★ Share / Upchan 報告スレッド

**名無しの報告** · 04/09/23 23:07:51

・アップローダにあげられた(偽装)exeを不用意に実行させてしまい、
　２ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。
・Shareのバッチファイルに偽装したexeファイルもあるようです。

これらを情報収集するための報告専用スレッドです。

・質問などはこちらへ

【規制議論板】質問でも雑談でもOK牧場のスレッド13
http://qb5.2ch.net/test/read.cgi/sec2chd/1095412945/l50

>>2-5　このウィルスについての説明

**名無しの報告** · 04/09/23 23:09:02

>被害の状況
>
>operateは「ローカルルール申請」の文字レスを含んで
>一番上にあるスレッドに投稿されてる気配。
>
>エロゲー板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1094443286/5-n　04/09/07 23:42 ID:hDdFKFu4
>初級ネットワーク板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1095695740/3-n　04/09/21 23:43:23 ID:Ts8szOQO
>一般海外生活板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1095512881/4-n　04/09/21 01:35:20 ID:9QnioIVE
>
>
>虹板のは、「アップローダ」の文字列を含む板で、
>一番上にあるスレッドに自動投稿されるらしい。
>
>例【うｐろだ】アップローダー案内所11【アプロダ】
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095176627/192-n　04/09/22 17:23:47 ID:6AIaIX14
>アップローダー
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095857597/2-　04/09/22 21:53:21 ID:W5b80hWO【うｐろだ】アップローダー案内所14【きんたま】
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095862777/2-　04/09/22 23:19:50 ID:hfP3yEAM

**名無しの報告** · 04/09/23 23:10:19

>で、ユーザーがノートン先生に検体を出したところ、Upchan　と命名されたようで。
>
>【警報】Winnyを狙ったワーム・ウイルス情報 Part26
>http://tmp4.2ch.net/test/read.cgi/download/1094872215/845
>| 845 名前：627 [sage] 投稿日：2004/09/23 (木) 16:24:41 ID:Q+leSqll
>| ノートン先生から解析結果が届いたのでコピペします。
>| -------------------------------------------------------------------
>| Subject:[CLOSING]: Symantec Security Response Automation:Tracking No. ********
>|
>| 日付: 22-09-2004
>| (個人情報に付き削除) 様
>|
>| ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
>| 以下に報告します。
>| ファイル名: Q:\2ch\(写真集) (ロリータ) 水原友里.exe
>| コンピュータ: (個人情報に付き削除)
>| 結果: このファイルは次のウィルスに感染しています:
>| Trojan.Upchan
>| デベロッパーノート
>| （以下略）

**名無しの報告** · 04/09/23 23:12:02

>関連スレが多すぎてチト混乱気味ですが、
>ざーっと流してみて。
>>>751
>Shareのプラグインではなくて、バッチファイルの様です。
>正確にはバッチファイルに偽装したexeファイルですね。
>SafeShare.exeが通称のようですが自信無し。
>症状としては、>>752の上
>>>Upchan
>通称苺キンタマ、フォルダ等に偽装したexeファイル。
>症状としては、>>752の下
>
>Upchanの方は感染マシンのデスクトップ画像を
>2ちゃんねるアップローダーにアップロード
>環境変数と共にそのURLを特定のスレへ投稿。
>Shareの方は特定の文字列又はクリップボードの内容(無ければ環境変数)を
>特定のスレへ投稿なので恐らく亜種(パラメータ違い？)かと。
>
>亜種を作りやすい構造のようで、すでに新種も出ているようです。
>
>モノがexeファイルだけに、踏まなければ感染する事はありませんが、
>名称を変えたり、偽装を変える事は簡単なので、
>ネット上の怪しげなexeファイルは踏まないようにするのが吉。
>
>そして感染者拡大中。

**名無しの報告** · 04/09/23 23:13:53

で？

**名無しの報告** · 04/09/23 23:14:38

いきなり笑わせるなｗ

**名無しの報告** · 04/09/23 23:16:27

ふむ。。。

>>1
＞　２ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。

２ちゃんに対する迷惑行為ではある。
んなら、報告対象だね。

**名無しの報告** · 04/09/23 23:17:00

↓以下ウイルス作者の挑戦状が届きます。

**FOX ★** · 04/09/23 23:18:01

わくわく

**水色＠飛行石 ★** · 04/09/23 23:20:06

**名無しの報告** · 04/09/23 23:20:23

↑犯人

**水色＠飛行石 ★** · 04/09/23 23:20:58

えー。

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:21:08

Upchanの説明 - 感染 -
up1360.zip(1,033,786Byte)内の
(写真集) (ロリータ) 水原友里.exe
(写真集) (ロリータ) 相田香奈子.exe
コピー～ (写真集) (ロリータ) 河瀬菜美.exe
全て(677,376Byte 04-09-22 15:57)で共通
アイコンはフォルダ
を実行すると
windowsフォルダにshellsystem.exeを作成し感染
起動時に実行するようにレジストリへ登録

**FOX ★** · 04/09/23 23:23:25

ascii2d で観測すると、沢山見れるのかな?

**名無しの報告** · 04/09/23 23:24:18

にしても意味不明なexeを踏む奴が大量に居てびっくらこいた

**水色＠飛行石 ★** · 04/09/23 23:24:52

けどまー、ウィルスメールみたいなもんですしねー。
さくら以外で対策できるのかなー。

桶屋 · 04/09/23 23:25:07

>>14
そこは今はRockされているんじゃないかと。

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:25:49

Upchanの説明 - 発症 -
デスクトップのＳＳを取り
up.isp.2ch.netへアップし
半角二次元板にある「アップローダ」の文字列を含むスレに
名前欄 : 私は苺で違法ダウンロードばか～
メール欄 : (ランダムな英数字):(投稿回数)回目
本文 :
私は苺で違法ダウンロードばか～
【コンピュータ名】COMPUTERNAME
【ユーザー名】～
【今こんな事やってます】http://v.isp.2ch.net/up/～

で爆撃

**名無しの報告** · 04/09/23 23:27:03

>>15
↓こんなスレあるし

ﾌｧｲﾙの中に入っていた.exeを思い切ってﾀﾞﾌﾞﾙｸﾘｯｸ

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:27:32

>>14
Upchanならあるけどいる？

さすがに全部（約１200）書き込む気は無い

**不良債権** ◆3eyGpKrDAg · 04/09/23 23:30:00

Σ(ﾟДﾟ；≡；ﾟдﾟ)

**未承諾広告※** ◆TWARamEjuA · 04/09/23 23:30:17

メールで無差別に配布されるとかなりやっかいかもですねぇ。。。＠ウイルシ未対策の方々も多いことですし。

**FOX ★** · 04/09/23 23:30:48

>>20
沢山自動投稿が観測できるところで
いろいろな変数を観測してみようかと、
ログが膨大になるから全サーバでやると大変なんで、

idol サーバでしたっけ ? < ascii2d

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:32:11

>>23
今のえさ（ｗ　は
アップローダー
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/l50