GENO 病毒簡單整理

前言

日本人稱 GENO 病毒，西方人通稱 Gumblar，防毒廠商稱 Troj/JSRedir-R 的病毒，基本上是針對 Adobe 產品的 pdf reader 和 flash player 漏洞在攻擊的，惡意程式的目的是竊取側錄受害者主機的上網資料，以及阻止你查詢和更新防毒、反制方法。如果你手上有什麼 FTP 網站的帳密，也會盜走後進去竄改 FTP 上的檔案擴大感染途徑。

雖然目前 Windows 上一感染就得重灌才能清除，不過大家也不必太緊張，只要換掉 Windows 來用 Ubuntu 就好。（咦）

本文是從以下網站整理來的，這網站也能幫你檢查某網頁是否有可能受感染，只要別大於 100% 超過 100%，或是 1000% 都算安全：GENOウイルスチェッカー　Ver.1.1

預防方法

1. 升級 Adobe 產品（Adobe Reader、Flash Player）：因為目前是以攻擊 Windows 為主，所以先把有漏洞的 Adobe 產品更新上去再說。注意，不管你用什麼瀏覽器，或是用哪種 PDF Reader，都不能大意。
2. 關閉 Adobe Javascript：因為筆者沒在用 Adobe Reader，所以要請有安裝的各位自己找。
3. 停用瀏覽器的 pdf、swf、及 ActiveX 外掛程式的功能：請升級到 IE8、Fx3 或 Opera9，這些要停用外掛程式比較方便，各位可以挑方便的瀏覽器用就好。停用外掛程式後，就不會在上網時使用到這些有安全漏洞的程式了。
4. 阻止本機與遠端的惡意主機連線：在 Windows 上內建的是 hosts 這個檔案，可以讓你連不上指定網址的主機（正確說是讓這網址的目標指向本機），目前是加寫「127.0.0.1 martuz.cn」就好，不會的請找會的人教你寫。（更多相關說明請參考 要阻擋的主機位址）
5. 開啟程式控制功能：在 Vista 上就是 UAC 功能……不過我想大多數使用者都是直接關掉了吧。
6. 開啟 Windows 自動更新：雖然好像不關 Microsoft 的事，不過還是請各位行行好，把 Windows 自動更新打開吧。

感染後該怎麼辦

感染後只能手動刪除可疑檔案，和停止可疑的開機執行項目，請各位照以下步驟處理。因為並不能保證完全清除系統內的惡意軟體，所以有潔癖的還是建議重灌，最好是拿 Ubuntu 來重灌！（呃）

1. 關閉 Windows 的系統還原功能：找到桌面上的「(我的)電腦」圖示，在圖示上按滑鼠右鍵看「內容」，裡面有一頁就是「系統還原」。一定要先關掉這功能，不然後面做再多，病毒都還是會被系統備份下來。
2. 刪除所有 prefetch 預讀檔案：進「C:\WINDOWS\Prefetch」這路徑，把裡面的 *.pf 檔案全刪掉。
3. 刪除 IE 瀏覽器的暫存資料：各版本可能位置不同，不過開 IE 視窗後，在「工具 → 網際網路選項」中，應該都會有。
4. 關閉不明的開機啟動項目：從桌面下方的「開始」選單中，找到「執行」，點擊後跑出的對話框中，輸入「msconfig」並按 Enter 鍵，會跑出個好幾個頁籤的視窗，找找右邊的「啟動」啥的那頁，把裡面欄位中有空白的項目都取消勾選。
5. 檢查登錄檔中的開機啟動項目：雖然前項的應該就可以關掉所有開機啟動項目了，不過為保險起見，還是到這再檢查一下。一樣要在開始執行中輸入指令，這次要輸入「regedit」，如果發現無法執行，請改打「cmd」或「command」叫出黑底白字的文字命令列視窗，再輸入「regedit」叫出（還是不行的請寫批次檔叫）。進登錄編輯程式視窗，打開「HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows \CurrentVersion\Run」資料夾，看看右側頁框最上面那項，三個欄位是不是依序為「(預設值) | REG_SZ | (數值未設定)」。……不過就算不是，我也不知該怎麼做。
6. 重新開機：為了要讓已經在運作，且鎖定住問題檔案的程式能結束，所以前面的啟動項目改完後，請重新開機。接下來要確認是不是還有惡意程式在運作。
7. 刪除被竄改的 sqlsodbc.chm：目前的 GENO 病毒，會在系統資料夾中新增個 sqlsodbc.chm 檔案（或是竄改已存在的這檔案），所以先進「C:\WINDOWS\System32\」資料夾下，把這東東給刪除掉先，然後放一下子看看會不會再生，如果連重開機後也沒有再生的話，那代表病毒應該暫時不會做什麼了，所以等防毒軟體更新後，再做全機掃瞄吧。（sqlsodbc.chm 這檔案是某些會計軟體 .Net Framework 之類的軟體安裝的檔案，反正只是個說明檔，不重要啦。）

補充

• 這次用來接收被害者資料的網域名稱是 martuz.cn，不過並沒有個明確的網路位址（至少我用 Mintac.net 查不到），而且這次算是受害網站對使用者，受害 FTP 維護者被攻擊者透過網站更新對使用者，所以就算擋了那個中國大陸網站也是沒用的，大概就像你想擋掉 P2P 網路上的某個檔案流通一樣困難。
• 網路上有看到有人說「用Firefox連上Google搜尋時，會預先幫你讀取搜尋出來的連結內容，因此即使沒點連結也可能中毒。請關閉此功能。」，不過這功能似乎要網頁中有 rel="prefetch" 的超連結，才會去預讀，該文作者也許是安裝了什麼加速功能才會變成上 Google 搜尋後就預讀各搜尋結果內的網頁。 2009.06.17 補充，Firefox 預設是開啟的，不過 Google 搜尋也不是每個結果頁都會加上 rel 屬性，但是若你的 Adobe 產品沒更新的話，也許考慮關閉掉會比較好。（參考：Link prefetching FAQ - MDC）
• 有些網友說的 niconico 受到感染，指的不是 nicovideo.jp 的 Nico Video 本舖，而是其它可以搜尋和免帳號瀏覽 Nico Video 影片的網站。

要阻擋的主機位址

Windows 上除了 hosts 檔案外，一些防毒軟體或防火牆軟體也行阻止與網路上的特定主機的 IP 連線，可以參考本誌文章[網拍防詐] 如何對付網拍詐騙及釣魚網站。（以下名單是由 Purr＆Hiss: 注意!! 經由同人網站進行大幅擴散的病毒一文中取得）

• 78.109.29.112
• 94.229.65.160/27
• 94.247.2.0/23
• 95.129.144.0/23

其他相關網頁

• 星宿喵的萌落格 » 小心新病毒「JSRedir-R」（GENO/gumblar）
• 通称「GENOウイルス」・同人サイト向け対策まとめ - トップページ
• GENOウイルスまとめ - トップページ