★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ】２

[1 ｒｅｆｆｉ@報告人 ★ 2005/04/28(木) 22:42:15 ID:???0]

ここは山田ウィルスによる投稿を報告するスレッドです。
幾つかパターンがあるようなので、見かけたら報告して下さい。

前スレ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ】
http://qb5.2ch.net/test/read.cgi/operate/1113229514/


■山田ウィルスとは？（ttp://nemoba.seesaa.net/article/2891535.htmlより転載）

アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
２ちゃんねる内の掲示板にランダムに書き込みます。

他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党（210.253.211.2）に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。

Q.　なぜ山田？
A.　友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。


【書き込み例】（※複数の亜種があるらしいです）

　23 名前：[名無し]さん(bin+cue).rar　[sage]　投稿日：2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
　ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ
　http://○○○.○○○.○○○.○○/
　http://○○○.○○○.○○○.○○/~ss.jpg
　http://hogehoge/
　http://hogehoge/~ss.jpg

-------------------------------------------------
　247 名前：http:// （IPアドレス）/~ss.jpg　[sage]　投稿日：2005/04/11(月) 06:29:22 ID:Viw/FtIW0
　ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ



　うはっｗｗｗおｋｗｗｗ？？
-------------------------------------------------

[2 ｒｅｆｆｉ@報告人 ★ 2005/04/28(木) 22:42:38 ID:???0]

■現在の状況
FOX ★さんが作成した専用トラップで辛うじて防いでおります。
感染してないのに専用トラップに引っかかっている人はfusianasanと使用している
ブラウザの種類を記載してください。
（本当に感染してないか調べるため）
専用トラップのログファイルは各鯖に日付ごとに置いてあります。

例：http://tmp5.2ch.net/_service/Yamada20050428.txt

[3 讃岐 ◆IamaVIPdCI NG NG]

ぼみょー

[4 ｒｅｆｆｉ@報告人 ★ 2005/04/28(木) 22:49:38 ID:???0]

>2追記
書けなくなった鯖もしくは板名も記載してください。

[5 動け動けウゴウゴ２ちゃんねる 2005/04/28(木) 23:10:58 ID:OCczrme60]

>>3
こんなとこで遊んでないで暇だったら集計ぐらい手伝ったら。

[6 ｒｅｆｆｉ@報告人 ★ 2005/04/29(金) 00:14:51 ID:???0]

今日の速報値
昨日よりも増加傾向です。
ＧＷ期間中はどうなるかって所ですね。
それとぷららが個別に連絡してくれたみたいなのでその辺の効果も気になるところです。
今日よりこちらで保持してるデータ集計の値のみ載せます。
（前のがちょっと違っていたので）

04/26 40000
04/27 46000
04/28 48000


※詳しい分析は後ほど

[7 ｒｅｆｆｉ@報告人 ★ 2005/04/29(金) 00:49:49 ID:???0]

昨日のデータ集計です。

記録数ワースト１０
p6019-ipad07imazuka.yamagata.ocn.ne.jp 1041res
gk4.leo-net.jp 960res
61-24-28-151.rev.home.ne.jp 709res
JJ013206.ppp.dion.ne.jp 673res
p55184-adsau07doujib3-acca.osaka.ocn.ne.jp 644res
p30212-adsau17honb12-acca.tokyo.ocn.ne.jp 638res
pd3764c.tkyoac00.ap.so-net.ne.jp 592res
i60-35-74-224.s02.a014.ap.plala.or.jp 591res
YahooBB218131054094.bbtec.net 571res
218.33.144.147.eo.eaccess.ne.jp 535res

ワースト１のＩＰ急に増えたのでログを見てみたんですけど２６日から同地域から書き込まれて
いる記録が残ってました。


複数ホストプロバイダの集計
DION 5378
plala 2816
@home 2114
HINET 262
OCN 6796
ODN 1538
BIGLOBE 2275
so-net 1776
INFOWEB 2543
NTTPC 395
USEN 1104
YahooBB 5825
ZAQ 851

ＯＣＮが同地域からの大量記録でワーストになっちゃってますね（汗


単一（正規表現）ホストの記録数
.eonet.ne.jp1352
\.leo-net.jp1021
\.dti.ne.jp949
.eo.eaccess.ne.jp644
\.tnc.ne.jp592
.bai.ne.jp529
\.hicat.ne.jp510
\.icntv.ne.jp499
\.metro-u.ac.jp443
.ppp.wakwak.ne.jp431

[8 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 01:03:13 ID:xn++L78g0]

レオネット規制中のはずなのに…

[9 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 01:22:57 ID:Z9pXcADS0]

質問の場所ここでいいのか分かんないですけど・・・googkleというウイルスは本当にあるのでしょうか・・・？
踏んでしまって、再インストールしようか真剣に困ってます・・・orz

[10 ｒｅｆｆｉ@報告人 ★ 2005/04/29(金) 01:25:13 ID:???0]

>9
それ自体はウィルスではないですけど複数のウィルスやスパイウェア等をインストされて
しまうので再インストした方がいいと思います。


参照
ttp://www.itmedia.co.jp/enterprise/articles/0504/28/news017.html

[11 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 01:26:33 ID:9ASnApFD0]

>>9
質問するべきはここじゃないです。
初心者の質問板やPC初心者板へどうぞ。
（Windows板にウィルス対策スレがあればそちら）



踏んでしまった場合は早く対処したほうがいいですよ。

[12 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 01:27:18 ID:Z9pXcADS0]

>>10
すいません、ありがとうございます。そこのサイトの方も今から見に行ってみます・・・。

[13 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 01:30:20 ID:Z9pXcADS0]

>>11
ごめんなさい。今度からそちらへ行きます・・・orz

[14 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 03:25:46 ID:zaTVRZKV0]

>8
書き込みは規制されててもドアをノックすることはできますので。

leo-net は通報しても対応してくれなさそうな雰囲気が漂ってるですねぇ。。

[15 美萌@報告人 ★ NG NG]

>>1
ぼみょ〜

[16 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 04:21:18 ID:H0IqIgtU0]

>>14
そういう対応の悪い所は、、、、
この際だから、手前のルータなりスイッチでdenyしてしまうとか。

[17 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 04:32:52 ID:Hd6hirUe0]

>7
HINETって台湾だったか中国だったと思うんだけど

[18 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 04:33:44 ID:Hd6hirUe0]

って都立大も酷いね

[19 水色＠飛行石 ★ 2005/04/29(金) 11:43:38 ID:???0]

おつですー。

とにかくー、減るかどうかの監視ですなー。
通報した分の半分も対応されればましかなーと
思うんですけどねー。

[20 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 13:53:06 ID:AZ4Xtdoi0]

麻生さーん
http://tmp5.2ch.net/test/read.cgi/download/1114745071/
麻生さーん
http://tmp5.2ch.net/test/read.cgi/download/1114745257/
麻生さーん
http://tmp5.2ch.net/test/read.cgi/download/1114745173/

[21 動け動けウゴウゴ２ちゃんねる 2005/04/29(金) 20:39:44 ID:ekunIbbU0]

>>17
串の可能性も無くもない。
新泥の串リストの常習だし。

[22 ｒｅｆｆｉ@報告人 ★ 2005/04/30(土) 00:12:29 ID:???0]

今日の統計速報値

04/26 40000
04/27 46000
04/28 48000
04/29 50000


ＧＷ初日だけどそれほど急激に増加してはいないようです。
細かい統計等は後ほど

[23 動け動けウゴウゴ２ちゃんねる 2005/04/30(土) 00:15:34 ID:o6v4osuM0]

自分のサブマシンで実行してみたいのですが、亜種でもけっこうなので提供していただけませんか？山田ウィルス。

[24 ｒｅｆｆｉ@報告人 ★ 2005/04/30(土) 00:51:48 ID:???0]

昨日のデータ集計です。

記録数ワースト１０
61-24-28-151.rev.home.ne.jp 719res
p55184-adsau07doujib3-acca.osaka.ocn.ne.jp 653res
JJ013206.ppp.dion.ne.jp 569res
YahooBB219215172142.bbtec.net 529res
PPPa1199.saitama-ip.dti.ne.jp 527res
x007117.ppp.dion.ne.jp 511res
nttkyo279221.tkyo.nt.ftth.ppp.infoweb.ne.jp 505res
i1087168.icntv.ne.jp 496res
YahooBB220059024193.bbtec.net 495res
pd3764c.tkyoac00.ap.so-net.ne.jp 484res


複数ホストの統計
BIGLOBE 2871
DION 4295
HINET 221
@home 2247
INFOWEB 2634
NTTPC 418
plala 3094
OCN 5515
ODN 1503
SEED.NET（台湾）458
SO-NET 1792
USEN 1094
YahooBB 7914
ZAQ 1317


単独ホストの統計
.eonet.ne.jp1807
\.dti.ne.jp1025
\.tnc.ne.jp681
\.dsn.jp622
\.ccnw.ne.jp563
\.tcat.ne.jp551
\.icntv.ne.jp496
.eo.eaccess.ne.jp496
.ap.yournet.ne.jp453
\.omn.ne.jp430

[25 FOX ★ 2005/04/30(土) 00:59:38 ID:???0]

61-24-28-151.rev.home.ne.jp 719res
p55184-adsau07doujib3-acca.osaka.ocn.ne.jp 653res
YahooBB219215172142.bbtec.net 529res

このみっつはdeny しよう
IPアドレス わかりますかー?

[26 動け動けウゴウゴ２ちゃんねる 2005/04/30(土) 01:02:47 ID:zd8+yXD60]

Name: 61-24-28-151.rev.home.ne.jp
Address: 61.24.28.151

Name: p55184-adsau07doujib3-acca.osaka.ocn.ne.jp
Address: 220.106.75.184

Name: yahoobb219215172142.bbtec.net
Address: 219.215.172.142

[27 FOX ★ 2005/04/30(土) 01:05:39 ID:???0]

どもども

61.24.28.151
219.215.172.142

の二つdeny します

[28 讃岐 ◆IamaVIPdCI 2005/04/30(土) 01:05:53 ID:+byCW5CK0]

220.106.75.184
61.24.28.151
219.215.172.142

[29 讃岐 ◆IamaVIPdCI NG NG]

あっ、遅かったか

[30 ｒｅｆｆｉ@報告人 ★ 2005/05/01(日) 00:25:09 ID:???0]

定例の速報値
ＧＷ入って増加傾向にあるのが気になるところです。

04/26 40000
04/27 46000
04/28 48000
04/29 50000
04/30 53000

[31 讃岐 ◆IamaVIPdCI NG NG]

気付かないで新しく踏んでる人やGWでパソコンを起動させている人が増えたんでしょうね

[32 ｒｅｆｆｉ@報告人 ★ 2005/05/01(日) 01:03:44 ID:???0]

昨日のデータ集計です。

記録数ワースト１０
今日から過去に記録がないか記載します。

NIHfa-01p1-199.ppp11.odn.ad.jp 730res　記録無し
p6ef17d.tokyte00.ap.so-net.ne.jp 719res　２６日より
JJ013206.ppp.dion.ne.jp 709res　２６日より
59-104-237-101.adsl.dynamic.seed.net.tw 617res　記録無し
YahooBB218131054094.bbtec.net 584res　２６日より
p55184-adsau07doujib3-acca.osaka.ocn.ne.jp 555res　２７日より
YahooBB219025246101.bbtec.net 549res　２６日より（２８日は記録無し）
hccd37dce44.bai.ne.jp 548res　２６日より
YahooBB218134052069.bbtec.net 540res　２８日より
61.173.168.45 524res　２８日より
（このホストは中国です。）
inetnum: 61.172.0.0 - 61.173.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom


複数ホストの統計
BIGLOBE 3351
DION 5294
HINET 190
@home 1374
INFOWEB 1589
NTTPC 368
OCN 6062
ODN 1700
plala 1833
SEED.NET 988
so-net 2766
USEN 1036
YahooBB 7877
ZAQ 1717


単独ホストの統計
.eonet.ne.jp2052
\.dti.ne.jp1047
\.tcat.ne.jp906
\.tnc.ne.jp581
.ap.yournet.ne.jp566
.bai.ne.jp548
\.att.ne.jp525
61.173.168.45524
\.point.ne.jp521
.eo.eaccess.ne.jp500

[33 FOX ★ 2005/05/01(日) 01:05:28 ID:???0]

61.173.168.45　はdeny するとして、、、

[34 美萌@報告人 ★ 2005/05/01(日) 01:25:06 ID:???0]

余り変わっていないですね。
と言いますか、新たな感染者が増殖中と見た方が良いのかしら・・・。