★ Share / Upchan 報告スレッド
■ このスレッドは過去ログ倉庫に格納されています
・アップローダにあげられた(偽装)exeを不用意に実行させてしまい、
2ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。
・Shareのバッチファイルに偽装したexeファイルもあるようです。
これらを情報収集するための報告専用スレッドです。
・質問などはこちらへ
【規制議論板】質問でも雑談でもOK牧場のスレッド13
http://qb5.2ch.net/test/read.cgi/sec2chd/1095412945/l50
>>2-5 このウィルスについての説明 >>113
クリップボードの内容だから、テキストをコピー&ペーストした内容が晒される。
訳わかんなくなってる奴は、バイナリか何か、アプリの固有形式だろうが、
見る人が見れば解るのかも知れん。 なんか、2種が混乱しているようですね。。。
◆Trojan.Upchan(苺きんたま)
2chうpろだへのアップは継続していますが、
2ちゃんねるへの自動投稿は、>>74の対策で止まっています。
◆Shareウイルス
2ちゃんねるへの自動投稿は、止まっていません。
>>85以降の報告は、Shareのぶんです。
(ちなみに「俺のクリップボード」の内容は、Shareのノードリストが大半かと) 掲示板に直で書き込まれないと動かないと思われ。
>>119
スレ違いになるけどたぶんハッシュ。 ◆Trojan.Upchan(苺きんたま)
◇感染源
アップローダに画像やツールとして上げられたzipファイル
(初期はstrawberry.web-sv.comのロリコン画像、
派生種はpicopico.dip.jp等に上げられたRO用マクロなど)
◇症状
1)8分毎にスクリーンショットを撮影し、http://up.isp.2ch.net/upload/c=03okari/index.cgiにアップロード
2)半角二次元板のスレタイに「アップローダー」を含むスレッドに、PCの環境変数とスクリーンショットへのリンクを自動投稿
─投稿例──────────────────────────
26 私は苺で違法ダウンロードばかりしている犯罪者です [**********:**回目] 04/09/25 11:11:15 ID:********
私は苺で違法ダウンロードばかりしている犯罪者です
【コンピュータ名】********
【ユーザー名】********
【今こんな事やってます】http://v.isp.2ch.net/up/************.jpg
──────────────────────────────
◆Shareウイルス
◇感染源
Shareのプラグインを装ったファイル
◇症状
1)予め指定されたスレッドに、fusianasanでクリップボードの内容(無ければPCの環境変数)を自動投稿
(書き込み内容は何度か変化しているが、fusianasanと、Share云々という文言が共通)
─投稿例(最新版)──────────────────────
26 *****.***.ne.jp@Share使用中 ◆i.ESDXOLYY 04/09/25 11:11:15 ID:********
{Now!}俺のクリップボード(50byte 10行抜粋版, テキストデータ)
*******************
──────────────────────────────
26 *****.***.ne.jp@Share使用中 ◆i.ESDXOLYY 04/09/25 11:11:15 ID:********
{Now!}俺のクリップボード(50byte 10行抜粋版, 何もコピーしてません)
〜何も無いので環境変数晒し〜
コンピュータ名: ********
ユーザー名: ********
──────────────────────────────
─投稿例(旧版)───────────────────────
121 *****.***net [晒しage] 04/09/13 10:01:55 ID:???
俺でさえもShare使ってるよ
─投稿例(旧版)───────────────────────
145 *****.***.net@ウィルス感染中 [sage] 04/09/23 13:36:16 ID:********
例に寄って例のごとく Share 使ってます
────────────────────────────── 出遅れた&間違えた
鬱山車脳
目下の所shareウイルスが2chに負荷をかけてる >>123
> 目下の所shareウイルスが2chに負荷をかけてる
苺きんたまは、祭で2chに負荷をかけてる(w >>124
自己レス。
どちらかというと、こうかな?
× 2chに
○ bbspinkに
ちゃんと実況板でやってるとこが真面目だな(w
おい Shareウィルス(SafeShare)をプラグインだってデマ流しているやつはどこのドイツだ?
パッチとうたった.exe形式のファイルだ。だから名前変えて配布したらShareユーザでなくても被害にあう。
----------------------------------------------
186 :[名無し]さん(bin+cue).rar :04/09/19 16:36:40 ID:pf4Z57uN
【アプリ】【パッチ】 Share(仮称)保護パッチ ver.0.2 SafeShare.lzh 769,843 37c93a5e4e8692cea5638ec0a429a10ad82ec46a
これ使った人いる?
190 :[名無し]さん(bin+cue).rar :04/09/19 17:36:26 ID:pf4Z57uN
実行するとDOS窓が開く
リモートホストtmp4.2ch.netに通信しようとする。
通信を拒否すると、DOS窓に「エラーが発生したのでウィンドウを閉じてください」と出る。
readmeのコピペ
[ Safe Share ver0.2 ]
- Share(仮称)保護パッチ -
Shareも将来Winnyみたいに解読される事だろうから、
先に保護パッチ作りました。Safenyのパクリです、はい。
[ 使い方 ]
めんどい設定は一切必要ありません。
Share.exeがあるフォルダにぶち込んで SafeShare.exe を起動するだけ。
パッチを当てる時は、Share.exeを終了した状態で行って下さい。
バージョンは A45 〜 A51b に対応。
多分それ以上のバージョンでも使えるはず。
SafeShare.exe が通信を開始する場合がありますが、許可して下さい。
処理が正常に終了した場合は、画面に
○ 成功
処理は全て終了しました。
ウィンドウを閉じて下さい。
みたいな感じで表示されます。
SafeShare.exe を起動しても一瞬で窓が消える場合は、
何度も起動しなおして下さい(汗
---------------------------------------
× 失敗
---------------------------------------
と表示された時は諦めれ('A`)
ぐっどらっく
by らくだソフト
224 :[名無し]さん(bin+cue).rar :04/09/19 20:07:27 ID:w5Qz7YfJ
>>186, 190
バイナリエディタで見ると
何かperlコードらしきものが見えるだが...
225 :[名無し]さん(bin+cue).rar :04/09/19 20:10:35 ID:2tUxC5+5
つーかモロにPerlのコードをPARでコンパイルした時に出来るアイコンだしな えーと、Shareのやつはー、とりあえず
対応しますよーって話になるまで、
さくらにしておきますー。 >>125
みんな真面目に誘導されてましたw
ちょっと感動。(普段お痛な板在住なので) ノートン先生は対応してて
ウイルスバスターはしてないの?
駆除方法
コマンドプロンプトで "md <ウィルスのファイル名>" をあらかじめ用意する
WINNT\とかWINDOWS\にあるファイルをデスクトップ等へ移動すると同時に
用意していた事を実行
フォルダができてる事を確認したら再起動
再起動後フォルダが開いたら駆除成功
後は
移動したファイルを消しレジストリから値を消す
・タスクマネージャから終了はできない(常に2つのプロセスを起動させている)
・終了時(再起動)にもレジストリへ書き込み(?) これわ?
対策
1:まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
2:元になった「******.exe」も一応削除
3:普通に再起動してHijackThisでScan以下のエントリーをFixで削除
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe >>135
再感染する可能性が・・・
>134なら対策後ウィルス起動してもその時だけで
再起動後は自動でウィルス実行されない(フォルダが開くだけ)
こんなことやってたらWINNTとかsystem32のフォルダ内にウィルスファイル名のフォルダがいっぱいになる >>136
その再感染ってのはまたexe踏めば感染するって事?それはただのアホだろ
もし何もしないでも再度ウイルスが活動するなら、詳細きぼんぬ Share偽patchの亜種かな?
名前:fusianasan@JASRACにDoS攻撃中 ◆/aNaP2/tLY
mail欄:武力行使マンセー
本文;↓
PCName: ****
UserName: ****
何だか良く分からないけどJASRACが酷いんで
DoS攻撃でもしてますね@踏み台
http://news13.2ch.net/test/read.cgi/news/1096386666/589 04/09/29 22:47:23 ID:IE+3Ee+L
http://news13.2ch.net/test/read.cgi/news/1096386666/756 04/09/30 12:37:18 ID:SsH09AMF
http://news13.2ch.net/test/read.cgi/news/1096386666/768 04/09/30 16:22:42 ID:dAEPqgr6 >>139自己レス
名前:IPアドレス@JASRACにDoS攻撃中 ◆/aNaP2/tLY
かな? マジShareならん
喚起age
※※※※※このスレは常時ageでお願いします。※※※※※※
ラウンジなんて(゚听)イラネ
とっとと閉鎖してまえ。あんなカスの巣窟は2ちゃんの恥w 他多数
04/10/11 14:22:14 ID:???〜04/10/11 14:37:44 ID:???までのログ
http://www.geocities.jp/unko2ch2000/arashi/arasi1.txt
以上です スレッド一覧が壊れていて取得できていませんでした
ニュース速報 http://news13.2ch.net/news/ (38/395)
番組ch(フジ) http://live17.2ch.net/livecx/ (37/203)
★ Share / Upchan 報告スレッド
http://qb5.2ch.net/test/read.cgi/sec2chd/1095948471/153-
全てはshareというP2Pソフトで放流された自動投稿するトロイによるもの
(落としたらスレ立てるようにスクリプトされてる?)
らしい
VIP板再び爆撃の模様
http://ex7.2ch.net/news4vip/
スレタイ 確かめたら負けかなと思っている
http://life5.2ch.net/test/read.cgi/kankon/1095664037/88 04/10/10 16:46:21 ID:dS3A+21x
http://life5.2ch.net/test/read.cgi/kankon/1095664037/89 04/10/10 16:46:59 ID:dS3A+21x
http://life5.2ch.net/test/read.cgi/kankon/1095664037/90 04/10/10 16:47:44 ID:dS3A+21x
http://life5.2ch.net/test/read.cgi/kankon/1095664037/91 04/10/10 16:48:35 ID:dS3A+21x
FLA1Aam218.gnm.mesh.ad.jp@Share使用中
[俺のクリップボード](50byte 10行抜粋版, テキストデータ)
xxxxxx_xxxx_xxxxx_xxx_xxxx@yahoo.co.jp [ログアウ...
(メアドなんで、伏字でコピペ) 今回はこのウィルスじゃないよ。いくらきんたま改造したところで連続スレたては不可能。 ■ このスレッドは過去ログ倉庫に格納されています