【春雷】 イオナズン対策スレッド
レス数が1000を超えています。これ以上書き込みはできません。
♪あなたはーいなづーまーのー よーぅにー
わたしのースレをー ひきさいたーぁー
つなぎかえ連投荒し 通称「イオナズン」の対策スレッドです
このスレも荒らされたりして マホカンタかマホトラかマホトーンか…
それが問題なスレでつな('A`) >>3
なんか対策したの?
もっと遊びたいけどさ。春休み終わったから暇がない。夏休みに遊ぼうぜ。 参考URL
http://qb5.2ch.net/test/read.cgi/operate/1144071322/206 2006/04/04(火) 00:47:38 ID:YwI4ephZ0
このスレでのイオナズンと思しきレスは削除人が削除済み イオナズン発生のメカニズムはどうなってると予想されているの?
記録としてここに残そう
↓どぞ ここまで特に書き込みなしということは
実はもう駆逐されているのでは! 山田おるなんとかに感染
↓
イオナズンファイルうpされる
↓
イオナズンの親玉が壷のお知らせみたいに攻撃対象を流す
↓
イオナズン
みたいなのを妄想してる >>19
関連してるのかなー。
そーすると、イオナズンされた時のホストにー、
ダウンロード板に投稿してるIPアドレスがあるはずですよねー。
いっぺん掘ってもらうのがいいのかなー。
焼かれたものはログであるわけですしー。 こんなふいんきです
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:35 l6lXRkZQ0<>コレで最後だ!!インディグネイ<><>softbank060076174002.bbtec.net<>60.76.174.2<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:36 B4CEUwg30<>コレで最後だ!!インディグネイ<><>86.net059086084.t-com.ne.jp<>59.86.84.86<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:36 qgyH65dG0<>コレで最後だ!!インディグネイ<><>softbank219012248120.bbtec.net<>219.12.248.120<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:36 fgsdnhUo0<>コレで最後だ!!インディグネイ<><>140.112.217.148<>140.112.217.148<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:36 5+ROUkbd0<>コレで最後だ!!インディグネイ<><>softbank060086061029.bbtec.net<>60.86.61.29<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:36 pBosArCw0<>コレで最後だ!!インディグネイ<><>p3146-ipad03niho.hiroshima.ocn.ne.jp<>218.43.229.146<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:37 JEC3M3pa0<>コレで最後だ!!インディグネイ<><>softbank218131136031.bbtec.net<>218.131.136.31<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:37 W+21+1Jr0<>コレで最後だ!!インディグネイ<><>p2004-ipad33niho.hiroshima.ocn.ne.jp<>222.149.167.4<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:37 /5OIMKHk0<>コレで最後だ!!インディグネイ<><>p2078-ipad206akatuka.ibaraki.ocn.ne.jp<>211.17.2.78<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:37 JsnFwSW60<>コレで最後だ!!インディグネイ<><>ntgnma042231.gnma.nt.ftth.ppp.infoweb.ne.jp<>220.219.235.231<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:37 WAFW03fb0<>コレで最後だ!!インディグネイ<><>gk120.ade3.point.ne.jp<>202.164.70.120<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:38 Hupqbw8g0<>コレで最後だ!!インディグネイ<><>p2212-ipbf303souka.saitama.ocn.ne.jp<>60.39.183.212<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
動け動けウゴウゴ2ちゃんねる<><>2006/04/04(火) 00:47:38 ddgnbPBR0<>コレで最後だ!!インディグネイ<><>softbank219063178082.bbtec.net<>219.63.178.82<><>Monazilla/1.00 (Jane2ch/0.1.12.2)
ログ
>22
ntgnma042231.gnma.nt.ftth.ppp.infoweb.ne.jp 1res
p2078-ipad206akatuka.ibaraki.ocn.ne.jp 1res
p2004-ipad33niho.hiroshima.ocn.ne.jp 1res
softbank219063178082.bbtec.net 1res
p2212-ipbf303souka.saitama.ocn.ne.jp 1res
gk120.ade3.point.ne.jp 1res
softbank218131136031.bbtec.net 1res
softbank219012248120.bbtec.net 1res
86.net059086084.t-com.ne.jp 1res
softbank060076174002.bbtec.net 1res
p3146-ipad03niho.hiroshima.ocn.ne.jp 1res
softbank060086061029.bbtec.net 1res
140.112.217.148 1res
ipad\d+niho.hiroshima.ocn.ne.jp 2res
softbank219012*.bbtec.net 1res
\.t-com.ne.jp 1res
softbank060076*.bbtec.net 1res
140.112.217.148 1res
softbank060086*.bbtec.net 1res
softbank218131*.bbtec.net 1res
ipad\d+akatuka.ibaraki.ocn.ne.jp 1res
ntgnma\d+\.gnma.nt.ftth.ppp.infoweb.ne.jp 1res
softbank219063*.bbtec.net 1res
ade?.point.ne.jp 1res
ipbf\d+souka.saitama.ocn.ne.jp 1res
※何となく手法は見えてきていますがこれを防ぐのはかなり困難だと思われます。 >23続き
多分、上でも言われているbot型Dos攻撃の一種だと思われます。
botによる攻撃の解説
変幻自在なBOTの正体を暴く
ttp://www.atmarkit.co.jp/fsecurity/special/76bot/bot01.html 爆撃する文を自由に変えられるようだし、
これは讃岐の説で当たりっぽい? 讃岐ちゃんの説がマジだとするなら今やってる同人とダウソでやってるウイルス爆撃も
状況に合わせて任意で攻撃対象を変えれる事になるね >29
違います。
ウィルスの場合はnyネットワーク等に流れてから攻撃が始まるけどイオナズンが
bot型だと仮定すると攻撃目標及び攻撃に使う文章、その気になれば攻撃プログラム
本体のバージョンアップすら命令者の思い通りだと言うことです。 (*´Д`) < ダウソのウイルスについてはよくわかりませんがー
イオナズンに関してはー
掘られたログの User-Agent が 全てMonazilla/1.00 (Jane2ch/0.1.12.2) で共通
している事から察するにー
ただの age2ch タイプの荒らしさんで、一人でやっているんじゃないのかなー
と思いましたー。 それはイオナズン自身がそのUAを名乗ってるだけですよ。
ホストに含まれてる地名が異なるから絶対に複数マシンから発信してます。 Jane2chが問題だったら作者が首吊るぞw
UAなんか簡単に書き換えられるからなぁ。
一度書き換えた事が有るが「ファミリーベーシック」ってUA名乗ったら
プログラマーの友人に(#゚Д゚)ゴルァされますた
「え−、ベーシックでネット出来るんだ」と真面目に言われますた
アクセス解析で足跡が容易に判別されるようになりますた
もうしませんorz ◆Style/kK.sがそんなタマだと思ったら大間違いだ >>30
その考えは当ってると思うよ。
たぶんnyを利用して広めたんだろうなあ。
山田オルタの感染者は1日に100台と言う話しも有るし。
2ちゃんねるだけの被害ならどうってことないかもね。
こいつが、いろんな悪さをしはじめたら、、、
>>31
>掘られたログの User-Agent が 全てMonazilla/1.00 (Jane2ch/0.1.12.2) で共通
は単なる発信者が使ってるだけでしょ。 >>35
>たぶんnyを利用して広めたんだろうなあ。
ハシュきぼんぬ (*´Д`) < >単なる発信者が使ってるだけでしょ。
何が言いたくて、どこに突っ込みたいのかよくわかりませんが
それは一人がやっていると言う事を補完する意見でしかない、ような気はします、です
そんな今夜ですた ( ゚д゚)ノ >>36
オレはワクチン製造会社じゃないし、いちいちexe.を分析して無いよ。
ハシュで判れば幸せだろうね。
と、真面目に答える。
>>37
そうそう。 >35
>37
一人なのかグループなのか今の時点は判断できないけど同一botからなのは
間違いないかと
Dosプログラムのバージョンアップが可能だと仮定するとそれすら崩れる可能性
もありますし(UAランダムタイプの出現) これ以前にログ掘ったりしましたか?
雪だるま作戦のスレを待ち続けるスレ Part5
http://aa5.2ch.net/test/read.cgi/nanmin/1142431006/760
760 :757 [sage] :2006/03/31(金) 01:53:01
>>758
VIPのキャップくれ。
UAはOpenJane0.1.12.2これで規制は無理だろ。
300秒ごとに踏み台からくるくるまわしてるみたい
これ以上は別料金ですぜ (*´Д`) < わたすは想定出来る事を考えたりはしますがー
根拠がはっきりしない事でー
断言したりはー
しないことがおおいです。。。 >>40
VIPのキャップなんて意味ないんだし発行してはいかがでしょう>FOX 荒らせばキャップが貰えるなんて前例を作るのは好ましくないかと そこは伝説の機能として
VIPの歴史に組み込んでしまえば 頭に★がつくだけじゃない?
結果的に馬鹿が看板背負(ry ログ掘り以前にUAの件を知っていた場合、
そいつが本体だろうと言いたかっただけだが (*´Д`) < 寝る前に一言だけ。。。
>>ID:Q+34oZtH0
適当な事を場当たり的に書き込む人は、嫌いです ID:Q+34oZtH0は正しいことを言ってると思うが よく分からない理由で人を嫌いだと書く人は、痛いと思います 内輪もめしてもしゃあないべ。敵はウィルスとその作者。 これバックドアでやられてんのかぁ
手動に見えるな、ログ掘ってなきゃ こりゃプロパに攻撃うけてますって報告するケースだな、望み薄 >>65
これはイオナズンじゃないよ。誰かがまた作ってる。 >>67
すげーIDかぶりが2個ずつだ・・・
性能が増してる ゾンビPCが増えたってことかしら
どうせnyとかだろうけど、どうやって感染させてんだろ 今回は完成度が低い方です
IDがほとんど重複しない場合もあります Samba24の管理さえしておけば、IDがかぶっても問題ないし
その気になれば、ログ掘って焼くまでの間に全スレ埋めることも可能な気がする
前測定したら10000res/hは軽く超えてたし 厨房板で宇宙語書いてる香具師とかダウソ板でfusianasan爆撃してる香具師とかがゾンビPCだったりして >>75
>厨房板で宇宙語書いてる香具師
それはどうかな
遊びで書いてる人が数人いる >>74
規制情報板のような板でログ堀すれば無問題 掘られない件
というか1レスずつ報告したほうがいいのか?
それだときりが無いが・・・ >>79
報告は簡単だけど。これ使えば。
ttp://halcyan.30.kg/myscan.php >>79
書式
http://info.2ch.net/~info/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0#ResSingle_noKey
書式2を使って
共通キーワード:VIPでやれ
と入れればおk >>80-81
>>67をそれでやってみたんだけど本文が長すぎになっちまう どれどれ
>>67
http://live22x.2ch.net/test/read.cgi/news/1144246548/178 2006/04/06(木) 17:28:41.26 ID:zuWbf6mS0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:VIPでやれ
数 :800以上
速度 : 80res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144246548/1000 2006/04/06(木) 17:33:30.23 ID:13x6VXSF0 >>82
どの部分が本文が長すぎに引っかかったかわからないけど、
共通項目があるときはID省略してもいける(はず) >>84
あら、ID省略可だったんですか
すみませんでした >86
ある意味ブラクラw
プニルが「応答なし」になったジャマイカw では>>60のを
http://live22x.2ch.net/test/read.cgi/news/1144158214/260 2006/04/05(水) 23:12:11.18 ID:gUSd96Ou0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:ねこ死亡ワロタ
数 :700以上
速度 :200res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144158214/999 2006/04/05(水) 23:15:17.70 ID:TV6PjOvj0 >86って、Monazilla/1.00 (Jane2ch/0.1.12.2) だけっぽいね >>86
大半が16〜18 res
興味があるホスト
↓共有ホストで外部からは接続不可
asf-cable.c-able.ne.jp 17res
bergamot.aitai.ne.jp 4res
catv162.avis.ne.jp 17res
crux.aitai.ne.jp 19res
family.e-catv.ne.jp 19res
gw000057.ueda.ne.jp 18res
icc-pat2.orihime.ne.jp 14res
marguerite.aitai.ne.jp 37res
octans.aitai.ne.jp 18res
phoenix.aitai.ne.jp 18res
white2.scn-net.ne.jp 18res
どっかに接続して命令を待ってる様子
>>93
前回も Jane2ch/0.1.12.2 だったしUA規制してみたら? >94
もし>92も Monazilla/1.00 (Jane2ch/0.1.12.2) だったら、
規制すれば、一時しのぎとしても、しばらくは落ち着くかも その場その場で本文変えられるんだから
UserAgentだって変えられるだろ >>96
変えられるのが
ターゲットと本文だけだったら?
規制回避するんであれば 最初からUAはランダムにしてる ランダムにするのは結構面倒なんだよ
処理に時間かかるし 暇なので逆引きできないの手動で調べようと思ったが長くて挫折した
とりあえず重複が出てくる(レス番812)までhttp://www2.arearesearch.co.jp/ip-kensaku.htmlで割当国みてみた
で気づいたわけだが、>>86はスレが終わった時間以後もログが続いてるんですがw
違うスレのですかねぇ・・・
あとは.twと.comがひとつずつあった
やっぱ漫画とかに仕込まれてるんですかね
韓国
61.47.255.85
58.227.201.162
61.47.255.85
59.11.199.146
221.163.119.83
211.112.113.244
222.101.76.45
211.54.147.220
211.218.207.42
222.103.62.132
中国
219.152.68.141 つうことは
UA を種に Samba風味 とか、、、 ちなみに 爆撃されているのは news だけ?
データとるのは news を張っていればいいのかな? 運用情報にも一回爆撃きてたし、単に犯人の趣味かなぁ・・・
でも運用情報は120秒規制だよねぇ、、、
でも、1回ずつ書き込まれるだけでも十分な破壊力な気がしないでもない >>10のoperateの件はいおなずんちゃうの? 対応出来るまでBE_TYPE2で凌ぐとかは?
・・・ひろゆきに迷惑が掛かるか。。。 【速報】 ちょろ ★(=FOX ★)は嫌韓厨だった! 報告
>92
ログ
>99
全ホスト掲載不可なので分析結果でも
記録されてる書き込み回数 11210回
IP総数 829個
重複している数 818個(10回以上 736個)
プロバイダ分布は後ほど
UAは全て同一でした。(前にも書いたけど変えられる可能性もある)
※ここまで大量のゾンビPCがあると通報はほぼ不可能です。
(仮にやっても別のゾンビPCを作られる可能性が大) 何か前の投稿間隔も考慮に入れて
200秒間隔にそろうようとしてる気がするんだが
何の意味があるのだろう・・・
p2107-adsau07doujib1-acca.osaka.ocn.ne.jp
書き込み時間 間隔(秒未満切り捨て)
17:28:41.26 3:23
17:32:04.72 3:17
17:35:21.85 3:21
17:38:42.08 3:19
17:42:01.64 3:20
17:45:21.67 3:20
17:48:41.89 3:21
17:52:02.40 3:19
17:55:21.87 3:29
17:58:50.40 3:12
18:02:02.37 3:20
18:05:22.08 3:20
18:08:42.07 3:20
18:12:02.99 3:25
18:15:27.09 3:15
18:18:42.43 3:20
18:22:02.97 3:20
18:25:22.72 3:19
18:28:41.83 >>113
書き込みバーボン回避 or サンバ回避 とかじゃね? 山田オルタ、ふしあなageマルウェアとイオナズンに関連があるか
気になったので、>>86 >>99のリストにあったイオナズンのゾンビ
クライアント(1064個)と、以下で報告のあった山田オルタ、ふし
あなage感染ホストを付き合わせてみました。
■ウィルス爆撃相談所&焼き処2【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/304-582
両方にあったホストは次の13個。すべてダウンロード板へのふしあ
なage爆撃でした。
203-165-175-237.rev.home.ne.jp
218-251-13-189.eonet.ne.jp
58-188-72-69.eonet.ne.jp
EAOcf-84p166.ppp15.odn.ne.jp
F001089.ppp.dion.ne.jp
KHP222226060026.ppp-bb.dion.ne.jp
catv219122103074.ucatv.ne.jp
h219-110-195-046.catv02.itscom.jp
nthkid058077.hkid.nt.adsl.ppp.infoweb.ne.jp
p006.net059086018.tnc.ne.jp
p3235-ipad01hiraide.tochigi.ocn.ne.jp
softbank218179186044.bbtec.net
softbank219204064005.bbtec.net
イオナズンとふしあなageには関連がありそうな気がしますが、別々の
マルウェアにに多重感染した迂闊な人リストであるだけかもしれません。 まー、同居は可能でしょうねー。
居心地がいいって所でしょうかー。 今プロバイダ分布作成中ですが焼き可能なのを見つけたので報告します。
aa2003010479003.userreverse.dion.ne.jp 11res
aa2004040394002.userreverse.dion.ne.jp 11res
aa2004080395003.userreverse.dion.ne.jp 3res
KD125055207003.ppp-bb.dion.ne.jp 11res
KHP059136032193.ppp-bb.dion.ne.jp 12res
KHP059140101065.ppp-bb.dion.ne.jp 11res
KHP059140123188.ppp-bb.dion.ne.jp 12res
KHP059140238085.ppp-bb.dion.ne.jp 12res
KHP059141023129.ppp-bb.dion.ne.jp 11res
KHP059141102248.ppp-bb.dion.ne.jp 12res
KHP059141109013.ppp-bb.dion.ne.jp 12res
KHP059141174164.ppp-bb.dion.ne.jp 11res
KHP222000089144.ppp-bb.dion.ne.jp 10res
KHP222006002235.ppp-bb.dion.ne.jp 12res
KHP222009245116.ppp-bb.dion.ne.jp 11res プロバイダ分布(10以上のみ)
BIGLOBE 30
DION 70
eonet 31
infoweb 47
OCN 157
plala 22
so-net 24
YahooBB 171
zaq 17
※OCNとヤフーが異様に多いなぁ(全体の4割近く) yourenetが無いのが意外といえば意外ですな('A`) >119
掘られた2件見てみましたけど合計で10件無かったです。
※もう1件の方は纏めただけで分析してないけどゾンビPC推定で1000台以上は
分散してるんじゃないかと思われます。 >>120
>ゾンビPC推定で1000台以上
(ノ∀`)アチャー
やはり通報無理そうですな…
随時作業乙カレさまです、サー! どっかの中の人です
>>120
そうとうでかそうなBOTネットですねぇ(´・ω・`) winny使ってるホストかどーか調べようにも
比べるツールを今から作らないと・・・
時間かかります。(数時間で済むはず) 何かこの機会にBOTについての記事を色々読んでたら、暗澹とした気分になってきた
今回のny騒動でISPがウイルス等に感染してるっぽい怪しいトラフィックを常時監視したり
2ちゃん等からの指摘でもすぐに調査・対応するようにならなきゃどうしようもないね ウイルス感染しても自分に被害なければ無問題と言う認識がいけませんよね。
nyするなら専用機なんてバカな事をする言うヤツが居るからダメ。
ウイルス感染(して他所に迷惑かける事)は罪って事にならんと感染者は減らない。
罰金制度と感染者ハンターwがでてくれば良いなと思ってたりして...
雑談スマソ winnyも使ってたホスト(共有ホストは除く) こっちのクラスタは "【アプリ】Windows【ソフトウェア】※アプリ厨必死だな(藁【アプリ】みんなには内緒だよ【app】"
224.56.111.219.dy.bbexcite.jp
h219-110-187-039.catv02.itscom.jp
global221-101-232.aitai.ne.jp
i211-133-234-058.us.catvmics.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPbf364.saitama-ip.dti.ne.jp
dhcp234175.mv.icv-net.ne.jp
CATV-219-099-010-037.medias.ne.jp
p5190-ipbf14funabasi.chiba.ocn.ne.jp, p4051-ipbf204sapodori.hokkaido.ocn.ne.jp
p1110-ipbf310sapodori.hokkaido.ocn.ne.jp, p2238-ipbf210souka.saitama.ocn.ne.jp
a131051.usr.starcat.ne.jp
229.net059085184.t-com.ne.jp, 117.net220148219.t-com.ne.jp
z128.58-98-156.ppp.wakwak.ne.jp
m056147.ppp.asahi-net.or.jp
p171.net059084093.tokai.or.jp
softbank219016158062.bbtec.net, softbank219028160022.bbtec.net, softbank219051208001.bbtec.net, softbank219191248181.bbtec.net
softbank219204086130.bbtec.net, softbank219209107072.bbtec.net, softbank221094207006.bbtec.net >>127 は過去一週間
↓3/3以降 (>127に書いたものは除く) クラスタはいろいろと・・・
FLH1Aby159.szo.mesh.ad.jp
h219-110-187-061.catv02.itscom.jp, KHP222006002235.ppp-bb.dion.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPax346.saitama-ip.dti.ne.jp
59-190-80-158.eonet.ne.jp, 60-56-197-38.eonet.ne.jp
cr1-162-240.seaple.icc.ne.jp, eatkyo204252.adsl.ppp.infoweb.ne.jp
nttkyo332235.tkyo.nt.ftth.ppp.infoweb.ne.jp, nttyma034077.tyma.nt.ftth.ppp.infoweb.ne.jp, ntaich191135.aich.nt.ftth4.ppp.infoweb.ne.jp
dsl012-191.kcn.ne.jp, f190177.mctv.ne.jp, dhcp-5461.nava21.ne.jp
p5069-ipbfp02niho.hiroshima.ocn.ne.jp
p3233-ipbf1004marunouchi.tokyo.ocn.ne.jp
pc049129.f1.octv.ne.jp, p6ef193.tokyte00.ap.so-net.ne.jp
d2c67f3e.t-net.ne.jp, q057242.ppp.asahi-net.or.jp
softbank060090140029.bbtec.net, softbank218119236136.bbtec.net, softbank218139183208.bbtec.net, softbank218180180072.bbtec.net
softbank219040162002.bbtec.net, softbank220003038213.bbtec.net, softbank220031167032.bbtec.net, softbank221029010121.bbtec.net
softbank221059203138.bbtec.net, softbank221083136013.bbtec.net なんかネットエージェントみたいなことをやってるなwwww >>130
port 0 徹底排除
逆引きは出来ても正引きが出来ないホストが多くて・・・
winny動かすPCにBIND入れて電源切る時にdumpdbをやってる
winny専用に使ってるからwinny以外のホストは出てこない
dumpdbには nameserverの物も含まれるけど
($arpa,$ttl,$host) = $_ =~ /(.*.arpa.)\t(\d+)\tPTR\t(.*)./; で取り出してるから
逆引きしてるホスト名しか出てこない >>116
重複数が少なすぎますね。居心地いいんだろうなあw 【妄想】
ダウソ板で結構前に報告されているマルウェアがイオナズンゾンビクライアントかも
しれません。nyではNoCD/NoDVDパッチを騙って流されることの多い195KBほどのUPX圧縮
exeファイルで、実行するとWindowsのシステムファイルsmss.exeあるいはcsrss.exeの
フリをして常駐します(ただし、実行権限がSYSTEMではなくログオンユーザーになる)。
これに感染したPCは200秒のインターバルでニュー速VIPからsubject.txtを取得します。
バイナリ中の文字列などから類推するに、.datの取得や2ちゃんへの書き込みルーチンも
持っているようです。ホストや板の名前っぽい文字列は“ex14”、“news4vip”しか見あ
たらないのにニュー速VIPはどうやら爆撃されていません。怪しい。これらのほかに、
“Monazilla/1.00 (Jane2ch/0.1.12.2)”という文字列も見つかります。さらに怪しい。
ノートンさんはこのマルウェアを検出/検疫しますが、Trojan Horseに分類するだけで
動作の詳細を教えてくれません。う〜む、ますます怪しい。なんて書きながら、実はちゃ
んと解析できないのでこの程度の根拠をもとに疑っているだけです。
【妄想加速】
コイツに感染したPCはゾンビとして指令を待っている。指令はニュー速VIPへのカキコ
または新スレとして発令される。subject.txtがトリガーなら200秒以内に爆撃可能。これ
がイオナズン?
ニュー速VIPのsubject.txtをきっちり200秒ごとに持って行くホストと、イオナズンゾ
ンビホストの重複率が高ければアレです。もしそうであれば、イオナズン発動時のニュー
速VIPへのカキコ/スレ立ても調べていただけると、ゾンビへの指令方法が……グゥ。
はっ! 寝てた。夢だったのか。また夢の世界へ戻ります。お休みなさい。 >>132
出回っている物がほとんど同じトラップだから
一つ引っかかって気づいてない人は他も引っかかると。
そういうことかもしれないね。 >>133
手持ちのNoCD/NoDVDのうち最近多いCRC32:0053B1CE/CC36005Cは
トレンドが「TROJ_DELF.AXE」と判定(いわゆる小泉ウイルス)。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE&VSect=P
・プロキシサーバ機能:
この不正プログラムは、プロキシーサーバの機能を備えています。不正プログラムは、
ランダムなTCP(Transmission Control Protocol)ポートを開き、不正リモートユーザからの
コマンドを待機します。不正リモートユーザからのコマンドを受信すると、コマンドをター
ゲットのサーバに転送します。また、不正プロキシサーバが返答を受信すると、その返
答を不正リモートユーザに転送します。
なので、これがBOT機能かねぇ? >>133
2chに書き込みする部分がある (news4vip鯖に対して爆撃するものと思って放置してた)
中の文字列 (3/24)
news4vip
ex14.2ch.net
. exe
以下、名無しにかわりましてVIPがお送りします
71255
038701
147803
87634
56905415
2ch.net >>133
直接指令じゃなくてVIPのスレタイで攻撃するタイプだったら
攻撃の仕様が広く公開された日には、爆撃の雨嵐が飛び交うだろうな。 >>137
直接指令じゃないよ
感染したPCがvip鯖を定期的に見て命令があれば書き込みする仕様 >>138
そこまで分かってるのならその命令の書式も調べちゃってください。
そしてここで爆撃予告した後にスレ一つ潰す。
そうすれば信じてもらえます。 >>140
いま確認したら、どのスレも>>1から>>5のあいだで
半角数字の文字列が書き込まれているね
これが指令なのかな?
http://ex14.2ch.net/test/read.cgi/news4vip/1144246025/2
> 57185618789765187125585785988785819529583591249526685141288585888203870188585888688914780311621619309321699049299591649387634805350805844813837895270335386863569054158754218724
http://ex14.2ch.net/test/read.cgi/news4vip/1144310322/5
> 8764535677125585785988785849529583591249526685111288585888203870188585888688914780301621619349309519399149009309287634172040975805864805332805301569054152345
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/2
> 912657712558578598878584951958352121952668514128858588820387018858588868891478032161160931939981934161949930918763480584680530880535256905415865481
http://ex14.2ch.net/test/read.cgi/news4vip/1144078800/2
> 8654712558800672904121952668519128858588820387018888838588812648828581478039161164934930170990160980952958763480817380881580586481886481533480586583694083614080812480881480885380842280814680885780812480827280880980881483624056905415764
http://ex14.2ch.net/test/read.cgi/news4vip/1144059097/2
> 981625718712558578598878582959958351122954668512128858588820387018858588868891478034160162931981942929924950980928763480880780816780847480881583616880847183626856905415871245981269
>>136の 「. exe」って、exeの前に半角の空白があるねぇ。
そして>>140と。。
ビンゴっぽいなぁ。 5718561878976518【71255】857859887858195295835912495266851412885858882【038701】885858886889【147803】116216193093216990492995916493【87634】805350805844813837895270335386863【56905415】2345
>>142はすべて>>136の数字が入ってるね。
71255
038701
147803
87634
56905415 要するにニュー速VIPで「(空白)+.exe」のタイトルでスレ立てできないように
設定すればいいわけだ >>146
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167
のファイルのバイナリコードにその文字列があるみたいだよ('A`) う〜む
指令コードが判明しちゃうと2ちゃん全般に爆撃が及ぶ危険が・・・・・
※どういう風に指令を伝えているかと思ったらまさかスレそのものを使うとは
思わなかったなぁ >>151
以下、名無しにかわりましてVIPがお送りします<><>2006/04/05(水) 23:07:05.59 ydRrGbdY0<> <>ね . exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/06(木) 16:58:42.39 e6YrY7LT0<> <>ののの . exe<>cdn-ce-chi-t2-06.area4.il.chicago.comcast.net<>68.87.72.169<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/07(金) 02:03:51.37 /5b8gJ/q0<> <>ろ . exe<>cdn-ce-chi-t2-01.area4.il.chicago.comcast.net<>68.87.72.164<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/04(火) 00:40:00.01 ZH/kwjIE0<> <>みみ . exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/03(月) 19:11:37.63 2WK5Whug0<> <>も . exe<>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
http://ex14.2ch.net/news4vip/kako/
「. exe」が付いたスレを漁ってみたら
ここの#news4vip1142〜#news4vip1144に40個ほどある模様。
#news4vip1141以前にはないっぽい。
ハゲ. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1142782705/
これはVIPで爆撃のテストか? >>152
全部串だな。
>>155
ここで公開してもいいのか?VIPPERとか爆撃し始めるぞwwwww 串が使えるからVIPで命令出してたんでしょうねぇ
ところでなぜbeが(^_^;) >>161
> 串が使えるからVIPで命令出してたんでしょうねぇ
なるほど、BBQなしだからか。 ついでなので>142の指令コードも掘っちゃってください。
同じ串なら確定だけど無理かな? とりあえず>>148はアンチウイルス会社にどなたか
送付をお願いしますー。もうされてるかもですがー。 >>171
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:16:43.80 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:17:01.60 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:43:55.35 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:44:25.58 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:10.34 q6lp+5od0<>571856187897651871255857859887<><>cdn-ce-den-t2-03.cmc.co.denver.comcast.net<>68.87.66.151<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:49.23 ydRrGbdY0<>571856187897651871255857859887<><>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:28:39.71 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:39.29 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:42.42 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:30:17.46 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:04:46.90 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:05:08.54 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
>>172
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:16:43.80 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:17:01.60 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:43:55.35 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:44:25.58 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:10.34 q6lp+5od0<>571856187897651871255857859887<><>cdn-ce-den-t2-03.cmc.co.denver.comcast.net<>68.87.66.151<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:49.23 ydRrGbdY0<>571856187897651871255857859887<><>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:28:39.71 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:39.29 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:42.42 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:30:17.46 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:04:46.90 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:05:08.54 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
どうすると面白いかな、、、
VIP は BBQ=ON にする? >>176
焼かれてない串使われたら意味ないじゃん >>176
BBQ=ON
解析して爆撃テスト
などなど >>176
BBQの負荷はそんなに大きくないんで、
今のnews4vipならいけるんじゃないですかね。
FreeBSD 6.0 + 64bit Apache + worker MPM (最高パフォーマンス構成)だし、
パワー的にはなんとかなるかと。 爆撃テストってゾンビどもを操ることになるんだよなぁ
>>180任せた! 単にVIPじゃなくて他の場所が発令所になるだけ違いますか ただ、BBQ=on にするのは正直いつでもできるので、
解析がもうちょっとできてからでもいいのかもしれないです。 >>184
BBQ off なのって、あとどこだっけ、
siberia かな。 比較してみたけどスレ建てた串と指令コードの串は分けてるようですね。
※BBQ有効でも書ける串使われたらアウトだしウィルス登録しても半減する
だろうけど根絶は無理(仮に半分でも破壊力は変わらない)だしどうしたものか >>186
シベリアは手動+自動でonoff出来るんで大丈夫じゃないでしょうか 串使っているとたまにボロでるし
神経使うと爽快感もなくなるし作戦 *今の*ものを回避するだけなら、news4vipをex14じゃなくせばいいんでしょうね。
固定で見ているようなので。
移転追随型だったりするのかもしれませんが。 急展開。>>140すごいす。
私も手作業で解読中だけど、変換テーブルが穴だらけで作れません。
ろ . exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/
これがニュー速の1144*41*46スレへの爆撃指令かと。
*の部分はテーブルの穴で判明せず。 串つかえて2ch互換ならどこでもいい、ってことではないのかな いやー、けど見えない敵と戦ってる状態よりは
一歩前進だと思いますよー。 今北産業の人向けに
イオナズン動作(推測だけどほぼ合ってると思います。)
1.山田などで穴が空いているPCにbotを送り込む
2.送り込まれたPCは定期的にvipのスレ監視をするようになる。
3.特定のスレッドが建って指令コードを書かれたのを確認したら
指令されたスレッドの爆撃を開始する。
4.一定回数実行したらまた2に戻る。 >>195
1. は違うかもしれんですね。
トロイの木馬っぽいような。 キタ━━━ヽ(∀゚ )人(゚∀゚)人( ゚∀)人(∀゚ )人(゚∀゚)人( ゚∀)ノ━━━ !!! >197
僕も書いた後でその間違いに気がついたりm(__)m
しかし、直送り込みだとゾンビPC半減は難しいですねぇ
(対応してもまた亜種作って上げられたらアウト) で、指令コードはいかにもBCDっぽいわけですが、
どうなんだろう。 このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。 レス数が1000を超えています。これ以上書き込みはできません。