★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】
■ このスレッドは過去ログ倉庫に格納されています
ここは山田ウィルスによる投稿を報告するスレッドです。
幾つかパターンがあるようなので、見かけたら報告して下さい。
■山田ウィルスとは?(ttp://nemoba.seesaa.net/article/2891535.htmlより転載)
アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
Q. なぜ山田?
A. 友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。
【書き込み例】(※複数の亜種があるらしいです)
23 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
ええけつしとるのぉ(*´Д`)ハァハァ
http://○○○.○○○.○○○.○○/
http://○○○.○○○.○○○.○○/~ss.jpg
http://hogehoge/
http://hogehoge/~ss.jpg
-------------------------------------------------
247 名前:http:// (IPアドレス)/~ss.jpg [sage] 投稿日:2005/04/11(月) 06:29:22 ID:Viw/FtIW0
ええけつしとるのぉ(*´Д`)ハァハァ
うはっwwwおkwww??
-------------------------------------------------
>>93
確認、駆除、詳細は>>1のまとめサイト
3、実害 全ドライブ&数分おきのSSをhttpdで全世界に公開。
2chへの無駄なフシアナ書き込みでトラフィック増加
4、事前対策 ルータ、FWで内向きのポート80、外向きのIIJへのパケット遮断
ウイルス対策ソフトはベンダーの対応待ち、ぁゃしぃZIP、EXEを開かない >>93
237 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/04/11(月) 05:49:26 ID:bGXCCukp0
youjo.exeでかかるらしい
C:/Program Files/Adobe/Acrobat 6.0/Reader/Browser/mellpon/svchost.exe
↑ で本体が見つかりました。
C:/Documents and Settings/自分のユーザー名/mellpon
↑ 恐らくランダムでmellponフォルダを作成
レジストリ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hoge"="\"C:\\Program Files\\svchost.exe\"
ホストファイルに追記(なぜか民主党)
%system32%\drivers\etc\hosts
boot.iniに追記
[mellpo]
n=kita-
IIJにパケット送りまくり
感染確認方法
上に書いた症状の確認
http://127.0.0.1やhttp://localhostで一覧が見えるか確認
ドライブ内をmellpon、svchostで検索
\system32\と\system32\dllcache\のsvchostはデフォなので注意
HTMLソースに変なのが無いので他人の一覧を見て感染することは無いです。
でも見てる時にsvchost.exeは叩いちゃダメ。
パケット送りまくりなのでFW入れてれば反応するかも。
ルータ使えばグローバルで書き込まれないので安心
でも2chに負荷かけちゃいかんよ。焼かれちゃうよ。
丸々コピペだけど
実害については、PCを丸ごと公開鯖にしちゃうので
全てのファイルの閲覧が、外部から可能になります
今のところ、ルータもFWも使ってないような人しか公開されちゃうことはないですが >>90
亜種が出たとしても
同じ人は同一の定形コピペしてるのには変わりない
毎回投稿内容が変わるもんでもないし・・・ (他人がやれば IPが変わるぐらい)
巻き添え出さないようにするには
同じIPからまったく同じ内容の投稿を出来ないようにすればいい (投稿内容の一部文字列ではない =~ Rock54 ではない方法) >>97
それができたらコピペ嵐も減るだろうねぇ。
良い方法あるのかねぇ。 >>97
それって、根本的に新しい仕組みが要る気がしますがー。
ちなみに、数百万のアクセスホストを、どこに保存するですかねー。
それとの照合も、どこでやるかですー。
いまは「禁止リスト」のようなものと照合してるだけですからー。
せいぜい数万までじゃないですかねー。対応可能なのはー。 やばい、山田を踏んでしまった・・
これって、キンタマウイルスと同じ類? >>99
>新しい仕組みが要る気がします
正解
>ちなみに、数百万のアクセスホストを、どこに保存するですかねー。
>それとの照合も、どこでやるかですー。
Sambaと同じ要領でいいんじゃないかな〜? (1つの鯖単位)
*最低限 30分〜1時間は保存
*この間に別の内容は投稿可能(交互にやれば書き込めるかは FOX氏へおまかせ) >>104
ダウソ板で・・・
MXとか、P2Pやってる人間には関係あるんですか? >>107
関係なし
とりあえず>>1のまとめサイト見れ. 山田くん作youjo.exeを踏んで発症ですよね?
テンプレ1のjpgは踏んでも問題なし? 言い方おかしいな
テンプレのjpgじゃなく、あちこちにあるjpg(一緒に出てるリンク)です。 >>110-111
ギコナビでプレビューしてみろ
話はそれからだ 実はこのスレのスレタイを書くとRockに引っかかる罠。 えーどれどれ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】 どれどれ
ええおめめしとるのぉ(*´Д`)ハァハァ
>>115
ここはRock対象外
それにスレを立てるときも対象外 むぅ
ですなぁ
ところでpostされるサーバは同じ? 外部アップローダーのウィルスを踏んで感染するんでしょう。
感染した被害者のパソコンから送られてくる。
ログをみるとUSER_AGENTがMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) 亜種によって書き込む板がダウソ板だけでなく確実に多くなってるみたいねぇ…
特定の板の中からランダムっぽい感じだから、中に書き込み候補リストでも入ってるのかしらん
感染経路もアプロダ、P2Pと色々広がってるみたいだし >>123
全部、確認したわけではないけど、
いくつかのスレでは、確かに、いちばん上のスレだったなぁ・・・ 亜種のカキコの
>Winny中です1へモア?
このヘモアってヘモア2世ってコテで3日前に
ダウソ板で荒らししてたヤシと関係あるのかな? >>125
細木数子が、モアイ像をヘモアと回答したから。 Downloadとかでも上がったらスグに来るので
やっぱり上位のスレに書き込まれるみたいだね。 昨日ダウソの人が山田を逆汗してその中から、攻撃先の一覧みたいなの抜き出してたけどな
そのtxtならログに残ってたから必用ならうpするよ
増えてたらあまり意味無いかもしれないけど 12日の書き込みは、やっぱり3万台に行ってましたねー。
p2pでもばらまいてるのがいるとするとー、これからどんどん
まだ増えるんですかねー。 今日現在 3万/day ですか、
これの増加率が問題ッすね
時間の問題で全サーバ機能不全になるのか? 広告宣伝スレよりこちらへ誘導されました。
こちらでは報告の際、曜日抜きが必須なのですか?
http://aa5.2ch.net/test/read.cgi/nanmin/1112552367/148 2005/04/13 12:34:22 >>137
>時間の問題で全サーバ機能不全になるのか?
どうだろうね
>135 は総数なんでなんとも
2〜3台が感染してて24時間やるのと
100台が感染して数時間やるのとでは違う
たしか
6〜7分毎に投稿してるから・・・
前者だった場合負荷は小さい
後者だった場合負荷はとてつもなく大きい >>137
1クライアント当たりからの投稿はー、まあ多いものは
100〜200/dayくらいなんですがー、4〜10/day程度のもあるんでー、
何がトリガーになって書き込んでるのか、よく判らないんですよねー。
Rockで阻止されても、繋ぎ変えた時にまた3回は書き込めてしまいますしー。
も一つは、けっこう簡単に書き換えられるウィルスみたいなんでー、
書き込み文字や、ターゲット掲示板を変えた亜種が増えてきてることですー。
今週末までに、恐らく5万/dayは超えると思いますけどー。
ウィルスソフト会社が、まだ動いてないんですよねー。 このスレ運用情報に移転するです
移転後誘導入れてから停止しま〜す ■ このスレッドは過去ログ倉庫に格納されています
