Gumblar(ガンブラー)ウイルスの早期発見方法につきまして

Gumblar(ガンブラー)ウイルスの早期発見方法につきまして

Gumblar(ガンブラー)はウイルス名ではないという話はさておき、、、
感染しているかどうか？をすばやく発見する方法はないでしょうか？

一昔前に流行した、Autorunウイルスのように、
ドライブ直下に「autorun.inf」が存在しているとか、
スタートアップに「mmvo.exe」が存在するとか、
そういった特徴はあるのでしょうか？？

今のところ、レジストリで、
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32」
あたりで変な記述がないかを見て、
スタートアップに変なのないか見て、
「sqlsodbc.chm」のハッシュも見て判断しています。
今のところ、感染したPCを見たことがないので、
自分の確認方法であっているのか不安です。

宜しくお願いいたします。

No.4 ベストアンサー 回答者： localica 回答日時： 2010/02/05 13:05

>感染しているかどうか？をすばやく発見する方法はないでしょうか？

ウイルス名ではないと言うことを理解しておられるなら、感染するマルウエアが一定でないこと理解してくださるでしょう。
すなわち、現時点で確実な方法はありません。
従って、オーソドックスな方法一つずつ確認するしかありません。

レジストリとスタートアップは良い確認方法です。
以下のキーも確認すと良いと思います。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

また、netstatなどで通信を見るのも良いと思います。

しかし、根本的には「感染させない」ことが重要ですので、パッチの適用とウイルス対策ソフトの更新が効果的です。

可能であるなら、ブラウザのJavaスクリプトも制限する方が良いです。

No.5 回答者： kenichi201 回答日時： 2010/02/08 09:54

Gumblarはいかんせん亜種が多く、すばやく発見できる万能ツールというのは残念ながら無いですね。

気になる時は、
セキュリティソフトスキャンをかけてみる
それでも心配なら各種無料オンラインスキャンをかける
ってとこですかね。
以下のページに予防⇒感染の確認⇒駆除までにわたって詳しい解説があります。無料オンラインスキャンのリンクも多く貼られてたので、参考にされては？
http://www.seculead.jp/contents/2010/01/gumblar. …

この回答へのお礼

回答ありがとうございます。

リンク先見ました。
詳しく記載されているので、他の人にも薦められそうです。

対策ソフトのスキャンって、ウイルス本体はしっかり駆除してくれますが、
レジストリとかはあんまり修正してくれないので、
やっぱり手動駆除が確実なんです。。。

お礼日時：2010/02/08 20:44

No.3 回答者： localica 回答日時： 2010/02/05 12:38

>感染しているかどうか？をすばやく発見する方法はないでしょうか？

ウイルス名ではないと言うことを理解しておられるなら、感染するマルウエアが一定でないこと理解してくださるでしょう。
すなわち、現時点で確実な方法はありません。
従って、オーソドックスな方法一つずつ確認するしかありません。

レジストリとスタートアップは良い確認方法です。
以下のキーも確認すと良いと思います。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

また、netstatなどで通信を見るのも良いと思います。

しかし、根本的には「感染させない」ことが重要ですので、パッチの適用とウイルス対策ソフトの更新が効果的です。

可能であるなら、ブラウザのJavaスクリプトも制限する方が良いです。

この回答へのお礼

回答ありがとうございます。

おぉ！netstatを忘れてました！

なんか、ウイルス発見レベルが上がった気がします。

お礼日時：2010/02/08 20:40

No.2 回答者： Lchan0211 回答日時： 2010/02/05 11:27

sqlsodbc.chmのチェックは、GENOウィルスの感染チェック方法だったと思います。

ガンブラー亜種は相当進化しており、まず、攻撃対象PCの脆弱性を調べ、、
存在する脆弱性に対応した適切(?)なウィルスを忍び込ませ、パスワードを
盗みとるという形になっていたと思います。
Officeのパッチが最新でなければ、Officeの脆弱性をついた攻撃プログラムを
ダウンロードし、Officeが最新でも、Adobe Readerのバージョンが古ければ
PDFの脆弱性をつく攻撃プログラムをダウンロードして実行させるというように
PCによってダウンロードされる攻撃プログラムが異なるはずです。

http://itpro.nikkeibp.co.jp/article/COLUMN/20090 …
で、実際に感染実験した報告がありますが、これは一例でしかないと思います。

可能な部分を手動でチェックするのはよいですが、ここをチェックすれば
万全というのはないと思います。現在、ウィルス対策ソフトも亜種への
対応がなかなか追いつかない状況ですが、手動でチェックできる場所は
ウィルス対策ソフトで対策されていると思うので、やはりウィルス対策
ソフトの導入は最低限必須だと思います。

http://blogs.yahoo.co.jp/noooo_spam/59368027.html
も参考になると思います。

この回答へのお礼

回答、ありがとうございます。

ウイルス対策ソフトの導入はやっぱり必要ですね。

対策ソフトで駆除しても、レジストリにごみが残ってたりするので、
その辺りをすばやく発見する手段がないかと思っておりました。

それにしても、このウイルスの作者って勤勉ですねぇ・・・

お礼日時：2010/02/08 20:35

No.1 回答者： LOHA 回答日時： 2010/02/05 00:26

GENO、Gumblar、8080の情報はこのブログにかなり詳しく書いてあり、そこそこ参考になりました。

http://www.smilebanana.com/archives/2010/02/03-2 …

スタートアップにも変なのが出来るようなので、チェックなさっているのであれば問題ないでしょう。

もっとも、FlashPlayerなどのバージョンを最新版にする、Firefoxでno scriptなどのセキュリティ系アドオンを使う、などの予防も重要でしょう。

この回答へのお礼

回答ありがとうございます。

引き続き、スタートアップのチェックに専念します。

各プログラムのUpdateはやっぱり大事ですね。

お礼日時：2010/02/08 20:30