Gumblar(ガンブラー)ウイルスの早期発見方法とは?
- Gumblar(ガンブラー)ウイルスの早期発見方法について知りたいです。
- 感染しているかどうかをすばやく発見する方法はありますか?
- 現在の確認方法を行っていますが、どのような特徴や手法があるのか不安です。
- ベストアンサー
Gumblar(ガンブラー)ウイルスの早期発見方法につきまして
Gumblar(ガンブラー)ウイルスの早期発見方法につきまして Gumblar(ガンブラー)はウイルス名ではないという話はさておき、、、 感染しているかどうか?をすばやく発見する方法はないでしょうか? 一昔前に流行した、Autorunウイルスのように、 ドライブ直下に「autorun.inf」が存在しているとか、 スタートアップに「mmvo.exe」が存在するとか、 そういった特徴はあるのでしょうか?? 今のところ、レジストリで、 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32」 あたりで変な記述がないかを見て、 スタートアップに変なのないか見て、 「sqlsodbc.chm」のハッシュも見て判断しています。 今のところ、感染したPCを見たことがないので、 自分の確認方法であっているのか不安です。 宜しくお願いいたします。
- t-tomy
- お礼率62% (49/79)
- ネットワーク
- 回答数5
- ありがとう数9
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>感染しているかどうか?をすばやく発見する方法はないでしょうか? ウイルス名ではないと言うことを理解しておられるなら、感染するマルウエアが一定でないこと理解してくださるでしょう。 すなわち、現時点で確実な方法はありません。 従って、オーソドックスな方法一つずつ確認するしかありません。 レジストリとスタートアップは良い確認方法です。 以下のキーも確認すと良いと思います。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run また、netstatなどで通信を見るのも良いと思います。 しかし、根本的には「感染させない」ことが重要ですので、パッチの適用とウイルス対策ソフトの更新が効果的です。 可能であるなら、ブラウザのJavaスクリプトも制限する方が良いです。
その他の回答 (4)
- kenichi201
- ベストアンサー率19% (13/67)
Gumblarはいかんせん亜種が多く、すばやく発見できる万能ツールというのは残念ながら無いですね。 気になる時は、 セキュリティソフトスキャンをかけてみる それでも心配なら各種無料オンラインスキャンをかける ってとこですかね。 以下のページに予防⇒感染の確認⇒駆除までにわたって詳しい解説があります。無料オンラインスキャンのリンクも多く貼られてたので、参考にされては? http://www.seculead.jp/contents/2010/01/gumblar.html
- localica
- ベストアンサー率52% (202/385)
>感染しているかどうか?をすばやく発見する方法はないでしょうか? ウイルス名ではないと言うことを理解しておられるなら、感染するマルウエアが一定でないこと理解してくださるでしょう。 すなわち、現時点で確実な方法はありません。 従って、オーソドックスな方法一つずつ確認するしかありません。 レジストリとスタートアップは良い確認方法です。 以下のキーも確認すと良いと思います。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run また、netstatなどで通信を見るのも良いと思います。 しかし、根本的には「感染させない」ことが重要ですので、パッチの適用とウイルス対策ソフトの更新が効果的です。 可能であるなら、ブラウザのJavaスクリプトも制限する方が良いです。
お礼
回答ありがとうございます。 おぉ!netstatを忘れてました! なんか、ウイルス発見レベルが上がった気がします。
- Lchan0211
- ベストアンサー率64% (239/371)
sqlsodbc.chmのチェックは、GENOウィルスの感染チェック方法だったと思います。 ガンブラー亜種は相当進化しており、まず、攻撃対象PCの脆弱性を調べ、、 存在する脆弱性に対応した適切(?)なウィルスを忍び込ませ、パスワードを 盗みとるという形になっていたと思います。 Officeのパッチが最新でなければ、Officeの脆弱性をついた攻撃プログラムを ダウンロードし、Officeが最新でも、Adobe Readerのバージョンが古ければ PDFの脆弱性をつく攻撃プログラムをダウンロードして実行させるというように PCによってダウンロードされる攻撃プログラムが異なるはずです。 http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=system&P=1 で、実際に感染実験した報告がありますが、これは一例でしかないと思います。 可能な部分を手動でチェックするのはよいですが、ここをチェックすれば 万全というのはないと思います。現在、ウィルス対策ソフトも亜種への 対応がなかなか追いつかない状況ですが、手動でチェックできる場所は ウィルス対策ソフトで対策されていると思うので、やはりウィルス対策 ソフトの導入は最低限必須だと思います。 http://blogs.yahoo.co.jp/noooo_spam/59368027.html も参考になると思います。
お礼
回答、ありがとうございます。 ウイルス対策ソフトの導入はやっぱり必要ですね。 対策ソフトで駆除しても、レジストリにごみが残ってたりするので、 その辺りをすばやく発見する手段がないかと思っておりました。 それにしても、このウイルスの作者って勤勉ですねぇ・・・
- LOHA
- ベストアンサー率52% (203/388)
GENO、Gumblar、8080の情報はこのブログにかなり詳しく書いてあり、そこそこ参考になりました。 http://www.smilebanana.com/archives/2010/02/03-2145.php スタートアップにも変なのが出来るようなので、チェックなさっているのであれば問題ないでしょう。 もっとも、FlashPlayerなどのバージョンを最新版にする、Firefoxでno scriptなどのセキュリティ系アドオンを使う、などの予防も重要でしょう。
お礼
回答ありがとうございます。 引き続き、スタートアップのチェックに専念します。 各プログラムのUpdateはやっぱり大事ですね。
関連するQ&A
- ウィルス、IframeとGumblar(ガンブラー)の違いは?
少し前位からコンピューターウィルスの Gumblar(ガンブラー)の話題が出始めました それで、私の場合 1ヶ月位前だったでしょうか? ガンブラーじゃないんですが Iframe…正式表示(?)はHTML/Iframe.B.Gen ウイルスですが そのウィルスがヒットした事が、あります だた、結論から言うと ウィスル用ソフトにはESET Smart Securityを使用しており ヒットした瞬間に 隔離したという画面表示が出た為 心配は、してません 尚、私が遭遇(?)したIframeに関しては ESET Smart Securityの返答を聞くと 感染したHPにアクセスすると ユーザーが知らない間に ウィルスを含んだページ等にアクセスさせられ ウィルスをDL(ダウンロード)等させられるとの事でした 余談ですが、Iframeに関しては ウィルスバスターのHPに、動画で解説が載ってます http://jp.trendmicro.com/jp/threat/threats-knowledge/web/introduce-sample/flash/menace2/ しかし、このIframeに、しても ガンブラーに、しても 解説を見ると、似た様な解説にも感じたんですが この両者、違いは何でしょうか?
- ベストアンサー
- ウィルス・マルウェア
- ウィルス『ガンブラー』について教えてください。
ウィルス『ガンブラー』について教えてください。 最近よく耳にする『ガンブラー』というウィルスは どんなものなのでしょうか? 感染しているサイトを見ただけでも感染するとか 言う話も聞きます。 私のパソコンは、『ウィルスセキュリティ』という ウィルス対策ソフトを入れているのですが、 それでも感染する可能性があるのでしょうか? また、不特定多数の人とネットのゲーム等をしたり チャットをしたりしていたら感染する可能性は 高いのでしょうか? また、対策方法や、駆除方法もあったら教えてください。 感染して、今パソコンの中に保存しているものが 消えてしまわないかどうかが、1番気になっています。 宜しくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- JS_GUMBLAR.ERKというウイルスについて
ウイルスバスター2009で「ファイルが隔離されました 脅威名 トロイの木馬」とポップアップ表示されました。 ログを見ると「JS_GUMBLAR.ERK」というウイルスに感染していたようです。 調べてもよく分からないことがあるのでいくつか質問させてください。 ・ウイルスバスターのサイトによるとこのウイルスの発見日は2009年6月10日とあるのですが、 感染する前にブロックなどはできないものなのでしょうか? ・ポップアップ表示では脅威名トロイの木馬と表示されたのですが、 隔離ファイルを見るとトロイの木馬隔離ではなくウイルス隔離の方に隔離されていました。 このウイルスはトロイの木馬ではないのでしょうか?(ZENOウイルス?とも言われているらしいですが違いがよく分かりません) ・一応ファイル削除はしたのですが今後PCが不調になったりする可能性はありますか? ウイルスに感染したのが初めてでおかしな事を言っているかもしれませんが宜しくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- sqlsodbc.chmのサイズは大丈夫でもgenoウィルスに感染している可能性は?
ウェブで公開されている方法でgenoウィルスに感染しているか自分で調べてみたんですが、sqlsodbc.chmのサイズは50,727バイトで標準でした。 ですが、そんなに使っている覚えはないのにローカルディスク(C:)の空き容量が全体の8%なんです。 これはgenoウィルスに食われてるんでしょうか、それとも単に元々それだけ使用しているからなんでしょうか?
- ベストアンサー
- Windows XP
- GENOウイルスによるsqlsodbc.chmの上書きについて
最近GENOウイルスというウイルスが流行していると聞いたので、 まとめサイトをよく読んで感染しているのかどうか確かめました。 (使用PCはWindows XPです) その結果レジストリエディタとコマンドプロンプトは開いたものの、 sqlsodbc.chmというファイルのサイズが「50727バイト」ではなく、「48383バイト」となっていました。 この数値が問題なんです。 まとめサイトを3件ほどまわったところでは、 感染しているPCのsqlsodbc.chmのサイズは1000バイト台などと明らかに少ない数値であるとか、 機種によって数値はバラバラだとか色々な情報を拝見しましたので、 こんな中途半端な数字を見て「これって感染しているのかな?」と悩んでいます。 また、私は個人でサイトを運営しているのですが そのサイトを最後に更新したのは2009年5月9日で、 先日全てのページのソースを確認しましたが改ざんされた様子はありませんでした。 一応対策としてadobeを最新のバージョンにしました。 ウイルスソフトもノートンのインターネットセキュリティ(おそらく最新のものです)を使用しており、 今のところ何も引っかかった様子は見られていません。 とにかくsqlsodbc.chmのファイルサイズが中途半端なので、 感染しているのかしていないのかが分からず次の行動に困っています。 どなたかこういう事に詳しい方がいらっしゃいましたら答えていただけると嬉しいです。 「これじゃ分からないよ!」という部分がありましたら遠慮無くお申し付けください。 それでは、よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- gumblar-xに感染?
お恥ずかしい話ですが、対策が不十分で、FTPでhtmlファイルをアップロードすると、<script ~から始まるタグが付け足されたりして、Gumblar-xと思われる症状がいくつか出てしまいました。avast!が警告を出したので気づいたのですが…不正アクセスの履歴もありました。 ちなみに不正アクセスは数日前にパスワードを変えてから、現在のところは一度もありません。 それで駆除しようと、色々と関連サイトを見て、何度もウィルス検出を試みたのですが、どうしてもPCに感染箇所が見当たりません。また、動作が遅くなるなどの異常も見られません。 スキャンしても100%発見できるというわけではないとのことですが、こういう場合はどうしたらいいのでしょうか?リカバリをすれば問題ないのでしょうか? それとも別のウィルスに感染してしまったのか、他に問題があるのか、こういうことには素人なのでまったく分からず、お手上げ状態です。 どうすべきか方法を是非教えてください。よろしくお願いします。
- ベストアンサー
- スパイウェア
- GENOウイルス感染対策
最近はやっているGENOウイルスに感染しました。 しかし、まとめサイトなどにのっている ・sqlsodbc.chmを改変 ・cmd.exe、regedit.exeが起動不能 ・一部のアンチウイルスソフトが更新不能 ・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト) ・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集 ・Googleの検索結果を改竄(リンクを弄る) ・explorer.exeや一部のブラウザが異常終了 ・Acrobatが勝手に起動 ・PDFファイルやシステムファイルが増殖 ・CPU、メモリ使用率がUP ・再起動時にBSOD(=Blue Screen Of Death、青いエラー画面) ・タスクトレイから常駐アイコンが消える(主にセキュリティソフト関係) のほとんどの症状に当てはまりません。 あてはまるのは 「sqlsodbc.chmのサイズが1,323バイト」 の1つだけです。 色々調べてみたら、それだけで感染の疑いがあることなので周囲からはOSのクリーンインストールを薦められています。 しかし、私のパソコンは家族兼用なので、両親にウイルスについて信じてもらわないとクリーンインストールできません。 私が何度も言うので ・サービスパック3に変える ・Avast!とマイシールドでスキャンしてウイルス削除 ・Adobeのリーダーとフラッシュプレーヤーを最新にする ・IEを最新にする ・JAVAスクリプトを切る ・パソコンを感染前に戻す などの対策をとってくれましたが、「sqlsodbc.chmのサイズが1,323バイト」は変わりません。 信じてもらえるように某社のウイルス改ざんのお詫びを見せてみたのですが、そこの対処方法がウイルスバスターの2008に繋がっていたことと、そこからつながるエフセキュアでスキャンした結果何もなかったしパソコンも異常がないので都心伝説とか絶対感染していない!と言って信じてもらえません。 親の意見は ・sqlsodbc.chmのサイズが1,323バイトで「1,323バイト」だと何がいけないのかがわからないから怪しい ・トレンドマイクロのウイルス検索にもひっかからないのでそんなものは存在しない です。誰か説明してくださる方はいませんか?
- ベストアンサー
- ウィルス・マルウェア
- GENOウイルスの感染チェック sqlsodbc.chmが見つからない
http://www31.atwiki.jp/doujin_vinfo/ ↑を見て、GENOウイルスに感染していないかチェックしようとしたんですが、私のmuiの中には「0411」「0409」はあったのですが、sqlsodbc.chmがないです。。。 「検索をかけても検索条件に一致する項目はありません」と出ます。 どうしたらいいでしょう?? http://www.trendflexsecurity.jp/free_security_tools/housecall_free_scan.php ↑ここでオンラインスキャンはしてみました。ウイルスは検知されませんでした。 自分のサイトの</head>と<body>の間には特に変なものはありませんでした。 Vistaです。
- ベストアンサー
- ウィルス・マルウェア
- 私のパソコンはGENOウイルスに感染しているのでしょうか?
いつもお世話になっています。 タイトル通りなのですが、私のパソコンがGENOウイルスに感染しているのか分からなくて困っています。 5日ほど前にGENOウイルスの存在を知って、対策サイトに記載されているチェック方法を試しました。 regedit.exeとcmd.exeが立ち上がるか、sqlsodbc.chmのサイズは50727バイトか、アンチウイルスソフト(カスペルスキーのオンライン版とウイルスバスター2009でやってみました)でウイルスが検知されるか、の3つの方法です。 結果は全て正常でした。 なので感染はしていないだろうと思ったのですが、今日、よく行くサイトに「ゴールデンウィーク頃、このサイトがGENOウイルスに感染していたようです」という旨のお知らせが掲載されていました。 GENOウイルスは感染ページを見ただけで感染するウイルスだと聞いているのですが、上にも書いた通り、GENOウイルスの感染チェックには引っかかっていません。ちなみに、ゴールデンウィーク中にもそのサイトは見てしまっています。 私のパソコンはたまたま大丈夫だったのか、それともGENOウイルスに潜伏期間のようなものがあって、まだ被害が出ていないだけなのか、とても気になります。 WindowsXP、IE6を使っていて、感染ページを見たときは、Javascriptはオン、Adobe Readerは9.1.0だったのですが…(Flashは最新版だったと思います) 詳しい方がいらっしゃいましたら、ご回答よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- GENOウイルス
GENOウイルスに感染していることにきづいたので、マカフィーの これを試しているんのですが http://www.mcafee.com/Japan/mcafee/support/announcement20090527.asp この手順2のところで [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]のカテゴリの [aux]又は[aux*] (*は数字が入ります)という項目を探して [aux]又は[aux*] (*は数字が入ります)の[Description]及び[Publisher]の列が空白である項目のチェックを外します。 とあるんですけど何故かそのauxっていうところが[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]にありません… そのカテゴリのすぐ下はmidiから始まっています 私が感染しているのはたぶん亜種です (コマンドプロント・レジストリエディタ開く、sqlsodbc.chmは1312(?)byteに&開けず、再起動してもブルースクリーンでない、マカフィーウィンドウズアップデートなどにもアクセスできる ) avastで検地された時にチェストにいれて削除されました パソコンはPCはNECのLavie(ノートパソコン)で型番はLL750/C OSはウィンドウズXP プロバイダはYahoo!BBでブラウザはIE6 AdobeReader・FlashPlayerは感染後ですが最新版にしました 買って5年になります 事情があってすぐにはクリーンインストールができない状態です どなたか回答おねがいしますm(_ _)m
- 締切済み
- ウィルス・マルウェア
お礼
回答ありがとうございます。 リンク先見ました。 詳しく記載されているので、他の人にも薦められそうです。 対策ソフトのスキャンって、ウイルス本体はしっかり駆除してくれますが、 レジストリとかはあんまり修正してくれないので、 やっぱり手動駆除が確実なんです。。。