- 1 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/11 12:10:15 ID:j8DDPfNG]
- Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。
なお、ここは初心者の質問スレではありません。
■流行種
・元祖Antinny系 ・キンタマ系 ・batファイル ・スクリーンセーバー etc
■流行感染パターン
・exeの前にスペースたくさん(例:「秘密の写真.jpg .exe」等)
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・スタートアップに解凍させ、再起動後exeを実行させる
■DL後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルはうかつに実行しない
・ファイルのアイコンが偽装されてないか確認する
■全ての感染者に共通の、絶対確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。
前スレ
【警報】Winnyを狙ったワーム・ウイルス情報 Part25
tmp4.2ch.net/test/read.cgi/download/1093270545/l50
テンプレまとめ www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/
- 967 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:06 ID:h0nUPIzO]
- つか、これって知り合いが感染しても自分のデータが流出する可能性があるんだよな?
- 968 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:47 ID:3I9wKrJu]
- >>964
readmeに書かれているが関係してるのかな?
解凍するだけでエクスプローラが落ちた_| ̄|○
- 969 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:50 ID:xduUn+v/]
- >>963
>>864の config.txt(今のとこ苺キンタマ亜種)で、
漏れのとこに保護してあるのは
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
なんだが……?
- 970 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:52:08 ID:OVqRCEPB]
- >>967
嫌がらせでやる奴いるかもな・・
- 971 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:56:22 ID:r3qqNy/W]
- これってファイルをダブルクリックしなければ大丈夫なんでしょうか?
- 972 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:24 ID:h0nUPIzO]
- >>971
亜種も出てきてるしその考え方はよくない
- 973 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:29 ID:cDvdfQLH]
- うん
- 974 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:30 ID:h0nUPIzO]
- 亜種情報
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、解凍後にラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。
- 975 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:cDvdfQLH]
- Delphi程度の言語でしかウィルスを書けない作者が、Windowsのセキュリティホールを利用した
ウィルスを開発するなんてまず無理なんで、とりあえずクリッコしなけりゃだいじょーぶさー
- 976 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:y1QaqjMm]
- 俺ならIEを起動してうpろだに書き込むようなプログラムにする
2chに無理に書く必要は無い
IEに許可与えてない奴は居ないだろうしな
ウイルス感染がばれ易くなるから、マウス、キーボード操作がある一定時間無い時をAFKだと認識してUP
SSは定期的に溜め込んで置く
- 977 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:53 ID:r3qqNy/W]
- >>971
そうですね・・・。うかつにアップローダのファイルも開けない状態になってしまった・・・。
- 978 名前:963 [04/09/23 22:00:13 ID:o03myoTB]
- >>969
漏れが書いてる亜種は>>864のアプロダと同じとこにうpしてあった
ttp://picopico.dip.jp/ragnarok/data/1/1095920291421_wana.zip
これ↑のなかの「AretoolTest25〜.exe」ってやつ
バイナリのなか見たら亜種クサかったんで
ちなみにこいつ↓を落としたんだが、964氏と同じでconfigが解凍できなかった
ttp://picopico.dip.jp/ragnarok/data/1/1095925509796_AreTool25.zip
- 979 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:24 ID:cDvdfQLH]
- svchost.exeとかにするな俺なら
- 980 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:35 ID:wowdpe/L]
- >>964
漏れも。解凍はしてないけど、解凍ソフトのメニューで右クリックをしようとしたらメニューが表示できないとか言われてびびった。
一応感染してないかどうか調べようとして、ファイル検索では見つからなかったがレジストリエディタでsugoimonoss.comがヒット(;´Д`)
びっくりしてよく見て見たらWindowsの検索履歴だった罠・・・驚かせるなよ_| ̄|○
- 981 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:05:12 ID:Q+leSqll]
- >>969
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC32〕FC57D234
〔MD5〕B7921479F8A9079C59C20EF5964338E4
〔SHA1〕722BB2E6D12167F005E1935B2D3E01229DD30CC5
・苺キンタマ(亜種)
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
〔MD5〕3EC55FBC1036ECF95F5EC15DFBD94DD1
〔SHA1〕3FA0EC2C7062367E7C0ABD0FE43884504906FD11
こんなのか。
- 982 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:13 ID:7p6CJmmF]
- >>969
漏れはWinRARで解凍したら「パスとファイル名の長さの合計は 260 文字を超えることはできません」と出たから、Cドライブ゙直下で解凍したら、解凍できたが、これと一緒ではないか?
- 983 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:55 ID:h0nUPIzO]
- tp://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/380
このウィルスらしきものは既出?
恐ろしくて直リンできやしない
- 984 名前:982 mailto:sage [04/09/23 22:09:10 ID:7p6CJmmF]
- 誤爆スマソ。>>969ではなく>>978
- 985 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:09:33 ID:xduUn+v/]
- 作成日付も入れとこう
オリジナル 04/09/22 15:57
亜種 04/09/23 14:52
昨夜の騒ぎを楽しんだ後、変えてやがる
- 986 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:10:05 ID:h0nUPIzO]
- 愉快犯かよ
- 987 名前:[名無し]さん(bin+cue).rar [04/09/23 22:10:10 ID:qRMK2VgF]
- だれか、もう一回ノートン先生用の定義パッチアップしてよぉ〜。
タスクマネージャーで見るとshellsystem.exeが二匹も
いるんだよぉ〜。くぞぉ〜
- 988 名前:964 mailto:sage [04/09/23 22:10:44 ID:rREsfmrT]
- 同じ奴が多いな
>>982のやり方で無事に解凍できたぞ
- 989 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:24 ID:mgVunU57]
- >>987
(・∀・)コンニチハ!!
- 990 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:29 ID:1QD87Wms]
- 馬鹿ばっかだなこのスレ
- 991 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:41 ID:fWYTZuQ9]
- つまり関連スレを巡回してるってことか。
いくつかアイディア出してたやつがいるけど、それが取り込まれた亜種
が流れてくる日も近いなこりゃ。(´・ω・`)
- 992 名前:964 mailto:sage [04/09/23 22:12:48 ID:rREsfmrT]
- >>988
できたぞってなんか命令みたいだな_| ̄|○
訂正する
同じ奴が多いな
>>982のやり方の通りにやったら無事に解凍できた
configだけ解凍できない奴は>>982の通りで出来ると思う
- 993 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:13:00 ID:h0nUPIzO]
- 誰かが言っててたな製作者がwinnyとかにウィルスソースを流したらどうなるだろうって
- 994 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:03 ID:Gd3swaZK]
- 最初のウィルス以前にうpされたファイルはとりあえず安心か?
- 995 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:05 ID:AH6SroMo]
- >>993
nyやってるだけの奴にマシな技術の持ち主などいない
- 996 名前:963 [04/09/23 22:14:37 ID:o03myoTB]
- >>982
解凍できたよ
トンクス
- 997 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:56 ID:xduUn+v/]
- これのオリジナルは、トロイ開発キットの様相を呈していたから
亜種は簡単に作れるんだろーな。まだ発現させてない機能もある
ようだし。
で、1000取りよろ
- 998 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:01 ID:cDvdfQLH]
- ソース流されたらちょっとパス変えるだけで定義ファイルを回避する事も可能
- 999 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:47 ID:A3XC4jaX]
- 1000!
- 1000 名前:[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:16:06 ID:JKMNRGue]
- 1000
- 1001 名前:1001 [Over 1000 Thread]
- このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
|
 |
