★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ】２

**ｒｅｆｆｉ@報告人 ★** · 2005/04/28(木) 22:42:15

ここは山田ウィルスによる投稿を報告するスレッドです。
幾つかパターンがあるようなので、見かけたら報告して下さい。

前スレ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ】
http://qb5.2ch.net/test/read.cgi/operate/1113229514/

■山田ウィルスとは？（ttp://nemoba.seesaa.net/article/2891535.htmlより転載）

アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
２ちゃんねる内の掲示板にランダムに書き込みます。

他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党（210.253.211.2）に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。

Q.　なぜ山田？
A.　友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。

【書き込み例】（※複数の亜種があるらしいです）

　23 名前：[名無し]さん(bin+cue).rar　[sage]　投稿日：2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
　ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ
　http://○○○.○○○.○○○.○○/
　http://○○○.○○○.○○○.○○/~ss.jpg
　http://hogehoge/
　http://hogehoge/~ss.jpg

-------------------------------------------------
　247 名前：http:// （IPアドレス）/~ss.jpg　[sage]　投稿日：2005/04/11(月) 06:29:22 ID:Viw/FtIW0
　ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ

　うはっｗｗｗおｋｗｗｗ？？
-------------------------------------------------

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:53:29

ふと思ったんだが、２ちゃん内検索で自分のＩＰアドレスで検索すれば感染してるかどうかわかりそうだな

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:54:24

一般人は検索に使うようなモリタポなんぞ持ってません

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:55:25

>>708-709
サンクス。マジ感謝。
以前悪質なのにかかって以来セキュリティーが心配でね。
ウイルスにかかるだけならいいがＨＤＤ無いがばら撒かれるのだけは避けたい。
色々入ってるからねｗ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:57:24

>>711
スレタイ検索すれば本文中のもヒット件数だけは分かる

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:57:48

>>712
すげえなｗ　HDD無いなんて・・・

**動け動けウゴウゴ２ちゃんねる** · 2005/05/11(水) 23:59:15

>>713
(　･∀･)つ〃∩ ﾍｪｰﾍｪｰﾍｪｰﾍｪｰ
知らなかった…

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 00:07:02

ところでたぶん関係ないとは思うが2chで貼られているjpegのリンクをクリックしたら
メモリの使用割合が99％超えているんだが・・・・なんだコリャ？ウィルスか？
これがばっふぁおーばーふろーってヤツか？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 00:33:38

無闇に踏むとjpegでもウィルスの奴あるから駄目だお

とりあえずノートン先生かなんかでウィルス検索してからその踏んだアドレスをソースチェッカーで
チェックしたらいいと思うよ

でもここではスレ違いだからPC板かどっかに行ったほうがいいお( ＾ω＾)

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 00:38:29

そもそもHD内を覗かれたらやばいものは置いておかなければいいんだな

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 00:57:42

好きな文字列入れて亜種を作成するツールがだいぶ前から出回ってるよね。思った以上に亜種が少ないのは予想外。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 02:05:31

（´・ω・）ｶﾜｲｿｽ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 02:27:31

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1091895803/639-640

なんか微妙に違うのか？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 02:39:10

http://tmp5.2ch.net/test/read.cgi/download/1115600628/471
http://tmp5.2ch.net/test/read.cgi/download/1115820636/777
亜種っぽいけどよくわからん(´･ω･)　ｶﾜｲｿｽ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 02:55:31

http://127.0.0.1/をクリック
これしてみたんだけどサーバーが見つかりませんってでるんだけど
だいじょうぶと考えていいのかい？
でも、山田ウイルス感染してないのに　ＦＯＸ★　がでて書き込めなくなる
________________________________________________________________________________________________
あるスレにこう言う発言が在り、気になったのでレスします。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 02:58:20

狐に憑かれてるだけでは、、、

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 03:02:19

>>723
>>542

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 05:55:54

PINKheadlineに罠を仕掛けて書き込もうとした奴を片っ端から焼く

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 06:04:01

>>706みたいなIP？貼られてるのを踏むのは問題ないの？
これ踏んでウィルスに感染したりとか

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 06:06:56

今のところは大丈夫
ただ、今後山田がバージョンうｐさればその可能性はある

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 06:08:00

いたずらその他の目的で貼られるトラップもあるけどね
IP抜かれたり、googkeに飛ばされたりいろいろ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 07:25:01

>>729
マジですか？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 07:38:57

晒されたアドレスふつうにクリックしただけでは全然見れんのだが・・・
これは相手がちゃんと対策してくれてるって事？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:24:33

>>731
ファイアー・ウォールとかちゃんと機能してたら
感染しても晒されない

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:24:35

単にDDoS状態になってて、繰り返してアクセスすれば……なんて事がままある

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:25:57

>>733
マっマジで？？？ (((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ　やってみようかなｗ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:27:07

で？なにが見れんの？もしかして丸ごと？（わくわくｗ）

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:32:18

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:41:54

どういう状態で見れるの？相手が開いてるHPとかもリアルタイムで見れる感じ？
つーか俺見られてたらｶﾞｸﾌﾞﾙ･･･PFW機能してれば大丈夫だよね？・・・

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:46:43

>>737
おまえすでに・・・・腹の中まで（ry　・・・・　　　　ﾑﾎﾝﾑﾎﾝｯ　　　　　　　　・・・・いやなんでもない

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:51:20

ﾌﾞﾙﾌﾞﾙ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 08:58:18

>>739
どうしても心配ならどっかのサイトでセキュリティチェックしてみろ
ポート開いていたら、ふさいどけ！

**水色＠飛行石 ★** · 2005/05/12(木) 10:54:22

新亜種もー、高確率でRockされるよーになりましたー。

検出されたホスト、70弱を一気に焼きましたー。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 11:28:43

あのー、
svchost.exeというファイルはすべて、
ウイルスなんですか（更新日付は今月の７日と１０日）？
チェックアドレスにアクセスしても、何もファイルが表示されないので、
ウイルスではないのでしょうか？？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 11:37:50

マルチポスト
http://tmp5.2ch.net/test/read.cgi/download/1115835474/784

784 名前：[名無し]さん(bin+cue).rar[] 投稿日：2005/05/12(木) 11:29:26 ID:ygWa4TTj0
あのー、
svchost.exeというファイルはすべて、
ウイルスなんですか（更新日付は今月の７日と１０日）？
チェックアドレスにアクセスしても、何もファイルが表示されないので、
ウイルスではないのでしょうか？？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 11:38:48

> svchost.exeというファイルはすべて、
> ウイルスなんですか（更新日付は今月の７日と１０日）？
普通に存在するので、全てがウィルスというわけではない。
そしてスレ違いなので、win板やセキュリティ板、若しくはPC初心者板でどうぞ。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 11:49:06

rock抜けカナ？抜けカナ？
http://tmp5.2ch.net/test/read.cgi/download/1115835474/810

**水色＠飛行石 ★** · 2005/05/12(木) 11:50:25

Rockは３回までは書けるんですよー。
あとでまとめてまた焼きますー。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 11:57:50

了解ｯｽ
じゃあ、傘スレは現状維持のほうがよさそうですね。

まとめ焼きお疲れさんです。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 16:53:22

一気に壊滅に追い込めると良いかも
無理かなあ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 16:54:40

山田ウイルスを駆除するウイルスを蔓延させるとか。
しかるべき時間が過ぎたら自分も削除。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 16:58:00

>>749
しかしそれはそれで悪用されるんじゃないかと
ソース書き換えれば他のも削除できるようになるし、
windowsフォルダ内なんて削除されたら・・(((（´・ω・｀)))

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:08:03

そんなの悪用されなくてももうあるし。
ワクチンみたいなものだな。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:18:15

ダメダメ　ワクチンって予防接種のようなものでウィルスが発動を未然に予防するものだろ
わざわざワクチンほしがるやつがひっかかるとも思えん

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:42:06

ワクチンと思って踏んでそれが山田ウィルスとかだったら・・・
KOEEEEEEEEEEEEEEEEEEE

とりあえずhttp://127.0.0.1/を踏んで感染してるかどうか調べると言う方法を
各板に広める方法ないかな？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:46:26

アンチウイルスソフトはある種ウイルスのような挙動をする
と言ってみる

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:46:39

っていうか、感染している人が実は２ちゃんねるを見てない、っていう可能性もあるんだよね…。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:50:36

>>754
あるあるｗｗｗ
>>755
なるほどな・・・
あーどうすりゃいいんだろうか

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:56:27

山田ウイルスに注意！詳細は2chへ！　無修正・女子高生・中学生・援助・AV.txt

とかどーよ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:57:18

>>757
え？ｔｘｔで感染すんの？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 17:59:33

内容を一通り纏めて書いておくべきだと思うけどね

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:00:15

>>757
な、なんだよそれｗ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:01:18

むしろジャンプとかのキーワードが有効な予感。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:02:43

>>758
山田についていろいろ書いたtxtをp2pに流すんだろう

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:03:47

>>762
しっとる　つっこみありがと　ﾉｼ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:06:06

ごめん　ホントは素で誤解してたｗ　てへてへ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:06:22

無修正とか書いてたら逆効果かもわからんね・・・ｳﾜｰｿ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:17:24

HPとかで丁寧に説明している人が居るのに
それを無視して書き込みまくって飛ばしていったり
突撃厨を排除する為にも完全に壊滅させないとね

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:19:07

そうだよな

その為にはどうすればいいものか

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:20:41

で？実害うけてんの2chだけ？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:47:53

素人が気が付くくらい大事件になってしまえ～

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 18:57:57

>>768
山田ウイルスは２ちゃん限定だけど、JBBSに書き込みするマルウェアは
あるよ。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 19:11:10

　::::::::::| ヽﾆニ二二二ヾ } ,'⌒ヽ http://127.0.0.1/　　
　::::::::::|　　　'´ !o_ｼ｀ヾ　| i/ ヽ !
　::::::::::|!　　 `' 　 '' " 　 ||ヽ　l |　　　　↑踏まないか？
　::::::::::| 　　　　　　　　　 |ヽ i　!　　
　::::::::::|　　　　　　　　　|ﾉ　 /
　::::::::::| ,､　　　　　　 !　, ′
　::::::::::|‐ ﾞ　　　　　　　　レ'
　::::::::::|　　　　　　　 /　　　　　
　::::::::::|　￣｀　　　　 / |
　::::::::::|─‐ 　　　 , ′ !

じゃダメかな？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 19:22:14

>>771
逆に怖いよｗ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 19:23:02

罠にしか見えんなｗ

p2126-ipbf13gifu.gifu.ocn.ne.jp · 2005/05/12(木) 19:29:16

自鯖のトップページがでた。

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 19:41:35

感染していないのに漏れのIPが晒されているんですが・・

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 20:23:47

(´･ω･｀)しらんがな

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 20:28:23

>>774
バーボンｗっうぇ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:03:55

ロックを通り抜けてくるのが増えてる予感

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:07:12

>>769
あっちこっち触れ回ってますが何か？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:25:37

あの、IEで運営にアクセスすると http://127.0.0.1/にとばされる・・・
専ブラだと問題なしなんですが、俺だけか？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:26:09

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:26:13

IEで直ﾘﾝしようとするとhttp://127.0.0.1/に飛ばされる

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:26:27

なんかＩＥで２ちゃん開くとちょっとだけ画面が出てすぐhttp://127.0.0.1/になっちゃうんだけど

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:26:55

IEでもSleipnirでもFirefoxでもOperaでも普通に見れたんだけどなんでだろう

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:26:58

この対策は普通のブラウザ使ってる香具師全員見れなくなる気が・・・

**動け動けウゴウゴ２ちゃんねる** · NG

＞http://127.0.0.1/に飛ぶ人
http://qb5.2ch.net/test/read.cgi/operate/1103455176/
のここ1時間くらいのログ嫁

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:28:22

山田関係無し

【乙部blog】iframeタグがスクリプトエラーを吐き出す問題について
http://qb5.2ch.net/test/read.cgi/operate/1115893714/
＋
948 名前：動け動けウゴウゴ２ちゃんねるﾒｪﾙ：sage 投稿日：2005/05/12(木) 20:58:30 ID:QoR69F0Y0 BE:1625142-##
乙部ブログにある
<script type="text/javascript" language="JavaScript">w=window;if(w.parent != w.self) { w.parent.location = 'http://127.0.0.1/'; }</script><br />
が原因の模様

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:31:21

>>785-787
ありが㌧

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:38:42

これって普通に関係ないひと切り捨ててないかい？まあ専プラ使えってことかな

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 21:42:33

http://www.google.com/search?lr=lang_ja&q=%E3%83%97%E3%83%A9%E3%82%A6%E3%82%B6&num=100

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:11:29

オリジナルを含む旧タイプは専用フィルタ
最近の「うえ」「ぷぷ」タイプはrockっつーことか。

後者の削除状況がわからないのが難点ですな。
報告人★さんが速報上げてないので勝手に集計してみましたが４マソ台は
一昨日一昨昨日だけで、昨日はまた５マン突破してますな(´･ω･)ｶﾜｲｿｽ

**ｒｅｆｆｉ@報告人 ★** · 2005/05/12(木) 22:13:30

速報値だけ上げておきます。

05/08 55000
05/09 47000
05/10 49000
05/11 52000

※データ加工は済んでいるので統計作業は明日にでも

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:15:19

>>789
山田対策でこの処置なのか？
http://qb5.2ch.net/test/read.cgi/operate/1103455176/
読んだら違う気がするんだが

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:19:02

>>793
じゃあこれウィルスの仕業か？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:23:34

いや、そうでなくてhttp://127.0.0.1/に飛ぶのとブログの話は別物なのかなって疑問なの。

**動け動けウゴウゴ２ちゃんねる** · NG

ブログから127.0.0.1に飛ぶようになってる

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:31:20

ttp://blog.livedoor.jp/otobeorz/
>>796については踏んでみれば分かる

**ｒｅｆｆｉ@報告人 ★** · 2005/05/12(木) 22:33:39

もう一つデータ
これ見るとホスト数に関しては頭打ち状態であることがわかると思います。

日付　　　4月26日　4月27日　4月28日　4月29日　4月30日　5月1日　5月2日　5月3日
ホスト数　　621　　　　629　　　　613　　　　621　　　　585　　　　611　　　563　　　585
日付　　　5月4日　5月5日　5月6日　5月7日　5月8日　5月9日　5月10日　5月11日
ホスト数　　514　　　　557　　　504　　617　　　534　　　　515　　　507　　　　510

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:45:14

山田ウィルスに感染してたとしたら、どうやって対処すればいいんでしょうか・・・？良く分からないんですｏｒｚ

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:46:12

>>792/797
召集してしまった^^;　こちらの集計値と大体変わらないですね(当たり前か)
IP数は頭打ちなのに、書き込み数が増えているというのはつけっぱなし？

頭打ちなのは旧タイプのマルウェアだからであって、うえｗｗ、ぷぷｗｗの
パターンの新種はrockで対応しているからではないかという気もします。
感染元がイマイチ把握できてない(通報屋◆Y39/vakKjYさん含む)なので、
アンチウイルスソフトは役立たずです(´･ω･`)

ログを見ると山田ではないようなデータが入ってますが、
(たとえばAA5鯖の2005/05/11(水) 00:43:43の書き込み)これも山田？

**ｒｅｆｆｉ@報告人 ★** · 2005/05/12(木) 22:50:07

>800
集計は新ツール使用しているので巻き添えは殆ど出ていないと思います。
（全ログチェックは膨大で出来ないため）
傾向としてはＰＣ長時間使用で繋げっぱなしの人が多いって所ですね。

※旧型が全然経る気配がないのでそろそろ通報第２陣を考えていたり

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:51:11

http://127.0.0.1/に飛ばされて「ページが見つかりません」てなってたら無事ってことですか？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 22:53:46

　そ　う　です　　よーーー　

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 23:02:45

>>803
㌧

よかった…

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 23:09:41

最初血の気が引きました・・・

**動け動けウゴウゴ２ちゃんねる** · 2005/05/12(木) 23:14:59

不可分さん
不可分さん
なるほどねー

**動け動けウゴウゴ２ちゃんねる** · 2005/05/13(金) 00:15:19

You have reacher the Openwave Frameworke 1.2 Prowy server. This server dose not serve any web conent. Use this server only for routing Prowy requests.
ってあったんだがこれは大丈夫なのだろうか?誰か教えて下さい、お願いします。
意味が全然わからん…

**動け動けウゴウゴ２ちゃんねる** · 2005/05/13(金) 00:20:06

山田のせいでﾀﾞｳｿ落ちてる？

**動け動けウゴウゴ２ちゃんねる** · 2005/05/13(金) 00:21:42

落ちてるというか、瀕死…