須だそうです。
私の場合、上記赤字が該当しており、不具合は発生していないもののリカバリーしたら赤字の症状は回復しました。
つい最近デスクトップPCを更新したばかりでバックアップがあったのが幸いでした。
約数分で3月末の状態にリカバリー完了♪
ここをご覧になる方の多くはGENOもご覧になっておられるのでは?と思い記事にいたしました。
追記
ADOBE ReaderとADOBE FLASH PLAYERを最新に更新していれば防げたそうです。
ところで
"ラトビア ウィルス"で検索をかけるとAVGの公認再販売業者サイトがヒットする。
まさかAVGが自分でばら撒いているんじゃないだろうな?
LinuxのEeePC900Aでも見たんだけど大丈夫なのかな?
Acronis True Image Personal 2 って2千円しないけどよい仕事してくれます。
メ潤[スネクスト Acronis True Image Personal 2 【送料無料】 販売元:ショッピングフィード ショッピングフィードで詳細を確認する |
| 固定リンク
この記事へのコメントは終了しました。
コメント
そうですか (ノд・。)
これが事実だとすると、GENOは大変な損害を被りますね。
私も、ほぼ毎日のように覗きにいっていますが、今のところご指摘のような症状はみられませんでした。ホッ!
XPの母艦、Win7の900A,ともに無事でしたが、どこかに潜んでいて何かの折に活動されると困るから、リカバリどうしようかなあ・・・。(迷い)
AdobeやJAVAがやたらと自動で更新要求してくるのも関係あるのだろうか。
ともかくも、有用な情報を提供していただきありがとうございました。
投稿: MWS | 2009年4月 5日 (日) 22時16分
MWSさんへ
>AdobeやJAVAがやたらと自動で更新要求してくるのも関係あるのだろうか。
Adobeが関わっておりますので怪しいですねぇ。
普通はそんなことありませんからね。
私はCPU稼働率とcmd.exeの活動を判断基準にしましたよ。
リカバリした後はcmd.exeも活動しませんしCPU稼働率も何もしなければ0%です。
投稿: アンビンバンコ | 2009年4月 5日 (日) 22時30分
コマンドは
netstat -nb
の方が良いかもしれません。
どのアプリケーションが何処に接続しているかが一目瞭然ですので。cmd.exeが何処かに接続していたらアウトです。
現状報告では接続先が「94.247.2.195」のブラックリストなラトビア・サーバーですが、これを見つけたら現在進行形でPCが”情報漏洩中”です。
いやぁ、会社のPCで閲覧して無くて良かったです。平日でなくて幸いでした。
GENOから買い物をしたことがある方は、顧客情報が漏れた可能性があると思うのですが、どうなんでしょう。特にクレジットカードを使った方は、番号とか漏れて面倒なことになるんじゃ・・・
自分のサイトやブログに、GENOへのリンクを張っている方も、速やかに除去した方が被害拡大を防げると思います。
私のPCも、気持ち悪いのでクリーンにリカバリしようと思います。
投稿: akira | 2009年4月 5日 (日) 22時33分
akiraさんへ
先ほど過去記事のGENOへのリンクを削除したところです。
いやぁ、こりゃGENOも収益を圧迫されるでしょうねぇ。
サイトを運営していると他人事には感じられません。
早く復旧してほしいものです。
投稿: アンビンバンコ | 2009年4月 5日 (日) 22時52分
昨日4/4の昼11:00頃 このサイトにアクセスしたら
ウインドが多数開いて Alt+F4でも閉じるのが追いつかなくなりました。
怖くなってとりあえずFn+F2で無線接続を切りましたが
ウインドの開きは止まらず(ウインドの内容は表示されず)
電源長押しで強制断しました。
とりあえず 再起動+正常終了+再起動 で元の動作になったので
トレンドのオンラインスキャンで 私のEee901が感染していない
ことを確認しました。
アンビンバンコ さんの Eee と サイトの関連性は不明ですが
とりあえず報告しておきまあす。
投稿: ひろ君ひろ君 | 2009年4月 5日 (日) 23時11分
GENOとは関係ありませんが、
ポータブルナビを購入し、SDカードのデータをバックアップしようと、
901に挿入したとたんにトロイの木馬発見と・・・
怪しいメーカーのカーナビ買ったからか・・・
投稿: FANG | 2009年4月 5日 (日) 23時35分
ひろ君ひろ君さんへ
>このサイトにアクセスしたら
このブログじゃないですよね(^^;
ちなみにAVAST4は役に立ちませんでした。
ウィルスソフトより症状を確認した方が良いですよ。
FANGさんへ
ありゃりゃ、そんなこともあるのですねぇ。
でも感染しなくて良かったですね。
投稿: アンビンバンコ | 2009年4月 5日 (日) 23時43分
初めて書き込み致します。
いつも有益な情報を掲載して頂き、大変参考になります。
ありがとうございます。
4日午後10時半頃にGENOにアクセスをしましたが、CPU稼働率が100%になってしまい、IEのエラーメッセージが表示されました。
原因がわからず“???”だったのですが、こちらで納得。
CPU稼働率とcmd.exeの活動、「netstat」の状況を確認しましたが、感染はしていないようです。
明日の起動時に確認して異常がなければ、取り敢えず安心かな。
情報を頂き、助かりました。
本当にありがとうございます。
投稿: つちのこげんき | 2009年4月 6日 (月) 00時47分
つちのこげんきさんへ
私の場合は再起動後もCPU負荷率が高かったんですよ。
はやく復旧してほしいものですね。
投稿: アンビンバンコ | 2009年4月 6日 (月) 06時53分
さすがにGENOトップページは「現在サーバーメンテナンス中です」表示に変ってます。4月6日12時ごろからかな?(現在2時30分)
遅ればせながら、緊急事態に気づいたようです。
うーーん、大きな商売をしているサイトは土日もチェックするべきでしょうね。
投稿: MWS | 2009年4月 6日 (月) 14時36分
MWSさんへ
やっぱ閉じましたかぁ。
まずは閉じて被害拡大を防ぐべきでしょうね。
パソコン関連のサイトにしては対応が遅いように思います。
投稿: アンビンバンコ | 2009年4月 6日 (月) 20時47分
こんばんは。
そういえば、4月の第一週はeeeUbuntuで使っていました。
GENOウィルスサイトは、4/4時点では、まだUbuntuのFirefoxで閲覧していたので、私も気づきませんでした。Ubuntuが感染したというのも、特になかったと思います。
何にせよ、PCが重くなったり、アプリやOSの強制終了が増えてきたと感じたなら、速やかにクリーンインストールすべきでしょうね。システムを軽くする良い機会と思うべきか・・・はぁ。
#今回のウィルス、GENOウィルスって命名されてませんか?
投稿: akira | 2009年4月 6日 (月) 22時40分
akiraさんへ
私のEeePC900A(Xandros)は結局問題無さそうです。
GENOサイト、復旧していましたね。
セキュリティソフト売ってるのが皮肉に感じます。笑
投稿: アンビンバンコ | 2009年4月 6日 (月) 22時54分