- 1 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/11 12:10:15 ID:j8DDPfNG]
- Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。
なお、ここは初心者の質問スレではありません。
■流行種
・元祖Antinny系 ・キンタマ系 ・batファイル ・スクリーンセーバー etc
■流行感染パターン
・exeの前にスペースたくさん(例:「秘密の写真.jpg .exe」等)
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・スタートアップに解凍させ、再起動後exeを実行させる
■DL後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルはうかつに実行しない
・ファイルのアイコンが偽装されてないか確認する
■全ての感染者に共通の、絶対確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。
前スレ
【警報】Winnyを狙ったワーム・ウイルス情報 Part25
tmp4.2ch.net/test/read.cgi/download/1093270545/l50
テンプレまとめ www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/
- 954 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:28:10 ID:sOLz9K12]
- >>950
自分がアップしたファイル名がわからないので、完了後に一番上にある画像のリンクが使われるらしく、
複数同時にアップされたような場合、同じファイルを指してしまうことがあるらしい。
ファイル自体は、アプロダに個々に存在してるので、リンクだけが同じになってしまっている。
- 955 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:30:17 ID:xduUn+v/]
- 新種というか>>867の詳細
原種/亜種ともに
Software\Borland\Locales
Software\Borland\Delphi\Locales
Software\Meropa
が存在。DelphiとMeropa使いの犯行
Software\Microsoft\Microsotf
このオチャメな行はなんだろう↑?
Maropa2chなる文字列もあるが、ユーザーエージェントか? これを弾けばBBS投下はとまるかも
今度はBBS投下文字列を少しいじって
【コンピュータ名】【ユーザー名】【今こんな事やってます】になってる
メール欄には「私は升ツールを使用しようとして 罠にかかりました」と表示
ターゲット板が、ネットゲーム、ネトゲサロン、ち〜と、雑談系2、厨房!に変更
感染プロセス名は sugoimonoss.com
SS投下先は ttp://up.isp.2ch.net/upload/c=03okari/index.cgi で同じ
わざわざ、閲覧しやすいように ttp://v.isp.2ch.net/ に変えて投下SSを案内
コンパイル時の差異によるバイナリ差があるので、オリジナルに第三者が手を加えた
ものではなく、オリジナル開発者による、パラメータ変更の第二段と考えるべきだろう。
以上、おわり
- 956 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:30:37 ID:adI/sxzM]
- 壁紙やアイコンが見えない状態のSSは成りすましが可能なので注意だな
- 957 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:31:26 ID:y1QaqjMm]
- 俺は実行したくないけどFW超える物なのか?
EXE単位で許可するFWなんだがこいつをスルーするのか?
- 958 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:33:27 ID:cDvdfQLH]
- >>957
スルーする訳ない、安心汁
- 959 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:35:20 ID:fWYTZuQ9]
- >>957
ホワイトリストで許可を出してるFWなら大丈夫だろう。
何を使って、どんな設定にしてるのかわからんけど。
- 960 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:35:37 ID:62NRg8JO]
- >>954 ありがとうさん
>>955 解析おつかれさん
- 961 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:36:55 ID:xduUn+v/]
- f/wに関しては、ポート指定物は無力
アプリレベルで止めるものでも、そのうち、ありがちなアプリ名に偽装
した亜種が出てきたら、見分けつかない。 プロセス名は簡単に変えれるっぽい。
- 962 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:44:00 ID:adI/sxzM]
- あとProxomitronとか狙い撃ちされたらFW効かなくない?
- 963 名前:[名無し]さん(bin+cue).rar [04/09/23 21:46:54 ID:o03myoTB]
- 今んとこ2種類だけか?
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕56B9
〔CRC32〕FC57D234
〔MD5〕 b7921479f8a9079c59c20ef5964338e4
・苺キンタマ(亜種)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕775A
〔CRC32〕022A1F64
〔MD5〕 5f323255060be4ddf715fa8fa88f883a
- 964 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:47:24 ID:rREsfmrT]
- >>864の〜ol25.zipをダウンロードして解凍してみたらconfig.txtだけ解凍に失敗した
なんでだろう
- 965 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:47:36 ID:cDvdfQLH]
- その内作者がShareにウィルスのソース流しそうな予感
- 966 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:48:53 ID:h0nUPIzO]
- >>965
ガクガクブルブル
- 967 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:06 ID:h0nUPIzO]
- つか、これって知り合いが感染しても自分のデータが流出する可能性があるんだよな?
- 968 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:47 ID:3I9wKrJu]
- >>964
readmeに書かれているが関係してるのかな?
解凍するだけでエクスプローラが落ちた_| ̄|○
- 969 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:50 ID:xduUn+v/]
- >>963
>>864の config.txt(今のとこ苺キンタマ亜種)で、
漏れのとこに保護してあるのは
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
なんだが……?
- 970 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:52:08 ID:OVqRCEPB]
- >>967
嫌がらせでやる奴いるかもな・・
- 971 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:56:22 ID:r3qqNy/W]
- これってファイルをダブルクリックしなければ大丈夫なんでしょうか?
- 972 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:24 ID:h0nUPIzO]
- >>971
亜種も出てきてるしその考え方はよくない
- 973 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:29 ID:cDvdfQLH]
- うん
- 974 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:30 ID:h0nUPIzO]
- 亜種情報
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、解凍後にラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。
- 975 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:cDvdfQLH]
- Delphi程度の言語でしかウィルスを書けない作者が、Windowsのセキュリティホールを利用した
ウィルスを開発するなんてまず無理なんで、とりあえずクリッコしなけりゃだいじょーぶさー
- 976 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:y1QaqjMm]
- 俺ならIEを起動してうpろだに書き込むようなプログラムにする
2chに無理に書く必要は無い
IEに許可与えてない奴は居ないだろうしな
ウイルス感染がばれ易くなるから、マウス、キーボード操作がある一定時間無い時をAFKだと認識してUP
SSは定期的に溜め込んで置く
- 977 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:53 ID:r3qqNy/W]
- >>971
そうですね・・・。うかつにアップローダのファイルも開けない状態になってしまった・・・。
- 978 名前:963 [04/09/23 22:00:13 ID:o03myoTB]
- >>969
漏れが書いてる亜種は>>864のアプロダと同じとこにうpしてあった
ttp://picopico.dip.jp/ragnarok/data/1/1095920291421_wana.zip
これ↑のなかの「AretoolTest25〜.exe」ってやつ
バイナリのなか見たら亜種クサかったんで
ちなみにこいつ↓を落としたんだが、964氏と同じでconfigが解凍できなかった
ttp://picopico.dip.jp/ragnarok/data/1/1095925509796_AreTool25.zip
- 979 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:24 ID:cDvdfQLH]
- svchost.exeとかにするな俺なら
- 980 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:35 ID:wowdpe/L]
- >>964
漏れも。解凍はしてないけど、解凍ソフトのメニューで右クリックをしようとしたらメニューが表示できないとか言われてびびった。
一応感染してないかどうか調べようとして、ファイル検索では見つからなかったがレジストリエディタでsugoimonoss.comがヒット(;´Д`)
びっくりしてよく見て見たらWindowsの検索履歴だった罠・・・驚かせるなよ_| ̄|○
- 981 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:05:12 ID:Q+leSqll]
- >>969
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC32〕FC57D234
〔MD5〕B7921479F8A9079C59C20EF5964338E4
〔SHA1〕722BB2E6D12167F005E1935B2D3E01229DD30CC5
・苺キンタマ(亜種)
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
〔MD5〕3EC55FBC1036ECF95F5EC15DFBD94DD1
〔SHA1〕3FA0EC2C7062367E7C0ABD0FE43884504906FD11
こんなのか。
- 982 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:13 ID:7p6CJmmF]
- >>969
漏れはWinRARで解凍したら「パスとファイル名の長さの合計は 260 文字を超えることはできません」と出たから、Cドライブ゙直下で解凍したら、解凍できたが、これと一緒ではないか?
- 983 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:55 ID:h0nUPIzO]
- tp://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/380
このウィルスらしきものは既出?
恐ろしくて直リンできやしない
- 984 名前:982 mailto:sage [04/09/23 22:09:10 ID:7p6CJmmF]
- 誤爆スマソ。>>969ではなく>>978
- 985 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:09:33 ID:xduUn+v/]
- 作成日付も入れとこう
オリジナル 04/09/22 15:57
亜種 04/09/23 14:52
昨夜の騒ぎを楽しんだ後、変えてやがる
- 986 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:10:05 ID:h0nUPIzO]
- 愉快犯かよ
- 987 名前:[名無し]さん(bin+cue).rar [04/09/23 22:10:10 ID:qRMK2VgF]
- だれか、もう一回ノートン先生用の定義パッチアップしてよぉ〜。
タスクマネージャーで見るとshellsystem.exeが二匹も
いるんだよぉ〜。くぞぉ〜
- 988 名前:964 mailto:sage [04/09/23 22:10:44 ID:rREsfmrT]
- 同じ奴が多いな
>>982のやり方で無事に解凍できたぞ
- 989 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:24 ID:mgVunU57]
- >>987
(・∀・)コンニチハ!!
- 990 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:29 ID:1QD87Wms]
- 馬鹿ばっかだなこのスレ
- 991 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:41 ID:fWYTZuQ9]
- つまり関連スレを巡回してるってことか。
いくつかアイディア出してたやつがいるけど、それが取り込まれた亜種
が流れてくる日も近いなこりゃ。(´・ω・`)
- 992 名前:964 mailto:sage [04/09/23 22:12:48 ID:rREsfmrT]
- >>988
できたぞってなんか命令みたいだな_| ̄|○
訂正する
同じ奴が多いな
>>982のやり方の通りにやったら無事に解凍できた
configだけ解凍できない奴は>>982の通りで出来ると思う
- 993 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:13:00 ID:h0nUPIzO]
- 誰かが言っててたな製作者がwinnyとかにウィルスソースを流したらどうなるだろうって
- 994 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:03 ID:Gd3swaZK]
- 最初のウィルス以前にうpされたファイルはとりあえず安心か?
- 995 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:05 ID:AH6SroMo]
- >>993
nyやってるだけの奴にマシな技術の持ち主などいない
- 996 名前:963 [04/09/23 22:14:37 ID:o03myoTB]
- >>982
解凍できたよ
トンクス
- 997 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:56 ID:xduUn+v/]
- これのオリジナルは、トロイ開発キットの様相を呈していたから
亜種は簡単に作れるんだろーな。まだ発現させてない機能もある
ようだし。
で、1000取りよろ
- 998 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:01 ID:cDvdfQLH]
- ソース流されたらちょっとパス変えるだけで定義ファイルを回避する事も可能
- 999 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:47 ID:A3XC4jaX]
- 1000!
- 1000 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:16:06 ID:JKMNRGue]
- 1000
- 1001 名前:1001 [Over 1000 Thread]
- このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
|
 |
