★山田ウィルス対策スレ3
■ このスレッドは過去ログ倉庫に格納されています
ここは通称山田ウィルスの対策スレッドです。
新種の報告はこちらへお願いします。
★山田ウィルス報告スレ【ええけつしとるのぉ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1114264573/
前スレ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】2
http://qb5.2ch.net/test/read.cgi/operate/1114695735/
■山田ウィルスとは?(ttp://nemoba.seesaa.net/article/2891535.htmlより転載)
アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
Q. なぜ山田?
A. 友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。
【書き込み例】(※複数の亜種があるらしいです)
23 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
ええけつしとるのぉ(*´Д`)ハァハァ
http://○○○.○○○.○○○.○○/
http://○○○.○○○.○○○.○○/~ss.jpg
http://hogehoge/
http://hogehoge/~ss.jpg
-------------------------------------------------
247 名前:http:// (IPアドレス)/~ss.jpg [sage] 投稿日:2005/04/11(月) 06:29:22 ID:Viw/FtIW0
ええけつしとるのぉ(*´Д`)ハァハァ
うはっwwwおkwww??
------------------------------------------------- ■現在の状況
元祖や一部亜種についてはFOX ★さんが作成した専用トラップで防いでおります。
最近、多数出現している亜種は今のところRockで防いでおりますけど抜本対策が必要に
なっていると思います。
専用トラップのログファイルは各鯖に日付ごとに置いてあります。
例:http://tmp5.2ch.net/_service/Yamada20050428.txt http://127.0.0.1/
を踏んだとき、以下のようになっていれば問題なし
■IEの場合
タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」
と書かれたページが表示される。
res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
の内容と同じ。
■Firefoxの場合
「127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」
というメッセージのダイアログが出る。
IEでもFirefoxでもないブラウザをわざわざ使ってる奴の初心者質問など
ネタとみなすのでよろしく
酷い有様だのう
だがこれを天啓とは思わないかね
2チャンネルはこれまであまりに多くのものを虐げてきた
その酬いがきたのではないかね?
当然これに対する最大の解決方法が何かはおのずとわかってくるはずだよ >>6
タイトルバーに「HTTP 403 (アクセス不可)」
本文に「このページの表示が認められていません」
と出るのですが、この場合一応大丈夫と言うことでしょうか? 降らなくなってきた(´・ω・)ッス
(´・ω・) カワイソス >>17
じゃあ、テンプレに追記して注意を喚起しないとヤバくないですか?
どんどんが被害が広がると思います >>6のURL踏んだ時どうなっていると感染しているんでしょうか?
>>12
PROXYの設定は外してるか?
ちなみに俺のマシンはなぜかなんにもないページが返ってくる。skypeを起動しているとそうなる。 なんでみんなテンプレの山田ウィルスとは?を見ないんだ?
ちゃんと解説サイトがあるだろうに >>20
いつも生で、串は刺してません。
>このディレクトリを表示するアクセス許可がないか、提供されたアカウント情報を使用して
>ページを表示するアクセス許可がない可能性があります。
こういう文言も出てきます。 >>23
ルーターとか詳しいことは分からないんですが、
山田に感染している可能性は低いと言うことでしょうか? ラブリカに1000とられた ○| ̄|_ あいつドコにでも現われるなあー >>25
新種ですか?勘弁してくださいorz
もしかして、ウイルスに罹っている自分だけに確認できないようにして、
ウイルス駆除を遅らせようとしているとかはあり得ませんよね? アワワ ヽ(´Д`;≡;´Д`)丿 アワワ たいへんだー うそw
ほんとはなーんも知らん まだワカラン あなたの使用環境とかわかんないし・・・ >>28
orz
拡張子は常に表示してるんで、exeファイルを踏んだと言うことは有り得ないんですが、
昨日から2ちゃんに書き込みづらくなったり、PCが重くなったような気が・・・
svchostのエラーが出たら、首つってきます >>1
乙
しかし、ウィルス対策ソフトってもうちょっと迅速に対応するものだと思ってたんだが、、、
やっぱり感染源がアレだから、提出する人がいないからなのかなぁ 何処で教わってきたのか知らんがうちの馬鹿餓鬼、
ネット上でさらされている山田ウイルス被害者の私的画像ファイル(一家団欒の風景とか)
落としまくってケラケラ笑っているんですよ。
これって法的にやばいんだよね?きっと。
webサーバとして公開されてるわけだから違法といえないんじゃ
と思うけど自信なし たまーに思うんだが今は個人情報保護法とかネットでのプライバシー侵害とかあんまり騒がれてないけど
後々法律が厳格化されて規制や処罰がきちっと施行されてるころには過去にさかのぼって取り締まるんだろうか?
その時学生でカルーイ気持ちでやってるやつらも後で後悔とかするんかなあ?
今のログだってきちんととっているんだろうし・・・・ガクガク(((n;‘Д‘))ηナンダカコワイワァ ダウンロードする分には違法でないと思うですが。
著作権ないし。
ただ晒した方は、
個人情報保護法がどう解釈されるかなあ、と。 >>38
>過去にさかのぼって取り締まるんだろうか?
どんな法律でもそれは有りえないかと
なんとかの原則←忘れたw >35-39
解説感謝です。
グレーゾーンなんだろうけどとりあえず脚色して「犯罪なんだよ!!」って説教&お仕置きしときます。
それでもし・・・口答えしやがったらぶん殴・・・・・れば簡単なんだろうけど。
殴るのはちょっと我慢しておいて簀巻きにしてから押入れに放り込んでやる。
ゴキブリ恐怖症の彼にはそれが一番堪える模様。
んでもって泣き顔画像を全国に晒すって脅せば
晒された側のつらさが実感できるだろうってケケケ。 >>40
その原則も法律なんだよーん 法律が変われば原則もかわっちゃうかもーん
今の法律って50年くらいおくれてるよーん まあたぶんなくならんとは思うが・・・ >>41
てか山田を知ってるって事はP2Pやってんじゃないの?
そっちの方がやばいんじゃ・・ ねらーやもしれん
そっちのが将来(´・ω・) フアンス >>39
個人情報保護法って個人が刑罰の対象にはならねーだろ >>38
そんなに何年もログなんて残してる会社なんてあるの?
つか、そんな面倒くさいこと警察もしないっしょ。現状で手一杯 >42-45
子供は父の背中見て育つというのは本当の模様なり(滝汗
チクリ裏情報で渡鹿島が話題になったころからの2chヲチャーだもんな、俺。
。。。。久々の休暇なんですが激しく猛省中。 >>48
バラすなよw これみて自重するやつを促してるんじゃないか >>50
ってか施行以前に遡らない事くらい馬鹿でも解るって ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MELLPON.A
ウイルスタイプ: トロイの木馬型
破壊活動の有無: なし
別 名: メルポン, 山田ウイルス
駆虫される方、参考にドゾー >>31
どんなマルウェアでも検体が手に入らなければアンチウイルスベンダーは
対応パターンを作れません。んで、検体を積極的に収集するかというと、
少なくてもwinny/shareに関してはないと思っていいです。
結局、ツーホースマスタ!しないといけないわけですが、山田ウイルスの
ようなトロイの木馬で再配布がないものはターゲットを見つけるのも大変な
上に、最近の亜種はサイズが大きくてツーホーも大変(通報屋乙)なのです。
一昨日52千、昨日55千と週末はまだまだ爆撃多いですねぇ(´・ω・`) >>52
感染状況4/20から13件って少な杉。
全然対応できてないじゃん。 >>55
バスターは亜種ごとに名称変えるから。
MELLPON.Aは苺あぷろだに掲載された初代のみ対応。だから
いまさら感染する香具師はイナイ。 >>30さん失礼します。
>拡張子は常に表示してるんで、exeファイルを踏んだと言うことは有り得ないんですが
拡張子を常に表示はどうすればいいですか? あっ、あと山田ウィルスを踏むと画像か何か表示されるんでしょうか? >>58
登録されているファイルの拡張子を表示しない
で検索 そろそろ2チャンネルも潮時ではないかね?
悪は遅かれ早かれ必ず酬いを受けるもの
2チャンネルというネット界の巨悪は今、このウイルスによって誅され様としておるのではないかね? >>57
で、亜種はなんて名称ついてるの?
TROJ_MELLPON.?かと思ってmellponで検索してもAしか出てきませんが。 >>62
単に自業自得じゃん。
掲示板もツールも使う奴の心がけ次第。 >>63
そんなのはデータベースを更新しないトレンドマイクロに言ってくれ。
現在公開している最新パターン2.629.00ではTROJ_MELLPON.A-Fの6種類が
登録されている。
まあ、シマンテックは汎用名「Backdoor.Trojan」で登録されているから、
詳細が全然出てこないんだけどな。
この辺、テンプレネタかもしれない。 http://www.googkle.com
にゃぉにぁにゃぉにぁうにゃんにゃぉぉにゃぁぁぁネコミミモード
うにゃんにゃにゃぉにぁにゃぉにぁにゃぉ
うにゃんにゃぉぉにゃぁぁぁにゃぉにゃぁ
ぁにゃぁ
山田ウィルスに感染して晒されると
アクセス権限関係なしに全てのファイルが覗かれてしまうの?
ネットを通して感染者に繋いでいる時のアクセス権限って何?
他でも質問してるのだけど、誰からも回答がありません。
オバカ過ぎる質問なのでしょうか? 質問です。
ウイルス対策ソフトは一般的にどれが一番優れてるの?
有名どころはノートン、ウイルスバスター、マカフィーあたりかな?
玄人の方、教えて下さい。
だいじょうぶw ここはオバカがいっぱいあつまってくるスレですから
ってか山田ウィルス専用質問のスレ作ってくれwww >>76
回答、サンクス!
山田に限らずウイルス全般ではどれが優れてる?
ところで自鯖立ち上げたことないから知らんのだが
これって内→外をFWで防げばいいのか?
それとも外→内をFWで防げばいいのか?
ポートって何番?亜種も同じポート使ってるの? >>75
なんで?
フォーマットがNTFSならアクセス権限が関係するでしょう? >>79
PCに直接入らせるんじゃなくてHTTPサーバーで公開してるんだと思う まぁ、とりあえずまとめサイトぐらい見ようよ。
ヤマイモ木から生えてくる観察ブログ:山田ウィルス
ttp://nemoba.seesaa.net/article/2891535.html >>80
そのことはわかっているつもりです。
ウィルスが作成したファイルリストは見られるでしょうけど、
本体のフォルダやファイルにはアクセス権限が関係するでしょう?
って意味で質問してます。 >82
http鯖で公開してるなら全てのファイルは
デフォルトでリード属性つくでそ >>83
http鯖を運用したことがないので分からないのです。
ウィルスを踏んでしまった時の権限ではアクセス不可なファイルまで、
属性を変えてhttp鯖で公開できてしまうのですか?
http鯖のことを勉強しないと理解不能な話なら、
あまりにもスレ違いなので止めておきますけど。 http鯖を特別視しすぎ。
TCP/IPの接続を受け入れて、HTTPプロトコルで通信するというだけの、
単なるプログラムに過ぎないから。
基本的に、感染したユーザのアクセス権限に依存しているので、
>ウィルスを踏んでしまった時の権限ではアクセス不可なファイルまで、
>属性を変えてhttp鯖で公開できてしまうのですか?
というようなことは無理。 >>82
山田ウィルスを実行したユーザーが見れるものだろ。
ちゃんと作ったプログラムなら制限した権限でアクセスするよう
になっていたり独自実装で権限を作成できるようになっているが
そうでなければ実行ユーザーができることはすべてできる。
あと普通のフォルダはEveryoneの権限しかないだろう。
>>85-86
サンクス
丸裸にされてしまうみたいな記述があったりして、疑問に思っていました。
アクセス制限さえ掛ければファイルリストは見られても中身は見えない。
と、理解しました。
念のため、オレは感染するようなことはしてません。 速報値です。
亜種が主流になると思われましたけど相変わらず元祖と初期亜種は増加傾向にあるようです。
それだけセキュリティ意識の低いユーザーが多いと言うことを如実に物語っていますねぇ。。。
05/10 49000
05/11 52000
05/12 49000
05/13 52000
05/14 55000
05/15 57000 >>88
乙です。
ちょっとずつ増えてるのがイヤですねぇ >>72
windowsで全ての作業をadmin権限で行ってる報いです。
権限付きユーザで作業してれば例え感染しても被害は少ないと思われます。
Unix系は1024以下のポートに対して管理者権限がない場合はバインド出来ないので
windowsも同じような感じの設計思想ではないの? >>88
お疲れ様です。
微増していますね・・・。 >>90
Windowsではポート番号の制限はありませんけど
制限ユーザーならWindowsファイアウォールを突破できないので
覗かれる心配はありませんね。
またバインドしようとした時点で警告のダイアログが出るので気付きやすいはず 少し亀レスになりますが「漢」という国は過去の罪を遡って裁いたことありますよ 2ちゃんねるが対策→晒しが減って山田作者(´・ω・`)ショボーン→Yahoo掲示板(海外含む)をターゲットの新種開発→
いつものようにyahoo放置→大祭り
の予感。 山田食らった人のパソが自動で2chに書き込んだりさせるだけでも凄い技術なの?
こういう人は2chの串規制とかなんて余裕で突破して、荒らしたりできるのかな。
まぁ今回のだけでもう十分すぎるほど打撃を与えてると思うけど。
ダウン板を匿ってる2chがそのダウン板の住民に攻撃されるなて皮肉な笑い話
よく考えたね。 >>98
>山田食らった人のパソが自動で2chに書き込んだりさせるだけでも凄い技術なの?
簡単
>こういう人は2chの串規制とかなんて余裕で突破して、荒らしたりできるのかな。
無理 >まぁ今回のだけでもう十分すぎるほど打撃を与えてると思うけど。
>ダウン板を匿ってる2chがそのダウン板の住民に攻撃されるなて皮肉な笑い話
>よく考えたね。
m9(^Д^)プギャーwwww ■ このスレッドは過去ログ倉庫に格納されています
