ここから本文です

「GENOウィルス」と「ガンブラー」の感染確認方法について

picomazeさん

2010/1/810:45:57

「GENOウィルス」と「ガンブラー」の感染確認方法について

最近騒がれているウィルス「ガンブラー」とは、
「GENOウィルス」と全く同じものと考えていいんですよね?
そうだとすると、使用PCがWindowsXPの場合…

・レジストリエディタが起動するかどうか
・sqlsodbc.chmのファイルサイズが50,727byteかどうか

…の2つを確認すれば、感染しているかどうかがわかると
考えて問題ないでしょうか?
教えてください。お願いします。

閲覧数:
13,165
回答数:
4
お礼:
50枚

違反報告

ベストアンサーに選ばれた回答

zeusudaiouさん

編集あり2010/1/914:53:30

Gumblar(ガンブラー)は現在3タイプに分類されると言える。
1.本当のGumblar。GENOウィルスの事。
昨年の4月~5月にかけて行われた過去の攻撃で、現在このタイプは無い

2.Gumblar.x。昨年10月に攻撃が始まった、難読化されていないscriptタグを埋め込むタイプ。Gumblarの再来襲と言われていた。

3.「GNU GPL」「LGPL」「8080」と言われ、現在世間を騒がしているタイプ。
一般的にはGumblarの亜種と呼ばれている。
正確にいえばGumblarと言えないと思うがGumblarの名称で通っているので・・

GENOウィルス時の感染確認方法は全く役に立ちません。
・・にもかかわらず、ブログとかで、GENOウィルス時のチェック方法が記載されています。
あなたが記載している方法もGENOウィルスの時のやり方。よってこれでは感染の有無はチェックできません。

★今の所分かっている感染確認方法

(感染確認方法 )
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったら感染確定!

削除はセーフモードで起動させて
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
["sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp" ]
[ ]内を削除。

※sysgif32で検索

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム
\siszyd32.exe
siszyd32.exe ファイルを削除

くわしくは「新たなヴィルス Trojan Horse - siszyd32.exe」
http://www.googrekas.com/2009/12/topic-281956.html

"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいタイプで は
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる。しかし同じような名前なのですぐ気づくはず。

(追記)
8080系について「夜間便 at 01/08 - UnderForge of Lack」で
詳しく解説されています

「8080系に感染すると、MultiDropperという系統のダウンローダを埋め込まれます。これは環境の構成により、C&Cからの遠隔操作で様々な悪意ツールを自由自在に出し入れさせられることになります。
また、rootkit的な性質をもっており、いくつかのファイルを不可視にしたり、レジストリの痕跡を隠したりもしているようです」

http://www3.atword.jp/gnome/2010/01/04/warning-whoever-resurrected-...

気づいた時には時すでに遅しで、リカバリしかない状況ですね。

質問した人からのコメント

2010/1/11 08:32:07

皆様、お答えをありがとうございました。
この方法はもう通用しないのですね。
とても心強く、勉強になりました。

ベストアンサー以外の回答

1〜3件/3件中

並び替え:回答日時の
新しい順
|古い順

nao9512さん

2010/1/922:52:24

hang_200_tenさん

2010/1/815:47:35

GENOとガンブラーは同じです。
各ベンダーで呼び名が変わるだけです。

レジストリは関係ありません。
GENOの原因はサイト運営者がFTPアカウントを
盗まれるか、不正進入などでサイトのコードを
不正に書き換えられるからです。
そのサイトを見たPCが感染します。

感染だけなら、多くのセキュリティソフト、
もしくはオンラインスキャンでわかります。
ただし、そこのセキュリティソフトでも
処置が完全に対応していません。
これは、亜種が多く不正コードを難解にしているためです。

御自分のセキュリティソフトでのスキャンと
無料のオンラインスキャンをお勧めします。
http://lhsp.s206.xrea.com/misc/onlinescan.html

防止策としては、JavaScriptを切るのが一番ですが、
機能が限られてきます。
あとは、WindowsUpdate,Adobe製品
を最新、Java最新をお勧めします。
Genoがソフトの脆弱性を攻めてくる為に。

pinpopanda7さん

編集あり2010/1/820:04:33

全く同じでなく激しく進化しています。
最新型はカスペルスキーとavastのWEBシールドすらすり抜けるそうで・・・
アメブロのもFTPで抜かれたのでなく、そもそもサーバーに入ったのか確認中です。
万が一にでもサーバーの脆弱性を新たに見つけて入ったのなら「終わりの始まり」ですが・・・

デマ情報を整理したまとめはこちら
http://blogs.yahoo.co.jp/noooo_spam/

詳細がでました。
元祖・亜種・新型
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。