★060225同人板AntiLoスクリプト荒らし報告スレ
■ このスレッドは過去ログ倉庫に格納されています
◆このスレの報告対象
同人板における大量スクリプト荒らし、「AntiLo」を報告する専用スレです。
削除しても追いつかないような大量コピペを報告してください。
上記以外の通常の荒しは汎用スレへ報告してください。
◆書式
最新の書式はwikiを確認してください。
http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0
・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。 こっちに書く
【犯人は】 コミケ不正入場野郎2 【有名音楽系】
これが荒らされてるのは何で何だ
もしかして【】か? >1乙!
>2
調べてみたが爆撃されてないスレがある 【】は大丈夫
「不正」がにうスレでも使われてるからコレだと思う おおそうだ>>1乙!!
自分は自治スレの141-142などですが、
「同人」は全く関係ないような気がしてきた。
圧倒的に爆撃されてないスレが多い。
もともと絶対数が多いんだろう。
◎
なし
○
|д゚`)見てはイケナイものを見てしまった@同人板(2件目)
×
同人板のmixiを語ろう Part3
同人の流行を考える 男性向編 第4シーズン
【ローゼン】薔薇乙女同人2【メイデン】
■■女性向同人誌の書店委託情報11■■
同人のつきあいで心にずーーーっと引っかかっていること
THE iDOLM@STER同人 3冊目
同人印刷所スレ・その47
【_| ̄|○】トラウマになった同人誌orz 4【○|_| ̄】
同人作家って低学歴と高学歴の差が激しい >4
「不正」が含まれるスレ3つ、全て爆撃されてるからガチだね。 10年前からタイムスリップしてきました@同人板
がやられているのはなんで? 単なる便乗荒らしじゃないなら更なるNGワード追加?
もうわけわかんねー! >7
爆撃はいつから始まってて何回やられてる?
比較的最近爆撃が始まったところは亜種により同人とは無関係の文字列が対象に
なっているか、便乗厨の可能性があるらしい。 半角二次元板バージョン AntiLO 対策NGワード
ttp://jusho-sokuho.hp.infoseek.co.jp/AntiAntiLo.htm
同人板の新型にもそれなりに効果はあるので一応上げとく ウイルスの作者は、まだ亜種をアップローダに出し続けているかもしれないですね。
ウイルスがアップされているのを見かけたら、警察やウイルスソフトベンダーに通報してみてください。 >9
936 :名無しさん@どーでもいいことだが。:2006/02/23(木) 18:25:53
の1回だけ
便乗なのかな
誤爆してきた…… (,[,][^,]*,[,])|([^>]*([死子氏][^ね]*ね|著[^作]*作[^権]*権[^守]*守[^れ]*れ|(消[^え]*え|自[^首]*首[^し]*し)[^ろ]*ろ|所[^で]*で[^バ]*バ[^カ]*カ|プ[^ッ]*ッ[^何]*何[^言]*言)
[^<]* <br> )([^>]*([死子氏][^ね]*ね|著[^作]*作[^権]*権[^守]*守[^れ]*れ|(消[^え]*え|自[^首]*首[^し]*し)[^ろ]*ろ|所[^で]*で[^バ]*バ[^カ]*カ|プ[^ッ]*ッ[^何]*何[^言]*言)) >>1
スレ立て乙
今日の分は削除はいる前にログ取っておいたのがあるけど、透明削除入った後でも
報告書式通りに貼っても掘れたっけ?
今はログ堀がほとんど無くなったのは知ってるけど、記録だけでも残しておこうと。 a)投稿内容
大型の不規則な文字の羅列(こまめにパターンを変えて投稿)
>さっさと,著 作権 守れ..友..香子こん,,な 所でバ,カや ってる.暇があっ衛た ら,働 け 友香 子自首..し,,ろ トレ.ス 自,首しろ,,糞
>さ っ.さ,と(´ 褐,,_ ゝ`) プッ 何 言 澂って ん の嫋亜 星 さっさ.とこんな 所 でバ,,カ..やってる..暇があっ.た.ら働,,け下 衆 ( ´., _ ゝ,` )プッ何言ってん,,のパクリ
>自 首し 嶷?ろ,キ,モ,,オタ著 ?作,権守,,れトレ,,パク さっさ,と著..作,,権守 れ友 香 子
>さっ さと囈(´,._ 甲ゝ `)プ ッ何..言,って,,ん.の ゴミ クズ消え..ろち,,ま..き
>さ っ,,さと (´.,._ ゝ..`) プッ何 言,っ,,てんのカ,,ス,著作権守 れ.同 人 女..さ っさ,と 著作.権守れ下衆
> .消 え ろ葉山カ,イト消えろ逝上
>( ´ ,_ゝ` ),プ ッ何 言 ってんの犯 罪者 さっ さと著 作,,権守..れ,ク ズ
> 著作,権.守れ 同 人 女 (´ ,_..ゝ` ) プッ,何 言 って..んの低脳>著 作権..守,,れ葉山 カ イト
> 自詔首しろ逝上
> 死ねクズ 消え ろゴミク拂拡ズ自首.しろ 豚
>? 氏ね トレパ ク ..死ね,,パク.リ
>(´,_ゝ`).プッ 何 言 ?っ.て..ん の.デ.ブさ ?っ さ と 死ね..キモオ タ,子,,ねち.ま.き
>さっさ とこ,ん..な所,で,バ,カや.っ,,て る暇が..あ,,ったら..働..けち..もち さ,,っ,さ,,と,,こ.んな所でバ カ,やっ,,?て る.暇が,,あ ったら働.けト,,レス著作 権 守れ ロリコン,
> 著作,,権 哲守,,れ..にう,,こ..ん,な..所でバ,,カや ってる暇 が,,あった?ら働 け下衆?
> ..自 首..し,,ろ に,,う さ っ さと,消.え?ろロ リコ燻ン
> 消え..ろ.に う著作権守 れ..社..会..の,ダ,ニ,,(.Х´ ,,_ ゝ,,`)プ ッ何言..っ て んの,ゴミク ズ さ っさ,,?と 子.ねゴ?ミクズ,,
>著.作権 守れち ま,き(..´ ,_ゝ ` )プッ何言 っ て,ん のキ,,モ Rオ.タ消,えろ 糞..
b)規模頻度
1日に3000レス以上
c)爆撃範囲
同人板全域
d)継続性
2/23から断続的に発生 よく分かんないけど、鯖移転とアカウント変更すれば終わりなんじゃないの? ごめんよく分かんないんだけど、↑って感染者のID? >245
書き込んだ人のID。
まあ感染者ってことにはなるかな。 http://comic6.2ch.net/test/read.cgi/doujin/1138969919/73
名無しさん@ど・:2006/02/25(土) 06:54:09 ID:vNhfLMsi
http://comic6.2ch.net/test/read.cgi/doujin/1138969919/75
名無しさん@ど・:2006/02/25(土) 17:52:16 ID:2wAELkpj
http://comic6.2ch.net/test/read.cgi/doujin/1138969919/76
名無しさん@どーでもいい・:2006/02/25(土) 19:59:11 ID:8R0yp4nZ
便乗らしき書き込み。3つのみですが、削除依頼に出してしまったので念のために
報告。 datの更新時刻を読んでいる亜種があるようで、爆撃が止まっているスレの削除をすると、
爆撃再開されるケースが見られます。
賽の河原な気分です。
削除が、埋立てを遅らせる程度にしか役に立たないかもしれないので、
避難所となるスレを立てたりする対策を、お早めにお願いします。 >>253
誤爆しなければ、削除としては覿面かと。(板内限定で砲撃) >>248以降は書式不備なわけだが
ま、通常の規制スプリクトを使わないというのであればいいのかも知れんがな ★051211 半角二次元板ゴミクズ溜まり場報告スレ2の方に
検体らしきもの確保の報告が来てます だーれもいない orz
検体の収集方法
キーワード:2006-13
トリップ:6zlZhsWVlG
サイズ上限: 15 (MB) 同人板爆撃ウイルス検証状況。
いまのところここまでわかっているようです。
http://comic6.2ch.net/test/read.cgi/doujin/1140974901/より。
162 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 15:11:16 ID:FyWv97xb
>>145
ほぼ確定しました。
(一般コミック・雑誌) [ジャンプ] [2006-13] ONE PIECE 401.zip
6zlZhsWVlG 6,285,249 c0f87010f9825ff8c62b85e3cf9019ee
内に含まれている one peace401 .scr がウイルス本体です。
勿論、他にもこのウイルスを混ぜたものが流れているかもしれません。注意。
以下、one peace401 .scr が発したPOSTの抜粋。
POST /test/bbs.cgi HTTP/1.1..Accept-Language: ja
,en,*..Accept: */*..Accept-Encoding: gzip,deflat
e..Content-Type: application/x-www-form-urlencod
ed..User-Agent: Mozilla/5.0 (Windows; U; Windows
NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5.
.Cookie: PON=softbankxxxxxxxxxxxx.bbtec.net; exp
ires=Friday, 01-Jan-2010 00:00:00 GMT; path=/, H
AP=1219206; expires=Friday, 01-Jan-2010 00:00:00
GMT; path=/..Referer: http://comic6.2ch.net/tes
t/read.cgi/doujin/1128103867/l50..Accept-Charset
: *..Content-Length: 1586..Host: comic6.2ch.net.
...MESSAGE=%81%40%82%B1%2C%2C%82%F1++%82%C8++%8F
(以下、メッセージのエンコード済みデータが続く)
172 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 15:27:31 ID:FyWv97xb
パッと見、AntiLoとは内部構造が大幅に違うようです。
というのも、今回のはRubyで書かれている様なんですね。
(AntiLoはDelphiのWin32ネイティブでした)
インタプリタなので、解析しにくい事この上ないです。
投稿する文字、ターゲットとなるスレッドの特定も一筋縄にはいかない?かもです。
189 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 15:43:46 ID:FyWv97xb
>>176
同一犯の可能性ありですねー。
ウイルスにRubyって、あんまり聞かない話ですし。
>>177>>178
Winny2にて流れておりました。
追加情報です。似たようなファイルを落として確認しましたが、
やはりRubyで書かれた亜種が複数ある模様。なぜか動作しないものも。
196 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 15:52:47 ID:FyWv97xb
仮想マシン内で挙動を|д゚)カンサツしますので、
私のIDでウイルス書き込みがあるかもしれません。
ご理解とご協力をお願い申し上げます。
296 名前:ウイルス蔓延中!要感染確認@自シ台スレ 投稿日:2006/02/27(月) 18:22:05 ID:Z2oAQgiJ
>>281
hitしてますた。マジ確定すな
ttp://comic6.2ch.net/test/read.cgi/doujin/1136769756/818
【323信者続けて】脳内ちゃん様劇場【パク絵師追放】
818 :ウイルス蔓延中!要感染確認@自シ台スレ[]:2006/02/27(月) 15:55:42 ID:FyWv97xb
消 えろニー,,ト,
ry
223 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 16:21:27 ID:FyWv97xb
パケットを見る限り、一度の動作につき
1. ttp://zonutan.hacca.jp/bbsmenu2.html
から同人板のアドレスを取得
2. 同人板のsubject.txtを取得→ターゲットスレを選定(現在はロジック不明)
3. 荒らし書き込み×4件前後
を行う模様。
あと、Symantecに該当ウイルスを提出・通報しておきました。
281 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 18:10:47 ID:FyWv97xb
速報。
ターゲットとなりうるスレッド
------------------------------------------------------------------------
なぞ ちもち 池上 シ也 シ也 茜 AMR 逝上 ちまき るなりあ nagomiko 亜星
にう 葉山カイト 友香子 妃川美波 トレ トレ パク パク 検証 自治 じち ジチ ぢち
ヂチ 討論 引越 ny 盗 不正 痛 晒 厨 嫌 ちもち るなりあ 写 模 真似 マネ
------------------------------------------------------------------------
これらを含むとアウトの悪寒
331 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 18:44:42 ID:FyWv97xb
プロセスメモリエディタからRubyソースを摘出。ほぼ丸裸状態でつヽ(´ー`)ノ
・SETTING.TXTを読んでます
・名無し名が設定されていなければ'名無しさん@どーでもいいことだが。'
になり、設定されていればその名前になります
・ターゲットスレを"トレ"だけで試した跡があります(デバッグ用?)
・ネトゲサロンにテスト書き込みを行った形跡があります。
bbskey=1082053502 メ欄=sage 本文=て
これに合致する書き込みがあれば、犯人が書き込んだ可能性が高いです。
・詐称するUAのレパートリーは160種類を超えます。
基本は "Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5" の模様。
・ごみ箱にwinny.exeを捨ててあると、それをスタートアップに登録しようと試みます(失敗?)
・レジストリにスタートアップを設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
driver32=<ウイルスのパス> -x
・書き込みルーチンが賢いです。
ex) 〜sec書けません、とレスポンスが返ってきたらその通り待つようです。
339 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 18:51:41 ID:FyWv97xb
>>337
今だと、書き込まれる名前は"ウイルス蔓延中!要感染確認@自シ台スレ"になります。
ここの処理は、やってる事がよく分かりませんです。
(名前を書かないと自動的にデフォになるのに)
2ch文化に詳しくない者の犯行を匂わせますねぇ。
353 名前:395 ◆veZNGgrqUc 投稿日:2006/02/27(月) 19:05:18 ID:FyWv97xb
>>316
AntiLo Killerでは、このウイルスを検出できません。ご注意ください。
>>341
いまのところ、動いているプロセスを止めて、
レジストリを掃除するだけでOKと思われます。
>>342>>345
該当部分のソース
#print get_samba24('comic6', 'doujin')
#print kakikomu('game10', 'mmosaloon', '1082053502', '', 'sage', 'て')
を見ると、やはりこの書き込みは…
345 名前:ウイルス蔓延中!要感染確認@自シ台スレ 投稿日:2006/02/27(月) 18:58:22 ID:w+VGeWDu
>>331
ネトゲサロン見てみました
[test] 書き込みテスト 専用スレッド 1 [テスト]
http://game10.2ch.net/test/read.cgi/mmosaloon/1082053502/236
236 名前:ネトゲ廃人@名無し[sage] 投稿日:2006/02/20(月) 15:33:54 ID:???
て
抽出してみましたが本文=て は2レス、うちメル欄sageはこれのみです
395 ◆veZNGgrqUc氏の解析レス
>>162 確定
>>172 ウイルスはRubyで書かれている
>>189 亜種が複数ある模様
>>196
>>223 動作について
>>281 ターゲットになりうるスレッドについて
>>331 ウイルスの行動について
>>339 犯人は2ch文化に詳しくない人?
>>353 ネトゲサロンの書き込みが犯人の可能性?
続報があればまた報告します。 :【緊急事態発生】 自シ台スレッド5【ウイルステラヤバス】
http://comic6.2ch.net/test/read.cgi/doujin/1140974901/
537 : ◆dummy0N5Bk :2006/02/27(月) 22:04:20 ID:FHJ2Xzb0
>>331 >>342 >>353
その書き込みが犯人である可能性って、どれくらいなんですかね?
573 :395 ◆veZNGgrqUc :2006/02/27(月) 22:42:19 ID:FyWv97xb
みなさん本当にいいお方だ。・゚・(ノ∀`)・゚・。
>>537>>561
非常に高いと思います。が、100%と言えないのが悔しいところ。
というのも
・犯人がそのコードを実行しないで
・偶然、他人が同じ条件の書き込みを行った
ケースが考えられる為です。
635 名前:ウイルス蔓延中!要感染確認@自シ台スレ 投稿日:2006/02/27(月) 23:21:33 ID:f/nLTpSz
ソース読んで見たけど、これゾヌ2用にコッパたんが作ってる板一覧ファイルの
同人板のところのURLを弄ってもらうだけでとまるがな(´・ω・`)
もちろん亜種が出たらまた始まるけどな(´・ω・`)
なんなの、この厨房ソースコード
だそうです。 北陸イベント総合スレッド 3
http://comic6.2ch.net/test/read.cgi/doujin/1127051714/
>>329
325のヤバ目ワードに含まれていないので「?」となっていたのですが、
「イベント」が共通してますね。
1.前準備
感染ファイルは拡張子(*.exeや.scrなど)を隠していると非常に見つけにくいです。
パソコンの初期設定では拡張子を隠す設定にしてあることが多いので、
下のサイトさんを参照の上、拡張子を表示させてください。
http://www.cdwavmp3.com/dl/extention/ext_hyouji.html
2.感染確認方法はwikiにある通り。
3.駆除方法
駆除方法は個人の責任に基づいて行ってください。
レジストリの修正などの作業による不具合が発生しても対応いたしかねます。
ですが、ちゃんと順序どおりに駆除すればトラブルはそんなに起こらないと思います。
1. ウイルスの停止
タスクマネージャーを起動させます。
WindowsXPの場合、ツールバーの空いたところで右クリックし『タスクマネージャ』を選択するか、
Ctrl+Alt+Delキーを押すことで起動します。
感染確認方法で見つけたウイルス名を探します。
それを選択してプロセスの終了を実行して下さい。
2.レジストリを修正
(※レジストリの修正は個人の責任に基づいて行ってください)
レジストリエディタを起動させます。
起動するには、[スタート]→[ファイル名を指定して実行]から『regedit』と入力し[OK]を選択します。 修正を行う前に、レジストリのバックアップを取ります。
レジストリエディタ左側の画面で一番上に表示されている [マイ コンピュータ]を選択します。
次に[レジストリ]メニューをクリックし、[レジストリ ファイルの書き出し]を選択します。
(注意: Windows XP をご使用の場合は、[ファイル] - [エクスポート] の順に選択してください。)
・Windows 95/98/NT の場合は、保存する場所を [デスクトップ] に変更します。
・Windows Me/2000/XP の場合 は、ウィンドウ左側に表示されているデスクトップアイコンをクリックします。
次にファイル名ボックスに任意のファイル名を入力します。
(ファイル名は「regback」とか適当で構いませんが、つけたファイル名を覚えておいてください)
書き出し範囲が [すべて] に設定されていることを確認し、[保存] をクリックします。
この操作で、デスクトップ上にバックアップファイルが作成されます。
バックアップを取り終わったら、次のキーを調べます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
driver32=<ウイルスのパス> -x
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
driver32=<ウイルスのパス> -x
上記の場所にあやしいウイルスのパスが書かれたキーが見つかったら、
必ず<ウイルスのパス>の部分をメモに控えておいてください。
(後でウィルスを本体を削除する時に使います。)
それからこのキーを削除します。(削除はキーを選択-右クリック-削除でOK) 3.ウイルス本体を削除
2でメモをしておいた<ウィルスのパス>にしたがってフォルダを開き、
ウィルス本体を削除してください。
4.駆除できたかどうかの確認
PCを再起動後、もう一度感染確認方法を試してください。
PCの動作が正常であれば、保存しておいたレジストリのバックアップファイルを完全削除(ごみ箱からも)してください。
(レジストリファイルは決してダブルクリックしないでください。復活してしまいます)
これで当面は大丈夫ですが、まだ完全ではありません。
各ウイルスベンダーから正式な対応が公表されるまでは、Wikiをチェックし続けてください。
参考サイト
ハマーの出張所
http://www.geocities.jp/dkstr_hamar/index.html
レジストリのバックアップについて
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953?OpenDocument&src=sec_doc_jp
5.感染してしまった方へ
ウイルスファイルの詳細を調査しています。
・ウイルス拾った場所
・ウイルスのファイル名
・ウイルスの挙動(プロセス名、キーは存在したかどうかなど)
・駆除後の結果
を調査の上、
荒らしはスルー
http://comic6.2ch.net/test/read.cgi/doujin/1140863905/
に書き込んでください。
ご協力お願い致します。
395 ◆veZNGgrqUc氏によりAntiLo Killerがverアップし
今回のウイルスの現行ver(2/27 23:00頃)までの確認+駆除ができるようになったようです。
AntiLo Killerはこちらでダウンロードできます↓
AntiLoまとめサイト
http://security.s182.xrea.com/
取り急ぎご報告まで…
>>328 の続き
615 :ウイルス蔓延中!要感染確認@自シ台スレ :2006/02/27(月) 23:09:58 ID:f/nLTpSz
>>573
ほぼ間違いなく100%だべよ
そのコメントアウトしてある処理は、わざわざ別な人を犯人に見せかけるための罠で、
どこかの誰かが395さんより以前に解析して書き込む(あるいは偶然同じ書き込みをする)なんてあるかいな
たとえ一文字といえども、コメントアウトされている処理が1度も実行されなかったって言う方が無理があるがな(´・ω・`)
その書き込み掘れないのかな? >>322-337
自治スレでやれ
いちいちコピペ貼るな、リンクだけ貼れば充分だろ。 ポイントだけ貼ってあるのかと思ったが、>>328とか>>337はいらないかもな。 ■ このスレッドは過去ログ倉庫に格納されています
