■ スレ立て・投稿スクリプト対策
レス数が900を超えています。1000を超えると表示できなくなるよ。
踏むとスレ立てしたり投稿したりするスクリプトにつて
情報を集めたり対策したりするスレです。 >>810
ttp://www.mcafee.com/japan/security/contactavert.asp
原田も付けて送りました。 >>809は未感染のものだったかもしれません。
シマンテック
結果: このファイルは未感染です。
トレンドマイクロ
詳細を確認中
とのことでした。
スレ違いですが原田の解析に期待ぽ。 いいかげん2chのcgiで対策すべきじゃない?
Beか●ログインしてる人はそのまま投稿できるけど
普通の人はランダムな文字列を入力しないと投稿できなくするとか。 http://www.google.com/search?q=cache:LuhK4u5TK-UJ:members.goo.ne.jp/categorymember.fcgi
より引用
>三洋電機の朝枝徹君がアムウェイやってて寮に遊びに行ったら在庫の山だった。
>買わなかったけどデモ見せてもらって笑った。
>目をきらきらさせて夢はダイヤモンドって言ったときはみんな引きまくりでした。
アムウェイは優れたビジネスであり朝枝徹氏の行いは素晴らしいことだとは思いませんか? >>813
ウィルスが速攻で対応するだけ
全く意味ない
中途半端なこと言わずBE専用にすればいいんだよ
BBS_BE_ID=1
にするだけでcgiの改造不要だし ランダムな文字列とは
人間は読めるけどOCRは読めない若干ゆがんでいるもの(画像)。
gooやコッソリアンケートで使われてる。
今のBeは書き込みのストーキングができるから
Be専用にするなら管理人は個人を識別できるけど利用者は個人を識別できない
というログイン方法を用意して欲しい。 ▲ winny 小泉ウイルス ▲
新種のWinnyウィルス(と思われる)による連投コピペ。
【感染源】(おそらく)
[060309][一般ゲーム][Falcom] 英雄伝説Y 〜空の軌跡SC〜 NoDVDパッチ.zip 244,100 15d651c9ca3bd98166a14f4351ade272
【症状】
65秒おきにDown板のスレ一覧トップにあるスレッド(Winnyがスレ名に入っているのが条件?)に
「英雄伝説Y 空の軌跡SC まだぁ〜?」とfusianasan&ageで書き込みます。
他に
>モ「ミロ⊇ユh「・ソユ、ホワ課ESC。。、゙、タ、。。ォ」ソ
など文字化け系
>英雄伝説Y 空の軌跡SC まだぁ〜?
>三国志11 まだぁ〜?
>日本人のすべては無知な人間です
>FF12 まだぁ〜?
など。
【追加】
海外からのアクセス(日本語OSではないPC)による書き込みが文字化けしてしまう。 冬スポーツ板のカーリング関連スレのあちこちで大量に
まりりん
スクリプト
に反応するスクリプトの自動連続投稿が連発しています。
一度ご確認ください。 ネットゲーム板「FFAえりいく改30ターン目」
http://game10.2ch.net/test/read.cgi/netgame/1144043944/l50
上記スレにて、連続投稿スクリプトを用いたと思われる爆撃がありました。
書き込みは該当スレの8〜243(ここで500kbに到達)です。
以前も同スレにおいて、同じ名前で、爆撃していました。
2ちゃんねるのサーバー及び、該当スレ住人に対する迷惑行為と捉え、報告させて頂きました。 こういうのがところどころに張られてるんだけど
これもwinny関係?
ハ,,ハ
('(゚∀゚∩_ おいらをどこかのスレに送って!
/ヽ 〈/\ お別れの時にはお土産を持たせてね!
/| ̄ ̄ ̄|.\/
| .モツ煮..|/
 ̄ ̄ ̄
現在の所持品:たばこ・ライター・コーヒー・ブラックブラック・枕・ケータイ電話
睡眠薬・聖教新聞 ・ダッチワイフ・外付けSCSI340MHDD・ネットランナー4月号
TYG02・小嶋進社長・ゲルトモ・ディプスファンタジア・抵抗1kΩ(黄紫橙金)・媚薬
バーボン・リップクリーム・セガサターン バールのような物・バイブ・50インチ液晶TV
ボンカレー(甘口)・ジローラモ・エースヘルム・MAR全巻セット・銀矢・ガンプラ
ちなみに検索してみたら1448スレに張られてた
ガイシュツならごめん ただの板漂流だろ。
トリップ付けてくれんとわかりにくいけど 涎を啜るぜ「しっしっし」と
///////////////////////丶\\\\\\
///////////////////////\\\\\\\\\
////////////////////////ノ\\\\\\\\ヾ
////////////////////////\\\\\\\\\\
////////////////////////// ミミミミミミミミミミミミミミ
/////////////////////////ミ ミミミミミミミミミミミミミミミミミミミミミミ
//////////////////////// ミミミミミミミミミミミミミミミミミミミミ
//////////////////// ミミミミミミミミミミミミミミミミミミ
////////////////// ミミミミミミミミミミミミミミミミ
/////////////////ミ 巛巛巛 ミミミミミミミミミミミミミミ
//////////////// \ / ̄ ̄\ ミミミミミミミミミミミミ
///////////// ● / ヾ ヽ ●_| ミミミミミミミミミミミ
///////////// ミミミミミミミミミミミ
////////////// ミ ミミミミミミミミミミミ
//////////// 。。 ミミミミミミミミミミ
///////// ____ ミミミミミミミミミミミ
//////// /‖‖‖‖\ ミミミミミミミミミミ
////// \‖‖‖‖‖/ミミミミミミミミミ
巛巛 ////////
\ /
\ /
\ /
馴れ合い板自己紹介で、萬スレ及び関連スレ(すぷ、海賊団、かちょく、ローション、爺マなど)に対して連投コピペによるスレ潰しが一ヶ月以上毎日続いてます。
犯人は虹の街倶楽部うっふぁーという人で公然と2ch削除人に根回ししてスレ潰しをしているといってます。http://life7.2ch.net/test/read.cgi/intro/1148342525/ >>306>>337
スレを立てても一日で潰されてしまうで困ってます。 あっちにもありました。
http://qb5.2ch.net/test/read.cgi/sec2chd/1147466895/465
Done
がいしゅつ!!
http://qb6.2ch.net/_boo80/boo80.swx?boo80=http://tmp6.2ch.net/test/read.cgi/download/1150478266/1&boo80time=2006/06/17(%93y)%2002:17:46&boo80id=TGIzxTeaO 斎藤優貴容疑者 ただいま警察署に連行されるようです 【コンピュータ名】***
【ユーザ名】***
【回数】n 回目
【今こんな事やってます】http:⁄⁄v.isp.2ch.net/up/**************.jpg
苺キャンタマの亜種のようです。
【速報】新型ウィルスの予感がします【キンタマ】
http://news20.2ch.net/test/read.cgi/news/1154254312/ 疑わしいファイルをマカフィー・シマンテック・キングソフト・www.ewido.net/en/malware/に検体提出しました。
お二方にもお送りしました。
#Like a troyで通じたかな。 >>841
をっと参照スレ間違いました。
【新ウイルス?】 半角二次元にデスクトップ画像と思われるURLを含んだ機械的な書き込み
http://news20.2ch.net/test/read.cgi/news/1154257005/
>>841のスレのウイルスはまだ捕獲していません。 >>843が間違いだった。
orz....
>>843のスレのウイルスはまだ捕獲していません >>842
マカフィー対応
Kakkeys
>>842>>845
キングソフトは検証中 >>845
ノートン対応
7月分のアレ詰め合わせ.exe
Trojan.Sufiage
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sufiage.html
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
タイムスタンプ2006年8月1日 0:09:19にて確認 7月分のアレ詰め合わせ.exe提出報告す('A`)ノ
返事があったところのみ……
Sophos:Troj/Clicker-DK
F-Secure:?(8/1に「We will add detection in the next updates.」とお返事を頂きました)
以上っす >>848の続きす('A`)ノ
kaspersky:Trojan.Win32.Delf.wk
Avira:TR/Proxy.Dock.
他、Grisoft(AVG)・ESET(NOD32)・BitDefender・DialogueScience(Dr. Web)提出済
お返事はまだですが、追々対応されると思います
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1151867984/208/
こんな書き込みが
208 名前:fisianasan[] 投稿日:2006/07/31(月) 16:36:11 ID:dwkXd0S1
Access violation at address 00485B20 in module '7月分のアレ詰め合わせ.exe'. Read of address 0000000C 静かにこちらに移った あちらではスレ汚しでした
>>850
fisianasan は、エラー時の自動書き込みのようです 意図的なtypo >>842
ノートン対応
sakura_tanpopo.exe
Trojan.Kakkeys 7月分のアレ詰め合わせ.exe提出報告す('A`)ノ
Dr.WEB:Trojan.click.1345 (8/2のお返事)
AVG:?(「It will be added to our next udpate.」←8/3未明のお返事) 38224 完全攻略5(ソフト版).exe
57564 新しいフォルダ .exe
マカフィー・シマンテック・キングソフト・www.ewido.net/en/malware/に検体提出しました。 ノートン対応
ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
以下に報告します。
ファイル名: C:\〜\2006.08.04\viploader57689\test\mov.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ファイル名: C:\〜\2006.08.04\viploader57689\test\txt.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ファイル名: C:\〜\2006.08.04\viploader57689\test\img.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ファイル名: C:\〜\2006.08.04\viploader57689\test\ie.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ファイル名: C:\〜\2006.08.04\viploader57689\test\folder.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ファイル名: C:\〜\2006.08.04\viploader57689\test\mc.exe
コンピュータ:
結果: このファイルの検出結果 Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
タイムスタンプ2006年8月4日 1:11:35にて確認 >>857続き
Backdoor.Trojan
新しいフォルダ .exe
(成年コミック・雑誌) [小梅けいと] イケない!お姫様 (コミックメガストア2006.09)
001.exe〜006.exe
完全攻略5(ソフト版).exe
7月分ロリ詰め合わせ.exe
山田ウイルスチェッカー.exe >>856
そんな10秒で亜種が対応しそうなことしてなんの意味が
AntiLoのときはギコナビに迷惑掛けた上ウィルスのUAがランダムになっただけだった でもRock知らずに書き込みに固定ワード入れるような人だしすこしは効果あるんじゃね
どうでもいいけど マカフィー対応
>>857-858
Uploader-AC >>861 横槍補足スマソ
DAT 4822&エンジン4450で未検出なのでEXTRA.DATで対応の模様
TrendMicroまとめ
TROJ_SUFIAGE.E(3.629.00〜)
7月分のアレ詰め合わせ.exe
TSPY_SUFIAGE.G(3.637.00〜)
新しいフォルダ .exe
完全攻略5(ソフト版).exe
山田ウイルスチェッカー.exe
7月分ロリ詰め合わせ.exe
未対応(送付済み)
(成年コミック・雑誌) [小梅けいと] イケない!お姫様 (コミックメガストア2006.09)
001.exe〜006.exe
viploader57689\test
mov.exe txt.exe img.exe ie.exe folder.exe mc.exe >>862
補足ありがとうございます。
>>861のメールです。
> この検体は、最新のスキャンエンジン(4400)と添付しましたExtra.DATで検出・駆除が可能です。
> 正式なウイルス定義ファイルへは次回リリースの定義ファイルで反映される予定です。
> なお、事情により反映が遅れ、定義ファイルへの更新が次々回以降になる場合もございます。あらかじめご了承ください。
>
> Extra.DATのインストール方法につきましては、こちらをご覧ください。
> http://www.mcafee.com/Japan/downloads/updates/datfaq.asp#extra 有志の方がトレンドマイクロに検体として送った001.exeは TROJ_DELF.AXE だそうです。 スレを立てるてどうすればいいんですか?みたいサイトが1000件こえたのでスレ立てて下さい。て書いてるんですがやり方がわかりません。誰か教えてくれませんか?お願いします。 >>874
スクリプト厨が犯人捜査かく乱のためにそういう噂を流してるってのは聞いたことがあるな >>1
>>1
厨房板で株主優待者がスレを乱立して大変困っています。 メモ
http://qb5.2ch.net/test/read.cgi/sec2chd/1147466895/852-
山田オルタナティブ亜種の疑い。
お願い
マカフィーの中の人からマカフィーユーザー以外の人は
ttp://www.mcafee.com/japan/security/contactavert.asp からではなく
ttp://www.webimmune.net. へ提出するようにと英文でメル来ました。
英語に疎いのでマカフィーユーザーの協力をお願いします。
>>862
ノシ >>878
島対応
Trojan Horse.
ttp://www.symantec.com/avcenter/venc/data/trojan.horse.html AAスレから来ました
>>877
ttp://www.mcafee.com/japan/security/contactavert.asp
ここに記載されてる「依頼方法1」で送ってみたんですけども
これじゃ検体扱いしてくれないんでしょうか?
ttp://www.webimmune.net.
こちらだとパスは間違ってないのに何度やっても弾かれてしまいます
お役にたてなくて申し訳ありません >>881
たびたびお邪魔します
返事が返ってきましたのでAA鑑定スレにコピペしておきました
駄目ですか・・・これからも検知されないんですね・・・ MD5:E20216F6FE2FF207BF0F196A05DDDA1E
攻撃ツールと思われるものをお二方に送りました。 実行ファイルはMD5:6B1099C72DFA504AC8C068D6562424B4
>>883はzipのハッシュ BorlandのDelphiか・・・
UAは
Monazilla/1.00 (JaneStyle/2.23)
爆撃対象の板URLは直書き - google等からの検索無し
メールアドレスどうするかなぁ〜? そうそう
ベンダーに検体提出しても
ウィルス扱いしてくれない(かも) >>887
888ゲッツ!
じゃなくて
アンチクリスマス
とか
カップル板爆撃スクリプト
とか言われてるやつ あけましてコメットさん
亀ですみません。
>>885
解析ありがとうございます。
>>886
島・トレンド共に無害判定とのことです。 OCNから速達で警告文来たよ\(^o^)/
http://news20.2ch.net/test/read.cgi/news/1168669602/203
203 名前:も差し押さえられそうです[] 投稿日:2007/01/13(土) 16:03:30 ID:m30tjTsR0
名前欄に◆2.0Km1unkoが入っているスレが立ったら
@http://megalodon.jp/?url=http://www16.ocn.ne.jp/~suteaka/unko/01.jpg&date=20061130153622
Ahttp://megalodon.jp/?url=http://www16.ocn.ne.jp/~suteaka/unko/02.jpg&date=20061130153715
Bhttp://megalodon.jp/?url=http://www16.ocn.ne.jp/~suteaka/unko/03.jpg&date=20070112235448
を勝手に書き込むスクリプトとか作ってくれないかな
Be欄が東方の人とかがさあw
ウザいんだけど
普通に掲示板つかってく上で邪魔だからやってることなのに
なんでこういう粘着してくるのかなぁ
, ,、.
,. . ; / 、! i ,
,タ、 i / ̄`i i ハ, l ,
/ハ ) i/^ァ, y゙ i /_ーi ! ! l
// ' | ト!\ |゙ー-' i/-'`!. ! ,´, ' ,゙
´^フ ,' L_|、 i、! , `"'゙!/i / / ∧ 全身写真晒して、適当に変な語尾つければ
r' ' l ゙i`、 l、 、 _ /iノj,/トi,゙l } うっとうしいパパラッチも、熱狂的なファンに早変わり
V !/_ `>゙` 、 ,/i ,゙ ,! l| { 明日のりぼんちゃんはキミだ!
∠⌒゙_\ i `i、- j"´ , ゙ /i レi.i l/
,. r ' "´ !⌒~ヾ` `.! ト-ー-┐,´ /_/,.' i !
´ ′! く 丿ヽ ノ `゙i "
`、,. ' ´ 情報収集してみますかー。
ウイルスっぽいですがー、かなり足が遅いウイルスですねー。
感染源を見つけないと何千台と蔓延しそうな予感ですねー。
すでに数十台には感染してるようですがー。 えーと、見つけてもそのままレスをコピペしないでくださいねー。
klistに入っちゃいますのでー(大して困らないとは思いますがー)。 モ板の事情を考えるとー、スクリプトの目的は自動保守ですねー。
多分一番古いスレとか選んで自動で投稿してるんじゃないですかねー。
ちゃんと調べていませんけどー。
感染台数が増えてくると混乱してくるでしょうねー。 よろしくお願いします
ウイルス?による書き込みは直前の書き込みの約3秒後なので
保守目的ではないと思います >>899
じゃあただ混乱させたいだけですかねー。
まあ台数増えてくると厄介なのは同じかなー。
多分なんかの判定が入って投稿してるのは確かみたいですねー。
ちなみにこれ、感染源(アプロダとかWinny上のファイルとか)を
探してきて特定しないとー、解決はしないと思いますよー。
見つけたらアンチウイルスソフトの会社に送って対応してもらう必要もありますー。 上がってるスレが狙われてるから保守じゃない
特定のスレを狙ってるわけでもないし
わかるなら何を使って書いてるのか調べた方がいいんじゃないの? >>901
何を使って書いてるかよりはー、どこでどうやって
感染させてるか調べない限り解決しないと思いますよー。
対策すればまた新型を放流するでしょうしー。 感染してる人が狼板と縁がない人ばっからしいから自覚してないみたい
狼のスレで自分のIPだって言う人はいないし
つまり感染してる人が自覚してない以上感染源の特定は凄く困難だと思う
感染者にわかるようにする方法のほうがいいのでは? >>903
> 感染者にわかるようにする
どうやって? >>903
その方法は無いですー。
プロバイダは協力的ではないのでー。
困難な方法だから感染させる方もそれを選んでるわけですねー。
別件のウイルスの時は、発見まで数週間かかりましたー。
けど、困難とゆーのは不可能とは違うと思うんですねー。
実際、その別件でwinnyに流れてるのを偶然発見したのは
他の板の人ですしー。
時間は掛かると思いますがー、色々なところで情報収集しつつ
地道に探すしかないかとー。それこそ人海戦術でー。 まあ規制が1番わかりやすいのかなあ
流石にこの程度でそこまで出来ないだろうけど
一番始めに感染者が感染してるってわからないと原因の特定が無理だと思う 規制は無理ですねー。この速度ではー。
BBQも今はまだ考えてませんー。
まー、例数が少なくてもユーザーに通報してくれる
プロバイダに協力してもらうかですねー。
そのプロバイダの書き込みを探して、数が溜まったら
メールしてみるって手はありますかねー。
大きなところは対応してくれない事がほとんどですー。
規制議論板のログをチェックしてみてくださいー。 まー、あとは同じホストからの投稿がどのくらいの間隔かですねー。
サンプル数は少ないと思いますがー、情報集めてみてくださいー。
規制議論板の方でもいいですけどー。 今のところむしろ同じホストからの投稿をあえて避けてるような感じですね
これに関してはもうちょっと様子見したほうがいいみたいですね
とりあえずご苦労様です 避けてるとゆーかは、数時間〜数日間隔のタイマー起動にしてるとかー、
パソコン起動時に1回だけ動くスクリプトとかー、とにかく間隔を空けて
いるんですよねー。
数日観察しないと見極めは難しいでしょうねー。 レス数が900を超えています。1000を超えると表示できなくなるよ。