★山田ウィルス対策スレ3
■ このスレッドは過去ログ倉庫に格納されています
ここは通称山田ウィルスの対策スレッドです。
新種の報告はこちらへお願いします。
★山田ウィルス報告スレ【ええけつしとるのぉ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1114264573/
前スレ
★山田ウィルス対策スレ【ええけつしとるのぉ(*´Д`)ハァハァ】2
http://qb5.2ch.net/test/read.cgi/operate/1114695735/
■山田ウィルスとは?(ttp://nemoba.seesaa.net/article/2891535.htmlより転載)
アップローダを利用してばら撒かれているウィルスらしいです。
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
Q. なぜ山田?
A. 友人の山田くんがメッセで送ってきたyoujo.exeを踏んで感染したという書き込みから。
書き込みはネタだったけど、そのまま定着。
【書き込み例】(※複数の亜種があるらしいです)
23 名前:[名無し]さん(bin+cue).rar [sage] 投稿日:2005/04/10(日) 10:28:30 ID:WjcJ6AbX0
ええけつしとるのぉ(*´Д`)ハァハァ
http://○○○.○○○.○○○.○○/
http://○○○.○○○.○○○.○○/~ss.jpg
http://hogehoge/
http://hogehoge/~ss.jpg
-------------------------------------------------
247 名前:http:// (IPアドレス)/~ss.jpg [sage] 投稿日:2005/04/11(月) 06:29:22 ID:Viw/FtIW0
ええけつしとるのぉ(*´Д`)ハァハァ
うはっwwwおkwww??
------------------------------------------------- ■現在の状況
元祖や一部亜種についてはFOX ★さんが作成した専用トラップで防いでおります。
最近、多数出現している亜種は今のところRockで防いでおりますけど抜本対策が必要に
なっていると思います。
専用トラップのログファイルは各鯖に日付ごとに置いてあります。
例:http://tmp5.2ch.net/_service/Yamada20050428.txt http://127.0.0.1/
を踏んだとき、以下のようになっていれば問題なし
■IEの場合
タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」
と書かれたページが表示される。
res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
の内容と同じ。
■Firefoxの場合
「127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」
というメッセージのダイアログが出る。
IEでもFirefoxでもないブラウザをわざわざ使ってる奴の初心者質問など
ネタとみなすのでよろしく
酷い有様だのう
だがこれを天啓とは思わないかね
2チャンネルはこれまであまりに多くのものを虐げてきた
その酬いがきたのではないかね?
当然これに対する最大の解決方法が何かはおのずとわかってくるはずだよ >>6
タイトルバーに「HTTP 403 (アクセス不可)」
本文に「このページの表示が認められていません」
と出るのですが、この場合一応大丈夫と言うことでしょうか? 降らなくなってきた(´・ω・)ッス
(´・ω・) カワイソス >>17
じゃあ、テンプレに追記して注意を喚起しないとヤバくないですか?
どんどんが被害が広がると思います >>6のURL踏んだ時どうなっていると感染しているんでしょうか?
>>12
PROXYの設定は外してるか?
ちなみに俺のマシンはなぜかなんにもないページが返ってくる。skypeを起動しているとそうなる。 なんでみんなテンプレの山田ウィルスとは?を見ないんだ?
ちゃんと解説サイトがあるだろうに >>20
いつも生で、串は刺してません。
>このディレクトリを表示するアクセス許可がないか、提供されたアカウント情報を使用して
>ページを表示するアクセス許可がない可能性があります。
こういう文言も出てきます。 >>23
ルーターとか詳しいことは分からないんですが、
山田に感染している可能性は低いと言うことでしょうか? ラブリカに1000とられた ○| ̄|_ あいつドコにでも現われるなあー >>25
新種ですか?勘弁してくださいorz
もしかして、ウイルスに罹っている自分だけに確認できないようにして、
ウイルス駆除を遅らせようとしているとかはあり得ませんよね? アワワ ヽ(´Д`;≡;´Д`)丿 アワワ たいへんだー うそw
ほんとはなーんも知らん まだワカラン あなたの使用環境とかわかんないし・・・ >>28
orz
拡張子は常に表示してるんで、exeファイルを踏んだと言うことは有り得ないんですが、
昨日から2ちゃんに書き込みづらくなったり、PCが重くなったような気が・・・
svchostのエラーが出たら、首つってきます >>1
乙
しかし、ウィルス対策ソフトってもうちょっと迅速に対応するものだと思ってたんだが、、、
やっぱり感染源がアレだから、提出する人がいないからなのかなぁ 何処で教わってきたのか知らんがうちの馬鹿餓鬼、
ネット上でさらされている山田ウイルス被害者の私的画像ファイル(一家団欒の風景とか)
落としまくってケラケラ笑っているんですよ。
これって法的にやばいんだよね?きっと。
webサーバとして公開されてるわけだから違法といえないんじゃ
と思うけど自信なし たまーに思うんだが今は個人情報保護法とかネットでのプライバシー侵害とかあんまり騒がれてないけど
後々法律が厳格化されて規制や処罰がきちっと施行されてるころには過去にさかのぼって取り締まるんだろうか?
その時学生でカルーイ気持ちでやってるやつらも後で後悔とかするんかなあ?
今のログだってきちんととっているんだろうし・・・・ガクガク(((n;‘Д‘))ηナンダカコワイワァ ダウンロードする分には違法でないと思うですが。
著作権ないし。
ただ晒した方は、
個人情報保護法がどう解釈されるかなあ、と。 >>38
>過去にさかのぼって取り締まるんだろうか?
どんな法律でもそれは有りえないかと
なんとかの原則←忘れたw >35-39
解説感謝です。
グレーゾーンなんだろうけどとりあえず脚色して「犯罪なんだよ!!」って説教&お仕置きしときます。
それでもし・・・口答えしやがったらぶん殴・・・・・れば簡単なんだろうけど。
殴るのはちょっと我慢しておいて簀巻きにしてから押入れに放り込んでやる。
ゴキブリ恐怖症の彼にはそれが一番堪える模様。
んでもって泣き顔画像を全国に晒すって脅せば
晒された側のつらさが実感できるだろうってケケケ。 >>40
その原則も法律なんだよーん 法律が変われば原則もかわっちゃうかもーん
今の法律って50年くらいおくれてるよーん まあたぶんなくならんとは思うが・・・ >>41
てか山田を知ってるって事はP2Pやってんじゃないの?
そっちの方がやばいんじゃ・・ ねらーやもしれん
そっちのが将来(´・ω・) フアンス >>39
個人情報保護法って個人が刑罰の対象にはならねーだろ >>38
そんなに何年もログなんて残してる会社なんてあるの?
つか、そんな面倒くさいこと警察もしないっしょ。現状で手一杯 >42-45
子供は父の背中見て育つというのは本当の模様なり(滝汗
チクリ裏情報で渡鹿島が話題になったころからの2chヲチャーだもんな、俺。
。。。。久々の休暇なんですが激しく猛省中。 >>48
バラすなよw これみて自重するやつを促してるんじゃないか >>50
ってか施行以前に遡らない事くらい馬鹿でも解るって ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MELLPON.A
ウイルスタイプ: トロイの木馬型
破壊活動の有無: なし
別 名: メルポン, 山田ウイルス
駆虫される方、参考にドゾー >>31
どんなマルウェアでも検体が手に入らなければアンチウイルスベンダーは
対応パターンを作れません。んで、検体を積極的に収集するかというと、
少なくてもwinny/shareに関してはないと思っていいです。
結局、ツーホースマスタ!しないといけないわけですが、山田ウイルスの
ようなトロイの木馬で再配布がないものはターゲットを見つけるのも大変な
上に、最近の亜種はサイズが大きくてツーホーも大変(通報屋乙)なのです。
一昨日52千、昨日55千と週末はまだまだ爆撃多いですねぇ(´・ω・`) >>52
感染状況4/20から13件って少な杉。
全然対応できてないじゃん。 >>55
バスターは亜種ごとに名称変えるから。
MELLPON.Aは苺あぷろだに掲載された初代のみ対応。だから
いまさら感染する香具師はイナイ。 >>30さん失礼します。
>拡張子は常に表示してるんで、exeファイルを踏んだと言うことは有り得ないんですが
拡張子を常に表示はどうすればいいですか? あっ、あと山田ウィルスを踏むと画像か何か表示されるんでしょうか? >>58
登録されているファイルの拡張子を表示しない
で検索 そろそろ2チャンネルも潮時ではないかね?
悪は遅かれ早かれ必ず酬いを受けるもの
2チャンネルというネット界の巨悪は今、このウイルスによって誅され様としておるのではないかね? >>57
で、亜種はなんて名称ついてるの?
TROJ_MELLPON.?かと思ってmellponで検索してもAしか出てきませんが。 >>62
単に自業自得じゃん。
掲示板もツールも使う奴の心がけ次第。 >>63
そんなのはデータベースを更新しないトレンドマイクロに言ってくれ。
現在公開している最新パターン2.629.00ではTROJ_MELLPON.A-Fの6種類が
登録されている。
まあ、シマンテックは汎用名「Backdoor.Trojan」で登録されているから、
詳細が全然出てこないんだけどな。
この辺、テンプレネタかもしれない。 http://www.googkle.com
にゃぉにぁにゃぉにぁうにゃんにゃぉぉにゃぁぁぁネコミミモード
うにゃんにゃにゃぉにぁにゃぉにぁにゃぉ
うにゃんにゃぉぉにゃぁぁぁにゃぉにゃぁ
ぁにゃぁ
山田ウィルスに感染して晒されると
アクセス権限関係なしに全てのファイルが覗かれてしまうの?
ネットを通して感染者に繋いでいる時のアクセス権限って何?
他でも質問してるのだけど、誰からも回答がありません。
オバカ過ぎる質問なのでしょうか? 質問です。
ウイルス対策ソフトは一般的にどれが一番優れてるの?
有名どころはノートン、ウイルスバスター、マカフィーあたりかな?
玄人の方、教えて下さい。
だいじょうぶw ここはオバカがいっぱいあつまってくるスレですから
ってか山田ウィルス専用質問のスレ作ってくれwww >>76
回答、サンクス!
山田に限らずウイルス全般ではどれが優れてる?
ところで自鯖立ち上げたことないから知らんのだが
これって内→外をFWで防げばいいのか?
それとも外→内をFWで防げばいいのか?
ポートって何番?亜種も同じポート使ってるの? >>75
なんで?
フォーマットがNTFSならアクセス権限が関係するでしょう? >>79
PCに直接入らせるんじゃなくてHTTPサーバーで公開してるんだと思う まぁ、とりあえずまとめサイトぐらい見ようよ。
ヤマイモ木から生えてくる観察ブログ:山田ウィルス
ttp://nemoba.seesaa.net/article/2891535.html >>80
そのことはわかっているつもりです。
ウィルスが作成したファイルリストは見られるでしょうけど、
本体のフォルダやファイルにはアクセス権限が関係するでしょう?
って意味で質問してます。 >82
http鯖で公開してるなら全てのファイルは
デフォルトでリード属性つくでそ >>83
http鯖を運用したことがないので分からないのです。
ウィルスを踏んでしまった時の権限ではアクセス不可なファイルまで、
属性を変えてhttp鯖で公開できてしまうのですか?
http鯖のことを勉強しないと理解不能な話なら、
あまりにもスレ違いなので止めておきますけど。 http鯖を特別視しすぎ。
TCP/IPの接続を受け入れて、HTTPプロトコルで通信するというだけの、
単なるプログラムに過ぎないから。
基本的に、感染したユーザのアクセス権限に依存しているので、
>ウィルスを踏んでしまった時の権限ではアクセス不可なファイルまで、
>属性を変えてhttp鯖で公開できてしまうのですか?
というようなことは無理。 >>82
山田ウィルスを実行したユーザーが見れるものだろ。
ちゃんと作ったプログラムなら制限した権限でアクセスするよう
になっていたり独自実装で権限を作成できるようになっているが
そうでなければ実行ユーザーができることはすべてできる。
あと普通のフォルダはEveryoneの権限しかないだろう。
>>85-86
サンクス
丸裸にされてしまうみたいな記述があったりして、疑問に思っていました。
アクセス制限さえ掛ければファイルリストは見られても中身は見えない。
と、理解しました。
念のため、オレは感染するようなことはしてません。 速報値です。
亜種が主流になると思われましたけど相変わらず元祖と初期亜種は増加傾向にあるようです。
それだけセキュリティ意識の低いユーザーが多いと言うことを如実に物語っていますねぇ。。。
05/10 49000
05/11 52000
05/12 49000
05/13 52000
05/14 55000
05/15 57000 >>88
乙です。
ちょっとずつ増えてるのがイヤですねぇ >>72
windowsで全ての作業をadmin権限で行ってる報いです。
権限付きユーザで作業してれば例え感染しても被害は少ないと思われます。
Unix系は1024以下のポートに対して管理者権限がない場合はバインド出来ないので
windowsも同じような感じの設計思想ではないの? >>88
お疲れ様です。
微増していますね・・・。 >>90
Windowsではポート番号の制限はありませんけど
制限ユーザーならWindowsファイアウォールを突破できないので
覗かれる心配はありませんね。
またバインドしようとした時点で警告のダイアログが出るので気付きやすいはず 少し亀レスになりますが「漢」という国は過去の罪を遡って裁いたことありますよ 2ちゃんねるが対策→晒しが減って山田作者(´・ω・`)ショボーン→Yahoo掲示板(海外含む)をターゲットの新種開発→
いつものようにyahoo放置→大祭り
の予感。 山田食らった人のパソが自動で2chに書き込んだりさせるだけでも凄い技術なの?
こういう人は2chの串規制とかなんて余裕で突破して、荒らしたりできるのかな。
まぁ今回のだけでもう十分すぎるほど打撃を与えてると思うけど。
ダウン板を匿ってる2chがそのダウン板の住民に攻撃されるなて皮肉な笑い話
よく考えたね。 >>98
>山田食らった人のパソが自動で2chに書き込んだりさせるだけでも凄い技術なの?
簡単
>こういう人は2chの串規制とかなんて余裕で突破して、荒らしたりできるのかな。
無理 >まぁ今回のだけでもう十分すぎるほど打撃を与えてると思うけど。
>ダウン板を匿ってる2chがそのダウン板の住民に攻撃されるなて皮肉な笑い話
>よく考えたね。
m9(^Д^)プギャーwwww >>95
jbbsにアクセスするヤツは数種類見たよ。 >>88
モツ。
土日はさすがに感染者も書き込みも多いですよね(´・ω・`)
日曜日は(集計に差があるはずだけど)600名にギリギリ至らず。
そのうち掲示板という掲示板全部にうはおけぷぷぷが感染する悪寒 16日は48千でまた5マソ割りましたね。人も500名割れ
休日が多いのはダウソ板とか見ないイパーン人? >>106
違うっぽいな。
∩___∩ /
| ノ ヽ /
/ > < |/ そんな餌パクッ って感じだろ。
| //// ( _●_)/ミ
彡、 l⌒l ノ
/ __ \ \ヽ
. (___) \__)
. O| /
| /\ \
| / ) )
∪ ( \
\,,_)
ID:kTJROE010はアホやな
原因は2chでは無いのに 亜種が多い、つーか、なんでこんなに感染者がいるんだ?
そんなにホイホイexe踏むもんかねぇ?
どこで、どうやって踏ませてるんだろう? >>111
度胸試ししてみますか?
ttp://www1.odn.ne.jp/~cay36680/test/first.htm >>112
それ踏むとどうなるんだ? 踏んだだけで感染か?(((( ;゚д゚)))アワワワワ >>112
ソースみたけど、なかなか面白そうだね。
でも、Script切ってるから入れんかったw。
http://127.0.0.1/
これ踏んで何も出なくても感染した人がいるようです
山田ウィルスこわいな >>116
節穴の書き込みだけされるって事?
それは個人としては逆に実害なしじゃないかな?
18 [名無し]さん(bin+cue).rar 2005/05/18(水) 04:55:38 ID:MuQ1nWMf0
143 名前: 113 Mail: sage 投稿日: 05/05/13 02:29:02 ID: pgoQyxQE0
情報ありがとうございます
山田でしたか・・・
一応疑って色々調べたんですが127.0.0.1にアクセスできないので
山田じゃないと思ってました
↑
127.0.0.1にアクセスできなくても感染例あるのね…
(´・ω・) コワイソス
これ見たんだが
まさか俺釣られたか!? 289 名前:心得をよく読みましょう [] 投稿日:2005/05/18(水) 04:11:07 ID:S6ZRFWLF
http://218-171-51-98.dynamic.hinet.net/
)カワイソス)カワイソス(´・ω・)カワイソス
)カワイソス)カワイソス)カワイソス
(´・ω・)カワイソス)カワイソス
)カワイソス
)カワイソス
(´・ω・)カワイソス(´・ω・)カワイソス
)カワイソス)カワイソス
-------------------------------------------------------------------------
http://ex9.2ch.net/test/read.cgi/accuse/1113526194/289
亜種だろうか 勝手に速報値です。書いてませんがホスト数も減ってます。
05/16 48800
05/17 44100
平日なので少ないということもありますが、バスター新亜種対応パター
ンを公開した効果が出た? (631でTROJ_MELLPON.H-N対応)通報屋乙
>>117
ローカルIPからは見れないということじゃないかな よく分かりませんが暫定置いておきますね
------TrendMicro 山田ウイルス対応状況-----
TROJ_MELLPON.A、TROJ_MELLPON.B、TROJ_MELLPON.D、TROJ_MELLPON.E
TROJ_MELLPON.F、TROJ_MELLPON.H、TROJ_MELLPON.I、TROJ_MELLPON.J
TROJ_MELLPON.L、TROJ_MELLPON.N、TROJ_DROPPER.BT
------ここまで対応一覧----- つ[TROJ_MELLPON.C]
例の594前後に出ているので、592と596のWHATSNEW.TXTに書いてあるのがハゲ藁
ロールバック疑惑を裏付けてまふ >>123
Apache的に言うと
Deny from 127.0.0.1,localhost
Allow from all
って感じか・・・更に悪質になったって事ですな。
コワヒよ〜 アパム!検体もってこい!アパーム(AAry
てかスキャンエンジンで何とかならんのかなぁ。。。
とか言ってる間にも検体が集まる悲しさ('A`) >>128
僕ウイルスチェイサーのユーザーじゃないス(´・ω・)
僕のスタンスはダウソ板のニュイルススレにちょこっと書いてあるので読んで欲しいス・・・ 通報屋さんBlog見つけた。
既出?
ttp://blog.livedoor.jp/antiny_virus/ >>117
仮定だがもしもhostsファイルで127.0.0.1やlocalhostを書き換えられたら
http://127.0.0.1もhttp://localhostも見えなくなるが外からは丸見えな起臥す。
しかも127.0.0.1やlocalhostがもっと凶悪なウィルスサイトに飛ばす仕様になったら
その判別法が使えなくなるのも時間の問題かも 一番安全な判別方法は http://コンピュータ名 かな
これは書き換えようがないだろう。
でもOEM製品にありがちなコンピュータ名は狙われるかも 最初に人柱やってる時にhttp://127.0.0.1って言い出したのは
あくまで緊急的、簡易的な判別方法だったはず。
一般的に127.0.0.1が広まって誰もが見るようになると
相手はhostsファイルを書き換える能力があるから危険 これって初期の頃から感染源増えてるんだよな?
でもexeファイルをクリックしなければ感染しないしP2Pやってなければ大丈夫だよな・・・ 今日の速報値は46000で頭打ち状態といったところですね。。。。
※かく言う漏れもsecurityt経由と思われるメール受信してシステムおかしくなったり(滝汗
スパイウェア&ウィルスチェックをしたけど原因と思われるメールが残ってないので本当の
原因は闇の中。。。。。
(念のため、システム監視強化はしております。) なあ本当にe感染源はexeだけだよな?
でもコレってどっかのホームページ見ただけで感染すんのか?
例えば先日の価格comのウィルスとかみたいに・・・・まだ閉鎖中かな? ガクガク(((n;‘Д‘))ηナンダカコワイワァ >>136
大丈夫かw
>>137
俺もその点が少し心配なんだよな
exeファイル以外に感染源あったらガクガク(((( ;゚Д゚))))ブルブル >>138
だなw
しかもコレの恐いところは一時的にファイルがどこかにUPされるんじゃなく
自鯖を勝手に立ち上げるトコだ! まあぎゃくにそれだから自分で防げるってトコもあるが・・・
でも一番の問題は感染したことを自分で解からない新種が出てきたらってトコだな・・・(((( ;゚д゚)))アワワワワ >>140
ループバックはクラスAなんでhttp://127.2.2.2でもOK。
localhost(127.0.0.1)をhostsファイル変更って・・・動かなくなるソフト出てくるぞ。
>>142
これ以外ありえないかと。
あとはHTMLとかの脆弱性をねらったヤツとか・・・
で、Blog見つかっちゃったのね_| ̄|○ 127.*.*.*と192.168.*.*からの接続だけ拒否する
(それも403じゃなくてちゃんと>>6のようになる)のは
プログラムだけで(hostsの書き換えしなくても)可能。 >>145
ちゃんとバージョンアップしてれば
現時点でほとんどの解凍ソフトは対応済み。
http://www.hiemalis.org/~toshichan/hiki/hiki.cgi?%B0%B5%BD%CC%A5%D5%A5%A1%A5%A4%A5%EB%B2%F2%C5%E0%A4%CE%C0%C8%BC%E5%C0%AD
まあウィルス踏むような奴が
> ちゃんとバージョンアップしてれば
を満たしてるかどうかは極めて怪しいが その前にhosts改竄されてないかよく確かめとけよ ttp://www.digitalpad.co.jp/~takechin/download.html
ここの
LHA & Zip extractor Lhasa ver0.19 for Win32
(for 95/98/ME/NT/2000/XP, 100KByte)
.lzh & .zip 一発解凍ツール (自己解凍形式)
もうダウンロードしちまった
たぶん山田ウィルスには感染してないと思うが
>>149
確かめ方がわからん>< >>150
その自己解凍を展開する時に感染したりしてナw 対策も兼ねて張っときますよ
ttp://www2.atwiki.jp/kawaisosu/
山田ウィルスまとめWiki hostsファイルのことが分からない人のために貼っておく
hostsファイルとは?
ttp://www.higaitaisaku.com/search.html
hostsファイルをいじるソフト
HostsToggle Live!
ttp://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=fileinfo&parent=category&filecatid=16 >>426
参考スレ http://qb5.2ch.net/test/read.cgi/operate/1116127723/
http://127.0.0.1/
を踏んだとき、以下のようになっていれば問題なし
■IEの場合
タイトルバーに「サーバーが見つかりません」
本文の最初に「ページを表示できません」
と書かれたページが表示される。
res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
の内容と同じ。
■Firefoxの場合
「127.0.0.1 へのネットワーク接続を試みている時に接続が拒否されました。」
というメッセージのダイアログが出る。 亜種は、ブラウザの確認ではむずかいしかもよ・・・
漏れは、svchost.exeの検索を薦める。 >>156
svchost.exeが6個も起動してるよwっうぇうぇww
コマンドプロンプトでnetstat -anop tcpじゃだめか?wっうぇえうぇ >>157
プロセスじゃなく、ファイル検索汁!!
変なところに有ったらビンゴ。 >>136
でも人数はあまり変わってないし、平日だし。
今週末減るかどうかがポイントでしょうね。 この手のウイルスはどのようなことをすると感染するのでしょうか? ダウソ板の山田ヲチスレ見ると感染者がいなくて暇そうなんだけど、
ココ見る限り、感染件数が激減してそうにないのはどうしてですか? ★山田ウィルス報告スレ【ええけつしとるのぉ】
ttp://qb5.2ch.net/test/read.cgi/sec2chd/1114264573/
★山田ウィルス対策スレ3
ttp://qb5.2ch.net/test/read.cgi/operate/1116127723/ >>163
ヲチは感染した上で繋がらないと始まらない。
実際に感染しても公開までいたるのは極少数。 あっちでも質問したけどまだ流れ早いのでこっちで質問しなおすッス
Yamada(日付).txtを収集してきて、ゴミとって重複チェック済みの
IPアドレス一覧表を作ったんですが、コレを公開するとまずいですか? >>168
元々の公開情報を、まとめて掲示することになんか問題あるの? wの連打が書き込みに反映されないとこがあるけどこれのせい?
おせーて、エロいしと OCNから返答メールが届きました。
非公開要請がきておりますので転載は差し控えますけど対応できないとの回答でした。
あくまでの対応依頼ですのでこれ以上の連絡はしませんけど今後の対応を考えない
といけないと思います。 運営がアク金で書けないとは_| ̄|○ISP変更
勝手に速報値ですが19日は大体47000パピコ
今週末が色々気になるなぁ
>>175
さすがspammer御用達プロバイダですな
今後はbotnetもお得意様ですか http://127.0.0.1/ これを踏むと
ここにつながるんです↓
ttp://www.ybfda.net/news/ 238 [名無し]さん(bin+cue).rar sage 2005/05/20(金) 05:18:49 ID:XUjCPEh30
くっくっくっくく
なんて楽しいんだ。面白いよ。オマイラ
ハッカー気取りの3バカには面白いものを見せてもらった。
なかなか攻撃されている側の画面を見る機会は見ないモンな。
そんな早起きのオマイラにプレゼントだ
山田ウィルスに感染したPC上で任意のWEBを開かせることができる。
とあるやつが穴をぽっかり開けてたからな。
http://ycanon.memebot.com/
Target Host: アドレス(ex. 123.123.ocn.ne.jp)
Target Port: ポート(ex. 80)
Target Page: 開かせるページのURL(ex. http://www.yahoo.co.jp/)
感染者を此所に誘導するのものよし、
http://127.0.0.1/を開かせて気づかせるのもよし、
勘違いバカを挑発するもよし、
信条に反するなら捨て置いてもよし、
好きに使え。
ことわっておくがオレは山田作者じゃねぇぞ byにゃるら
>>182
ブラクラ注意。
そこアクセスするとやばいス。 >>182
http://ycanon.memebot.com/cgi-bin/index.cgi
<html><head><title>YAMADA</title></head>
<body><center>
<a href=./cgi-bin/index.cgi>here</a>
</center>
</body>
http://ycanon.memebot.com/cgi-bin/index.cgi
<html>
<head>
<title>YamadaCanon</title>
</head>
<body marginwidth=100 marginheight=100 topmargin=100 leftmargin=100>
<center>You overslept this morning</center>
</body>
</html>
こんなのだった、今のところ大丈夫なんじゃないかな >>185
http://ycanon.memebot.com/
<html><head><title>YAMADA</title></head>
<body><center>
<a href=./cgi-bin/index.cgi>here</a>
</center>
</body>
の間違いです >>187
なるほど。
範囲指定のコピーで間違えて開いちゃって、ビビってシステムの復元とかやってました。
ありがd
スレの流れ的に、昨晩は見れたよう
で、後は英語のメッセージ通りかと ファイルの最終更新日:2005/05/20 07:48:33
この時間に置き換えたっぽい >>191
今朝踏んだとき右下に猫がいる暗い入力画面がでたよ。
再度、ITmediaで取り上げられて今回はさらに詳細な解説もしてくれています。
これで少しは減ってくれればいいんですが・・・・
(書き込み総数のデータも独自で取って掲載しています。)
亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 (1/3)
ttp://www.itmedia.co.jp/enterprise/articles/0505/20/news036.html >>194
>したがって前述のとおり、山田ウイルスによる書き込みの阻止は
>フィルタによって比較的容易に行えていた。
容易じゃなかったと思うぞー。 >195
突っ込みどころとか色々ありますが再度警鐘を鳴らす記事を載せてくれただけでも
有り難いと思うしか 現在まで放置の感染者はそういう記事には目もくれないだろうなぁ
読んだとしても自分は大丈夫とか思っていそう 大手のウィルス対策ソフトが対応してくれれば一番手っ取り早いのにねぇ シマンテック チン☆⌒ 凵\(\・∀・) まちくたびれたー!! >>199
日本国内の問題な上に、P2P絡みだから放置じゃねーの 山田ウイルスの最大の問題は無差別書き込みじゃなくて公開されることなんだけどな
やはり末端公務員じゃなくて首相官邸あたりで感染、公開されない限りダメか(w この問題の根幹はセキュリティ意識の低い人が大量にいるってところです。
だからいくら記事やプロバイダよりの注意喚起があっても自分は大丈夫だと思って放置
してると思われます。
※一昨日の挙動不審の件だけどシステム監視続行していますけど今のところ問題は
起きてないけど引き続き監視を続行します。 >>195/196
(∵)ノ批評は記事フィードバックしていただけると助かると中の人が言っております
これで今週末の書き込みが減りますように >>202
P2P専用マシンで何でもこいって輩もいそうな気配 >>201
面白い事態に発展しそうだが、流石にアクセスは塞がれるだろうな。 >>201
∧_∧
( ・∀・)ワクワク
oノ∧つ⊂)
( ( ・∀・)ドキドキ
∪( ∪ ∪
と__)__) USER_AGENT絡みで、おかしいと
FOX ★ 山田ウィルス
エラーでない?
JaneでUSER_AGENTを自分で好きなのを送るタイプのやつ
ノートンは切ってる状態で >>211
UA弄ると出る
テストスレでいろいろ試してみるといい >>212
ありがとう
USER_AGENTのせいか
ちなみにエラーにならないUSER_AGENTって知らないですか?
1つだけでもいいから教えてもらえるとありがたいです。。。 名前欄にtasukeruyoやってみて
できればテストスレで >>214
やってみましたが、
tasukeruyoが名前になるだけで何も出てきませんでした。。 あ、そういうことか。
書けるようになるってことか。
でもエラーにならないUSER_AGENTが分からない。。。
Jane Monazilla/1.00 (JaneStyle/1.24)
こんな感じのUAにすれば大丈夫なはず
弄るからエラーになるわけで、特別UA変更が必要な事情がなければデフォでいいんでない? >>216
あ、なるほど。他の板でやってました。
でもこれやるとIPでちゃうのね。。。orz
>>216のテストした人のUAを見ればいいのか。
どうもありがとう。
>>218
お、ありがとうございます。 すみません、質問します。
OpenJane α 0.1.11.1 を使ってるのですが、
書き込みをしようとするとこうなります↓
--------------------
書込み中・・・
--------------------
FOX ★
FOX ★ 山田ウィルス
調整中。。。
ホストYahooBB・・・・・
いつか治るだろうと思ってたのですがもうだいぶになるので・・・
対処法はありますか? ノートン切ったら書き込めました・・・
ありがとうございました。
ということは、
これからは書き込む時は切ることで対処すればいいのでしょうか? USER_AGENT絡みのエラーと
ノートンのUSER_AGENT遮断によるエラーは
次スレあたりで、テンプレに欲しいね。
でも、もう次スレまではいかないか。。。 これでいつものJaneから書き込めるようになりました。
かなり初歩的な質問だったようで(;・∀・)
答えてくれてありがとうございました。 >>222
そういう不心得ものがいるから>>202でreffi先生が呆れているわけだが とりあえず、JaneはUAいじると山田フィルタに引っかかると。 勝手に速報値20日は48000パピコ、470人
変わらん_| ̄|○ >>229
だからroot ★先生が言ってたろ
もう永遠になくなることはないって いっそのこと、新鯖の耐久実験にありがたく使わせて貰ったらどうだろうか?
放っておいても勝手に書き込みしてくれるし、
ss覗きたいが為に人群がるし…だめ? >>175
本人に荒らしている自覚があろうがなかろうが、無差別マルチポストで
荒らしている事実は変わらないのですから、通常の警告→規制コースで
対処出来ないものでしょうか?
一つのホストからの投稿試行回数だけでも週に200回以上いってる場合
もあります。 >>232
それが良い。
そうすればISPも放置できないだろうし、
山田ウィルスの周知徹底も出来る。
規制解除要望で盛んに対処方法が議論される。
今のままだと山田クンの狙いの一つ、2ch攻撃は大成功。 >>231
ひろゆき訴えるキチガイが出るだけでしょ、裁判やって勝てるとはおもえんけどw ふと思った。
山田感染者を通常規制に切り換えれば、
セキュリティ対策の功労者としてひろぴん絶賛されるかも? >>234
いやむしろこっちは被害者な訳だから。
攻撃受けてますー
プロバイダも対応してくれませんー
こっちもホスト数大杉てもう勘弁ー
ってことではどーでしょ? 作者は好きな言葉をNGwordにしてもらえるんだなあ つーか巻き添え多すぎて3文字のNGWordは無理でしょ
/^http:\/\/.*<br>http:\/\/.*ぷぷぷ。$/ ('A`)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) このウィルスは、P2Pをやってなくて、
あぷろだに近づかないような人には関係ないウィルスなんでしょうか?
そこら辺がよく分からなくて怖いんです。 とりあえずここはそういうの質問するスレじゃないからPC初心者かダウソにでも行って
聞いてくれ
FAQが貼ってあるのはあまりに質問が後を絶たないから仕方なく用意しただけ >>242
微妙。回線を切って、大人しくしてるのが一番かと。
それにしても、どんどん亜種が出てきてるね。
保守あげしたスレにその亜種が付いてきた。
運営も大変だろうけど、ガンガって >>243
すいません、以後気をつけます。
>>244
丁寧なレスをどうもです。
やっぱ二次感染するかもなんですね。
非常に迷惑だし怖い。 >>232
週200どころか20日のデータだけで90人ほど200投稿以上となってる。
1x日に限って集計してみると、延べIPが2600。さらに200x10として
2000フィルタ以上が55、ワーストは6500フィルタという書き込み魔。
つけっぱなしマシンで感染しとる( ;゚Д゚)
最近は常時接続だから、みんなつけっぱなしだろうな。
しかもP2P走らせっぱなしだから、余計につけっぱなしマシンが多い。
迷惑な話だが、ある意味当然の結果かもしれない。 Yamada20050520取得してみたら、
初期型だけなのに20,000もあったんだけど…感染しっぱなかよ、情けない。
6,500の香具師なんか、明らかにPCが挙動不審だろうに。 上の二次感染の意味がよくわからないのですが…
このウィルスは2ちゃん見てただけで感染しますか? Windowzなんか投げ捨てて、Unix Linux Mac 携帯にする
これで解決 ヤフのトップに出る程被害出てるのか?
今の2ちゃん利用者ならワカランでもないが…w 見ただけでは感染しないようなので安心しました
それにしても怖いですね トレンドマイクロ社によると
他の不正プログラムを介して侵入
悪意のWebサイトを介して侵入
うーむ。悪意のWebサイトってどこだろう・・・ >>1 名前:reffi@報告人 へ
もりたぽあげるからトリップ正確に#つけてだしてください。
そしてプロフィ−ルも正確に出して:コピーしてください。 携帯で山田ウイルス開いちゃったんですけど問題あります?? すいません、ヤフーのニュースで
より確実にチェックを行うならば、Windows 2000/XPの場合はコマンドプロンプトから
「netstat -a」を実行し、httpのLISTENING表示がないか確認するのがよいだろう。
もしこうした文字列があれば、Webサーバの類が動作していることになる。
とあったんですがこれは右側がLISTENINGで真ん中の所にhttpが無かったら
感染してないということなんですかね?
聞いてしまってすいません・・・ すいませんでした・・・
他で聞いてみます
ありがとうございました 157 :[名無し]さん(bin+cue).rar :2005/05/21(土) 23:26:14 ID:VNuCKg6W0
>>136
自鯖に山田砲撃ってログみてみた。(googleを開くように指示)
山田ウイルスにコマンド実行機能があるみたいだね。
GET /~cmd=\"explorer.exe%20\"http://www.google.co.jp/\"\" HTTP/1.0
山田ウィルスチェックツールがあるようです
ttp://blog.livedoor.jp/antiny_virus/archives/22674080.html
恐らく安心できるものとは思いますがどうなんでしょ? >>262
これさ、ITmediaの記事にあったけど、俺も鯖たてたことないから実際どうでるのかわかんないんだよね。
確認のために、どういう表示になれば感染しているか教えて欲しい。それで、いろいろなスレに張れば感染に気づく人もいるかもしれないし・・・。
スレ違いとは思わないんだけどな〜。 感染してしまったPCから、
山田ウィルスを駆除する方法がわからないのですが?
現在別のPCでつないでいます。 ここは山田ウィルスによる無駄な転送量・負荷対策であって、
個々の対策はDownloadじゃないかな。
☆ 山田ウィルス対策スレッド ☆
http://tmp5.2ch.net/test/read.cgi/download/1115621317/ >>269
netstatは接続してこなければ表示されない。
だから感染してても通常と変わらないことも多い。
確実なのはhostsファイルを確認すること。
hostsを検索して、メモ帳にドラッグね。
内容に↓のサイトに書かれているアドレスがずらずらと書かれていたら感染。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MELLPON.L&VSect=T
これでどうよ? Media Player Classic 8th
http://pc8.2ch.net/test/read.cgi/win/1109440589/958
> 958 名前:名無し~3.EXE[sage] 投稿日:2005/05/21(土) 22:24:17 ID:vY8QV53Y
> http://49uper.com:8080/html/img-s/59899.zip
> xp2k。お気に入りはいらないので消した。欲しきゃ自分でなんとかしな。
> 俺訳未訳あり。嫌なら自分で(ry。叩かれるのわかってるからこれで消える。ノシ
中身は山田らしいです。一応報告っと >>272
あら、なかなかいい方法じゃない。
早速試してみますか。 ミスったのでもう一回テスト。(メル欄じゃなかったorz) 初心者ですみません
とりあえずhosts書き換えられてなかったら感染はしていないってことでいいんですよね? 21日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <54000パピコ
│∪ │つ
〜(((( )))
U ̄∪
_| ̄|○ 要するにこのウイルスは、貼ってあるURLをクリックしたら
感染するということですか?
ニムダみたいに見ただけで感染するというわけではないのですね。 レトロゲーム板のこれってどうなんでしょうか?
【山田】攻略できないレトロゲームを皆でクリアしよう【神】
http://game9.2ch.net/test/read.cgi/retro/1116432360/
ただの糞スレならいいのですが >>285
釣りなんだか真性なんだか判らん( ´ ・ ω ・ ) カワイソス
貼ってあるURLはサーバー立てている状態。
自業自得。 http://pc8.2ch.net/test/read.cgi/sec/1111917202/691
http://p32??-ads??douj?b5-acca.osaka.oc?.??.jp:23742
http://p32??-ads??douj?b5-acca.osaka.oc?.??.jpぷぷぷ。
伏字入り >>287
真性厨房です。
意味全くわかりません。
ちなみに、クリックしていません。 質問なんですけれども、山田ウイルスには携帯でも感染してしまいますか?(つ∀`) >>294
想像しただけでも怖い((( ;゚Д゚)))ガクガクブルブル
でも、最近の携帯は定額制も多いから、どうなんだろうって感じだけど ASCII文字を参照にする意味はぜんぜんないから
ASCII文字の参照をRockすればよさげ
BBS_UNICODE=change
の板(>>288とか)でもRockできるかどうかは謎だけど 正規表現は
/�*(3[2-9]|[4-9]\d|1[01]\d|12[0-6])\b/
でRockできるかな >>301
それは山田のふりした荒らしじゃないか? 山田を完全駆逐するであろう、賞賛をあびる優れた
アンチウィルスソフトはどれか予測してくれ 山田ヲチスレ拝見してて、自分はウイルスに対する意識がなすぎるなと
感じて、期限切れっぱなしだったノートン先生のシリアル買ってみた
スキャンしても引っかかるのは2chに書かれたウイルスコードのログだけなのに・・・
年間4000円たかいっす IE使用しているが、http://127.0.0.1/を踏むと↓下のように表示されるが大丈夫だよね?
ページを表示できません。
検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、
ブラウザの設定を調整する必要があります。
これは山田対策が誤動作してる所為ですか?
公開串で見てるだけなのに規制は酷い。
403 テスト中。。。 2ちゃんねる
(´・ω・`)やぁ。ようこそバーボンハウスへ。
このページはサービスだから、まず見て落ちついて欲しい。
うん、「また規制」なんだ。済まない。
FOX★の顔も三度って言うしね、謝って許してくれと言っても許すつもりはない。 新しい規制なのか
でも誤動作間違いなしだな
公開串で元からカキコできないはず http://yahoobb220051024233.bbtec.net/
これって山田ウィルスに感染してないですか??
なんとかこのパソの使用者に教えてあげたいんですがどうしよう。 >>314
へたにURLを晒すと山田砲撃たれる。
あまりURLは書かない方がいい。
ダウソスレ+vipperどもが感染者に教えようと?しているから、
ダウソのヲチスレを見ると少しは参考になるよ。 >>316
山田ウイルスのバックドアを利用し、エクスプローラを乗っ取るツールです。
それなりの人なら直接コマンド打てば、ファイル削除や電源操作も出来るけど、
やっちゃダメです。 >>306
セキュリティソフト入れてようが感染しまくってる現状を見ると
セキュリティ意識の向上を重点的に行うほうがいいよ
セキュリティソフト入れれば大丈夫
これで心配ねえわウハハハハハ
てな人が多いのも原因だし
フリーのアンチウイルスソフトでも山田君には対応しだしてるしね >>317
そこまでやったら完全に犯罪だよね
アクセスログから身元わかるでしょう?
相手が山田感染者だからタイホーにならないと思ってる? >>319
アクセスログがあるかどうか不明
ISPが全トラフィックを記録してればいいけど、
山田自体は作者が後からバックドアを使うとしているんだから
間違いなくログを残さないハズ みんな通報屋さんの山田ウィルスチェッカー使えば良いんじゃないか?
ttp://blog.livedoor.jp/antiny_virus/
HOSTSファイルも修正できるみたいだし・・・
今後も改良される予定だから安心だとは思うんだが おじゃまします。その山田ウイルスとやらについて3点ほどご教示ください。
一、どうしたら感染するのですか?
ニ、一とも関連していますが、感染しないためにはどういった点に注意すればよいのですか?
三、感染したかどうかチェックする方法は、>>307のURLをクリックすればよいのですか?
ちなみに、「踏む」とはクリックするという意味ですね >>323
(1)と(2)・・・こーゆーまぎらわしいexeを踏む(実行)と感染。
,-‐、 _
|__,,ニ=T
‖ ‖
|__,、-‐''″
(一般コミック・雑
誌)[ジャンプ] [2005
-24] BLEACH 178
.exe >>323
俺が知ってる範囲ですが・・・
1.zipフォルダと見せかけてexeのファイルがありそれを踏むと感染するようです
2.p2p、いわゆるwinnyやうpロダなどを利用しなければ大丈夫だと思います
3、>>307をクリックしてなにもでなければ感染してないと思います
しかし亜種などもありますので私個人のオススメとしては>>322で出ている
通報屋さんの山田ウィルスチェッカーをオススメします
踏む とはクリックする事です
間違ってたらごめんなさい。。。 ここで質問は駄目みたいだが他のダウン板とかで聞くとカワイソスとしか
言われない場合が多いからな・・・
運営で聞く理由がわかったような希ガス 調べりゃ分ることをいちいち聞いてくるのもどうなんだろうな >>329
少なくともまじめに質問してきたものに関してはきっちりレスついてると思うんだけどな。
流れが速いのは致し方ないところだけど。 >>324-328
お忙しいなか、まことにありがとうございました。
勉強させていただきました。
感謝します。
みなさん、ご迷惑おかけしました。
わたくしももっと勉強します。 なんか2ちゃんにレスしようとするとたまに
山田ウイルス発見・・・
とか出ます。
ウイルス検索しても山田は発見されません。
どういうことなんでしょうか? 22日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <52000パピコ
│∪ │つ
〜(((( )))
U ̄∪
やっぱり週末は5マソオーバーですか。
今日気づいたんだけどFRとかDKとかの感染者もいるのねorz 山田ヲチスレで山田ウイルスの闇の使用方法が
稀に話題出るけど・・・見てるとそれを使ったら、
法的にどういう罰があるの?って聞くバカが必ず
いるね
そのうち度の過ぎたバカが何かやっちゃうんじゃ
ないかと怖くなるよあそこ 23日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <44000パピコ
│∪ │つ
〜(((( )))
U ̄∪
.DKと.FRの香具師は消えたか。 ttp://www.uploda.org/file/uporg107493.png >>341
違法だろうな
あんな怪しいのよく使うよ 24日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <44000パピコ
│∪ │つ
〜(((( )))
U ̄∪
>>351
このスレ(w >>341
闇の使用法って何ですか?コソーリ聞きたい。 25日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <46000パピコ
│∪ │つ
〜(((( )))
U ̄∪
もうじぇんじぇん変わりませんな(´・ω・) ダメス ダウン板で山田砲とでてたんだけども・・・
kawaisosuWikiの山田砲はヤクザの声みたいな奴で
別の山田砲のこと言ってるんだろうか?
ウィルスに感染したPCをどうたらこうたらって書いてあったんだが・・・
なにやら犯罪の匂いがするス >>357
WikiのほうはGoogleで「山田砲」で検索すると出てくる奴。
昔あった祭りのフラッシュかな?よくわからんけど・・・
まぁギャグで置いてるんだと思う。
今回の感染者に突撃する山田砲とは別物。 >>2の専用トラップのログファイルでホスト名晒すの不味いんじゃない?
山田仕掛け人、山田ヲチスレの狂った奴らに餌を与えるようなもの。 >>358
なるほど・・・
詳しく書いてくれてサンクス >>359
IPは個人情報じゃない。
攻撃は晒すのが2chの方針なので仕方が無いんじゃないの。 >>362
個人情報がどうこう言いたいわけじゃないのだが。
仕掛け人、山田ヲチスレの狂った奴らが喜ぶだけって意味。 ISP側がちっとは対応してくれればいいんだけど
2chがウイルスの標的にされてるだけだからほっとけ、みたいな感じだから
晒されたIPをどう使うかは勝手
使う人は全て自己責任 ID:ho3b4G0X0はヲチスレとガ板で叩かれた奴 ID:ho3b4G0X0 m9(^Д^)プギャーーーッ
狂ってるのはお前だ池沼www 山田砲ってなんですか?初歩の質問で申し訳無い。
ID:ho3b4G0X0は別に普通だと思うけど。
悪い使い方ってあれか?踏み台とか? * + 巛 ヽ
〒 ! + 。 + 。 * 。
+ 。 | |
* + / / イヤッッホォォォオオォオウ!
∧_∧ / /
(´∀` / / + 。 + 。 * 。
,- f
/ ュヘ | * + 。 + 。 +
〈_} ) |
/ ! + 。 + + *
./ ,ヘ | VIPクオリティ!!
ガタン ||| j / | | ||| http://ex10.2ch.net/news4vip/
―――――――――――― _,,..,,,,_
./ ,' 3  ̄ ̄ つ
l ⊃ つ
`'ー---‐'''''" ̄
このスレを見た人は2日後に口内炎になります。
実家の父も口内炎に犯されて昨年亡くなりました。
口内炎に犯されたくなければ、
2分間以内にこのレスをどこかへコピペしてください。
信じた人だけが救われます
>>371
もうすでに口内炎になっているやつには無効なわけだな。 口内炎より歯周病のほうがこわいよ
最近いろんな病気の原因らしいということがわかってきた
はみがききちんとしてるようでしていない
はみがきしたあと歯間ブラシとかで掃除してみてよ びっくりするから いまにわかるよw とりあえず歯間ブラシと手鏡買って来い
話はそれからだ >>377
アトピーでなんで歯間ブラシがいるんだよw
とりあえず話題戻すか
山田ウィルスチェッカー使いやすい(・∀・)
でもあれをすり抜ける亜種もあるらしいし怖いな・・・ _,,..,,,,_
./ ,' 3  ̄ ̄ つ
l ⊃ つ
`'ー---‐'''''" ̄
このスレを見た人は2日後に口内炎になります。
実家の父も口内炎に犯されて昨年亡くなりました。
口内炎に犯されたくなければ、
2分間以内にこのレスをどこかへコピペしてください。
信じた人だけが救われます
また見たでしょ?
もう一回コピペしないといけないんじゃないか? マジレスするとその手のコピペは自分だけ助かろうとする
ヒトがコピペをくりかえすのを見てほくそえむのが目的だからw
いいんじゃない すきなだけすれば? どうでもいいけど、病気の場合、「侵される」のほうがよいのでは?
ttp://dic.yahoo.co.jp/bin/dsearch?p=%BF%AF%A4%B9&stype=0&dtype=0
ttp://dic.yahoo.co.jp/bin/dsearch?p=%C8%C8%A4%B9&stype=0&dtype=0 26日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <44000パピコ
│∪ │つ
〜(((( )))
U ̄∪
27日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <42000パピコ
│∪ │つ
〜(((( )))
U ̄∪
現象の兆しだといいけど週末はどうなるかね。 あまり詳しい事は言えませんが、専用トラップで弾いている旧型から亜種の方に
シフトしつつあるので、全体の感染数はあまり減ってなかったりします。 49 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/05/28(土) 11:43:20 ID:3UjMpqh10
http://61.125.212.19:7745/
http://61.125.212.19/
50 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/05/28(土) 11:44:23 ID:0ysIJdfS0
http://222.10.152.54:8080/
http://222.10.152.54/
これは亜種ス(´・ω・) ? 891 :[名無し]さん(bin+cue).rar:2005/05/28(土) 09:47:06 ID:ABHb6Vu50
http://60.33.38.29:8080/
http://60.33.38.29/
これは亜種ス(´・ω・) ?
857 名無しさん@お腹いっぱい。 [] 2005/05/28(土) 15:49:33
http://60.33.38.29:8080/
http://60.33.38.29/
セキュリティー板 ↑これ 踏んだのですが・・・ どうすれば良いのでしょうか? >>398
何故に?? そんな冷たい事言わずに、教えて下さいお願いします
>>399
踏んだところで何にもならないから
心配ならこの辺(↓)のツールで確認汁
ttp://blog.livedoor.jp/antiny_virus/ >>399
取り合えず確認してみました、大丈夫?の様です 有難う御座いました。 >>393
専用トラップなら
$FORM{'MESSAGE'} =~ /$ENV{'REMOTE_ADDR'}/
Rockだと
http:\/\/([\w.]+):\d+\/ <br> http:\/\/\1
って感じ? このほうが誤爆が減るか
^http:\/\/([\w.]+):\d+\/ <br> http:\/\/\1 >>406
googleにかけたら DO YOU YAHOO ?って聞かれました さてさて。
Rock54にて仮に対応をしてきたのですが、そろそろBBRが破綻しそうになって参りました(滂沱)
といいますのも、BBRに登録されているクエリの大半が、このウイルス関連のものに埋まってきましたものでして。
実のところ、DB_File::BTREE にしているにもかかわらずその容量が300MBにも達しております。
そこで願わくば、このウイルス対策として個別のルーチンにて対応頂けるとありがたいかと思いまして。。。>bbs.cgiの中の人
さて如何なものでしょうか。いろいろなご意見をお待ちしておりますm(_ _)m深謝 >>408
bbs.cgi スレでやりませんか。
↓
bbs.cgi再開発プロジェクト6
http://qb5.2ch.net/test/read.cgi/operate/1113117347/
私はあまり協力できないかもですが、
「こころ」を、スレのほうに書いておいていただけると。 ウイルスバスター2005で時々「アップデートできないよ」と出ます。
プロキシサーバも使ってないし、もしかして山田かもしれないし・・・。 昨日の速報値は43000で原種と初期亜種は減少傾向みたいです。
それに伴い、プロバイダ別の感染者数も大幅に変わってるようなのでちょっと集計してみます。 複数ホストのまとめです。
記録ホストは400程度なんですけど記録回数は前日と変わらないようです。
プロバイダ BIGLOBE DION dsn eonet @home infoweb ocn odn plala
記録ホスト 27 44 46 13 7 23 67 7 15
アクセス回数 1735 4771 326 347 846 2479 6083 2260 1712
プロバイダ so-net USEN yahoo ZAQ
記録ホスト 18 5 38 7
アクセス回数 2605 356 5431 532
※dsnが回数は少ないのに異様に記録ホストが多いのが謎(前からずっと
感染者が書こうとして山田トラップで書けないから必死に繋ぎ変えているのかなぁ。。 昨日の速報値が何と32000と大幅に減少しました。
かなり動いたのでちょっと調べてみます。 このまま感染者が減ってく
↓
繋がるアドも人が集まりすぎてすぐ落ちる
↓
終了
と勝手に予想(´・ω・) 記録を調査したけど日曜深夜を挟んだ事による接続時間の減少が影響してるってところ
ですね。
上位に大幅な変動はなかったですし
※原種や初期亜種じゃなくて新型の方で引っかかってる可能性も捨てがたいですけど 忙しくて集計できなかったので3日分一気にやったら本家登場^^;
ガクッと減ったのは一応平日だからでしょうね。
週末はまた米国からのアクセスがありました。P2Pでもやってるの
かしらん? 知人がまさに橋梁系の下請けで設計長をやってるわけですが
そやつの給料なんか、とんでもないぐらい低いです。
現場へ行けば鉄骨抜きシャブコン一歩手前の空気を
震災経験者らが必死で止めて、なんとか設計どおり、強度保持の状態。
現行のシステムのままコスト面でざっくり行かれれば、
手抜き工事が増えるのは部外者にも目に見えるです。
談合で品質保持というのもあながち否定できるものではないな
と感じるのはおかしいんでしょうかね。 自動でどーするかとゆーのを、ちょっと考えてみましたー。
●自動denyする(バーボンに放り込む?)
・放り込む基準
特定鯖(Download+α)に記録が50〜100/dayになったら、24〜48時間deny
☆利点
・denyされることで、自分が感染してるのに気が付くかも
(焼いても繋ぎ変えてしまうので、今は気が付く人は皆無。
2ちゃんねる見てない人もいるだろうけど、それはそれで)
・大量のログなど、無駄な資源の消費を押さえられる
・50〜100/dayなら、多分巻き添えは無いはず
★欠点(解決すべき事)
・2時間denyするバーボンへの組み込みだと、効果薄いかも
・といって、基準を下げると(2時間以内で幾つとか)、多分巻き添えが出る
・今のdeny(バーボン)とは別の仕組みにする必要ある?
・増えすぎるとたち行かなくなるので、denyホストは100前後になるよう、
基準やdeny期間などを調整するとか
※多分、繋ぎ変えてる人の分が半分くらいあると思うので、感染パソコンは
200台から、多くて400台(Rockされてる亜種含む)くらいな気がする
繋ぎ変えちゃうパソコンは放置で
・RockやBBQのように、手動で何か登録する形でもいけるか? 自動denyいいかも
欠点はFOX★が補ってくれる予感、、、 >>426
「めんどくさいからやだ」で終わる に100よよよ tmp5とpc8で半分超えるので(次点はsakura02)、その辺でしょうね。
ためしに前二者で過去三日の集計を行ってみましたが、50パピコで、
低いほうから250-300位ぐらい、100パピコだと300超えます(つまり
1/4以下)
#連カキ多いのはニュース系雑談じゃないかなぁ?
日 総パピコ 100切 50切
28 26600 71.1% 86.8%
29 25400 65.9% 84.8%
30 18200 55.6% 80.2%
書き込み数によるフィルター率はサックリこんな感じです。 >>429
をー。ありがとうございますー。
けどなんか数字がよくわからないー。
100以上カキコがあったらー、ホストの内の
何%がdenyされるんでしょー? 繋ぎ替えってことは確信犯(誤用の方)って事?
スクリプト使うよりお手軽な荒らし法だとは思うけど、そんなのいるのかね? >>431
ダイヤルアップで切り替わっちゃうことだと思う >>430
100カキコでサックリ1/4ぐらいです。つまり100。ただ、ログを減らす
意味では書き込み数の方が重要かなと思ったのです。IP数の率は以下。
最近フィルタの数が減っているので100ではちょっと閾値が高いかも。
日 100/d 50/d
28 22.7% 37.9%
29 18.4% 34.3%
30 12.9% 27.8%
ただし429とこの集計は山田フィルターに多少入っているゴバークを
含んでいます。以前の速報ではこれを除外していました。
(誤爆は一日のログ集計9MBぐらいに対し4-9kB、26・29は20kB近くあります。
爆撃ツールとおぼしきものもあります) >>433
面倒おかけしますがー、誤爆で50とか100を
超えてるっぽいのはありますかー?
爆撃は別にしてー。 これって書き込み数だけで判断して
1日で50とか100回書き込みがあったらdenyしちゃうってことですか? >>435
違いますー。
山田ウイルス書き込みとしてブロックされたものが
50〜100回あったらってことですー。 >>436
了解しました。
勘違いすみませんでした。 >>434
さすがに50はないです。普段みているログ全部(計20鯖)で50ぐらい、
vip2chの爆撃ツール(?)が入っても全部で150ぐらいですね。
………あ、カットミス発見--; とりあえず亜種はトレンドマイクロさんに解析依頼を行って追加して貰ってます。
現在も1枚のCD-Rが解析に回されてます・・・そして手元には最新の亜種。。。
ノートン手動定義NG、VB2005最新パターンファイル手動検索NG・・・
早く対応してくれ_| ̄|○ 昨日の速報値は33000で鯖移転も原因にあると思いますが大幅に減少しております。
※鯖移転騒動でドタバタしてたので取り急ぎ速報値のみ 【ドモコ】 winnyキンタマウイルス感染 【テラヤバス】
http://news19.2ch.net/test/read.cgi/news/1117609611/
NTTドコモ東海が静岡、愛知、岐阜県内に設置した携帯電話基地局
約800カ所の所在地や入局方法などをまとめた「社外秘」扱いの資料が、
ネット上に流出していることが分かった。事態を重視した同社はすべての
鍵を付け替えるなど緊急対策を実施した。ファイル交換ソフト「ウィニー」の
ウイルス感染が原因とみられる。
>昨日の速報値は33000で鯖移転も原因にあると思いますが大幅に減少しております。
集計してませんが、30日よりもバイト数は増えてますよ。
あと、移転で初期山田に絡みそうなのはニュー速VIPのEX11だけでは?
ネトゲ実況も絡んでないので「wwwwwwwwwwっうぇうぇ」は
NGワードにして欲しいワン
勝手に速報君はそろそろ引退予定 昨日の速報値は37000でちょっと増加傾向のようです。 c:\Program files\・・・\fusianasan\
↑これを削除したら山田とさよならですか? >>445
どーせまたすぐ踏むんだから放置しとけば? 今、山田ウィルス関係で Rock つかってますか? 1)
URL
(´・ω・)カワイソス
(´・ω・)カワイソス
2)
URL
うはwwwおkwww
3)
URLにぷぷぷなどが入るやつ
4)
うはwwwおkwwwがバラバラに置かれるやつ
こんな感じかと >>454
どもども
tmp5 も Rock はずしています えと、、、何の実験すか?
ヲチスレは喜んでますが、、、 馬鹿FOXは死んだ方が良いよ、クソ板にしか力入れないしw >>455
正直少し話題になってもらった方が良いかも。
ねとらん辺りが取り上げてくれたら勝ちという事で。 FOXクオリティしかと拝見させて頂きました(´・ω・) カワイソス 傘必要なくなったみたいだよ(*´・ω・)(・ω・`*)ネー >>452
>http://<host>
>うはっうぇwおk (文字列、行数ランダム)
>http://<host>
>ぷはっwみぷっうぇ (文字列、行数ランダム)
>http://www.google.co.jp/search?hl=ja&q=<host>:<port>
>http://www.google.co.jp/search?hl=ja&q=<host>:<port>
>http://<host>
>(´・ω・)カワイソス)カワイソス (文字列、行数ランダム)
>http://<host>:<port>
>http://<host>ぷぷぷ。
>http://<host>:<port>
>http://<host>うへへ。
※ぷぷぷ。とうへへ。はhostの文字列がランダムに?xxx;形式
>http://<host>:<port>
>http://<host> (hostはxxx.xxx.xxx.xxx形式) 対策法がわかってるものを降らしてどうするのかと・・・ >>477
くわしく
この時刻以降の見つけたらここにURL報告してちょ @ex9
↓どぞ >>477
今の手段(Rock)はコストが高いので、
よりコストの低い手段で、なんとかできないかってことかと。 rootタンキタ━━━━ヽ(゚∀゚ )ノ━━━━!!!! >>479
あーなるほど
そんなら素直にネトランあたりに情報広めてもらったほうが速いかと なにか文言を付けないとURLを貼ることが出来ないようにすれば、山田泰作になるのではないだろうか
トラックバックみたいに、「URL:〜」で〜に実際のアドレスを貼るとか えーと、いま登録してる正規表現をQで送りますー。
ちょっと待ってて下さいー(参考に)。 >>490
いらないですー
それはいたちごっこで
ついにあふれた=負けた 方法ですんで、 tmp5、特定の2chブラウザで書き込めない模様・・・ >>495
特定じゃなくて、1部を除いて大多数の専用ブラウザで書き込めない こら狐
ヲチャーの楽しみ取るんじゃねぇ(´・ω・)ス >>498
いやそれは・・・
書き込みに煩雑さが加わると間口が狭くなるから避けてほしいですな
初心者には2chブラウザの導入もしにくくなるでしょうし tmp5書けなくなってしまった(汗
Monazilla/1.00Hotzonu/2.0 おおきな勘違いをしていた、、、
作業しているのは tmp5 でした、
ex9じゃなかったです
へんだとおもったー >>505
こら!なんでtmp5で異常が出るのか気になってはいたんだが、、、 そんでは、各位はtmp5に来たやつを報告でよいのかしら。 ヲチスレ書き込めないですorz
Monazilla/1.00 gikoNavi/beta50 >>505
どうでもいいけど、板住人に迷惑のかかる対策なら止めてくれ。
今すぐ専ブラでの書き込みが出来るように戻せよ。 >>505
ぉぃw
これが狐クオリティか('A`; >>505
つ▲
これをやってFOX★はどうするつもりなの? やらなきゃ
IsKOukoku はずすしか道はないと思うが、
その結果はだいたい予想がつくと思うが 何がしたいの狐?
はっきり言っておまえがスレ荒らしてるとしか思えない。
対策うんぬん迷惑 >>524
んじゃ tmp5 はIsKoukokuなしということで、
終了。。。。。
となるが? ついに挑戦ですか。。。。
それでしたら通報屋 ◆Y39/vakKjYさんの協力が必要だと思います。
(山田ウィルスチェッカーの作者であり各ウィルスメーカーに検体を提出している人です。)
ちょっと、ダウソ板にいって呼び出してみます。 とりあえず専ブラ書き込みは出来るようになったみたいです。
以上報告まで。
原因なんだったんでしょうか。 >>523
やらなきゃならんのは理解するよ
でもそれで迷惑かかる人がいるんなら事前告知とかするのが筋だろ?
何もなしにいきなり始めたんじゃ荒らしと変わらんだろうが。 >>528
検体チェックしている人に協力してもらって、いけるんだろうか。
書き込み側に送ってくる時の「特徴」をつかんでいるなら、
役に立つと思いますけど。 >>531
事前告知?
したよ、無知を論拠にされてもねぇ
徹底的に話しますか、
お望みなら。 >534
作業はいいですが、説明欲しいです。
でないと、専ブラを疑って、あれこれする人が出るので。(自分含め)
ここでも構わないので、作業するよ、こんな影響が出るよと告知頼みます。 風の便りで降臨。
>>535 root★氏の仰る通りです。
個人的には捕獲したら提出してしまうので。。。
傘スレなんかを事前に用意しておいて、
日にちを決めて全部の山田ブロッカー解除でパターンを取るとよろしいかと。 >>531
ウイルスまく側が事前告知してくれるなら、それもありだと思うですね。
ようは「サイバーノーガードと、多少影響があっても緊急にやるのとどっちがいいか」っていう話かなと。
現在は既に一つの防御網を突破された、緊急事態であると認識しています。 >>539
事前にブラウザがどんな挙動するかわかると思う?
IE はかけたと思うよ、
礼儀正しいブラウザは全部さ >>536
喧嘩はいいから
やるんならさっさとやっとくれ >535
山田ウィルスに関しては彼ほど把握している人はいないと思うので彼の協力は絶対に
必要だと思います。
参考ページ
ニュイルス日誌
ttp://blog.livedoor.jp/antiny_virus/ >>544
いや
ここは徹底的にやるべきだと思う。
続きをやる前にサ >>541
どもです。
そういうことになりますか。
たぶん、
1) 対策する
2) 徐々に漏れてくる => Rockで防ぐ => Rockがやばくなってくる
3) 1に戻る
しかないと思っていたり。 >543
要は、現在作業続行中ということですね。了解。
頑張ってください。 現状としてはRock指定入れてもほぼ毎週亜種が出ているので、
作者には無駄かとも・・・
根本的になんかをしない限りはどうにもならんかも・・・
この辺はウイルス対策メーカさんがエンジンを強力にして対応して欲しいのですがねぇ >>543
お願いだから落ち着いて下さい。m(__)m >>546
スイッチ、入っちゃいましたか。
確かに今「はっきり」させておかないと、
今回のは長丁場になりそうですしね。 >>546
たのむからrootタソと通報屋さん見習っておくれ tmp5潰せば解決するっていえばするけどな、、、一時的に(w FOX!もちつけぇェェェっぇェェェェェッェぇぇっぇぇ!!!!
___ ガスッ
|___ミ ギビシッ
.|| ヾ ミ 、 グシャッ
∩_∧/ヾヽ
| ,| ゚∀゚). .| |;, ゲシッ
/ ⌒二⊃=| |∵.
.O ノ %`ー‐'⊂⌒ヽ ゴショッ
) ) ) )~ ̄ ̄()__ )
ヽ,lヽ) (;;;;;;;;;;;;;;;;;)(_(
専用フィルタの強化ですか?
………まだ速報君必要かな おじさんは落ち着いてると思うけどなぁ。
単に、作業の前に明確にしておきたいことがあるだけじゃないかなと。
しばらくしごと(本業)につき、ROMするです。 >>556
俺みたいな突っかかってくるのを相手せずに
やるべきことをやっとくれ >>561
どうして「たとえば?」って聞いちゃ駄目なの? >>536
どこで?
告知があったんなら、確かにこっちの無知なんで
一連の文句は全部撤回する。 乱暴かもしれんけど、2ちゃん全体で期限を決めて
山田オールスルーにしたらだめなの?
そしたら。2ちゃんへの爆撃状況が今より少しは利用者にわかるかもしんないし・・・
それで自重してくれる人が増えたらいいな なんて思うけど >>566
何故なら話が脱線していくだろ。
ほら、丁度今のように。 んでどういう方法で対策しようとしたのか明示してもらえます? (((;;;:: ;: ;; ;; ;:;::)) ::)
( ::: (;; ∧_,∧ );:;;;)) )::: :; :))
((:: :;; (´・ω・)っ□;;;; ; :))
((;;; (っ ,r どどどどど・・・・・
i_ノ┘
((;;;;゜;;:::(;;: ∧__,∧ '';:;;;):;:::))゜)) ::)))
(((; ;;:: ;:::;;⊂(´・ω・`) ;:;;;,,))...)))))) ::::)
((;;;:;;;:,,,." ヽ日⊂ ) ;:;;))):...,),)):;:::::))))
("((;:;;; (⌒) |どどどどど・・・・・
三 `J
.∧__,,∧ ;。・
⊂(´・ω・`)⊃旦
☆ ノ 丿 キキーッ
ヽ .ノ (⌒) 彡
と_丿=.⌒
.∧__,,∧ゼェゼェ
(´・ω・;)
( o旦o ))) ここらでおひとつお茶ドゾー
`u―u´ マターリして欲しいよね(*´・ω・)(・ω・`*)ネー >>574
明示の必要はないでしょ、山田の作者以外は不要な情報だしw >>574
まじに書くかい?
その結果はどうなるか知らない(知っている)けど >>581
FOXたんがなんかすごいROCKな感じでびっくりw
ただですね 撤廃>結果表示っていきなり言われてもわかるはずないじゃないですか?
いままで上げてすまん ですます調で書けばいいのか?
なんで俺だけ? と、思うわけだが、 ほうほう、以後の亜種がどのように定型文を変えても対応できる方法なんだ? 451 名前:FOX ★[sage] 投稿日:2005/06/03(金) 17:51:26 ID:???0
これ関連の Rock を撤廃しよう。(挑戦)
452 名前:FOX ★[sage] 投稿日:2005/06/03(金) 17:52:12 ID:???0
現在の書き込みの特徴は何ですか?
453 名前:讃岐フォアンフォアン▲ ◆MylTDX..QI [] 投稿日:2005/06/03(金) 17:52:54 ID:3Orhkr2e0 ?##
えー、2ch全体にひろまるよー
454 名前:讃岐フォアンフォアン▲ ◆MylTDX..QI [] 投稿日:2005/06/03(金) 17:55:42 ID:3Orhkr2e0 ?##
1)
URL
(´・ω・)カワイソス
(´・ω・)カワイソス
2)
URL
うはwwwおkwww
3)
URLにぷぷぷなどが入るやつ
4)
うはwwwおkwwwがバラバラに置かれるやつ
こんな感じかと
455 名前:FOX ★[sage] 投稿日:2005/06/03(金) 17:59:45 ID:???0
>>454
どもども
でしたよ? >>585
お腹減ってるの? あんまり怒ると血圧あがっちゃうよ? てか、専用ブラウザに影響が出てしまったという情報から…… 山田をブロックする事によってどこかに負担がかかってるとかそう言うのはないの? 今は専ブラも使えるようになったみたいだし
山田の豪雨も落ち着いてるんだろ?
この作業で山田をバシッと防げるようになるかもしれないんだから
文句言ってもしかたないだろ
なんでもいいから作業に集中してくれ・・・ >>579
告知じゃないじゃん。
つか「不具合有るかも知れんぞ、覚悟しとけよおまいら」
位の台詞は欲しかった。 AebjlsbZ0が釣り師にしか見えない件についてw
漏れとしては2ch全体にダメージがでなけりゃOKだけどな、ダウソだけの犠牲なら安いもんだ(w あまりにも粘着してると基地外なので失礼しま( ´・ω・)ス
ではでは
★餅以外が書けない告知用の板を要請するニd・・・(´・ω・) ッス >>592
前提として、「山田さんが投稿」で既に負荷がかかっとるだす。
数万回/day bbs.cgi たたかれとるざんす。
根本的には bbs.cgi を叩かれないようにするが解決策だっぺさ、
しかし敵もさるものひっかくものばい。なかなかうまくいかんと、
まずは bbs.cgi の最初で落としてみよう作戦ッス。
IsKoukoku にたよらない ← これで物凄く負荷はへっちゃうんだい
さらにこれの延長線上に自動でばーぼん送りも考えられるっきゃ、 礼儀正しいブラウザは対応できて、専用ブラウザの多くは対応できない
クッキーの使い方をして、且つその間山田は降り続いていたと。 >>601
はじめっからそう書きゃ、誰も文句言わんだらーに。 そこまで説明しないと分からない人がいるってのもねえ ほかのスレも読めば分かるんだけど(*´・ω・)(・ω・`*)ネー 別に説明する必要はないと思うが、
それならそれで、文句も無視しておけよ。 たまーにしか降ってこないサーバでやっても
何十時間と続けてやっても一個とか2個しか降ってこないべさ、
一回 bbs.cgi 強化して、結果がわかるのは数十時間後じゃ
やってられないべさ
ましたや、実験用のサーバでやってもお客さんが来てくれるのは
数十年後とか
ということで tmp5 でやってるべ …私、どうも「説明しすぎ」らしいっす。
(指摘されたことあり)
で、いろんな人がいろんなやり方ですすめていくのが、ここの掲示板だと思うですね。
だから、いろんなスタイルがあってもいいんじゃないですかしらって思うわけですよ。
「何考えとるかわからんぞ」と思ったら、突っ込むわけで。
わかってるうちは、ほっときゃいいんですが、
つい他人の行動でも推測入れて、なんか適当に説明してしまうですね。
すんませんです。 敢えて「誰が」とは言わないけど (´・ω・) カワイソス >>612
攻撃目標にされてるサーバーがある程度決まってるってことなのん? >>612
昨日も言ってた「実機でかつ現場でやらないと、意味ないじゃん( ̄ー ̄)」ってやつっすね。 専ブラに影響でるなら、この板にも超臨時みたいに、
「書けません」スレが1本立てれば足りるのかな?
立てるのは、頃合いを見てでいいと思うのだけど。 >>614
FOX★とroot▲を足して2で割ればいいんだ〜w いまの仕様なら「ある板の上位Nスレのどれかにランダム」だから
そこを傘にしてしまえばいいのでは? ★が騒いでない異変は慌てなくても理由があるから静かに待ってようでFA? >617
基本的にはほとんどの鯖に来ていますけど、tmp5とpc8の爆撃がヒドいですね。
(山田トラップでログがメガ単位になるのはこの2鯖だけ) >>619
今回いれた対策を突破されたら
今日かけなかったブラウザが書けなくなるような
対策入れるです。 ← 告知 >>612
俺、文句も言うけど
頑張ってというのも、もう一つの本音だから。
つかtemp5は実験室かいw
まああそこの住人自体が色々実験やってるようなものだけど。 >>622
隠し子?
認知してもらいなさい。
>>627
2ch全体が実験室と思ってたw ちなみにtmp5で書けなかった専用ブラウザってどれだけあったのだろう。
私はホットゾヌ2 超爆撃されるサーバーがある程度限定されてるということは
ウイルスの作者が同一ってことなのかなー?
でも山田ウイルス亜種作成メーカーなるものが出回ってるとも聞くけど・・・ Live2ch ギコ twintailはだめだったっぽい。 んじゃ 再開するよ
いろいろなルーチン書いたから
軽くするべく、どんどん外してイクデス。
どこかで爆撃が再開されるかもってことです んじゃ、常駐スレに戻るます。
スレ住人に告知しとくっす。 ホットゾヌ2
ギコナビ
Live2ch
twintail
共通するものは何だろうね。 かちゅとJaneは書き込みできたみたい
あとは全滅かもしれないです 頑張って下さいね。
メシ食ってる間に説明してくれていた…よく分かったです。 これからは当面山田対策はRock54でやらないことにしよう。
お願いしますー > Rocker な方々
ちょっと様子見てうまく行っているようだったら
全サーバに対策版配布予定。 >648
乙です〜〜〜
※出来れば前みたいにアクセス記録を残してもらえたら助かるんですけど
(データ調査やプロバイダに通報する際に必要なので) おk、亜種Makerについては検体として提出済み。
>>649
ちと 挑戦してみますが、
bbs.cgi のかなり前方でやっとるので
情報量はすくないかも、 >>652
亜種Maker自体がウイルスってことですか??
まだ入手してないのですが。。 うーむ
今考えた見たが、、、
無理かも < ログ
なぜなら
「山田」と認識できないからなのです。
あとで root ★さんにもコード見てもらって
(main の方の一番したの方です←なれあいすまん)
わいわいがやがやしてみますが、 >>654
まぁ、念のため。ってこと。
もしかしたら根本的なレベルで山田が検知できるかもしらん。
(EXE自体を作るので。) まだまだ改良の余地があるので
挑戦はしてみますが、 >通報屋 ◆Y39/vakKjYさん
今来ている山田ウィルスが書き込む文字列ってどれくらい把握できていますか?
もしデータがあるのでしたらFOX ★さんに提供すれば精度が上がると思います。 >>659
通報屋さんのはどちらかと言うとPC内部での挙動やウィルスの置かれる場所
の方に詳しいデータだから、むしろプロバイダーに連絡してる reffiさんの方に
有用な情報があるかもです。
(プロバイダーへの参考情報としてとかで) 私にとってなにに快感があるかというと、
対策を考えたり、実装したり、止まったり、失敗したり
にあるわけで、説明とかなんとかは苦痛以外のなにものでもないです。
残念ながら、
つまり、大抵おざなりになってしまうのだ
ごめんね FOXが謝ってる
こりゃ大地震でも来る前触れかもしれん >>656
dくす。
なかなか流れてこないんですが・・・
ハッシュキボンと書いてみる。 >>664
つ ニュイルススレ 38あたり?
で。
>>659 reffi氏の件ですが
あくまでも私が知り得る限り内部データ操作などについてなので
書き込みデーターなどは全く分かりません。
検体ごとにバージョン分けして全部実機テスト(パケットダンプ)して、
書き込みパターンを全特定すると早いかなぁと。 >>662
人それぞれなんで。
私のように、しくみを説明するのが好きな人もいるわけです。
ちと、くどいらしいですが。 >>666
root★は何人なのか
FOX★は何人なのか てっことでー 最近地震が多いんだから不安を増大させるような行動は自重してくれよFOX★ >>662
「覚悟しとけよおまいら」で充分だと思うっす。
覚悟さえ出来てれば後は双方とも起きた事に対処するだけっす。 楽しいと思うことを自分がするのって結構基本ですよねー
楽しくないと思う事は誰も動かないですしー
;' ':;,, ,;'':;,
;' ':;,.,.,.,.,.,,,;' ';,山田対策tmp5に入れたけど その後どうなのよ?
,:' : :、
,:' \ ,,. 、./ ノ( ::::::::',
:' ● ● ⌒ :::::i.
i ''' (_人_) '''' * :::::i
: {+ + +} :::::i
`:,、  ̄ ̄ ::::::::: /
,:' : ::::::::::::`:、
,:' : : ::::::::::`:、
151 名前:心得をよく読みましょう[] 投稿日:2005/06/03(金) 20:23:21 ID:RApMWoFy
http://usen-?x248x224x19.?p-US01.usen.ad.jp:8080
http://usen-?x248x224x19.?p-US01.usen.ad.jpぷぷぷ。
>>679
…IEでも見てるけど、降ってないっすー んじゃ
全サーバに配るです
バースディ割引の予約がすんでからネ
今格闘中。。。 まだ、電源が入っていない時間帯?
#どうでもいいけど、AAがとっても(・∀・)イイ >>679
Live2chでの書き込み、問題無いっす。 どう変わったのか分からないくらい、何もないです。(専ブラも)
おつかれさまです。 ギコナビ、tmp5サーバ書き込みOKです。
b50 ビルド575 しらないフリしてれば気づかれなかったかもしれないのに(´・ω・) カワイソス >>699
kawaisosu wikiの番外編行きかな?これは。
(´・ω・) カワイソス tmp5を20秒制限に戻して欲しいと思ってたけど、問題じゃないからいっか。 >>722
これ終わったらシベリアかp2のスレに来てー たんに広告であれば
1) Rockで対応
2) ひどかったら Rock はずしてログ取り → ホストで規制
3) 誘ってくれればログ堀します。
という流れで、 >>726
p2 も >>727 同じ流れかと、
サーバからだったら deny というところだけが違うかも、 240 :root▲ ★:2005/05/24(火) 22:41:25 ID:???0 ?## New!!
あとは、
p2.razil.jp のIPアドレスからの書き込みだったら、
IDの種とかいろいろの鍵を、User-Agent の p2-user: から
生成するようにすればいいのかな。 のことかな?
穴ありまくりかと、
UAを信じるコードは実装しないが吉 これこれ
Monazilla/1.00 (P2/p2.2ch.net; p2-client-ip: 222.7.56.147; p2-user: 52753) んだから
UAをどうたらのコードは書かないってばさ、私 >>734
それは、
他の(UAじゃなくてそれなりに信用できる別の方法で)p2.2ch.netがbbs.cgiに伝えてくれれば
こっち側はたんたんとそれを使いますよ、ってことかと。
ということで、以降は別スレかしら。 nyでばら撒かれるものとは関係ないのだが、
山田亜種は通報屋氏の指摘するように毎週、いや毎日のごとく
発生してるよ(なにせ、書き込み内容の変異体なぞ、バイナリ
書き換えだけでもいいんだし、厨房テクで十分)
菓子食わしてるんだから、それで127.0.0.0見に行かせるようには
できないよなぁ… あともっと根本的に
処理を別のサーバへ分散して 掲示板用のサーバのキャパシティを上げて
運用してきたわけだ、それに逆行することは私はやらないっす。 >>739 みたいな発言こそがとっても重要なわけで、
それはただの雑談に大抵は隠れているですよ >雑談きらいな人 >>741
なるほど。
この話おもしろいので、
以降、あっちで。 >>740
rootタンらしさなんだし、いいんじゃん。
>>739
で、戻るか。
それは、山田っぽい書き込み要求を何かの手段で
127.0.0.0とかに振り向けちゃうってことですかね。 >>744
持ち味なんで、気にしないことにしてるですよ。
で、>>745 みたいなかんじで。 if($FORM{'MESSAGE'} =~ /$ENV{'REMOTE_ADDR'}/)
じゃ駄目? >>747
127.0.0.1 だと、場合によってはそのPCがおかしくなるですね。
どこにもつながらないアドレスってのが、ポイントかと。 >>742
(*´Д`) < 名前で情報を取捨選択しない人だけが気がつく情報って大事ですよね。 あなた山田ウイルスに感染してますよ!
なページ作って飛ばしたりするのはアウトなんだろうか。
もし間違いでそこに飛ばされたら大変な事だが。 専用ブラウザから書き込みできなくなっちゃんですね orz あと、山田作者もここ見てほくそえんでる可能性もあるので…むぅ
対策しても通報屋氏の所と同様にロックオンされると、無意味だしなぁ
いや、お菓子もっと活用しましょうってことなんですけどね。
書き込み内容より、山田感染PC特有の状況ってのが
名無しに戻りますです。 >>755
なに使ってるかも書かずに愚痴るよりは
そのブラウザの専用スレへ行った方が良いかと --------------------
書込み中・・・
--------------------
ERROR!
ERROR:ユーザー設定が消失しています!
こっちにあるかもです
music4 これも山田君対策の影響? あ、open jane doeです
他の鯖では書けまする まぁユーザー設定が消失してますなら、
十中八九移転だわなぁ。いろいろチェックしる つか、書けません ってここに書いてから急に新着レス70取得&書き込みできました・・・謎
お騒がせしました Actyで書けない気がするんですが
エラーメッセージとかは出ずにダンマリです leafに書き込めん。
Monazilla/1.00 (JaneView/0.1.12.1) 今見たらふかわってました(3連投)
お騒がしました pie.bbspink.com全体に書き込めないようだ
IE6.0 SP1からも書き込めない。
Internal Server Errorが出る あれこれ考えてみたんですが、
ログ無しでってのはちょっとあれかなぁと思うのは気のせいでしょうか。
まぁヲチスレに入り浸ってた影響もあるのでしょうけれども。
いくらか山田感染を修復してるんですよね。
現状だとログにも残らないので対処のしようがない。ってことでよろしいのでしょうか? >>770
ログですか。
おじさんは上の方で「ログを残す前に(りゃ」と言ってるですね。
とりあえず、私もあとで見てみるです。 1日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <37000パピコ
│∪ │つ
〜(((( )))
U ̄∪
2日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <32000パピコ
│∪ │つ
〜(((( )))
U ̄∪
3日勝手に速報値
l≡l
┌┤│
└┤│
ノ 丶
( (,,゚Д゚) <24000パピコ
│∪ │つ
〜(((( )))
U ̄∪
3日 20:48を持って探知不能………終了 おちゅ〜しゃ 0.5.7.2 から書けないんですが。 対応版の山田が出るたびにマイナー専用ブラウザが締め出されていって
最後には山田だけが残る未来に10000山田アクセス 最近肩こりがひどくて、
>>776
お菓子は食べさせてもらうという
お行儀のよいコーディングしてください なるほど、そりゃ確かに弾く段階では山田かどうか判別できないな >>774
linux?。作者は何時対応するかわけわからないから。とりあえずkita使ってみたら。 127.0.0.1で見つからないものも出てるって話しだけど、
LAN内の他のPCから
http://疑わしいコンピュータ名/
これでも見つけられないことってあるの? >>784
コンピュータ名があるとは限らない
ローカルが127.0.0.1とは限らない
鯖が立ってりゃ感染者とは限らない > コンピュータ名があるとは限らない
LAN組んでるのにコンピューター名がないなんてことありえるのか?
> ローカルが127.0.0.1とは限らない
んなアホな。 >>784
LAN内じゃ無理なんじゃないかな?
外からあるいはASDLと光回線同時に持ってる環境じゃ確認しようがないと思う
もっとも歌津の回線を一緒に持ってるやつは少ないと思うけど 127.0.0.1→自分のPCを指すIP
>>789
携帯からって無理かな?
前自鯖立てた時、エキサイト翻訳通したら見れた事がある。どこか外部かまして繋げば見れるかも。
面倒だけどな。 WMAのファイルを開くと、なぜかょぅι゛ょの画像が・・・感染
↓
自分のIPにアクセスできる・・・(;゚д゚)ヤバス
↓
オンラインウィルス検索してAdobeフォルダの中に隠れてるのを発見。
↓
問題のsvchost.exeを削除しようとしても、削除できない。
↓
タスクマネージャで動いてるsvchost.exe複数を徹底的に終了する。
↓
あと1分でシャットダウンの表示が。何とか問題のsvchost.exeを削除。
↓
Adobeフォルダ内にまだ変なフォルダが。中身は自分のPCの内容(IPに接続して見れたものと同じ)
↓
削除してみる。すると自分のIPに接続できないようになった。
↓
(゚д゚)ウマー。一件落着?? >>792
すいません。いってきまつ
λ...... >>789-790
回線二つってのは、極端な話し片方はアナログでもいいわけだよね
携帯から出来ればラクかも
エキサイト翻訳等何か挟む手もあるね
今のところは全く心当たり無いけど、いざって時の心構えとして知っておきたかった・・・
ありがd! 127.0.0.1を表示しない山田って細かくはどの時点で弾くんでしょうかね?
telnet 127.0.0.1 80
の時点でつながらないのか、telnetは継って
get
した段階でHTMLが空っぽで終ってしまうとか?
…… 感染した人しか判らんか、、、、、 >>795
おそらく
.htaccessのような感じでやっているのでは、
deny(ry
426 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/06/04(土) 16:01:16 ID:KZsaZy+F0
新種を確認した(´・ω・) ス
特徴を書くと
■ジャンプ系から確認
■外見はただのzipファイル、偽装はなし
■山田は中身ではなく、zipファイルに仕込んである
■解凍すると解凍ソフト(別場所に解凍する不具合を修正していても)に関係なく山田本体をCドライバに解凍
■元のフォルダにも通常解凍、中身はジャンプ系で罠は仕込まれてない
■山田はsvchost.exeを偽装
■スタートアップ、hostファイル、127チェック、山田チェッカー等で確認出来ない
■気付きにくいだけで駆除は従来のものと同じ
443 名前:[名無し]さん(bin+cue).rar[] 投稿日:2005/06/04(土) 16:10:51 ID:KZsaZy+F0
>>433
問題のzipを解凍した時点で、山田に感染する
zipがexeだったとかいうオチじゃなく、本当にzipに仕込んである模様
中身にexe及び山田は確認されない、よって従来よりわかりにくいかと思われる
更に、ネット使いすぎで落ちたり、どこかに接続出来なかったりも確認されてない
これは深刻かも知れな(´・ω・) ス
スタートアップに展開する、例のアレじゃね?
わざわざ展開ツールを最新版にする人も多くなさそうだし。 orz
申し訳ありません 連ちゃんで変な書き込みが >>801
そこで晒されてるIP(59.87.xxx.xxx)にいくと
(゚∀゚)?
が貼られているだけ。ネタかもと思いポートスキャンをかけてみたりいろいろやってみる
Windows 2000 Apache/1.3.33 (Win32) 4-Jun-2005 59.87.xxx.xxx
なのだが、山田亜種感染らしいってことかな。 rockをurlありとurlなしで分けたら?
urlが入ってないレスのほうが多いから、その分はチェックしなくてもいいんじゃね? 今は書き込みの内容が分かるよりはるか前の段階で弾いています
というかRockは廃止されました 誤解を招くとアレなので一応ツッコミ。
×Rockは廃止されました
○山田ウイルスをRockで食い止める試みは廃止されました
理由や経緯は過去ログ読んでね。 これは山田に関係あるの?
ttp://221.171.117.100/ 亜種作者の敗北宣言とも取れるな
にしても対策の翌日に新種に感染してる馬鹿がいるとは 対策の翌日に新種に感染してる馬鹿=亜種作者
じゃね? RockログのYamada2005060x.txtの中には同じリモホが時間をおいて重複して出て来るので、
リモホの重複を絞ってみました。download板は下のような感じです。
Yamadaxxx.txt行数 リモホ数
6月1日 14367(4) 367
6月2日 11786(12) 317
6月3日 8002(1) 235
括弧内は壊れていた行です。
一万件ログに引っかかっても、感染者は320〜330人くらいでしょうか。
この300数十人というのが多いとか少ないとかは、自分にはよう判らんです。
ま、議論のネタにでも… 報告です。
山田じゃないとは思いますが、意味不明の提携文+フシアナの書き込みが
ひとつのスレに集中しています。何らかの攻撃かもしれないので念為報告
しておきます。
http://ex9.2ch.net/test/read.cgi/net/1111843089/237- >>817
それは踏んだら書き込むってタイプの罠じゃないですかねー。
繰り返し出てくるホストがあれば別ですがー。 あー、それでしたか、なるほど。認知はしてましたが、あほらしくて踏んでみる気も起こらなかったので
気がつきませんでした。お騒がせしてすいませんです。 亀ですが、ドゾー。
JavaScriptによるfusianasanトラップ
ttp://ansitu.xrea.jp/guidance/?fusianasan#JavaScript >>813
860 :[名無し]さん(bin+cue).rar :2005/06/05(日) 20:53:06 ID:UNh8xliM0
山田ロダ一時機能停止する(´・ω・) ス
もしかすると、直接UPしてくる亜種の可能性がある(´・ω・) ス
b1or4bL/0 (´・ω・) カワイソス 山田ヲチスレ 109
http://makimo.to/cgi-bin/dat2html/dat2html.cgi?http://tmp5.2ch.net/test/read.cgi/download/1117946907/
IEでえっちねた(というより大人の時間全般)に書き込もうとすると
延々と書き込み確認が出て書き込めないんだけど、山田対策で何かやってるの?
もしかして、山田に感染してたら書き込めないとかそういうのを?ひょっとしてプロバ単位で? 模擬裁判ですが・・・
ゾンビを止めないISPは有罪か無罪か?
ttp://www.itmedia.co.jp/enterprise/articles/0506/08/news042.html >>828
<<マイケル・ジャクソンを支持>> w 山田ウィルスに感染してしまいました。
ファイルを見つけたのですが、削除できません。
どうしたら削除できるでしょうか? うちのhttpサーバーに GET /~ss.jpg
っつうアクセスが頻繁にあるんだが。
もちろん感染はしてないし、refererも空なのでリンクから飛んできてるわけでもないが
山田ウイルスってのは感染したらhttpアクセスまでするのか?
それともここの連中が手当たりしだいアクセスしてるの? >>841
サンクス。
ヤマダ砲って。。。氏ねよ。 とりあえず山田に感染してるか確認とりたいどうやったらいいのか教えてください >>846
・ある程度の知識があるなら下のスレのテンプレでチェック
・無知ならばデスクトップを面白い物にしたり、人の興味を引きそうな事をして
下のスレでうpされないかチェック
ttp://tmp5.2ch.net/test/read.cgi/download/1119678960/ Web鯖を立てたいんじゃない?
ダブルクリックで設定完了w 画期的だな。ここまでインストールが簡単なWEB鯖ソフトは確かに少ない。 まだ山田とかあったのか
セキュリティソフトがもうとっくに対応してんだろ >>855
アンチウイルスソフトを過信しない方がよろしいかと・・・ >>824
俺も書き込めない。
ウイルスには感染していない。
なんでだろうね?
まあ、あそこの住人じゃないからいいや。 だーからー山田ウィルスって何?何で感染するの?
どうやって感染するのかも言えないんじゃこのスレはネタスレだな >>862
,-‐、 _
|__,,ニ=T
‖ ‖
|__,、-‐''″
(一般コミック・雑
誌)[ジャンプ] [2005
-34] BLEACH 188
.exe
>>862
r' ̄i
, - 、 ゙‐- '
{ } r'⌒',
`‐-‐' r'⌒', !、_丿
◯ ヽ-‐' ___
r'⌒', ,,r-‐' `''ヽ、 ○
`‐-' / / \ \
, 、 ,,/ ヽ ● ● ′'─--、,,
,,r-─(_) (__人_) i⌒) `, ハグレカワイソス
(  ̄ ,r‐
 ̄つ '⌒' ,r─‐‐''
(´ ,r──'
 ̄ ゙̄'───--------‐'
────────────────終了──────────────── ギシギシ \ 割れノートン 先生! /
チュパチュパ \ ! 無反応 ! / / U ヽ :::U:
アッアッ イクーッ \ ∧∧∧ / /● ● :::;;;::;;:
(・ω・`*) < な カ > | (_人__) U ::;;
_| ̄ ̄||_)__ <予 ワ > | U.....::::;;:;;:
/旦|――||// /| <感 イ > ヽ .....:::;;;;:;;:;
─────────< !!!! ソ >──────────
,r'"j アヒャ i^'!、 < !!!! ス > ジャンプ.lzh .exe
</´ `ヾ> ∨∨∨ | |\
<(●)> <(●)> / \ ( ´・ω・) | |≡|
(.::.;人..;:::) /利用する\ ( つ/ ̄| |/
`|il∪!il|´ / 便利じゃん \ヽ |二二二二
本スレも廃れてきて、誰も答えてくれない・・・つか、
朝なのも手伝って反応茄子なので、こっちに貼る(´・ω・) ス
【1は絶対に読んでネ】 Winny質問スレ(ミラー)Part11
http://tmp5.2ch.net/test/read.cgi/download/1115488337/958
↑これ、山田(´・ω・) スカネ?
網の目くぐって、まだ降ってくる可能性も
万分の一くらいはある(´・ω・) ス? このウイルスのソース手に入れたけど管理サイドの人でほしい人います? タスク マネージャを開いてみたのですが、svchost.exeというファイルが起動していました。
山田ウィルスかな?と思いチェッカーで検索してみたのですが、異常が見つかりません。
自分のホストアドレスにもアクセスしてみたのですが、表示されません。
これは山田ウィルスではないのでしょうか? フォルダが削除できません。。ノートンでスキャンしてもファイル数が100万を超えても止まらないんです、、
フォルダの中身にいくつかファイルがあるんですけど、ファイル名が記号がぐちゃついてる感じなんです。。
どうしたらいいでしょう(泣)?? svchostはウイルスではありません。Windowsのサービスか何かなのか!?と考えられます。
場合によっては複数起動している場合もありますが全く問題ありません。
山田ウイルスは正式なファイルの名称は「melpon.exe」ですが、Windowsのタスクマネージャーには
表示されません。
フォルダが削除できない場合、フォルダやファイルの名前が長すぎる場合や、フォルダ内のファイルが
使用中であることが考えられます。コマンドプロンプトで強制削除する方法もあるけど、ファイルが
100万個以上ある場合はリカバリした方が早いかも.... (誤)→meipon (正)→mellpon
ちなみに山田ウイルスは感染すると、"SVCHOST.EX1" という
ファイルを<Program Files>内のランダムなフォルダ内に作成します。 IP: 61.211.131.83
Host: a131083.usr.starcat.ne.jp
>>883
あちこちの板にあるけど,これって・・・ 从∧∧ フーッ!!
〜γ (#゚⊥゚)
Vv Vv' ■ このスレッドは過去ログ倉庫に格納されています