■ウィルス爆撃相談所&焼き処4【RockBBQ】
レス数が900を超えています。1000を超えると表示できなくなるよ。
ここはウィルス等を利用した爆撃等の相談所です。
ウィルス感染ホストの報告と焼き処を兼ねます。
解析もここで扱います。
#削除依頼は、削除整理板へお願いします。
#ここでは芋掘りは行いません。専用スレでどうぞ。
前スレ
■ウィルス爆撃相談所&焼き処3【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144848937/
【関連スレ】
【BBQ&BBM14本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1145893627/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/ >>803
>>805
共有でも今までに既に必要に応じて焼いてますが
範囲焼きも含め いろんな共有ホストが既に焼かれていたりまた解除されてたり
そういう一連の流れを何も知らない人とお話ししても無駄なんで
さよなら 共有なんてとっくの昔から焼かれてるし >>807
■ウィルス爆撃相談所&焼き処2【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/275
275 名前:水色@飛行石 ★[sage] 投稿日:2006/04/05(水) 16:55:18 ID:???0
えーと、TTN202-127-81-29.ttn.ne.jp は共有ですがー、
あまりに投稿数が多いんで、私の判断で焼きますー。
どーゆー対応が可能かは利用者さんとかも考えてみて下さいー。 ちなみに今回のphoenix.aitai.ne.jpですが
過去の履歴としては
2006/09/07(Thu) 09:10:11 登録 飛行石
2006/09/12(Tue) 20:41:57 解除 生姜焼き
となってますので念のため 負けず嫌いの癖に自分の言葉は全く使わない、
いや使えない人だということはわかりました いや
いう時は言う
必ず 言う m9( ゚д゚)) >生姜焼き ★さん
>>800の判断であれば、ご自分で焼かれたらよろしいかと。
野焼き ★さんの「焼かない」判断理由が問題なら別ですが。 >>818
野焼きさんが焼くと言われたのでお任せしたまでで
別に自分で焼いてもよかったですよ
準備はしてましたがリロードしたら>>801の発言があったので
それを受けての>>802です >>819
了解です。
では>>801野焼き ★さん
何故、一旦様子見?された判断を覆されたのですか?
共有IPだから迷ったから? よく確認してなかったから?
?が多くてすいません。 公開PROXYからの投稿は受け付けていませんスレはなくなってしまったのですか? >820 えと、共有の場合ですが、1度目の報告の時はklist見ずに様子を見ていたのですけど、
ご指摘でklist見ましたら、12時間近く続いているようでしたので焼きました。 >>821
【DSBL】PROXY規制中!【報告無用】43
http://qb5.2ch.net/test/read.cgi/sec2chd/1156495663/
□規制解除要望□ ウイルス焼き専用★1【PROXY規制中!】
http://qb5.2ch.net/test/read.cgi/sec2chd/1145344117/
次スレのテンプレを考えている方が何か思いつくまで待ちつづずけるスレ、のようです
希望するテンプレで立てる人、待ち の悪寒
そして。。。
誰も立てない悪寒 ( ´Д`)y──┛~
>>824
>>824 >>825
どうすればいいですかねー。
なんかウイルス焼きだけにしてもいいくらいな状態でしたしー。
きちんと棲み分けが出来た方がよさげですけどー。 >>827
/,7 ヽ、
/,'/ /
/,'/ z7
ム/ モヲ
, -‐‐-、__ _ ノ `>‐′
ノ .::::r‐‐、::`ヽ ,イ /
{:::::::::イ r=、 }::::::} _/ | / ∧∧∧∧∧∧∧∧∧
〈::::::,r/ lJ//:::::〃´ zfレ'´ <
ヽ|| `ー '/l!/ / < 異 議 あ り !!
_,,.∠jl_,,.ィK / <
/ィー--‐'´ 7 / ∨∨∨∨∨∨∨∨∨
〈 /。 ゚/ /
〉 |。 ゚l 〃
n ヽ l! 。l {{
⊆ Y'ー--イ}。 。| ハ
オノ‐- 、_ ノ }。∠ _ ⊥ _ \___,,.ィ  ̄ヽ
/ / ' ´ / ヽ
ノノ ,イ´ ̄ ̄`ヽ、 / r‐-、 〉
, '´/ / ヽ∠ --‐イ Y
/ / / >-ァ一 ' ´ | |
ん、/ ∠ -― ' ´ ∧ /| l
/ ヽ/ / ヽ / l /
L.___}ト、 / ヽ / ノ ,'
`T Y \ / \/ / l
| | \ / | | 不思議な不思議な 水色@飛行石 ★さんへ
>どうすればいいですかねー。
bbspink にしてもここにしても、今の現状を解決するのは
モチベーションと人海戦術だと思いますが
たぶん、すこしづつ もう手遅れな予感がひしひしと
( ゚д゚) たぶん モチベーションも人海戦術も、単なるお星様の幻覚だと思うのよね♪ 何が手遅れなんですかねー。
bbspinkはよく判りませんけどー。
>>836
移動する必要ありますかー?
ここ一応相談所でもあるんですけどー。
そちらで話さなきゃいけないことは何でしょー? 以上、敦とラウンコの馬鹿どもの仕業でした
m n _∩ ∩_ n m
⊂二⌒ __) /\___/ヽ ( _⌒二⊃
\ \ /'''''' '''''':::::::\ / /
\ \ |(●), 、(●)、.:| / /
\ \| ,,ノ(、_, )ヽ、,, .::::|/ /
\ .| ´トェェェイ` .:::::::| / それが、ラウンコ精神
\\ |,r-r-| .:::::// http://etc3.2ch.net/entrance/
\`ー`ニニ´‐―´/
/ ・ ・ /
>>840
作業スレも兼ねてらっしゃる様子ですので。
先日のmeshのメールテンプレの件でウイルス焼きスレを
お借りした訳ですが、少し違和感があったもので。
(あちらの場合は質問にいらっしゃる方が入りにくかったのではないかと)
テンプレで話し合われるならば、折角広く使えそうで
且つスレ違いで無さそうなスレが御座いますし、
如何なものかと思った次第なのですが。
『余計な事』と思われたのであれば当然スルーして頂いて結構ですよ。 必要だと思ったら立てる。
誰かがやるから、見るの飽きたら見ない。 >>843
こういう方を大事にフォローして行く事が大切だなー、と
そうやって色々な方が自分ができる範囲でウゴウゴと動いていっていたのが
人海戦術だとおもうです
>>839
お星様のモチベーションなんてどうでもいい。。。
名無しさんのモチベーションって結構大事、
(´・ω・`) >>843 乙 もっぺん書いときますねー♪
「モチベーション」も「人海戦術」も、単なるお星様の幻覚だと思うのよね♪ どうすればいいの?
テンプレ読んでもさっぱりわからないよー 新種かもですおねがいします('A`)
【Winny】 成年コミック専用スレッド 第236巻
http://tmp6.2ch.net/test/read.cgi/download/1160438275/111-114
60-62-160-122.rev.home.ne.jp
----------
あと、山田オルタの亜種が現れ始めてます
従来は Mell-1-0.11、Mell-1-0.12、Mell-1-0.12a の3系統でしたが
Fox-6-0.66ってのが出回っている模様です
今後新しい情報がありましたら報告に参ります('A`)
ttp://www.imgup.org/iup273018.gif 僕のパソコンがウィルスにかかりました。インターネットが1つの窓しか開きません。
新しいのを開くと新しいのに変わって、前の画面と入れ替わります。どうしたらいいですか? >852 おつかれさまです。
なんか新種っぽいですね、登録いたしました。 http://ex16.2ch.net/test/read.cgi/news4vip/1160308382/635
名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2006/10/12(木) 02:54:51.70 ID:xF3wyQxaO
> Set A4 = A1.CreateTextFil(略)
Nortonの誤作動を起こさせるものです >>855
同じ内容の書き込みをあちこちにするのは、「マルチポスト」と呼ばれる迷惑行為です
書き込むのは内容的に適したスレ一箇所に絞りましょう
だいたいからしてその内容はここではスレ違いです 佐賀ウイルス(?)らしいっす、一応報告に参りました('A`)
感染すると、(現状確認しているものだけですが)スレタイに「佐賀」の含まれるν速のスレへ爆撃
同時に ttp://bull.s11.x-beat.com/ (アプロダ)宛に IE のお気に入りをテキストデータで POST する模様です
検体は取り逃しましたorz
あまりじっくり探せなかったのですが、以下のフシアナ爆撃を確認できました(まだまだあると思うです)
以上、よろしくお願いいたします('A`)
http://news20.2ch.net/test/read.cgi/news/1161347723/59
softbank218130082032.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161396780/548
59x87x178x204.ap59.ftth.ucom.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161404936/111
e150039.ppp.asahi-net.or.jp
http://news20.2ch.net/test/read.cgi/news/1161343377/437
p2087-ipbf35osakakita.osaka.ocn.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/430
softbank221067215143.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161347280/49
zaq3a55253d.zaq.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/441
p0966-ip01hodogaya.kanagawa.ocn.ne.jp >857と別の佐賀ウイルスらしい
こっちはスレをランダムに選んで書き込んでるね
http://news20.2ch.net/test/read.cgi/news/1161452989/36
user166.clubs172.megax.ne.jp >>860 のタイプの佐賀ウイルス、検体確保しましたので各主要ベンダに提出します('A`)
提出先等は、追って報告に参ります
※ パッカー(UPX)かました状態で virustotal.com にてスキャンしたところ
DrWeb(BACKDOOR.Trojan)・Panda(Suspicious file) のみ「何か」を検出
フシアナ状況(一部ですが):
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0 回線を切ると佐賀ウイルスはエラーメッセージを出すそうで
Can't〜IP.
↑こんな感じで 以下のベンダに検体送付してきました('A`)ノ
Symantec
Grisoft(AVG)
Avast
ESET(NOD32)
Kaspersky Labs
BitDefender
F-secure
Avira
McAfee
-------
トレンドマイクロは送ってないっす……非ユーザーはメールやフォームで送れないんでしょか('A`;) 一応 virustotal.com のスキャン結果うpしときます
ttp://www.imgup.org/iup277443.gif
>>865 マジすかカスペ('A`;)
あまり返答に期待しないでおきます…… >>861 検体置き場書いてもらえれば誰かが(ry >>864 書き漏らした、Sophos にも送付済っす
>>865 なんと無視されますたorz
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321 と同じ内容で……
>>867 うpろだに置きましたんで、どなたかよろしくお願いします('A`;)
ttp://uploader.xebra.org/?id=aa1edcc
DL/解凍パス「infected」っす、13:45にはうpろだから消える設定にしてます
ちなみに 7zip にしてあります 161 名前:あいたー[] 投稿日:2006/10/22(日) 12:49:59 ID:y134+LFf0
C:\WINDOWSに、りぼっさんアイコンのcsrss.exe
C:\WINDOWSに、りぼっさんアイコンのcsmss.exe
C:\WINDOWS\system32にりぼっさんアイコンのexplorer.exe
これを削除すればおkかな? ttp://www.yourfilehost.com/media.php?cat=other&file=4373nyuusan.zip
検体送付用に再うp
>>870
ありがとう、でも Product の中に何も選べるものがなくて、Next ボタンを押演コできない('A`)
トレンドユーザの方、よろしくお願いします
カスペ宛に、もう一度ちゃんと調べれって送ってみたっす Panda と Dr.Web 、念のため説明添えて検体を提出したです
あと、>>861 と重複しますが、現在確認できるフシアナ ID です
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=ctnF/6SA0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=U4kXXkIJ0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=Ubkildnq0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=HxHvs40p0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=jSIwDRXT0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=myjTxM0y0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=V+bqAxhl0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=dE0e8muz0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=uDu/+pgC0
某パスワードが違うとおこられる・・・
>>874
Product : - PC-cillin/Virus Buster 2006
Number of Users Affected : - 01 - 05
を選べばいい
>>871
どうせ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
か
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
かと >>877
>>874 っす、ありがとう勉強になった('A`;)
もし解析等に必要ならば、検体お送りしますんで安価ください ベンダから返信きますた('A`)
・Sophos:Troj/Sufia-A (ttp://www.sophos.com/virusinfo/analyses/trojsufiaa.html)として対応
・Panda:Trj/NasanFusia.A (ttp://www.pandasoftware.com/virus_info/enc/overview.aspx?idvirus=134829)として対応
→※ 今はまだリンク切れです、掲載予定 URI のようです
・Dr.Web:「Doctor Web, Ltd. のウイルス研究所」にたらい回し中
・Avira:ブラウザからアップロードした検体が破損してたらしいので、再提出orz
あと、ESET(NOD32)は返事きてないですが、NODスレを見ると対応した模様っす
今後のベンダの対応状況について、分かり次第また参ります ノシ UPX 1.93 betaで、Unpack可能
どうも文字列が暗号化されてる (BASE64+α)
今回はリソースデータとして書き込まれてる
前回はプログラム内部だった ベンダから返信きますた('A`)その2
・F-Secure:「対応します」とだけ返事(We will add detection for this malware.)
・Avira:TR/Sufia.A. として対応
・AVG:「Trojan Horse として対応予定」との返事(will be detected by AVG Anti-virus as Trojan Horse.)
以上っす ノシ >>872
>>387で島対応を確認。
Trojan Horse. TrendMicro、検体調査結果来ました。
「不正なコードは存在しておらず、ウイルスではないことが確認できました。」
とのこと。ちなみに送ったEXEのハッシュは下のはず。
EXE SHA-1:8A91A1B495BA4A0A0214CA3FF7D82EA2F4AAEE1A とりあえず再スキャンしてみました('A`)ノ
各ベンダに提出したファイルですが、>>886 のものとは微妙に異なる気配っす
乳酸菌.exe→SHA-1:102a73b3647145e2c5222a7aee32585c039d4442
MD5:0fd01283dc1dd326fe008c9da2d9f78c / CRC32:22c5bf57
.■virustotal.com│Version │ Update │ Result
───────┴──────┴─────┴──────
AntiVir 7.2.0.34 10.27.2006 no virus found
Authentium 4.93.8 10.27.2006 W32/Trojan.JTD
Avast 4.7.892.0 10.27.2006 Win32:Delf-CBI
AVG 386 10.27.2006 Generic2.FJC
BitDefender 7.2 10.27.2006 Trojan.Sufia.A
CAT-QuickHeal 8.00 10.26.2006 no virus found
ClamAV devel-20060426 10.27.2006 no virus found
DrWeb 4.33 10.27.2006 Trojan.Tebich
eTrust-InoculateIT 23.73.38 10.27.2006 no virus found
eTrust-Vet 30.3.3162 10.27.2006 no virus found
Ewido 4.0 10.27.2006 Trojan.Delf.yd
Fortinet 2.82.0.0 10.27.2006 Sufia.A!tr
F-Prot 3.16f 10.27.2006 destructive program named W32/Trojan.JTD
F-Prot4 4.2.1.29 10.27.2006 W32/Trojan.JTD
Ikarus 0.2.65.0 10.27.2006 no virus found
━━━━━━━━━━━━━━━━━━━━━━━━━━━
■virusscan.jotti.org(virustotal.com との重複除く)
─────────────────────
ArcaVir Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Delf.yd
NOD32 Found Win32/Delf.YD
Norman Virus Control Found W32/Sufia.A
VirusBuster Found nothing
VBA32 Found Trojan.Win32.Delf.yd 俺が持ってる乳酸菌.exeはMD5が08898b97ac766e09c2ee2153e9371ee3なんだけど
微妙に違うのが出回ってるのか? 検体の方の手配はいつもありがとうございますー。
えーと、佐賀ウィルスはー、ホストが判るようでしたら
焼いてみますかねー。
どのくらいの勢いなんですかねー。 焼いても問題ないのでしたら手伝います。
書き込みランキングで爆撃が上位を占めているので勢いはあると思います。 >>886 >>882
>>872を送りました。
ハッシュは同じく
8A91A1B495BA4A0A0214CA3FF7D82EA2F4AAEE1A
です。 >>886 >>882
>>889と同じハッシュのものを送りました。
島はTrojan Horse. 現在見ることのできるスレに爆撃したIPを登録形式でまとめました。
あっちのスレに書いたので焼くときに参考にしてください。 佐賀荒笑.exe
md5 d5d1a6741fd90f559db9bf2f4d0f1cda
トレンドマイクロ対応しますた
TSPY_UPPOST.A つーかなんでこのスレのスレタイ ウィルス なの?
普通は ウイルス daro.
何か理由があるの?それとも>>1が無知なの? これにばっちり当てはまるのを初めて見た。
14:細かい部分のミスを指摘し相手を無知と認識させる TrendMicroから再度送付した検体についての結果が来ました。
パターン3.889.00からTROJ_SUFIA.A にて対応とのこと レス数が900を超えています。1000を超えると表示できなくなるよ。
