※ウィルス※ Windows Live Messenger で感染!?
at SEC
1:Steam
07/07/30 16:20:01
Windows Live Messenger の知人リスト宛に、メッセンジャーの会話ウィンドウを利用したファイル転送でアヤシいファイル(***.scr)を送りつけてくるウィルスが流行っているようです。
友人の会社では、社内連絡の一手段として Windows Live Messenger を利用しているのですが、あっという間に感染拡大してしまったようです。
感染源は上海の工場という話もあります。
ファイルの受信を拒否、または、受信したファイルを解凍しない(zip形式になっている)、または、解凍してもスクリーンセーバーを実行しない、とすれば感染はしないようです。
2007/07/30 現在、Symantec ではなんのアラートも発していません。
ウィルスとして検出できません。
2:名無しさん@お腹いっぱい。
07/07/30 16:22:18
シマンテックはどうでも良いからファイルをくれ
適当なアップローダに「virus」とパスワードを設定したZIP形式のファイルをアップロードしろ
3:Steam
07/07/30 16:24:59
ちなみに、MSN Messenger も同様の感染媒体となっています。
4:Steam
07/07/30 16:25:41
2 >
はいはい
5:Steam
07/07/30 16:26:58
ありゃ、変な番号指定しちゃった。
ごめん。
>2
6:名無しさん@お腹いっぱい。
07/07/30 18:17:25
スレ立てた本人ではないけれど
これだと思う
宜しく頼む
URLリンク(sakuratan.ddo.jp)
7:Steam
07/07/30 18:25:23
>6
確かに。
送りつけてくるファイルの名称は、
・album00.zip
・image00.zip
・image000.zip
・images0.zip
・photo_album00.zip
・photos2007_00.zip
※それぞれ拡張子前の "0"、"00"、"000" は同桁数の数字。
などを確認しています。
なんてゆーウィルスなんでしょうか?
8:名無しさん@お腹いっぱい。
07/07/30 18:29:12
>>6
AVGでは対応してる。
9:名無しさん@お腹いっぱい。
07/07/30 19:49:06
>>8
してないよ
10:名無しさん@お腹いっぱい。
07/07/30 20:30:38
IRC BOT
NORTON バスター系はBOTをヒューリスティックで亜種検知できないみたいね
11:Steam
07/07/30 20:55:29
脳豚キタ
[W32.Mubla.B] と検出。
12:Steam
07/07/30 20:57:03
気になる脳豚ユーザーは、以下のページから Rapid Release 版を落として入れてみると吉。
URLリンク(www.symantec.com)
13:名無しさん@お腹いっぱい。
07/08/01 14:42:32
俺のところにも先程、ファイルが送られてきてうっかり開いてしまった。
ファイル名はIMG34814
何か知ってますか?
14:名無しさん@お腹いっぱい。
07/08/01 15:09:29
つーか知り合いだからって.scrを何の疑いもなく開く奴がアホだろ…
15:名無しさん@お腹いっぱい。
07/08/01 15:45:00
まーそーゆーなよ。
人間誰だって間違いはあるさ
16:名無しさん@お腹いっぱい。
07/08/01 18:22:38
間違いの先が大事なんだよね
17:名無しさん@お腹いっぱい。
07/08/02 14:19:23
昨日からWindows Live メッセンジャー公式ページの緊急告知欄にこの事が載ってたな
てか大分前からこういうウィルスあるぞ
18:名無しさん@お腹いっぱい。
07/08/08 02:18:14
友人が感染してしまったんだがどうやって駆除するんだ…
19:名無しさん@お腹いっぱい。
07/08/08 02:27:24
送られてきたけど、「これなに?」と聞いても返事はないし
解凍してみたらscrだしと怪しさ爆発だったので実行はしなかった。
やっぱりウイルスか…。
何をするウイルスなの?まきちらすだけ?
20:名無しさん@お腹いっぱい。
07/08/08 02:28:56
URLリンク(www.symantec.com)
URLリンク(www.symantec.com)
URLリンク(www.symantec.com)
だそうです。
21:名無しさん@お腹いっぱい。
07/08/08 02:29:45
これに知り合いが感染したぽ
ただ、脳豚は無反応だったらしい
亜種出てるのかな?
22:名無しさん@お腹いっぱい。
07/08/08 02:30:51
これじゃないなw
23:名無しさん@お腹いっぱい。
07/08/08 02:31:57
ファイルスキャンしても無反応。
Symantec仕事汁!
24:名無しさん@お腹いっぱい。
07/08/08 02:32:47
もし受信してデータを開いてしまったら、とりあえずメッセを再起動しる。
そうしないと他人にデータを送り続ける模様。
定かではないが自分の周囲では再起動した相手から再度送られてくることはなかった。
確定情報ではないので、受信だけしてしまった人でもメッセは再起動した方が無難だと思う。
25:名無しさん@お腹いっぱい。
07/08/08 02:38:08
img1756.scrというファイルで送られてきました
ええ、感染しましたともorz
26:名無しさん@お腹いっぱい。
07/08/08 02:39:00
今この時間で書き込んでるもしくは見たという人達は皆お仲間の可能性があるな
27:名無しさん@お腹いっぱい。
07/08/08 02:39:34
25も僕も多分>>20の2つ目のものが送られてきたと思う。
英文とファイル名一緒だし
28:名無しさん@お腹いっぱい。
07/08/08 02:39:52
URLリンク(www.symantec.com)
これっぽいな
29:名無しさん@お腹いっぱい。
07/08/08 02:40:48
感染したらインスタントメッセージの送信ができなくなって
登録してあるメンバーに勝手にデータを送りまくるらしい
でも>>24と同じくメッセ再起動したら直ったみたいだ
安心はできんが、とりあえず引っかかったやつはメッセ再起動
30:名無しさん@お腹いっぱい。
07/08/08 02:40:51
>>23
更新パッチ来てるよ。
超重いけどなorz
31:名無しさん@お腹いっぱい。
07/08/08 02:43:25
>>26
友達の友達とかかもしれんなw
32:名無しさん@お腹いっぱい。
07/08/08 02:43:27
感染したばあいどうしたらいいのTT
33:名無しさん@お腹いっぱい。
07/08/08 02:48:16
41.0 KB (41,984 バイト)
MD5:8f8b66e936ba101efc6e3cb5d1dec814
34:名無しさん@お腹いっぱい。
07/08/08 02:48:55
997 :名無し~3.EXE:2007/08/08(水) 02:30:16 ID:2w0Rs8Du
開いた奴はWindowsフォルダ直下のimg1756.zipを消せ
35:名無しさん@お腹いっぱい。
07/08/08 02:49:05
スタート→ファイルを指定して実行で「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
これを探して削除
落としたZIPとファイルを削除
おそらくこれで大丈夫
36:名無しさん@お腹いっぱい。
07/08/08 02:50:06
>>34
それだけじゃ何の解決にもならねー
37:名無しさん@お腹いっぱい。
07/08/08 02:50:10
Ativir対応してねえ・・
38:名無しさん@お腹いっぱい。
07/08/08 02:51:41
だれかこのimg1756.scr実行しちゃうといったい何が起こるのか詳しく知ってる人いない?
39:名無しさん@お腹いっぱい。
07/08/08 02:53:46
あ、そうだ。vistaなんだけど、実行しちゃった後で「管理者権限が必要です・・・」とかメッセージが出たから、もしかしてUACかなんかが防いでくれた?
40:名無しさん@お腹いっぱい。
07/08/08 02:54:01
強制リロードみたいなのが始まる
と同時に処理が重くなる
メッセンジャーオンラインメンバーへ同時に
英文と一緒にimg1756.zipを送信
41:名無しさん@お腹いっぱい。
07/08/08 02:54:20
これってimg1756.zip自体は開いてもだいじょぶなのかな?
中に入ってるscr実行すると感染?
42:名無しさん@お腹いっぱい。
07/08/08 02:57:51
>>41
そう
43:名無しさん@お腹いっぱい。
07/08/08 02:58:21
>>41
大丈夫と思って興味本位で開こうとしちゃいかんよw
44:名無しさん@お腹いっぱい。
07/08/08 02:58:49
img1756.src
45:名無しさん@お腹いっぱい。
07/08/08 02:59:13
何度も書きこむようなんだけど、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
が見つからなかったってことは、やっぱりセーフだったのかなぁ・・・
46:名無しさん@お腹いっぱい。
07/08/08 02:59:37
右クリックで「構成」ってのをクリックしてもアウアウwww
47:名無しさん@お腹いっぱい。
07/08/08 03:00:11
>>45
開いてないならセーフだと思うが、スキャンとかは怠らないほうがいいとおもう
48:名無しさん@お腹いっぱい。
07/08/08 03:00:33
復元したら戻った
明日ソフト買いに行く
49:名無しさん@お腹いっぱい。
07/08/08 03:00:50
MD5ハッシュから酷似ファイル検出ツールないんだろうか・・・
>>33のハッシュで検索かけたいなぁ
50:名無しさん@お腹いっぱい。
07/08/08 03:02:36
亜種でただパニック招くだけじゃね?
51:名無しさん@お腹いっぱい。
07/08/08 03:03:54
スキャンしても検知しないんだってば
52:名無しさん@お腹いっぱい。
07/08/08 03:04:42
zip開かなきゃ大丈夫なんだが感染した場合はどうなんだろ
53:名無しさん@お腹いっぱい。
07/08/08 03:04:48
これは亜種なのか?
Windows直下にファイルが作られるなんてのは無かったと思うんだが
54:名無しさん@お腹いっぱい。
07/08/08 03:05:27
うちにもさっき来ました〜>< 今携帯メールでメッセ仲間にメールしまくってます
55:名無しさん@お腹いっぱい。
07/08/08 03:05:42
これ、アウトもしくはセーフだと明確にわかる確認方法ってどこだろう?
56:名無しさん@お腹いっぱい。
07/08/08 03:06:44
他人にファイルを送っているか否か、だね。
送ってなければせふせふ。送ってたら確実にキャリア。
57:名無しさん@お腹いっぱい。
07/08/08 03:07:01
こんな感じ
xxxxxxxx の発言 (1:48):
look @ this picture of me, when I was a kid
xxxxxxxx の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)
58:名無しさん@お腹いっぱい。
07/08/08 03:07:34
おそらく今現在ここにいる人たちは全員同じ型のウイルスに感染してそうだが
そのウイルスが何らかのセキュリティソフトで検知されたって人はいないのか
新型なのだろうか
59:名無しさん@お腹いっぱい。
07/08/08 03:07:38
メッセージ内容は数パターン確認
60:名無しさん@お腹いっぱい。
07/08/08 03:08:17
20 名前: 名無しさん@お腹いっぱい。 投稿日: 2007/08/08(水) 02:28:56
URLリンク(www.symantec.com)
URLリンク(www.symantec.com)
URLリンク(www.symantec.com)
だそうです。
まさにこれ。
61:名無しさん@お腹いっぱい。
07/08/08 03:08:18
Norton先生、トレンドマイクロは沈黙
62:名無しさん@お腹いっぱい。
07/08/08 03:08:19
感染してたらメッセの発信できない。
感染してなければ普通にメッセで話しかけられる。
で、おk?
63:名無しさん@お腹いっぱい。
07/08/08 03:08:25
とりあえずマカフィーは検出してくれなかった
64:名無しさん@お腹いっぱい。
07/08/08 03:08:46
今んところwindowsフォルダにzipがあるかないか、が感染の判断基準じゃない?
65:名無しさん@お腹いっぱい。
07/08/08 03:08:51
バスターだがZIP開く前にスキャンして検知しなかった
66:名無しさん@お腹いっぱい。
07/08/08 03:09:25
そのファイル届いた相手とは普通に話してた
複数での会話だったから可能だったのかもしれないけど
67:名無しさん@お腹いっぱい。
07/08/08 03:09:34
俺も感染したぜ、多分 >>20 のやつ
一応、怪しいファイル等は削除したけど、まだ完全に駆除できたかわからん
68:名無しさん@お腹いっぱい。
07/08/08 03:09:50
>>47
開いちゃったんだけど・・・
69:名無しさん@お腹いっぱい。
07/08/08 03:10:07
>>58
今ノートン先生で絶賛スキャン中。
「検出しました」が1つ出てる
70:名無しさん@お腹いっぱい。
07/08/08 03:10:14
パッチか何か入れてる奴は
会話ログを見てみ
会話ログに明らかに話しかけてない奴のログが出来てたり
なんか訳分からん英文を相手に送りつけてたら危険
71:名無しさん@お腹いっぱい。
07/08/08 03:10:19
>>60
亜種だから駆除できないね
72:名無しさん@お腹いっぱい。
07/08/08 03:10:25
開いても何もせずそのまま削除していれば大丈夫、のはず。
73:名無しさん@お腹いっぱい。
07/08/08 03:10:30
怖い椰子は今日一日メッセを断って、
セキュリティソフトの更新を待つのがベスト。
ぶっちゃけそれしか手は無いぽ。
74:名無しさん@お腹いっぱい。
07/08/08 03:11:10
>>6はkasperskyで検出したぞ
75:名無しさん@お腹いっぱい。
07/08/08 03:11:26
>>58
ノートンはもう定義ファイルが更新されているようだけど、
なにしろ今さっき出たみたいだし普通の人は定義ファイルの更新間に合っていないだろう
ちなみにVB2007はウイルスチェックしても無反応だった
開いてないから開いたときの挙動はワカンネ
VBの定義ファイル更新まだかなー
76:名無しさん@お腹いっぱい。
07/08/08 03:11:43
ちょwwwwwなんで開くんだwwww
77:名無しさん@お腹いっぱい。
07/08/08 03:12:06
Windows Live Messenger Part 1
スレリンク(win板)
需要あるかはわからんけど
ここにあったウィルス送信時のメッセまとめてみた
what the fuck, did you see this?
hey man, did you take this picture?
look @ this picture of me, when I was a kid
look @ my cute new puppy :D
I just took this picture with my webcam, like it?
check it, i shaved my head
78:名無しさん@お腹いっぱい。
07/08/08 03:12:17
Avast!使ってるが感染しちまった。
フルスキャンしたが無反応
79:名無しさん@お腹いっぱい。
07/08/08 03:12:30
実物うpしとく。
URLリンク(kamaitachi.blogdns.net)
実行しても知らんぞ
80:名無しさん@お腹いっぱい。
07/08/08 03:12:56
Avast使ってるけど反応しなかったなー
81:名無しさん@お腹いっぱい。
07/08/08 03:13:13
windowsフォルダの一つ下にSVCHOST.EXE-16C7D411.pfってのができてるっぽいんだが
これ癌かな?
ぐぐると中文が出てきて困るw
82:名無しさん@お腹いっぱい。
07/08/08 03:13:18
Norton定義更新しても認識しない
83:名無しさん@お腹いっぱい。
07/08/08 03:13:57
>>79
ああ、scrをダブルクリックしたくてうずうずする・・・
84:名無しさん@お腹いっぱい。
07/08/08 03:14:20
>>76
なんかそういうの送って来そうな外人から来たんだよwwwww
まあ友達少ないから感染拡大しなかったんだがな
85:名無しさん@お腹いっぱい。
07/08/08 03:14:35
>>83
やめろ、マジでシャレにならないからやめるんだー
86:名無しさん@お腹いっぱい。
07/08/08 03:14:59
しかし、凄いな
ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かw
ノートンで定義ファイルの更新きてるな
87:名無しさん@お腹いっぱい。
07/08/08 03:15:06
>>83
俺もだ・・・
さっきまで感染した友人と電話して、なんであんなの開くんだよwwwwって馬鹿にしてたのに
いざ落ち着いてみると開きたくてしかたない
88:名無しさん@お腹いっぱい。
07/08/08 03:16:03
実行してしまったのに、レジストリキーもなければ、Windowsフォルダにzipがない自分が逆に怖いのですが・・・
89:名無しさん@お腹いっぱい。
07/08/08 03:16:14
知り合いからの送信だったから開くつもりだった
複数回、ファイルを送信されて、
what the fuck, did you see this?
って発言があって解凍するのを自重した。英語が無かったらやってた
90:ちゃぱ ◆p21ChapaJA
07/08/08 03:16:42
友人から送られてくるから、油断すると開いてしまうんだろうな。
91:名無しさん@お腹いっぱい。
07/08/08 03:16:57
俺もきた、そして開いた
でも再起動したら今のところ問題ないっぽい
スレリンク(sec板)
あとこっちでも少し話題になってる
92:名無しさん@お腹いっぱい。
07/08/08 03:17:32
>>90
このウイルスの感染力はそこが源だろうな・・・
知り合いだから大丈夫という安心感から安易に開いてしまう。
俺もそうだけどorz
93:名無しさん@お腹いっぱい。
07/08/08 03:17:40
いまこれ消した。 だいじょうぶかな?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
94:名無しさん@お腹いっぱい。
07/08/08 03:17:41
俺も危なかった。友人二人から同じファイルを別々の英語でってとこと、zipの中身がscrってので
これはヤバいと思って消したよ。
95:名無しさん@お腹いっぱい。
07/08/08 03:17:44
そんなトリ誤爆
96:名無しさん@お腹いっぱい。
07/08/08 03:17:55
>>89
基本的に解凍まではセーフ
その後実行ファイルを開いたらアウト
.scrなんていかにもなファイルだし、ひっかかるのは素人だけだと思われ
97:名無しさん@お腹いっぱい。
07/08/08 03:18:43
竜ちゃんも感染すると思うな
98:名無しさん@お腹いっぱい。
07/08/08 03:18:59
>>91
648俺だwwww
99:名無しさん@お腹いっぱい。
07/08/08 03:19:25
>>90 その通りだったよ
ノートンの試用版落として定義ファイル更新して
復元止めてフルスキャンってのが今のところ最善だと思う
100:名無しさん@お腹いっぱい。
07/08/08 03:19:30
でもやっぱ親しい人からだと意外と開いてしまうよな
101:名無しさん@お腹いっぱい。
07/08/08 03:19:48
解凍だけで感染したって人が何人かいるみたい
詳しい情報求む
102:名無しさん@お腹いっぱい。
07/08/08 03:20:05
現在の状況では亜種まで完全に削除できるソフトは無いのかな?
とりあえず出来る事としては、メッセのタイトルを注意を促すタイトルに変更、
その後メッセを落としておくのが一番かな?
103:名無しさん@お腹いっぱい。
07/08/08 03:20:19
>>99
いいから>>79スキャンしてみろよ
104:名無しさん@お腹いっぱい。
07/08/08 03:20:29
URLリンク(www.symantec.com)
向こうから引っ張ってきたよ
そんなに深刻でもないみたい
105:名無しさん@お腹いっぱい。
07/08/08 03:21:01
>>90
ちゃぱwwwwwwwww
ROもうやってないの?あと廃スレにこのネタ投下してきてもいい?w
106:名無しさん@お腹いっぱい。
07/08/08 03:21:15
知り合いから来るのと、
状況によって英文が来ないでただファイルがぽん、と送られてくる
ウィルスとしては失敗なんだろうけど、その無言が最強のカモフラージュになってるw
107:名無しさん@お腹いっぱい。
07/08/08 03:21:17
>>103 いや今試用版を落として定義ファイル更新までしかしてないwwww
108:名無しさん@お腹いっぱい。
07/08/08 03:22:41
友人が感染して送ってきたんだけど、自分の名前を
「なんだこれ?」
「再起動してくる」
とかいろいろ変えてるわりにメッセージを送ってこなくてなんだこいつと思ったんだけど
メッセージが送れないからそうしてたんだね。
すげー納得した。
109:名無しさん@お腹いっぱい。
07/08/08 03:23:22
src実行して再起動かけたらバスターさんが反応した
直前にパターンファイル最新にしといたが、srcの方はチェックしても無反応だったな
110:名無しさん@お腹いっぱい。
07/08/08 03:23:36
>>101
俺の友人も解凍しただけで感染したっつってたな。
その友達はPCに詳しい(そっち系の学校行ってた)から
ウイルスくさいファイルは容易に開くような奴じゃないわけで
解凍しただけで感染って可能なものなのだろうか
111:名無しさん@お腹いっぱい。
07/08/08 03:23:54
>>105
良いけど、もう覚えてる人居ないと思う。
すれ違いゴメン。
112:名無しさん@お腹いっぱい。
07/08/08 03:24:02
急速拡大中か・・・
大手が対応しても、定義更新までのラグで結構広がりそうだな
113:名無しさん@お腹いっぱい。
07/08/08 03:24:08
なんかアカハック系だって話を友人が友人から聞いたって話が出てるんだが・・・
どうなんだべなぁ・・・
114:名無しさん@お腹いっぱい。
07/08/08 03:24:10
更新したら違うトロイ発見されたwwww
115:名無しさん@お腹いっぱい。
07/08/08 03:24:14
>>86
>ここ見てる奴ら全員、知り合いの知り合いの知り合いの・・・とかって辿って行けるって事かw
だよな、それはやっぱ面白いわー
メールじゃなくてメッセで感染するあたりがリアルタイムで笑えるな
絶対この中に近い知り合いいるだろww
116:名無しさん@お腹いっぱい。
07/08/08 03:24:14
>>110
キンタマとかはそうじゃなかったっけ?
117:名無しさん@お腹いっぱい。
07/08/08 03:24:17
親しかったのと、日頃相手が簡単な英語で話かけてくるのと、ニコニコの犬猫動画を貼りあう中だったので疑わずに開いてもた。
(メッセージは私の新しいくてかわいい子犬を見てくださいだった)
この中でROプレイヤーが知り合いに居るやつどれくらい居る?
俺の周りの感染者全員RO関係者なんだが。
118:名無しさん@お腹いっぱい。
07/08/08 03:25:15
ちゃぱじゃないか!
最近見ないけどどうしたんだ?
ちなみに俺はAカセ民。
119:名無しさん@お腹いっぱい。
07/08/08 03:25:33
元ROプレイヤーから送られてきたw
RO関係で何かあったのか?
120:名無しさん@お腹いっぱい。
07/08/08 03:25:56
ROプレイヤーが来ましたよ
やっぱRO関係でリアルタイムに流行ってるんだな
121:名無しさん@お腹いっぱい。
07/08/08 03:26:16
RO厨は癌スレに帰れw
122:名無しさん@お腹いっぱい。
07/08/08 03:26:54
ROってネトゲ?
123:名無しさん@お腹いっぱい。
07/08/08 03:26:58
取りあえず感染した人で何かやばい事になった人居る?
知人にひたすら英文とファイルを送りつけるだけ?
124:名無しさん@お腹いっぱい。
07/08/08 03:26:59
>>110
無理じゃね?
解凍ソフトのバグでもつかない限りは。
125:名無しさん@お腹いっぱい。
07/08/08 03:27:00
ただ単にこんな時間に起きているヤツがネトゲやってる率高いだけだろ
126:名無しさん@お腹いっぱい。
07/08/08 03:27:12
だからスレ違いだから俺に触んじゃNEEEEEEEE
127:名無しさん@お腹いっぱい。
07/08/08 03:27:15
いや感染者はROプレイヤーが多いみたい。
ROつながりの人間にどんどん感染してる模様。
128:名無しさん@お腹いっぱい。
07/08/08 03:27:35
送ってきた相手:たぶん現役ROプレイヤー
送られてきた(つまり俺):元ROプレイヤー
送った相手:関係ない人々(つД`)とROプレイヤーと元ROプレイヤー
129:名無しさん@お腹いっぱい。
07/08/08 03:27:44
ネトゲのわけねーだろカスが
RO、つまり「ろ」ってことだよ
130:名無しさん@お腹いっぱい。
07/08/08 03:27:51
普通のzipで解凍だけで感染ってあるっけ?
解凍ソフトのバグでならあったような気もするが
131:名無しさん@お腹いっぱい。
07/08/08 03:28:45
ネトゲから感染てことは、RMT業者経由だろうね
132:名無しさん@お腹いっぱい。
07/08/08 03:29:02
ネットゲー(ここではROとする)でメッセのフレ数増やしたユーザー多そうだし
関係者が増えるのは当然なのかも。
133:名無しさん@お腹いっぱい。
07/08/08 03:29:05
>>130
無い
134:名無しさん@お腹いっぱい。
07/08/08 03:29:17
すまんAntivir対応してた
135:名無しさん@お腹いっぱい。
07/08/08 03:29:32
フレリストには居ないぞ<ROプレイヤー
まあ友達の友達とかなら居るんだろうが
136:名無しさん@お腹いっぱい。
07/08/08 03:29:52
そういえば感染した友人もリアルの知り合いだから忘れてたけどROプレイヤーだった
そいつもROの知り合いから送られてみたみたいなこといってたな
137:名無しさん@お腹いっぱい。
07/08/08 03:30:56
.srcクリックしてもantivirが対応してくれたんだが
138:名無しさん@お腹いっぱい。
07/08/08 03:31:47
FWが反応してくれなかったら俺もやられてたなあ。。。
139:名無しさん@お腹いっぱい。
07/08/08 03:31:52
こっちは自分はROやったことがないが友人が元ROプレイヤーだった
140:名無しさん@お腹いっぱい。
07/08/08 03:32:22
くっそJuneめ・・・
141:名無しさん@お腹いっぱい。
07/08/08 03:32:47
>>137
SCRじゃないの?
142:名無しさん@お腹いっぱい。
07/08/08 03:33:36
やるなantivir
ノートン先生と競合しない?なら導入してみたいところだ
143:名無しさん@お腹いっぱい。
07/08/08 03:33:57
>>110
つまり、そのPCに詳しい友人は、
間違って実行してしまい、
とっても恥ずかしくなって誤魔化すために「解凍するだけで〜〜」
だと可愛いな。
144:名無しさん@お腹いっぱい。
07/08/08 03:34:49
avastはどうよ?
145:名無しさん@お腹いっぱい。
07/08/08 03:35:37
友達がときめもオンライン界隈で感染拡大を報告してきてワロタwwwwwwww
146:名無しさん@お腹いっぱい。
07/08/08 03:36:18
ROで知り合った人から来るなwもう三年も前から話してないし消せばよかったw
147:名無しさん@お腹いっぱい。
07/08/08 03:36:34
もうここまできたら〜〜界隈とか関係なくね
全然違う集いの人間3人から来た
148:名無しさん@お腹いっぱい。
07/08/08 03:36:44
ROってRedOrchestraかと思った
149:名無しさん@お腹いっぱい。
07/08/08 03:36:51
>>144
>>80
スレ内くらい検索しようぜ
150:名無しさん@お腹いっぱい。
07/08/08 03:37:00
>>144
少なくとも1時間ほど前受信して、スキャンした時はまだ無反応だった
151:名無しさん@お腹いっぱい。
07/08/08 03:37:08
この時間に起きててこんなスレを見ている連中が
たまたまネトゲユーザー率が高かったってだけじゃ
152:名無しさん@お腹いっぱい。
07/08/08 03:37:07
>>144
更新日時8/7だしZIPスキャンしても反応なかったよ
153:名無しさん@お腹いっぱい。
07/08/08 03:37:27
人生オワタ
154:名無しさん@お腹いっぱい。
07/08/08 03:37:37
AntiVir落としてるんだけどすっげ重い
155:名無しさん@お腹いっぱい。
07/08/08 03:38:27
もう知り合いの種類関係なく感染しまくってるよ
共通するのは全員アホっぽいところだな
156:名無しさん@お腹いっぱい。
07/08/08 03:38:57
つかファイル送信来た人間から
「友達がかかったっぽいから気をつけて」といわれたんだが
そいつもかかってるはずだよな
157:名無しさん@お腹いっぱい。
07/08/08 03:39:21
>>156
本人に教えてやれよ!
158:名無しさん@お腹いっぱい。
07/08/08 03:39:23
ちなみに今問題になってるファイルは>>6のファイルじゃなくて>>79のファイル
159:名無しさん@お腹いっぱい。
07/08/08 03:39:28
>>156
送信きてるならそいつもかかってる。ガチで。
160:名無しさん@お腹いっぱい。
07/08/08 03:39:59
「解凍しないように」なんかは事前に止める為の警告だろうな
それが「解凍するとまずい」って誤解されたんだろ思うぞ。
.srcを実行する直前まで行かずに
受信を断ればそこで解決する問題だしな
161:名無しさん@お腹いっぱい。
07/08/08 03:40:18
>>79
ついさっきの更新でKaspersky反応するようになった
162:名無しさん@お腹いっぱい。
07/08/08 03:41:43
scr実行するとどこに何のファイルが出てくんのよ。それ削除すりゃいいじゃない
163:名無しさん@お腹いっぱい。
07/08/08 03:41:52
>>142
Antivirを非常駐にすればいけるんじゃない?
>>143
専門者より割れ屋とかの方がよっぽど詳しいし慣れてる。
164:名無しさん@お腹いっぱい。
07/08/08 03:42:03
>>162
じゃためしてみてよ
165:名無しさん@お腹いっぱい。
07/08/08 03:43:24
exe、src、 comはウイルスの可能性が高いってnyで覚えたから大丈夫だった
やっててよかったny
166:名無しさん@お腹いっぱい。
07/08/08 03:43:28
>>157
>>159
優しすぎて涙でてきた
すでにそいつ寝てるんだが名前見る限りでは今はもう気づいてるっぽい
明日確認してみる
167:名無しさん@お腹いっぱい。
07/08/08 03:44:12
とりあえず現在の情報としては
antivir 対策済み?ただし劇重
脳豚 更新ファイルup済み
avast 乙。
Kaspersky 更新で反応
という事でおk?
追伸
感染された方は使用しているウィルス対策ソフトと、
駆除できたかどうか報告お願いします。
168:名無しさん@お腹いっぱい。
07/08/08 03:44:50
gifにきをつけろよおまえら
169:名無しさん@お腹いっぱい。
07/08/08 03:46:18
久々に連絡取れないかとメッセたちあげたいけどやっぱやらない漏れが来ましたよ
>>143
窓だってjpgとかmpgとか勝手にプレビューするしどこで実行されてるかわからないぜ?
170:名無しさん@お腹いっぱい。
07/08/08 03:46:22
Norton (virus.def: 2007/08/07 rev.18) 無反応
171:名無しさん@お腹いっぱい。
07/08/08 03:46:26
>>165俺が居る
nyやってなかったら危なかった元ROプレイヤー
172:名無しさん@お腹いっぱい。
07/08/08 03:46:35
>>168
gifより偽装jpgの方が怖い
癖で復元しようとしてしまう
173:名無しさん@お腹いっぱい。
07/08/08 03:47:24
感染してるやつにMSNメールして
そいつは見れるのか?
174:名無しさん@お腹いっぱい。
07/08/08 03:47:25
norton: 8/9 rev9 でファイルに反応しません。
さすがノートン。
175:名無しさん@お腹いっぱい。
07/08/08 03:48:06
ノートン先生はすばらしいな
176:名無しさん@お腹いっぱい。
07/08/08 03:48:07
バスター無反応氏ね
177:名無しさん@お腹いっぱい。
07/08/08 03:48:23
使用ソフト :McAfee Managed Total Protection
定義ファイル:5091.0000(2007/08/06 12:37:42)
状態 :スキャン中。
scrファイルの削除とメッセ再起動により送信は停止した模様。
その後レジストリの削除も行った。
178:名無しさん@お腹いっぱい。
07/08/08 03:48:40
結局ノートンは対応してるのかしてないのか
179:名無しさん@お腹いっぱい。
07/08/08 03:49:15
カスペルスキー
削除はしたみたいだが駆除はできなかったらしいが大丈夫なのかこれ
180:名無しさん@お腹いっぱい。
07/08/08 03:49:19
バスター感染後再起動したら偽装svchost駆除してくれたぞ
181:名無しさん@お腹いっぱい。
07/08/08 03:49:23
してそうでしてない
182:名無しさん@お腹いっぱい。
07/08/08 03:49:43
削除するにはファイル削除とレジストリ削除だろ?
レジストリは削除したが、ファイルはどれを削除すればいいんだ?
183:名無しさん@お腹いっぱい。
07/08/08 03:50:06
antivirインスコ中なんだけど
URLリンク(www.vipper.net)
antivir自体がスパイウェアみたいなんだが( ;´Д`)
184:名無しさん@お腹いっぱい。
07/08/08 03:51:04
>>178
>>170
最新でも対応してない
185:名無しさん@お腹いっぱい。
07/08/08 03:51:04
>>183
おまえスパイウェアのすべてが悪いものとおもってね?
186:名無しさん@お腹いっぱい。
07/08/08 03:51:16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
レジストリはこれ削除でおk?
187:名無しさん@お腹いっぱい。
07/08/08 03:51:50
>>179
ファイル自体がウイルスだから削除でおk
188:名無しさん@お腹いっぱい。
07/08/08 03:52:07
>>183
おまいさんそんな事言ったらJ-Wordやグーグルツールバーもスパイウェアになるんだぜ?
189:名無しさん@お腹いっぱい。
07/08/08 03:52:09
>>169
あぁ分かってる。ただそうだと可愛いな、と思っただけです。
ちょっと挑発っぽかったな。すまん。
190:名無しさん@お腹いっぱい。
07/08/08 03:52:13
>>182
WINDOWSフォルダ直下にsvchost.exeが隠しファイルで存在してる
作成日時だか更新日時だかが感染した日時(つまりここ数時間前)になってたら消す
俺の場合は日時が今日の午前2時になってたから消した
191:名無しさん@お腹いっぱい。
07/08/08 03:52:55
>>188
どう考えてもJ-Word入れる奴アホだろ
192:名無しさん@お腹いっぱい。
07/08/08 03:53:32
J-Wordはウィルス
193:名無しさん@お腹いっぱい。
07/08/08 03:53:54
Norton先生は夏休みなので、削除機能は休暇中です。
ということでおk?
194:名無しさん@お腹いっぱい。
07/08/08 03:53:55
>>191
PC初心者にありがちな事
J-Word標準装備
一日一回はエロ画像、エロ動画閲覧しようとして脳豚先生激怒
195:名無しさん@お腹いっぱい。
07/08/08 03:54:05
俺もウィルス
196:名無しさん@お腹いっぱい。
07/08/08 03:54:45
>>195
いやいや俺がウィルスですよ
197:名無しさん@お腹いっぱい。
07/08/08 03:55:06
AntiVir検出できた
「WORM/Sdbot.41984.42」
198:名無しさん@お腹いっぱい。
07/08/08 03:55:33
いやまてよ・・・つまりウイルスがウイルスってことだな
199:名無しさん@お腹いっぱい。
07/08/08 03:55:51
ノートン反応するぞ。
ちなみにレジストリ削除しても上手く隠れてることがあるので要注意。
それをノートンがさっき感知した
200:名無しさん@お腹いっぱい。
07/08/08 03:56:01
おちつけwwww
201:名無しさん@お腹いっぱい。
07/08/08 03:56:08
>>198
つまり、いいかえると・・・・?
202:名無しさん@お腹いっぱい。
07/08/08 03:56:13
>>197
>>197
>>197
203:名無しさん@お腹いっぱい。
07/08/08 03:57:52
とりあえずzipきてもDLしてなかったらおk?
204:名無しさん@お腹いっぱい。
07/08/08 03:59:15
>>203
答えはNOだ
205:名無しさん@お腹いっぱい。
07/08/08 03:59:20
>>203
zipの中にあるscr実行しなければおk
206:名無しさん@お腹いっぱい。
07/08/08 03:59:26
リアルにもネットにも友達がいない俺には関係ない話だな・・・
207:名無しさん@お腹いっぱい。
07/08/08 03:59:44
デスクトップのscrファイルが使用中とか出て消せない
208:名無しさん@お腹いっぱい。
07/08/08 04:00:49
>>206
元気出せよ
209:名無しさん@お腹いっぱい。
07/08/08 04:01:10
>>206
お前の友達ならこのスレの住人がいるじゃないか!
210:名無しさん@お腹いっぱい。
07/08/08 04:01:18
>>206
エロサイトいって引っかからんようにな・・・
211:名無しさん@お腹いっぱい。
07/08/08 04:01:23
VB2007(8.5.1002/4.637.00) 検出できた。対応してるっぽい。
URLリンク(www.trendmicro.co.jp)
……けど俺のPCが非力なせいか反応遅いよ (・ω・`)
検索準備してる間フルアクセス可能って意味ないじゃん。買い替えだな……。
212:名無しさん@お腹いっぱい。
07/08/08 04:01:28
>>206
俺がおくってやるよ・・・
213:名無しさん@お腹いっぱい。
07/08/08 04:02:15
>>206
俺もおくってやんよ
214:名無しさん@お腹いっぱい。
07/08/08 04:02:21
寝るけどお前らがんばれよ
215:名無しさん@お腹いっぱい。
07/08/08 04:03:29
vistaは問題ないっぽい・・・?
実行はせずに、勝手にサムネ表示してただけだからなんとも言えないけれども
216:名無しさん@お腹いっぱい。
07/08/08 04:05:09
>>211
たぶん今はやってるのはこれで間違いないっぽいなぁ
217:名無しさん@お腹いっぱい。
07/08/08 04:05:37
なんかファイル名ちがくね?
218:名無しさん@お腹いっぱい。
07/08/08 04:06:48
>>211
情報公開日: 2007/07/30
ってことはこれの亜種って感じってことでいいの?
219:名無しさん@お腹いっぱい。
07/08/08 04:07:00
>>211のはimg1756.scrの人とは違うやつ
220:名無しさん@お腹いっぱい。
07/08/08 04:07:41
亜種っぽいね
ファイル名からしてimg○○○○.zipで数字4桁だし
221:名無しさん@お腹いっぱい。
07/08/08 04:07:43
WORM_IRCBOT.ADU
ウイルスサイズ: 116,736 Bytes
ここですでに違う
41,984 Byteだ
222:名無しさん@お腹いっぱい。
07/08/08 04:07:45
>>215vistaも感染例あるよ(友達)
223:名無しさん@お腹いっぱい。
07/08/08 04:08:13
いろいろ出てくるな。
224:名無しさん@お腹いっぱい。
07/08/08 04:08:36
>>222
どうせUAC切ってたんだろ
225:名無しさん@お腹いっぱい。
07/08/08 04:08:48
>>222
感染するのか・・・サムネ表示だけだったら問題ないってことだね
226:名無しさん@お腹いっぱい。
07/08/08 04:09:09
亜種だな。
書き込むレジストリの位置が違う。
227:名無しさん@お腹いっぱい。
07/08/08 04:09:42
>>207
URLリンク(cowscorpion.com)
これ使え
228:名無しさん@お腹いっぱい。
07/08/08 04:10:09
>>227
ウイルス注意
229:名無しさん@お腹いっぱい。
07/08/08 04:10:18
>>211
>>6かな
230:211
07/08/08 04:10:24
>>219
ごめん。>>6 で検出実験した。
さて、乗り換え先のソフトは何にするかな、と。
231:名無しさん@お腹いっぱい。
07/08/08 04:10:59
スクリーンセーバーに差胸表示なんてあったっけ?
232:名無しさん@お腹いっぱい。
07/08/08 04:11:19
>>211
今のは>>79のファイルね
233:211
07/08/08 04:13:17
ごめん。>>79 に出てたのか。気付かなかった(´・ω・`)
あい。まだ VB2007 未対応です。
234:名無しさん@お腹いっぱい。
07/08/08 04:13:27
ノートン試用版→liveupdate(最新になるまで)→>>79(俺かかったやつ)検出不可
えー
235:名無しさん@お腹いっぱい。
07/08/08 04:14:22
>>228
脳内バッドセクタ注意
236:名無しさん@お腹いっぱい。
07/08/08 04:14:51
img1756.zip
うpったほうがいい?一応開かないである。
237:名無しさん@お腹いっぱい。
07/08/08 04:15:10
>>236
>>79
238:名無しさん@お腹いっぱい。
07/08/08 04:16:01
>>237
把握。ROMに戻る。
239:名無しさん@お腹いっぱい。
07/08/08 04:16:59
にしても心臓に悪い
登録してる奴数名から同時にこのファイルが送られてきて何事かと思った
240:名無しさん@お腹いっぱい。
07/08/08 04:18:11
感染した人が一人送り始めるとほかの感染者からも同時に来るな。
タイミングがいいだけなんだろうか。
241:名無しさん@お腹いっぱい。
07/08/08 04:20:05
感染したはずなんだが該当するレジストリが見当たらないなぁ
ファイルは消した
242:名無しさん@お腹いっぱい。
07/08/08 04:20:25
>>240
時間決まってるんだと思う
俺も送られて来たタイミング同じだから
243:名無しさん@お腹いっぱい。
07/08/08 04:21:22
該当するレジストリはあったんだが、更新日時を見ずに消してしまった。
再起動したが一応挙動に変化なし。
サインインしてみたらファイルを送る様子はない。
244:名無しさん@お腹いっぱい。
07/08/08 04:21:32
>>242
なるほど
245:名無しさん@お腹いっぱい。
07/08/08 04:23:17
バスター乗り換え検討するか。まだ8ヶ月も更新期間残ってるけど(´・ω・`)
ところで、ウイルスって送信側は自分が送ってるかどうか一目でわかりますか?
246:名無しさん@お腹いっぱい。
07/08/08 04:24:35
俺の場合は窓が多数開いて6人くらいに一斉に勝手にファイル送ってた。
速攻サインアウトしたが。
247:名無しさん@お腹いっぱい。
07/08/08 04:25:35
AOLのフリーアンチウィルスソフト「Active Virus Shield」はどうやら対応済み。
わざとひっかからせて検索かけると見事にみつけてくれた。
Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\img1756.zip\img1756.scr
Trojan program Backdoor.Win32.SdBot.aad
File: C:\WINDOWS\svchost.exe
とのいう名でHITしましたよ、っと。
248:名無しさん@お腹いっぱい。
07/08/08 04:26:14
>>245
フレンド登録が多いと送信がいっきにされるためにフリーズした状態になるらしい。
送信にすぐ気づいた人は強制終了して全員には送信されなかったとか。
249:名無しさん@お腹いっぱい。
07/08/08 04:26:38
数週間前に後輩から話を聞いてたからよかったものの
知らなかったら開いてただろうなぁ
250:名無しさん@お腹いっぱい。
07/08/08 04:27:38
>>246 >>248
thx。とりあえず送信しているわけじゃ無さそうだから一安心です。
251:名無しさん@お腹いっぱい。
07/08/08 04:27:57
メッセ経由のウイルス自体は昔からあるぞ
252:名無しさん@お腹いっぱい。
07/08/08 04:29:02
- WORM_SDBOT.41984.42 -
41.984 Bytes
MD5: 8f8b66e936ba101efc6e3cb5d1dec814
症状:
次のファイルを投下して実行
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
レジストリエントリを作成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
例:
xxxxxxxx の発言 (1:48):
<下記メッセージのいずれか>
xxxxxxxx の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)
メッセージ内容:
・what the fuck, did you see this?
・hey man, did you take this picture?
・look @ this picture of me, when I was a kid
・look @ my cute new puppy :D
・I just took this picture with my webcam, like it?
・check it, i shaved my head
253:名無しさん@お腹いっぱい。
07/08/08 04:29:05
>>247
AOLつえええええええ
254:名無しさん@お腹いっぱい。
07/08/08 04:29:38
>>247
ぐぐってみたらこれが出てきたけどどうなの?
URLリンク(www.avira.com)
255:名無しさん@お腹いっぱい。
07/08/08 04:30:25
vistaでUAC有効ならscr実行しちゃっても大丈夫なの?
256:名無しさん@お腹いっぱい。
07/08/08 04:31:39
あー直りんしちまったすまん
257:名無しさん@お腹いっぱい。
07/08/08 04:31:41
>>255
へたにやらないほうがいいんじゃない?
Vistaで感染したひともいるんだし。
258:名無しさん@お腹いっぱい。
07/08/08 04:31:50
>>255
Administratorに昇格させなきゃOK
259:名無しさん@お腹いっぱい。
07/08/08 04:32:41
img1756.zipもろもろ削除、レジストリ削除した後メッセ起動したら送信されてしまった。
Windows再起して、おそるおそるインしたら大丈夫だった。
もう大丈夫かな?
260:247
07/08/08 04:33:00
>>254
どうなんだろう、完全に定義把握してるわけじゃないのかもしれないね。
けど少なくとも、大感染起こしてる「img1756.scr/svchost.exe」の2つは見つけてくれました。
とりあえず報告をしてみたとです。
261:名無しさん@お腹いっぱい。
07/08/08 04:33:56
>>252
一応実際にantivirで駆除した時の名前と症状を
現在の情報でまとめたものです
262:名無しさん@お腹いっぱい。
07/08/08 04:34:02
>>259
送られるタイミングが同じだって事を考えると、安心できない?
263:名無しさん@お腹いっぱい。
07/08/08 04:35:45
>>257
すでに実行してしまいましたorz
なんか管理者権限がどうのこうのっていうメッセージが出てきた
264:名無しさん@お腹いっぱい。
07/08/08 04:36:17
>>262
つまりは
%SystemRoot%\a.bat
%Windows%\svchost.exe
%Windows%\img1756.zip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
を削除したらひとまず安心って事かな
265:名無しさん@お腹いっぱい。
07/08/08 04:36:30
>>263
管理者権限に昇格させるなよw
266:名無しさん@お腹いっぱい。
07/08/08 04:38:31
絶対にさせるなよ!
267:名無しさん@お腹いっぱい。
07/08/08 04:39:34
>>263
そこで管理者に昇格させるとwindowsフォルダのアクセス権限を与えてしまってシステムが改ざんされる恐れがある
管理者権限無いと他のプログラムの処理にも割り込めないんだっけ?
268:名無しさん@お腹いっぱい。
07/08/08 04:47:26
a.batがみつかんねー
svchost.exeはみつけたんだけどな
269:名無しさん@お腹いっぱい。
07/08/08 04:48:03
レジストリと元ファイル削除しても転送しようとしたんだが
メッセ再起動してなかったんだがそれかね?
270:名無しさん@お腹いっぱい。
07/08/08 04:50:06
>>268
俺も。windowsのimg1756.scrとレジストリはいたから消したのだけど
他のは見つからないから諦めてantivirインスコして今更新中。
271:名無しさん@お腹いっぱい。
07/08/08 04:51:23
便乗して英文と共にエロ画像詰め合わせ送ろうぜ
272:名無しさん@お腹いっぱい。
07/08/08 04:53:29
>>264
そのどれも見つからなかったんだが、感染してないってことなのかなぁ
ご丁寧にダブルクリックまでしてやったんだが
273:名無しさん@お腹いっぱい。
07/08/08 04:56:09
Vistaなら平気
274:名無しさん@お腹いっぱい。
07/08/08 04:57:33
別のディレクトリにsvchost.exeがあるけどこれは無関係?
更新日時が8月4日になっとる
感染したのは今日。
275:名無しさん@お腹いっぱい。
07/08/08 04:58:08
%SystemRoot%\a.bat はセキュリティセンターサービスの停止のため一時的に作成&実行されるんだと思われ。
276:名無しさん@お腹いっぱい。
07/08/08 04:58:31
svchost.exeは色々あるからむやみに消すと…
277:名無しさん@お腹いっぱい。
07/08/08 04:58:36
>>274
16 名前:名無し~3.EXE[sage] 投稿日:2007/08/08(水) 04:40:10 ID:fUDzskwv
普段からタスクマネージャをチェックしてる奴なら分かると思うが、
svchostは元々システムに必要なものとして幾つか存在している。
今回のはそれに偽装しているウイルスの一種だから、
svchostがあればウイルスだと勘違いして全削除してしまうと大変なことになるぞw
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5389日前に更新/229 KB
担当:undef