★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】2
レス数が950を超えています。1000を超えると書き込みができなくなります。
ここは山田ウィルスによる投稿を報告するスレッドです。
幾つかパターンがあるようなので、見かけたら報告して下さい。
前スレ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】
http://qb5.2ch.net/test/read.cgi/operate/1113229514/
■山田ウィルスとは?(ttp://nemoba.seesaa.net/article/2891535.htmlより転載)
アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
Q. なぜ山田?
A. 友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。
【書き込み例】(※複数の亜種があるらしいです)
23 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
ええけつしとるのぉ(*´Д`)ハァハァ
http://○○○.○○○.○○○.○○/
http://○○○.○○○.○○○.○○/~ss.jpg
http://hogehoge/
http://hogehoge/~ss.jpg
-------------------------------------------------
247 名前:http:// (IPアドレス)/~ss.jpg [sage] 投稿日:2005/04/11(月) 06:29:22 ID:Viw/FtIW0
ええけつしとるのぉ(*´Д`)ハァハァ
うはっwwwおkwww??
------------------------------------------------- >>849
最近発見されたらしい。もっとも、日本人の大半には関係ないっぽいが。 >842
こっちと食い違ってますねぇ
昨日分は539ホストに49000回でした。 >>849
あるって、画面がとろけるらしいよ。
俺の知り合いの知り合いの友人の知り合いが喰らったらしい。
携帯がパーだってさ・・・。 俺の友達は届いたメールを開いただけで感染して、メールボックスの中味が全部消えたらしい。 >>851
おかしいなぁ………あ、集計ソースミスってた(´・ω・`)スマソ まったくもって申し訳ない………TMP5の古いデータをAA5のデータとして
集計してました。
書き込みIP数:526
書き込み総数:49105
500以上書いてるIP:18
800以上書いてるIP:3
1000以上書いてるIP:2
名前パターン別
326 erofusianasan/ ランダムタイプ
13437 fusianasan 「えぇけっ」タイプ
16491 http://fusianasan/~ss.jpg 「ええけつ」タイプ
1674 murofusianasan/ ランダムタイプ
17177 (なし) 「ええけつ=vタイプ
んでもって、15ホスト、38カキコがゴバクっぽいです。そのうち3ホストは
ゴバクでないほうにも入っていて、+12するとホスト数528となりreffiさんと
ほぼ一致します。
http://idol.bbspink.com/test/read.cgi/ascii2kana/1115719623/264
264 名前:名無しかな?[] 投稿日:2005/05/13(金) 08:36:44 ID:p3yFuyuD
http://p5194-ipad07matuyama.ehime.ocn.ne.jp/
ぷぷぷみぷぷwぷwぷぇぷwぷ
ぷwぷぷwぷぷwぷwぷw
wぷはぷぷwぷおkぷぷぷwぷはぷぷwぷぷぷぷ
ぷぷぷみぷぷwぷww
っうぇっうぇw
みぷぷwぷw
新種? PCを再インストールしてしまった・・・
怖いから早く祭り終わらんかなぁ。 >>859
おま・・
ウィルス削除だけでよかったのに
(´・ω・)カワイソス >>860
127.0.0.1クリックしたらさ「取り消されたアクション、表示するページが・・・」とか出やがるの。
消された(?)なんてもう怖くて・・・んで、再インストール後にまた127.0.0.1踏んだらさ、
また「取り消されたアクション、表示するページが・・・」って出やがんの。
どうやら仕様だったみたいなんだよ、もう。Sleipnirだったからなのかね。 でもなんだかんだで再インストール済んだあとって気持ちがよくないか?
こうなんか衣替えしたっていうか、引越ししたっていうか、部屋の模様替えしたみたいで。
気持ち的かもしれんが軽くなったきもするでガス。 >>862
おい・ ・ ・ 釣りか?心配して損スタw だってさほかの人は「ページが表示できません」が出るって言ってたんだもの・・・ OCN様からご質問のメールが届きましたので返答メールを僕の方で作成します。 >>866
もっ もしかして・・ののたんか?かっ かわいいw >>863
俺は再インスコしたくないぞ
宝箱を手放してたまるか・・・( ^ω^) >>866
おまい、自前のサーバ立ち上げてないかい?
っとマジレス
862のメッセージと866のメッセージは同じだろーがヴォケ!!!!
>>874
ためしにIEで同じことやってミソ!
なんならIEとSleipnirそれぞれ同じようにやって見比べてミソ!
おのずとわかるんでないカイw? ページが表示されません、サーバーが表示できませんって出れば感染してないってことでOKっすか?正直滅茶苦茶怖いんですorz >>878
ありがとうございます!このウイルスの存在知ってから怖くて怖くて・・・・・http://127.0.0.1/をクリックしたら
ページが表示されませんって出ました。取りあえずは心配しなくて良いってことですよね・・・・? >>879
そのページを装ったBMPファイル、なんてことは無いのでご安心を。 書き込みにリモートホストの文字列が含まれてたら弾くようにしたら?
おまけの文面なんていくらでも変えられる(現に変わってる)けど
このウィルスが感染者のPCを晒すことを目的にしている限り
リモートホストは書き込まないわけに行かないでしょ。
# 単に2chを荒らすことを目的にされ出すと非常に困るけど
if ($FORM{'MESSAGE'} =~ /$HOST/i) {
DispError("ERROR!","ERROR:座布団全部持ってってー");
} >>878
変なもの・・・・すいません、アップローダで落としたりしてました・・・・winnyでしたっけ?ああいうのはやりませんけど・・・・
>>879
ありがとうございます。でもこのスレ見るとサーバーが見つかりませんって表示される方が多いみたいで不安でした。
IEで例のアドレスをクリックして、ページが表示されませんって出れば大丈夫なんですかね?何度もすみません・・・・ タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」って出てるだろ。
どっちも同じこと言ってるんだよ。
もう
http://2next.net/ye/
に似てる画面が出たらOKって言っておけ
ウザくてかなわん >>885
そういうことだったんですか・・・・・ありがとうございます。やっと安心できました。
ウザいのにわざわざご丁寧に説明していただき、ありがとうございましたm(_ _)m
良かった・・・・ これは初めて見るかな…
21 Name: 名無しさん [] Date: 2005/05/13(金) 17:57:04 0 ID: Be:
http://ppp1395.hakata01.bbiq.jp/
w
っうぇみぷぷwぷw
ぷはぷぷwぷみぷぷwぷw
ぷおkぷぷぷwぷぷぇぷwぷぷwぷぷwぷぷwぷwぷw
おkぷぷぷぷぇぷwぷおkぷぷぷぷはぷぷwぷみぷぷwぷw
N >>888
そのレスはこんなのだけど。URL間違えてない?
515 :動け動けウゴウゴ2ちゃんねる :2005/05/07(土) 13:28:09 ID:SHluBd5u0
>>514
(^ω^;) 山田ウィルスに感染してないか調べる方法はありますか?
今PC初心者板で質問してきたのですが…
http://127.0.0.1/
このアドレスを踏むといいのでしょうか?
すいません不安でしにそうです…orz
私はnyとかはやらないのですが、
変なアドレスを2ちゃんでよく踏んでしまうので不安です 入れ違ったorz
>>887も>>888も>>882で弾けるはず 晒される被害って、FWやルータで特定のポート・プロセスへ以外のincoming塞ぐだけで防げるの? >>893
感染してる人用のアドレスを踏んで何も表示されなければいいのでしょうか?
不安で泣きそうです…ネットって怖いですね
セキュリティの勉強を始めたいとおもいますorzイマサラオソイカ タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」って出てるだろ。
どっちも同じこと言ってるんだよ。
もう
http://sponge.where-i.net/nanasi.htm
に似てる画面が出たらOKって言っておけ
ウザくてかなわん(*´Д`)ハァハァ どうやら大丈夫でした!
助かった…スレ汚しすみません firefox使ってるんですが>>893にアクセスしても
127,0.01へのネットワーク接続を試みている最中に接続が拒否されました
と表示されるだけなんですが感染してないってことでOKでしょうか? >>901
そう。てかIEで開いてみるくらいしろよ。 http://127.0.0.1/
を踏んだとき、以下のようになっていれば問題なし
■IEの場合
タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」
と書かれたページが表示される。
res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
の内容と同じ。
■Firefoxの場合
「127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」
というメッセージのダイアログが出る。
IEでもFirefoxでもないブラウザをわざわざ使ってる奴の初心者質問など
ネタとみなすのでよろしく 感染者に対する対策のスレじゃないってのも明記したほうよくね?
まぁしても読まないんだろうけど… http://127.0.0.1:80/~ss.jpg
↑デスクトップが見えたら阿寒 >>908
その ss.jpgってデスクトップのスクショト撮られてんのか? (((( ;゚Д゚)))ガクガクブルブル 山田ウィルスはウィルスチェックしたら検出されるんですか? http://tmp5.2ch.net/test/read.cgi/download/1115994290/97
77 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/05/14(土) 00:58:17 ID:jhJotqgM0
38Mもあるmanabuの受信トレイ.dbxどないしよ・・・
83 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2005/05/14(土) 00:59:07 ID:3/KJiv0e0
>>77
激しく見たい…
97 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2005/05/14(土) 01:01:17 ID:ifjDOaDT0
>>83
75ではないけど、nyにでも流そうか?(´・ω・)ちょっと酷すぎるかな
なんかヲチしてるだけとか、
相手に注意のメール送るだけならわかるけど
段々スレ自体が犯罪的なにおい・・・・・ なんか酷いよな・・・
警察沙汰にならなけりゃいいけど (つづき)
136 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/05/14(土) 01:07:13 ID:t6btEeCp0
>119
俺はやらなかったといってこっそり流せば良いさ。
それは良い考えだ。
流 し たの は 君 じ ゃ ない 。
なんか呆れた・・・ manabu本人がスレ見てそうな気配だからからかい半分程度だろ 日記で共有ソフト批難しておきながら違法ダウンロードしまくりエロゲやりまくりの17歳公僕なんかに誰が同情するかよ >>916
君の名前は何か感知GUYに決定じゃよ。
そもそもダウソ板住民というだけで呆れるのに十分だと何故分からない。
それが表面化しただけなんですよ?
まったく、馬鹿の相手をするのはつかれるにゃー >>918
大企業に勤めていてその仕事のファイルを晒してる人もいたけど
もしこれをnyで流したらどうなったろうね?
相手が警察でも一般の会社員でも同じじゃない?
警察の人だから受信ファイルをnyで流してよい という理屈がわからん
所属の警察宛、チクリメール送るとか電話するとか
そういうこととは次元が違うと思う 私のレスがさっそく当該スレに貼ってあったから
たぶんそのスレの人達が反論してくるだろうけど、やっぱ違法ツール使ってるからといって
それを自分が違法ツールで流すっておかしいと思うお
まったりヲチしてきたけどもういいや、って思う >>923の妙に必死な人へ
警察には同情しないってだけで
その行為自体は別に正当化なんかしてませんが何か? >>923-924
まあ馬鹿が自業自得で酷い目にあってそれにまた暇な馬鹿が群がってるだけなんだから
あなたがそんなに熱くなることもないじゃない 落とした画像ファイルがJPGって全角なんだけど
これって何で?ウイルスですか? 感染者がもっとやばいファイルをキャッシュしてたら、って考えると
二度とネットにつなげられないようこてんぱんに熨すのが社会正義ではないか >>740
ポート塞いどけって?
いや80の受信だけ閉めとけばいいんじゃないの?
他のポートは空けていても関係ないでしょ。
>>742
svchost.exeをPFWで
プロトコルはUDP
リモートポートはDNS(53)
リモートホストはlocalhost(192.168.0.1とか)
許可してやって、サラにこのsvchost.exeを
その下位のUDPとTCP全閉じで一本化してあげる。
そしたら多分、へんなのがあっても問題なしだと思う。
被害者が2ちゃんなだけに、さすがにニュースでもちっとも言いまへんな。 667 名前:[名無し]さん(bin+cue).rar :2005/05/14(土) 12:38:54 ID:F/Fm/IIp0
http://210-248-170-172.withe.ne.jp/
)カワイソス)カワイソス
(´・ω・)カワイソス
)カワイソス(´・ω・)カワイソス
(´・ω・)カワイソス
)カワイソス)カワイソス)カワイソス
(´・ω・)カワイソス
(´・ω・)カワイソス)カワイソス)カワイソス)カワイソス
新亜種シャレにならん >>934
かわいいじゃんw
たぶん苺とかと一緒で、「なんか重いなあ」くらいの自覚症状しかないんだろうね。
感染者も「世の中に悪はない」と思ってる良い人ばっかりなんだろうよ。
でなきゃ、過去にあれだけ個人情報流出事件があったのに、
ノーガードでshareとかnyとか出来ない…。 ちなみに亜種は全てソースが別なんだろうか。
これがもしどこかのスレからコメントを一部抜き出して利用するタイプだと
対応しきれなくなるなあ… 多分ストリングテーブルの書き換えが可能なんだろう。
実物を見たことがないからしらないが。 ねー、これってさ、ひょっとしてFWのプロセスまで書き換えて感染するの?
とりあえず2ch見てる人全員にhttp://127.0.0.1/見る事を教える事が必要な希ガス
各板のトップに http://127.0.0.1/を見ろ とか 亜種もRockはされてますー。
巻き込みが無くなったんでー、そろそろさくらにするかもー。 >944
2ちゃんに来たことすらない人の方が多そうな悪寒がします。
プロバイダに注意喚起と駆除依頼を出しているんですけどあまり芳しくないようで
元祖の方でもトラップがなければ全投稿量2〜3%に登るんですけどねぇ。。。。
(亜種も入れたらもっと行くと思われ) >>947
そうなのか・・・
どうすればいいもんか どういうプロセスで書き込んでいるのか分からないけど、
IE経由なら、いっそのこと、書き込みは専用ブラウザだけからにすれば?
無理かな… レス数が950を超えています。1000を超えると書き込みができなくなります。