- 1 名前:漆黒のダーク [2012/10/07(日) 13:51:47.86 ID:1UYrwAys.net]
- lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
- 504 名前:438 mailto:tamesinitukau [2012/10/08(月) 18:30:43.66 ID:???.net]
- 一応の改善はできた対策ソフト(?、スカイプで出回っているウイルス(?))
アップロードしました、
パスワードはメールアドレス欄に書かれています、
ダウンロードする際は
以下の点に同意お願いします。
・ウイルスバスターか、
ウイルス系に対策できるセキュリティーソフト持ってる方が望ましい。
(受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
(安全確保)
↓ファイル保管アドレス
アドレス先頭へhをいれてください。
ttp://kie.nu/sEf
>>488さん
こんにちは、
IEでの見覚えのないIPですか、
僕の所ではそれらしきものは見当たりませんでした、
情報、ありがとうございました。
- 505 名前:ここ mailto:sage [2012/10/08(月) 18:31:33.07 ID:???.net]
- 仮想PCwin7x64で昨日で1分に1回くらい>>476の接続先にアップリンクしてる
- 506 名前:名無し mailto:sage [2012/10/08(月) 18:41:07.30 ID:???.net]
- ウイルス起動後、MSSE定義アップデート。
今MSSEでフルスキャン中。
- 507 名前:情弱 mailto:sage [2012/10/08(月) 18:45:21.73 ID:???.net]
- 473です。
復元で9月30日の所まで戻しました。
再発防止策としてはスカイプの確認、appdate内確認以外で何かしておくほうがよいでしょうか?
問題解決にいそしんでるときに申し訳ないです…
- 508 名前:438 mailto:tamesinitukau [2012/10/08(月) 18:46:38.06 ID:???.net]
- あ、>>504は、セーフモードで、使うソフトらしいです
- 509 名前:漆黒のダーク [2012/10/08(月) 19:00:09.97 ID:XWxnetLk.net]
- >>507は100%OKとは言えません
こちらは復活をかけてもどこかのIPから接続&こっちからの強制介入が
みられました、そのIPがウイルスとの関係はまだ確認されてませんが
一様気おつけてください
- 510 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 19:24:16.43 ID:???.net]
- upup.bz/j/my92975tZsYt5G-d8G9PPU_.png
作成されたexeの中身の一部
- 511 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 19:26:15.95 ID:???.net]
- ほいもう一つ
upup.bz/j/my92979ZjCYtKgf_OhlfFLs.png
- 512 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 19:28:10.80 ID:???.net]
- upup.bz/j/my92981lfoYtiCSBwB3CtJU.png
- 513 名前:naz0ya mailto:sage [2012/10/08(月) 19:30:03.25 ID:???.net]
- upup.bz/j/my92983BglYtmIqbmPIBxIk.png
- 514 名前:ん [2012/10/08(月) 19:36:35.43 ID:ebKTXWM6.net]
- Fドライブって外ずけHDのことですか?
- 515 名前:漆黒のダーク [2012/10/08(月) 19:41:19.07 ID:XWxnetLk.net]
- >>Fは新しく入れらHDDだそうです
- 516 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 19:44:12.14 ID:???.net]
- スレチで申し訳ないですが
さっき3人でウィルス議論してた方たちはもう枠取らないんですか?
- 517 名前:naz0ya mailto:sage [2012/10/08(月) 19:46:40.97 ID:???.net]
- upup.bz/j/my92989nHgYtV6TeqPVBMrY.png
日本語
- 518 名前:漆黒のダーク [2012/10/08(月) 19:57:25.21 ID:XWxnetLk.net]
- >>516とってくれる人待ちですね。
枠とってた人のPCは隔離するそうなので
- 519 名前:ここ mailto:sage [2012/10/08(月) 19:57:29.55 ID:???.net]
- geocities.yahoo.co.jp/gl/gbmogiki/view/20121008/1349678006
URL短縮サービスにアクセス解析昨日がついてるらしい
それで日本からのアクセス(ry
- 520 名前:漆黒のダーク [2012/10/08(月) 20:03:08.08 ID:XWxnetLk.net]
- >>519とゆうことはクリックするだけで。。。。
- 521 名前:名無し [2012/10/08(月) 20:11:23.60 ID:cFnWr/v6.net]
- こういう状態なら安心だっていうのがわかればいいんですけどね
- 522 名前:ここ mailto:sage [2012/10/08(月) 20:13:24.58 ID:???.net]
- >>521
規模が大きいのにメディアとかでそんなに騒がれてないからね
不思議
こんなのLINEでやられたらどうなることだか
- 523 名前:naz0ya mailto:sage [2012/10/08(月) 20:13:39.41 ID:???.net]
- upup.bz/j/my93031EsDYtM5mCuIMB_RM.png
upup.bz/j/my93032uSeYtYTEHmXCwakk.png
- 524 名前:ここ mailto:sage [2012/10/08(月) 20:15:17.32 ID:???.net]
- >>523
俺のと綴り違うけど影響してることは確かなのは分かった
とりあえずそのソースコードはどのファイルのなの?
- 525 名前:naz0ya mailto:sage [2012/10/08(月) 20:16:38.14 ID:???.net]
- >>524
例の乱数ファイル
- 526 名前:名無し mailto:sage [2012/10/08(月) 20:17:27.74 ID:???.net]
- Brnknl.exe
- 527 名前:名無し mailto:sage [2012/10/08(月) 20:18:18.28 ID:???.net]
- OllyDbgだよね?
特にパッキングとかされてないのか
- 528 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 20:24:32.20 ID:???.net]
- ご参考
kuku.neko2.net/?num=2793
- 529 名前:naz0ya mailto:sage [2012/10/08(月) 20:28:20.79 ID:???.net]
- >>524
例のウイルスを起動した時に生成される乱数ファイルのソースコードです
- 530 名前:ここ mailto:sage [2012/10/08(月) 20:29:48.50 ID:???.net]
- 了解ですー
ありがとうございます
- 531 名前:naz0ya mailto:sage [2012/10/08(月) 20:33:18.72 ID:???.net]
- 多分ylsussというのが悪さしているのかも?
っていうのが自分の意見
- 532 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 20:34:23.20 ID:???.net]
- ワルサス?
- 533 名前:漆黒のダーク [2012/10/08(月) 21:13:28.07 ID:XWxnetLk.net]
- で、なぜ日本語になったか
なぜファイルが強制的にDLされたか
それを調べましょう
次があるかもしれませんからね
- 534 名前:にん [2012/10/08(月) 21:39:04.11 ID:9A67dMI/.net]
- 感染したら共有ネットワーク?のPCもやばくなるのか?
- 535 名前:_ mailto:sage [2012/10/08(月) 21:41:40.51 ID:???.net]
- てst
- 536 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/08(月) 21:47:03.17 ID:???.net]
- >>534 いまのところ大丈夫っぽい 検証した人がいる
- 537 名前:そうま [2012/10/08(月) 22:34:07.17 ID:K08nCmdd.net]
- やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます
誰か助けてください。
情報を・・・。
- 538 名前:月代 mailto:sage [2012/10/08(月) 22:48:00.67 ID:???.net]
- >>537 現状は消すのみです
IE以外のブラウザを使用してください
- 539 名前:名無し [2012/10/08(月) 22:50:31.80 ID:cFnWr/v6.net]
- このウイルスにかかったらIE使えなくなるもんなの?
- 540 名前:名無し mailto:sage [2012/10/08(月) 22:50:34.37 ID:???.net]
- >>537
(Windows Vista以降であれば、管理者権限で起動すること。)
コマンドプロンプトで以下を入力してEnter
「netsh winsock reset」
試してみて。
- 541 名前:そうま [2012/10/08(月) 22:52:45.83 ID:K08nCmdd.net]
- >月代様
どのブラウザも表示されません
- 542 名前:そうま [2012/10/08(月) 22:53:39.61 ID:K08nCmdd.net]
- >名無し様
OSは7です
えっともう少し詳しく教えてくださるとうれしいです。
- 543 名前:名無し mailto:sage [2012/10/08(月) 22:57:47.35 ID:???.net]
- スタートボタンクリック。
「すべてのプログラム」-「アクセサリ」-「コマンドプロンプト」
これを右クリックして「管理者として実行」
黒い画面と白文字のウィンドウが表示されると思うので、
「netsh winsock reset」を入力してEnter
再起動しろとか言われるので、再起動する。
- 544 名前:そうま [2012/10/08(月) 23:00:04.81 ID:K08nCmdd.net]
- >名無し様
了解しました、やってみます。
ありがとうございます!
- 545 名前:助けて mailto:sage [2012/10/08(月) 23:06:03.74 ID:???.net]
- すいません、外出していましてスレみてませんでした。
完全に消す方法は見つかりましたか?
また、このウィルスはパソコンにどのような作用がありますか?
- 546 名前:漆黒のダーク [2012/10/08(月) 23:09:37.35 ID:XWxnetLk.net]
- 今、ウイルスexeをアセンブリ言語にしてよめるようになったので
いま、やっております
今のとことIEに関してのプログラムがないです
あとコノプログラム何かと一定時間で何かと更新している模様
それがなになのか不明 わかりしだい報告します
- 547 名前:みつるぎ [2012/10/08(月) 23:17:51.03 ID:zDB+bmP1.net]
- クリーンインストールしたんですが
そのパソコンで使ってたメールアドレスを使うのってやっぱり危ないですかね?
- 548 名前:漆黒のダーク [2012/10/08(月) 23:24:56.68 ID:XWxnetLk.net]
- IEのレジストリの場所わかるひといる?
- 549 名前:名無し mailto:sage [2012/10/08(月) 23:26:56.24 ID:???.net]
- そんなことも分からんで静的解析できんのかよw
てか、IEの"何の"レジストリを知りたいの?
- 550 名前:漆黒のダーク [2012/10/08(月) 23:29:47.31 ID:XWxnetLk.net]
- exe調べた結果元のファイルをエディタしてやったんだがこれどうだとおもう?
S0040806c: 0040806c db 'ファイルが壊れています!',0
S00408088: 00408088 db 'アーカイブファイルが、オープンできません!',0
- 551 名前:漆黒のダーク [2012/10/08(月) 23:34:07.90 ID:XWxnetLk.net]
- いやみつけて、exeに検索かけたんだが・・・
0040c080 dd KERNEL32.dll_SetCurrentDirectoryA_name-IMAGEBASE
- 552 名前:名無し mailto:sage [2012/10/08(月) 23:39:06.24 ID:???.net]
- てか、解析してんのはどのバイナリなの?
- 553 名前:sage mailto:sage [2012/10/09(火) 00:55:06.05 ID:???.net]
- 何このスレ
- 554 名前:そうま [2012/10/09(火) 01:03:38.06 ID:gUon89MH.net]
- >名無し様
試してみたんですけど
再起動しても何も変化無かったです::
- 555 名前:sage mailto:sage [2012/10/09(火) 01:14:55.92 ID:???.net]
- 書き込んでる人たちの年齢層を知りたい
- 556 名前:名無し mailto:sage [2012/10/09(火) 01:30:30.03 ID:???.net]
- >>554
あら、LSPを修復すれば直ると思ったんだが。ごめんね。
マルウェア本体の駆除はできてるのかな?
まだマルウェアが動いてる状態だと元に戻されるのかもね。
本当はHijackThisとかでログを見て判断したいけど、ネットつながらないから無理かな・・・
- 557 名前:そうま [2012/10/09(火) 01:37:18.67 ID:gUon89MH.net]
- > 556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
- 558 名前:そうま [2012/10/09(火) 01:48:24.22 ID:gUon89MH.net]
- >>556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
- 559 名前:そうま [2012/10/09(火) 01:50:01.22 ID:gUon89MH.net]
- >>538
対応しているブラウザってなにがあるんですかね?
グーグルもIEも使えませんでした;;
- 560 名前:名無し mailto:sage [2012/10/09(火) 01:56:28.85 ID:???.net]
- >>558
セーフモードでOKってことはまだ駆除ができてないみたいだね。
kuku.neko2.net/intl/data/121007/batch2.zip
ここの駆除用バッチファイルをダウンロードして、実行してみて。
テストしてみたけど、マルウェアさえ駆除すればネットワークも復旧するっぽい。
たぶんTCP/IPレベルで通信できてないから、どのブラウザでも無駄だよ。
- 561 名前:そうま [2012/10/09(火) 02:02:02.65 ID:gUon89MH.net]
- >>560
分かりました、やってみます。
ありがとうございます。
- 562 名前:そうま [2012/10/09(火) 02:03:30.50 ID:gUon89MH.net]
- >>560
えっと
貼ってあるURLに行こうとすると拒否されます
「Web サイトによってこのページの表示を拒否されました」
- 563 名前:そうま [2012/10/09(火) 02:07:31.96 ID:gUon89MH.net]
- >>560
あっ何とか開けました。
ですが実行しても
「処理を終了しました」
となって何もなりません。
- 564 名前:名無し mailto:sage [2012/10/09(火) 02:12:45.99 ID:???.net]
- セーフモード上で実行しました?
- 565 名前:そうま [2012/10/09(火) 02:14:22.58 ID:gUon89MH.net]
- はい、「セーフモードとネットワーク」上で開いて実行しました
- 566 名前:名無し mailto:sage [2012/10/09(火) 02:17:29.32 ID:???.net]
- はて、そのバッチファイルで駆除できてないんかね〜
MBAMでスキャンでもしてみるかな。
ttp://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
このソフト使ってスキャンしてみてください。
- 567 名前:そうま [2012/10/09(火) 02:19:46.86 ID:gUon89MH.net]
- 分かりました、やってみます。
- 568 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 04:07:20.55 ID:???.net]
- そもそもこのウィルス rootkitだから 通信の状況とか深くまではみれないはずなんだが・・・
- 569 名前:名無し mailto:sage [2012/10/09(火) 07:08:08.27 ID:???.net]
- でも、ユーザーモードRootkitでしょ
- 570 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 08:23:11.09 ID:???.net]
- ウィルス見てないから分からんけどサービスとかスタートアップは調べたのか?
- 571 名前:漆黒のダーク [2012/10/09(火) 08:24:40.79 ID:b/zJW4X4.net]
- とゆうか、結局IEが使えなくなったのはなぜ?
見知らぬIPにこちらから送信しているのはなぜ?
って疑問がのこるんだよね
- 572 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 08:33:39.09 ID:???.net]
- homepage.infとかmsiexec.exeの書き換えじゃないんかと
IEが繋がらなくなっただけならこの可能性は高いんじゃないかと、exe自体起動しないパターンはIE破損してるとかかなぁ
そういう場合はプログラムの追加と削除のwindowsコンポーネントでIE削除してからまた追加すれば行けるかもしれんがIEのバグで起動しなくなるかもっていう
感染してないから分からんけどそう思う
- 573 名前:漆黒のダーク [2012/10/09(火) 08:33:42.71 ID:b/zJW4X4.net]
- これが、ウイルスのexeをソースでだし、エディタで返還したやつ
file:///D:/Users/FMV/Desktop/Hbdsdz.exe.asm
- 574 名前:漆黒のダーク [2012/10/09(火) 08:34:45.90 ID:b/zJW4X4.net]
- ↑みすw
- 575 名前:アホがeater mailto:sage [2012/10/09(火) 09:43:55.48 ID:???.net]
- >>573
釣りでもアホ
- 576 名前:a mailto:sage [2012/10/09(火) 11:39:14.13 ID:???.net]
- これ結局、どういうウィルスなんです?
どんな影響があるんですかね?
- 577 名前:_ mailto:sage [2012/10/09(火) 11:41:56.17 ID:???.net]
- ワーム
- 578 名前:漆黒のダーク [2012/10/09(火) 11:46:59.74 ID:b/zJW4X4.net]
- >>576いちよう、ウイルスのURLをスカイプチャットで送りさらに
何かしらのものをかってにDLしている
それがなんなのかはわからないが、一定の時間になると実行する
プログラムかとその他の脅威はないんじゃないかと、IP抜き取りは
まだわからないし、今は公式まち
- 579 名前:漆黒のダーク [2012/10/09(火) 12:01:10.11 ID:b/zJW4X4.net]
- これでみえるかな?
www.dotup.org/uploda/www.dotup.org3500139.txt
- 580 名前:漆黒のダーク [2012/10/09(火) 12:02:37.34 ID:b/zJW4X4.net]
- >>579がウイルスのexeのソースをエディターで変換したやつ
で、このソースのなかにtimeってのがいくつかあるから
時間式だと、思うんだが
どうだろう?
- 581 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 12:48:45.67 ID:???.net]
- 対した知識もない奴が リーバスエンジニアリングしたものでいきがるな
おまけに、疑問がのこるんだよね・・とか 公式待ちとか
どこの公式だよwww
- 582 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 12:56:20.77 ID:???.net]
- スレ最初から見てれば分かると思うが
にわかがハッカー()気取りしてアホみたいに騒いでるのもいれば
真面目に解決しようと努力してる方もいるしなw
- 583 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 13:05:20.56 ID:???.net]
- 漆黒のダーク
ウイルスのexeのソースをエディターで変換したやつ wwwwwwwwwwwwwww
これがソースだとでもおもっているの?w
- 584 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 13:06:07.16 ID:???.net]
- そして都合の悪いことはすべて無視w
- 585 名前:漆黒のダーク [2012/10/09(火) 13:26:37.38 ID:b/zJW4X4.net]
- 批判するならしてかまわないです。
必死に解決しようとしている人の気持ちが分かんないようですね
それそれで、私はかまわないです。
非常に残念です。
補足、公式はスカイプの公式のことですよ。
- 586 名前:天才ショッカー ◆KjV5V9dJA6Be [2012/10/09(火) 13:29:12.84 ID:LQ3QTgWK.net]
- 漆黒のダークよ。ショッカー軍団に入らないか?
今なら幹部にしてやるぞ・
- 587 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 13:29:49.18 ID:???.net]
- >>585
アンタが何したっていうんだよ
どうせ知識ないからわからないだろうがアンタのレス何一つ役立っとらんぞ
- 588 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 13:31:08.48 ID:???.net]
- つまんね
- 589 名前:漆黒のダーク [2012/10/09(火) 13:39:23.12 ID:b/zJW4X4.net]
- >>587そうですか、お役に立てずすみません。
- 590 名前:漆黒のダーク [2012/10/09(火) 13:46:31.85 ID:b/zJW4X4.net]
- >>589は何をもとめているのやらw
- 591 名前:名無し mailto:sage [2012/10/09(火) 13:48:42.48 ID:???.net]
- 自分で自分でレスするとか恥ずかしくないの?
とっとと死ねよ
- 592 名前:名無し mailto:sage [2012/10/09(火) 13:49:54.18 ID:???.net]
- >>591
自分で自分にレスするとか恥ずかしくないの?だ
間違えんなカス
- 593 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 13:56:57.12 ID:???.net]
- 揚げ足取りに必死でわろたw
どうせ例の中学生なんだろうな・・・
- 594 名前:名無しさん@いたづらはいやづら [2012/10/09(火) 13:58:16.56 ID:gay2HccI.net]
- >>587
それこそおまえは何の役にも立っていないどころか邪魔してるだけなんだけど?
- 595 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:01:08.48 ID:???.net]
- もうちょっと冷静になれよ?
- 596 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:03:08.09 ID:???.net]
- >>594
大人なら落ち着こうな?
子供なら仕方ないか
- 597 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:03:18.72 ID:???.net]
- 大手ニコ生コミュ主に放送ミラーされてバカにされてるくらいだからなw
あの大手コミュ主のほうが分かりやすく検証や駆除方法教えてくれたわ
まあ セーフモードの起動ですらめんどいっていうやつだからなww
こいつw
- 598 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:05:26.21 ID:???.net]
- レジリストをレリジスト()
別
に馬鹿にしたいとかそういんじゃなくて
分かんないんだったら素直に分かんないと見守ればいいものを
調子乗るわ、大手を馬鹿にしたりとか酷いからな
- 599 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:08:15.13 ID:???.net]
- あれ 漆黒のダーク だまちゃったぞ
- 600 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:09:15.63 ID:???.net]
- ごめんごめんw
ちょっといじめすぎちゃったね!
役に立ってるから頑張れ!
早くセーフモードすら知らないおばあちゃんやお爺ちゃんにもできるように
頑張ってくれよ!
生放送でもそうひと達向けにも頑張る!って言ってたじゃん!
- 601 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:17:56.23 ID:???.net]
- マジレスするとタスクマネージャかコマンドプロンプトからプロセス切ってWinキー+R→msconfigでスタートアップからチェック外せばいいだけだろ
ほとんどのウィルスなんてスタートアップかサービスに寄生するしかない
俺なら「アプリケーションエラー: "0x00000000"の命令が" 0x00000000"のメモリを参照しました。メモリが"read"になることはできませんでした。」
ってダイアログが出てskype.exeが入ってるフォルダに偽装したdll設置してdll優先的に読み込ました上にプロセス見てもexeが起動してないように見せかける
こんなん踏んでる>>1も相当なアホだけど、このウィルス作った奴もIE繋がらないっていうバレバレのウィルス作ってる時点でかなりのアホ
- 602 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:35:18.87 ID:???.net]
- 601 あまいな 今回のウィルスはrootkitだぞ
msconfigではずしたあとに再度msconfig起動するとチェック戻ってるんだぜ
レジストリ消しても、復活する。 親EXEがrootkitなので見えないし消せない
よってセーフモードで起動される前に消すが有効
- 603 名前:名無しさん@いたづらはいやづら [2012/10/09(火) 14:42:14.04 ID:qHr/8hav.net]
- 漆黒のダーク出てこなくなったwwww
- 604 名前:名無しさん@いたづらはいやづら mailto:sage [2012/10/09(火) 14:59:53.95 ID:???.net]
- 漆黒のダークが日本人かどうかってのも怪しいくらいだわw
スレッド を スレット とか 一応 を いちよう とかw
まぁ、小学生なんだろうけどwww
|
 |
