【警報】Winnyを狙ったワーム・ウイルス情報 Part26

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 07/06 07:03 / Filesize : 237 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/11 12:10:15 ID:j8DDPfNG]: Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。
なお、ここは初心者の質問スレではありません。

■流行種
・元祖Antinny系　・キンタマ系　・batファイル　・スクリーンセーバー　etc

■流行感染パターン
・exeの前にスペースたくさん（例：「秘密の写真.jpg　　　　　　　　　.exe」等）
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・スタートアップに解凍させ、再起動後exeを実行させる

■DL後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルはうかつに実行しない
・ファイルのアイコンが偽装されてないか確認する

■全ての感染者に共通の、絶対確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。

前スレ
【警報】Winnyを狙ったワーム・ウイルス情報 Part25
tmp4.2ch.net/test/read.cgi/download/1093270545/l50

ﾃﾝﾌﾟﾚまとめ　www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/
841 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:00:42 ID:gRp4IpXR]: なになに？笑って見てたら笑えない状況になったのかID:mmGHQUsEは？
842 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:06:35 ID:QGmLVuGv]: txtなどのアイコンの変更はどうやるのでしょうか？
843 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:18:48 ID:qaAkrrtW]: >>840
837で爆笑
844 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:22:49 ID:L1ZU8rVo]: >841
ﾄﾞｿﾞｰ
that3.2ch.net/test/read.cgi/gline/1095873352/l50
845 名前：627 mailto:sage [04/09/23 16:24:41 ID:Q+leSqll]: ノートン先生から解析結果が届いたのでコピペします。
-------------------------------------------------------------------
Subject:[CLOSING]: Symantec Security Response Automation:Tracking No. ********

日付: 22-09-2004
(個人情報に付き削除) 様

ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
以下に報告します。
ファイル名: Q:\2ch\(写真集) (ロリータ) 水原友里.exe
コンピュータ: (個人情報に付き削除)
結果: このファイルは次のウィルスに感染しています:
Trojan.Upchan
デベロッパーノート
:
Q:\2ch\(写真集) (ロリータ) 水原友里.exe is non-repairable threat.
NAV with the latest rapidrelease definition detects this. Please delete this file and replace it if neccessary.
Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.

ご提出いただいたサンプルについて、シマンテック・セキュリティ・レスポンスはウイルス、ワームまたはトロイの木馬に感染していると判断いたしました。
今回の提出されたサンプルに含まれる脅威に個別対応した定義ファイルを作成いたしましたので、
このメールの末尾に書かれた手順にしたがってインストールしてください。

個別対応版定義ファイルのインストール方法：
1. 添付された定義ファイルの更新版を保存します。
2. 保存したファイルをダブルクリックし、画面の指示に従って操作します。
-------------------------------------------------------------------
846 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:26:59 ID:t4uJAFpV]: >>845
Upchanって・・・。それにしても対応早いな。
バスターまだ～（AA略）
847 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:28:51 ID:Pi3bt/OK]: >保存したファイルをダブルクリックし、画面の指示に従って操作します。
ICHIGOｳｲﾙｰｽに感染した香具師はﾄﾗｳﾏに…
848 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:30:52 ID:62NRg8JO]: >>845 おぉ先生きたか
　　　　 >Trojan.Upchan 　あっぷちゃん、もしくはうぷちゃん　
　　　　苺キンタマは却下かｗ
849 名前：627 mailto:sage [04/09/23 16:33:37 ID:Q+leSqll]: 添付されていた定義パッチで
(写真集) (ロリータ) 水原友里.exe
(写真集) (ロリータ) 相田香奈子.exe
コピー～ (写真集) (ロリータ) 河瀬菜美.exe
を「Trojan.Upchan」として検出できることを確認。

というわけで一般向けには次回定義更新時の定義でサポートされると思われ。

>>846
バスターの検体提出方法は不明だが
ノートン先生見たく検疫ソフトで送信できるなら誰か持ってる奴が送信した方がはやいよ。
850 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:41:53 ID:soiSa9lC]: 35 名前：水先案名無い人[sage] 投稿日：04/09/23 02:23:45 ID:ccAq4UYb
簡単な説明

とある人物がうｐロダにうｐられているexeを実行

そのexeはキンタマウィルスと同じようなデスクトップ画像を晒されるウィルス入り
このウィルスは8分置きに2chうｐロダにデスクトップ画像をうｐられ角煮のアップローダスレに自動で書き込まれる

そしてこのウィルスにかかっている事を知った当の本人は必死になって削除方法検索
その時の検索ワードが「exe ファイル捨てたい」
この検索結果の画像を上記に書かれているウィルスによって自動でスレに書き込まれスレ住人を爆笑の渦へ

おわり

↑わるいがﾜﾛﾀ
851 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:45:57 ID:cDvdfQLH]: 俺でさえも（ｒｙ　は対策しないんだなｗ
852 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:52:19 ID:pr4shzQV]: バスター更新ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
けど、対応してるのかな
853 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 16:53:18 ID:mva2OVxj]: >>852
人柱
854 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:16:25 ID:/+AT9169]: で、対応はどうなんだ？
漏れバスター無いから確かめられんのよね…
855 名前：627 mailto:sage [04/09/23 17:24:35 ID:Q+leSqll]: とりあえず定義パッチ。

ttp://rupan.zive.net/~kain/cgi-bin/upload/src/up0555.zip
Pass:NAV32

Name MD5 Bytes
---------- -------------------------------- ----------
apache.zip C12EB402A934A29D4DC44FEAD7BD1964 5,353,391
-------------------------------------------------------
Total 1 Files 5,353,391 Bytes

Name MD5 Bytes
----------- -------------------------------- ---------
updat32.exe FFA6D54E96FB2E825A0ADD93C93D689E 5,502,200
--------------------------------------------------------
Total 1 Files 5,502,200 Bytes
856 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:34:08 ID:Q+leSqll]: >>852
ノートン先生はこの騒ぎのあとに定義更新があったけど未対応だった…
#確認するにもブツを持ってないとできないしな
857 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:37:40 ID:Pi3bt/OK]: >>856
きました
858 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:44:31 ID:t4uJAFpV]: >>852
パターンみたけどUpchanみたいに判りやすい名前は無かったな。
多分、未対応だと思う。
859 名前：test ◆NJ8QhBoOZU mailto:sage [04/09/23 17:44:38 ID:VAVDavsr]: test
860 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:46:46 ID:qaAkrrtW]: 「exe ファイル捨てたい」
(・∀・)ｲｲ!!ﾜﾗﾀﾜﾗﾀ
861 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 17:51:20 ID:xduUn+v/]: >>856
テストマシンに定義パッチ当てた。飼ってる苺キンタマは見事にヒット
（はじめrarの中に入れておいたからヒットしなかったよ）
Upchanの詳細情報まではなし。Up 2ch/苺ch という意味か…
862 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:04:49 ID:u+ulJzWX]: that3.2ch.net/test/read.cgi/gline/1030921732/572
863 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:06:11 ID:AH6SroMo]: Trojan.ichigokintama
Trojan.berryballs
864 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:30:39 ID:GPZkaXV9]: ttp://picopico.dip.jp/ragnarok/data/1/1095925509796_AreTool25.zip
これのragnarok\config.txt・・・.exeにひっかかりました。
ダブルクリックした瞬間にひっかかったと気づいたので急いで回線を抜きました。
亜種でしょうか？プロセスを見てもD:\WINDOWS\shellsystem.exeとは出ませんでした。（D:\にOSを入れてます）
かわりにD:\WINDOWS\sugoimonoss.comというコマンドプロンプトのファイルが生成されました。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sugoimonoss.com を
レジストリからも消しました。
とりあえず削除してPCを落としました。

セーフモードで起動したらsugoimonoss.comが復活していたので削除しました。上の元ファイルも削除しました。
レジストリを確認してみると同じ場所にはありませんでした。

そして再起動したらsugoimonoss.comは復活してなかったのでもう平気でしょうか？
いまはサブパソコンから書き込みしています。
865 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:38:07 ID:IFT2b9V5]: >>864
みんな超能力者じゃないから断言できないけどたぶん大丈夫。
866 名前：627 mailto:sage [04/09/23 18:41:45 ID:Q+leSqll]: >>852
バスターは持ってないのでトレンドマイクロの
オンラインスキャンを利用してスキャンしてみたが未検出でしたので未対応のようです。

なのでバスター使いの誰かが提出するか
トレンドマイクロの中の人が気づくまで対応されないと思われます。

#提出しようと思ったが
#なんか製品登録したやつしか提出できない感じ…
867 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:47:10 ID:mva2OVxj]: Share(仮称) ウイルス情報
tmp4.2ch.net/test/read.cgi/download/1095907115/
868 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:48:59 ID:HP1mtfoW]: >>866
ウイルス情報は各社が共有する紳士協定みたいなのがあるから
バスターも対応すると思われ
869 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:54:10 ID:rPkWk6Jz]: 最初の被害者で晒しまくった挙句、角煮にも降臨したのが
ユーザー名 YUSUKE という香具師だった
そこで、ﾁｬﾈﾗの間では、このｳｲﾙｽをYUSUKEｷﾝﾀﾏﾘｱと名付ける動きがあった
870 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:54:42 ID:7p6CJmmF]: >>866
バスターには昨日夜提出しておいたが、流石に一日じゃ解析からパターンファイル作成まで行かないみたいだな・・・
868の言うとおり、もう少し待てば対応するはず・・・
871 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:56:07 ID:+Y3dTfL1]: えーと、苺ｷﾝﾀﾏってローカルネットワーク対応？
ぶっちゃけ言うと1台に感染したらLAN接続してる別PCにも勝手に伝播しますか？
872 名前：ﾊﾞｽﾀｰ使い mailto:sage [04/09/23 18:56:44 ID:rQ28x1D5]: >>870
提出乙！
873 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 18:58:13 ID:JaZKld0M]: ｼﾞｭﾌﾞﾅｲﾙのﾕｰｽｹ!を思い出す
874 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:09:20 ID:GPZkaXV9]: >>864
これって新種？
875 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:12:44 ID:xduUn+v/]: >>864
落ちてこないよ。解析したいのに。
876 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:20:25 ID:xduUn+v/]: >>864
で、見てみた。
苺キンタマと中身はそっくり、ただし、>>855のノートン先生の定義パッチでは無反応
新種というか亜種確定。

やはり、類似品を簡単に作れるような設計になってるみたいだな。
こりゃ、しばらく祭り継続だな
877 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:23:59 ID:T4ToCva4]: >>876
うp先はどこなん？
878 名前：[名無し]さん(bin+cue).rar [04/09/23 19:31:53 ID:LXjx4AWF]: シマンテック　ウイルス感染の疑いがあるファイルを Symantec Security Response に提出する方法
service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020624043939949
879 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:33:26 ID:/oIKzfHB]: 亜種にはfusiana機能も付けてほしい

あとwebカメラ設置者はそっちが起動されるとかね～
　
880 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:34:29 ID:62NRg8JO]: 休みが明けて電源を入れたら壮大な祭りになる悪寒…
公的機関、企業の内部情報…個人情報と個人の性癖はもう晒されてるし
ど素人は原種がAVで引っかかっても、亜種には対応してないから安心しそうだ
まだまだ祭りは終わらないねこりゃ…
881 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:40:09 ID:GPZkaXV9]: >>876
再起動したら自動でsugoimonoss.comが起動して感染する仕組みだったのでしょうか？
それともそれ単体で動作するのですか？
踏んだ直後にプロセスを見ても何もありませんでした。
レジストリのRun\のなかにsugoimonoss.comがあったので気づいたのですが・・・。
882 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:40:27 ID:+moW+9Lf]: 亜種はノートン反応無しとは
楽しい日々はまだまだ続くかな？
883 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:40:40 ID:dlC1dSfw]: すごいことになりそうだな…
884 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:40:45 ID:RzyOzwfF]: >>881
うっせラグナロクのチーターは死ねよｗｗ
885 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:42:44 ID:GPZkaXV9]: ラグナロク知ってる人しかわからないレスごめんなさい
>>884
あのあぷろだには普段はチートツールはうｐされないから多分罠ツールだと思って落としてみて、config開いたらウィルスだった。
罠ツールを集めるのが趣味なんです。
886 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:44:42 ID:bDi76u+h]: これは早めに次スレがいるね。
887 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:44:59 ID:LvJ+JBBu]: >>864
亜種ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

つーか、当然そうなる罠
888 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:48:49 ID:RzyOzwfF]: 亜種保管しておこうぜ
いろいろ使えそう
889 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:51:55 ID:mgVunU57]: 亜種はいずれ対応されてしまう。
それよりオリジナルを確保しておいて自分で適宜改良して使うが吉。

で、だれか新型に感染してみたか？
節穴機能は追加されたんだろうか……
890 名前：：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:52:34 ID:pNUKkC8s]: ウィルスバスターかけていたらwindowsやシステム32のほとんどが
dllやexeなんですがこれっておかしいのでしょうか？
891 名前：[名無し]さん(bin+cue).rar [04/09/23 19:53:31 ID:h0nUPIzO]: てかなんでお前らウィルス肯定してんだ

対策しないと２ｃｈが訴えられてまた閉鎖騒ぎになるってのに
892 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:54:58 ID:wZ9Gu9IX]: 本当に
893 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:55:07 ID:bL7m252I]: ほむ、2chが閉鎖となると大変なことになってしまいますね・・・
なんとか対策をたてましょう
894 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:55:09 ID:VuLxnNRm]: >>890
パソコン雑誌買いなさい！必ず買いなさい！
895 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:55:33 ID:l0b9RDPZ]: キーロガーとか、kakikomi.txtうp機能とか
どんどん機能拡張していって欲しい
896 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 19:56:14 ID:r7vcxVQ0]: きんたま感染したぽ・・
>>855はＤＬできないしレジストリで消しても復活するし・・
897 名前：[名無し]さん(bin+cue).rar [04/09/23 19:59:02 ID:h0nUPIzO]: 別スレにも書いたんだけど
96 ：名無したん(;´Д｀)ﾊｧﾊｧ：04/09/23 19:56:41 ID:11SxMVKb
>>91
・２ｃｈうｐろだにうｐされてるあたり２ｃｈ閲覧者の犯行
・２ｃｈねらーが個人情報画像わざわざ晒しあげしてやがる
・これまですべての板内のトラブルはひろゆきへ損害賠償
・今回の場合被害者の数が今までと比較にならない
898 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:00:12 ID:CHjM5zzS]: >>896
いちごきんたまなら>>604
899 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:01:29 ID:r7vcxVQ0]: セーフモードってなんですか？・・
お願いします。
900 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:02:18 ID:0IaPSUs5]: >>899
検索もできませんか
901 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:02:42 ID:JKMNRGue]: >>899
いいから、寝ろ。
902 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:02:59 ID:xdINSUdZ]: >>899
おまえはググる事も出来ないのか?
903 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:04:17 ID:C3nZ381I]: >>899
死ね
904 名前：[名無し]さん(bin+cue).rar [04/09/23 20:04:24 ID:h0nUPIzO]: 3人で叩きｹｺｰﾝとは悲惨な
905 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:04:27 ID:FmEEJd2e]: 質問してるヤシは感染者か？
906 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:05:45 ID:U1wYwujU]: 記念としてとっておきたい、元ファイルくれませんか?
907 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:05:51 ID:OB9dwy0R]: >>899
くだらない事言ってないで早く働けよ
908 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:06:48 ID:r7vcxVQ0]: 感染者です。
ttp://higaitaisaku.web.infoseek.co.jp/safemode.html
msconfigと検索しても出てきません・・
重いからなのでしょうか？
909 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:07:24 ID:l0b9RDPZ]: なんとなくだがキンタマウイルス作成者も
2chをフシアナトラップで荒らした香具師も同一人物のような気がするぞ
910 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:12:28 ID:mgVunU57]: 2ch閉鎖騒動が起こるならそれもまたよし。
次はどこへいくか、誰がやるか、という問題提起になるからな。

……ならないか。
911 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:13:07 ID:PDZ9NpvK]: 今回の件で２ｃｈやひろゆきになんか責任発生するか？
912 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:13:23 ID:yaHp/7Av]: この間発覚した多くの○○○の脆弱性と組み合わされたら、恐ろしいことになる悪寒。
○○○→須磨祖。マジで悪用されたらまずいだろうから。（見当は付くよな）
913 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:13:51 ID:C3nZ381I]: >>908
基本中の基本すら学習しない状態でnyなんかに手を出した事を悔やむこったな。
自業自得だっての。
914 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:15:51 ID:Eei9QNEZ]: >>911
しないよ
915 名前：837 mailto:sage [04/09/23 20:21:06 ID:mmGHQUsE]: 亀レスだけどさぁ。別に俺は感染してないから。
ただヤフー検索でexe　ファイル　捨てたいって
検索してるｓｓがうｐされてて面白かったから書き込んだだけ。
916 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:22:32 ID:qaAkrrtW]: >>915
わーってるよ
917 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:22:56 ID:KYU7HFHZ]: このスレ見てるね
v.isp.2ch.net/up/c50185416f55.jpg
918 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:24:02 ID:mgVunU57]: 今後次第だろ。
今ぐらいの規模ならともかく、大流行とかﾔﾊﾞｲものが晒されたりとかしたらどうなるかわからん。
例えば某○○○○犯罪対策室から感染者が出ちゃうとかな。

無理を通せば道理が引っ込むのはｵﾏｲﾗも知ってのとおり。
919 名前：[名無し]さん(bin+cue).rar [04/09/23 20:24:55 ID:h0nUPIzO]: 個人メルアドとかヤフオクＩＤとパスとか流出してるのはどうなのよ
920 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:24:56 ID:3F3YfAd9]: >>908
それだけではどういう状況かサッパリ他人には伝わらないだろう
自分がどういう環境を持っていて、どういうものに感染して
今まで何をやってどこで躓いているのかくらいは書かないと

重いからというより、アホだから？
921 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:25:35 ID:mmGHQUsE]: >>916
ならいいけどね
922 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:25:41 ID:mgVunU57]: >>918は閉鎖の件ですた。

俺はダメだったけど、一応早めにスレ立てしといた方が良いんじゃない？
というわけで↓よろ。
923 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:26:45 ID:r7vcxVQ0]: さっきのものです。
セーフモードで２つのファイルを消去しました。
下の2つの意味がわからなかったのですが・・・
924 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:27:25 ID:wZ9Gu9IX]: ↑
次はｽﾚたてね
925 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:33:34 ID:C3nZ381I]: >>920
基礎知識が無さ過ぎて説明出来ないだけだろ。
こんなアホにいちいち説明してたらスレ一つ使い切っても足りんよ。
926 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:44:19 ID:g0/m5KiY]: 亜種が出ているスレ。
スレストまでされてます。

今週のジャンプがうｐされているんだが…
news13.2ch.net/test/read.cgi/news/1095933187/
927 名前：627 mailto:sage [04/09/23 20:48:35 ID:Q+leSqll]: >>876
とりあえずノートン先生には提出完了
928 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:48:35 ID:Ze0M08FR]: config.txt ....exeの分を更新したと思ったらまた亜種か・・・orz
929 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:51:03 ID:LvJ+JBBu]: >>926
他のスレでも調子に乗ったバカが亜種をうｐしてるのを見たぞ
バカだなぁこいつら、捕まるともしらんでｗ
930 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:54:00 ID:RzyOzwfF]: キンタマ亜種

今週のジャンプがうｐされているんだが…
news13.2ch.net/test/read.cgi/news/1095933187/
931 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:55:00 ID:adI/sxzM]: もう収拾つかんね。京○府○の仕事が山盛りだな。
932 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:55:50 ID:wZ9Gu9IX]: 頑張ってくれよK察
933 名前：[名無し]さん(bin+cue).rar [04/09/23 20:56:15 ID:h0nUPIzO]: 亜種ってどれくらいいるんだろう
934 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:56:19 ID:Ze0M08FR]: ファイルサイズもファイル名もオリジナルと同じだなあ。ほんとに亜種か？
友達にノートン先生がいるひと、よろしく。
935 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:56:46 ID:CeMeBwCa]: >>934
CRC比較きぼん
936 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 20:57:36 ID:ONxIjWCf]: >>926
これは最初のﾔﾂでしょ
中身はロリ写真集だし、ノートンパッチで反応あり削除されました
937 名前：[名無し]さん(bin+cue).rar [04/09/23 20:59:30 ID:h0nUPIzO]: 次スレ、↓の人よろ
938 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:00:23 ID:kBaEXo4M]: 次スレ建てました。
苺きんたまは流行種１にまとめサイトurl貼りだけ。
必要なら流行種ﾊﾟﾀｰﾝ作ってください。
あと使い終わってから移動よろ。

【警報】Winnyを狙ったワーム・ウイルス情報 Part27
tmp4.2ch.net/test/read.cgi/download/1095939735/
939 名前：[名無し]さん(bin+cue).rar [04/09/23 21:01:49 ID:h0nUPIzO]: >>938
乙

類似品を大量に作れるのならうｐロだ自体を削除しないととまらないかもしれんね
940 名前：627 mailto:sage [04/09/23 21:03:22 ID:Q+leSqll]: >>934

>>930
1のやつはTrojan.Upchan。
CRCも同じ。
941 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:04:41 ID:Ze0M08FR]: >940
あい。了解。
942 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:05:49 ID:h0nUPIzO]: >>929
２ｃｈ史上最多の逮捕者数になるかも試練ね
943 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:06:57 ID:adI/sxzM]: もー京○府○は何やってんだよ！　こういう時こそ役に立てや！
Ｋ札権力であぷろだ止めろよ！
自動ポルノや違法コピーだらけで逮捕せにゃならん奴がまだまだ増えるぞ！
944 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:07:23 ID:dlC1dSfw]: サイズも更新日時をそのまま。苺のやつうｐっただけ
945 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:10:16 ID:OB9dwy0R]: 実はこのウィルスは京○府警の罠
946 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:12:03 ID:cDvdfQLH]: 教徒不敬のｼﾞｻｸｼﾞｴｰﾝ
947 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:12:32 ID:WWPl3lDC]: っていうか、PC名とユーザー名が違うのに晒された画像が同じのがあるんだけど、何で？
もしかして予め画像は用意されてるとか？
948 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:13:11 ID:aNtJ/kjz]: 消防士が放火するって事件が時々あるよね。
949 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:13:51 ID:62NRg8JO]: >>938　お疲れちゃん　

>>947 ダブリもでるらしいよ　知らん人と
950 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:16:45 ID:WWPl3lDC]: >>938
おつかれ

>>949
じゃあ晒された画像はそのどっちかのデスクトップだけってこと？

しかしまぁ苺キンタマのページまとめあげた人は仕事早いなぁ・・
951 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:20:34 ID:62NRg8JO]: >>950 流れが速すぎて状況確認できんのよ　すまんこ
　　　　時間差みたいなことをいってる人がいたみたいだが…
952 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:21:52 ID:b+is4Zm9]: これで京都父兄がまったく動かなかったら父兄が第一容疑者
953 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:25:46 ID:WWPl3lDC]: >>951
いやいや、わざわざスマン。ありがとう。

悪趣味とは思うがヲチ面白いなぁｗ
慌ててウィルススキャンしてるの見てると面白すぎるｗ
954 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:28:10 ID:sOLz9K12]: >>950
自分がアップしたファイル名がわからないので、完了後に一番上にある画像のリンクが使われるらしく、
複数同時にアップされたような場合、同じファイルを指してしまうことがあるらしい。
ファイル自体は、アプロダに個々に存在してるので、リンクだけが同じになってしまっている。
955 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:30:17 ID:xduUn+v/]: 新種というか>>867の詳細

原種/亜種ともに
　Software\Borland\Locales
　Software\Borland\Delphi\Locales
　Software\Meropa
が存在。DelphiとMeropa使いの犯行

　Software\Microsoft\Microsotf
このオチャメな行はなんだろう↑？

Maropa2chなる文字列もあるが、ユーザーエージェントか？これを弾けばBBS投下はとまるかも

今度はBBS投下文字列を少しいじって
【コンピュータ名】【ユーザー名】【今こんな事やってます】になってる
メール欄には「私は升ツールを使用しようとして　罠にかかりました」と表示

ターゲット板が、ネットゲーム、ネトゲサロン、ち～と、雑談系２、厨房！に変更

感染プロセス名は sugoimonoss.com

SS投下先は ttp://up.isp.2ch.net/upload/c=03okari/index.cgi で同じ
わざわざ、閲覧しやすいように ttp://v.isp.2ch.net/ に変えて投下SSを案内

コンパイル時の差異によるバイナリ差があるので、オリジナルに第三者が手を加えた
ものではなく、オリジナル開発者による、パラメータ変更の第二段と考えるべきだろう。

以上、おわり
956 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:30:37 ID:adI/sxzM]: 壁紙やアイコンが見えない状態のSSは成りすましが可能なので注意だな
957 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:31:26 ID:y1QaqjMm]: 俺は実行したくないけどFW超える物なのか?
EXE単位で許可するFWなんだがこいつをスルーするのか?
958 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:33:27 ID:cDvdfQLH]: >>957
スルーする訳ない、安心汁
959 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:35:20 ID:fWYTZuQ9]: >>957
ホワイトリストで許可を出してるFWなら大丈夫だろう。
何を使って、どんな設定にしてるのかわからんけど。
960 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:35:37 ID:62NRg8JO]: >>954　ありがとうさん

>>955 解析おつかれさん
961 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:36:55 ID:xduUn+v/]: f/wに関しては、ポート指定物は無力
アプリレベルで止めるものでも、そのうち、ありがちなアプリ名に偽装
した亜種が出てきたら、見分けつかない。プロセス名は簡単に変えれるっぽい。
962 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:44:00 ID:adI/sxzM]: あとProxomitronとか狙い撃ちされたらFW効かなくない？
963 名前：[名無し]さん(bin+cue).rar [04/09/23 21:46:54 ID:o03myoTB]: 今んとこ２種類だけか？

・苺キンタマ（オリジナル）
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕56B9
〔CRC32〕FC57D234
〔MD5〕 b7921479f8a9079c59c20ef5964338e4

・苺キンタマ（亜種）
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕775A
〔CRC32〕022A1F64
〔MD5〕 5f323255060be4ddf715fa8fa88f883a
964 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:47:24 ID:rREsfmrT]: >>864の～ol25.zipをダウンロードして解凍してみたらconfig.txtだけ解凍に失敗した
なんでだろう
965 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:47:36 ID:cDvdfQLH]: その内作者がShareにウィルスのソース流しそうな予感
966 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:48:53 ID:h0nUPIzO]: >>965
ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
967 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:06 ID:h0nUPIzO]: つか、これって知り合いが感染しても自分のデータが流出する可能性があるんだよな？
968 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:47 ID:3I9wKrJu]: >>964
readmeに書かれているが関係してるのかな？

解凍するだけでエクスプローラが落ちた＿|￣|○
969 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:51:50 ID:xduUn+v/]: >>963
>>864の config.txt（今のとこ苺キンタマ亜種）で、
漏れのとこに保護してあるのは
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
なんだが……？
970 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:52:08 ID:OVqRCEPB]: >>967
嫌がらせでやる奴いるかもな・・
971 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:56:22 ID:r3qqNy/W]: これってファイルをダブルクリックしなければ大丈夫なんでしょうか？
972 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:24 ID:h0nUPIzO]: >>971
亜種も出てきてるしその考え方はよくない
973 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:57:29 ID:cDvdfQLH]: うん
974 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:30 ID:h0nUPIzO]: 亜種情報
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、解凍後にラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。
975 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:cDvdfQLH]: Delphi程度の言語でしかウィルスを書けない作者が、Windowsのセキュリティホールを利用した
ウィルスを開発するなんてまず無理なんで、とりあえずクリッコしなけりゃだいじょーぶさー
976 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:49 ID:y1QaqjMm]: 俺ならIEを起動してうｐろだに書き込むようなプログラムにする
2chに無理に書く必要は無い
IEに許可与えてない奴は居ないだろうしな
ウイルス感染がばれ易くなるから、マウス、キーボード操作がある一定時間無い時をAFKだと認識してUP
SSは定期的に溜め込んで置く
977 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 21:58:53 ID:r3qqNy/W]: >>971
そうですね・・・。うかつにアップローダのファイルも開けない状態になってしまった・・・。
978 名前：963 [04/09/23 22:00:13 ID:o03myoTB]: >>969
漏れが書いてる亜種は>>864のアプロダと同じとこにうｐしてあった
ttp://picopico.dip.jp/ragnarok/data/1/1095920291421_wana.zip
これ↑のなかの「AretoolTest25～.exe」ってやつ
バイナリのなか見たら亜種クサかったんで

ちなみにこいつ↓を落としたんだが、964氏と同じでconfigが解凍できなかった
ttp://picopico.dip.jp/ragnarok/data/1/1095925509796_AreTool25.zip
979 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:24 ID:cDvdfQLH]: svchost.exeとかにするな俺なら
980 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:00:35 ID:wowdpe/L]: >>964
漏れも。解凍はしてないけど、解凍ソフトのメニューで右クリックをしようとしたらメニューが表示できないとか言われてびびった。
一応感染してないかどうか調べようとして、ファイル検索では見つからなかったがレジストリエディタでsugoimonoss.comがヒット(；´Д｀)
びっくりしてよく見て見たらWindowsの検索履歴だった罠・・・驚かせるなよ＿|￣|○
981 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:05:12 ID:Q+leSqll]: >>969
・苺キンタマ（オリジナル）
〔ファイルサイズ〕677,376 Bytes
〔CRC32〕FC57D234
〔MD5〕B7921479F8A9079C59C20EF5964338E4
〔SHA1〕722BB2E6D12167F005E1935B2D3E01229DD30CC5

・苺キンタマ（亜種）
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
〔MD5〕3EC55FBC1036ECF95F5EC15DFBD94DD1
〔SHA1〕3FA0EC2C7062367E7C0ABD0FE43884504906FD11

こんなのか。
982 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:13 ID:7p6CJmmF]: >>969
漏れはWinRARで解凍したら「パスとファイル名の長さの合計は 260 文字を超えることはできません」と出たから、Cドライブﾞ直下で解凍したら、解凍できたが、これと一緒ではないか？
983 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:08:55 ID:h0nUPIzO]: tp://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/380
このウィルスらしきものは既出？

恐ろしくて直リンできやしない
984 名前：982 mailto:sage [04/09/23 22:09:10 ID:7p6CJmmF]: 誤爆ｽﾏｿ。>>969ではなく>>978
985 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:09:33 ID:xduUn+v/]: 作成日付も入れとこう
オリジナル 04/09/22 15:57
亜種 04/09/23 14:52

昨夜の騒ぎを楽しんだ後、変えてやがる
986 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:10:05 ID:h0nUPIzO]: 愉快犯かよ
987 名前：[名無し]さん(bin+cue).rar [04/09/23 22:10:10 ID:qRMK2VgF]: だれか、もう一回ノートン先生用の定義パッチアップしてよぉ～。

タスクマネージャーで見るとshellsystem.exeが二匹も
いるんだよぉ～。くぞぉ～
988 名前：964 mailto:sage [04/09/23 22:10:44 ID:rREsfmrT]: 同じ奴が多いな
>>982のやり方で無事に解凍できたぞ
989 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:24 ID:mgVunU57]: >>987
(・∀・)ｺﾝﾆﾁﾊ!!
990 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:29 ID:1QD87Wms]: 馬鹿ばっかだなこのスレ
991 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:11:41 ID:fWYTZuQ9]: つまり関連スレを巡回してるってことか。
いくつかアイディア出してたやつがいるけど、それが取り込まれた亜種
が流れてくる日も近いなこりゃ。(´･ω･`)
992 名前：964 mailto:sage [04/09/23 22:12:48 ID:rREsfmrT]: >>988
できたぞってなんか命令みたいだな＿|￣|○
訂正する

同じ奴が多いな
>>982のやり方の通りにやったら無事に解凍できた
configだけ解凍できない奴は>>982の通りで出来ると思う
993 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:13:00 ID:h0nUPIzO]: 誰かが言っててたな製作者がwinnyとかにウィルスソースを流したらどうなるだろうって
994 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:03 ID:Gd3swaZK]: 最初のウィルス以前にうｐされたファイルはとりあえず安心か？
995 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:05 ID:AH6SroMo]: >>993
nyやってるだけの奴にマシな技術の持ち主などいない
996 名前：963 [04/09/23 22:14:37 ID:o03myoTB]: >>982
解凍できたよ
トンクス
997 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:14:56 ID:xduUn+v/]: これのオリジナルは、トロイ開発キットの様相を呈していたから
亜種は簡単に作れるんだろーな。まだ発現させてない機能もある
ようだし。

で、1000取りよろ
998 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:01 ID:cDvdfQLH]: ソース流されたらちょっとパス変えるだけで定義ファイルを回避する事も可能
999 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:15:47 ID:A3XC4jaX]: 1000!
1000 名前：[名無し]さん(bin+cue).rar mailto:sage [04/09/23 22:16:06 ID:JKMNRGue]: 1000
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef