★ Share / Upchan 報告スレッド
■ このスレッドは過去ログ倉庫に格納されています
・アップローダにあげられた(偽装)exeを不用意に実行させてしまい、
2ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。
・Shareのバッチファイルに偽装したexeファイルもあるようです。
これらを情報収集するための報告専用スレッドです。
・質問などはこちらへ
【規制議論板】質問でも雑談でもOK牧場のスレッド13
http://qb5.2ch.net/test/read.cgi/sec2chd/1095412945/l50
>>2-5 このウィルスについての説明 >被害の状況
>
>operateは「ローカルルール申請」の文字レスを含んで
>一番上にあるスレッドに投稿されてる気配。
>
>エロゲー板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1094443286/5-n 04/09/07 23:42 ID:hDdFKFu4
>初級ネットワーク板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1095695740/3-n 04/09/21 23:43:23 ID:Ts8szOQO
>一般海外生活板ローカルルール申請
>http://qb5.2ch.net/test/read.cgi/operate/1095512881/4-n 04/09/21 01:35:20 ID:9QnioIVE
>
>
>虹板のは、「アップローダ」の文字列を含む板で、
>一番上にあるスレッドに自動投稿されるらしい。
>
>例【うpろだ】アップローダー案内所11【アプロダ】
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095176627/192-n 04/09/22 17:23:47 ID:6AIaIX14
>アップローダー
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095857597/2- 04/09/22 21:53:21 ID:W5b80hWO【うpろだ】アップローダー案内所14【きんたま】
>http://idol.bbspink.com/test/read.cgi/ascii2d/1095862777/2- 04/09/22 23:19:50 ID:hfP3yEAM >で、ユーザーがノートン先生に検体を出したところ、Upchan と命名されたようで。
>
>【警報】Winnyを狙ったワーム・ウイルス情報 Part26
>http://tmp4.2ch.net/test/read.cgi/download/1094872215/845
>| 845 名前:627 [sage] 投稿日:2004/09/23 (木) 16:24:41 ID:Q+leSqll
>| ノートン先生から解析結果が届いたのでコピペします。
>| -------------------------------------------------------------------
>| Subject:[CLOSING]: Symantec Security Response Automation:Tracking No. ********
>|
>| 日付: 22-09-2004
>| (個人情報に付き削除) 様
>|
>| ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
>| 以下に報告します。
>| ファイル名: Q:\2ch\(写真集) (ロリータ) 水原友里.exe
>| コンピュータ: (個人情報に付き削除)
>| 結果: このファイルは次のウィルスに感染しています:
>| Trojan.Upchan
>| デベロッパーノート
>| (以下略)
>関連スレが多すぎてチト混乱気味ですが、
>ざーっと流してみて。
>>>751
>Shareのプラグインではなくて、バッチファイルの様です。
>正確にはバッチファイルに偽装したexeファイルですね。
>SafeShare.exeが通称のようですが自信無し。
>症状としては、>>752の上
>>>Upchan
>通称苺キンタマ、フォルダ等に偽装したexeファイル。
>症状としては、>>752の下
>
>Upchanの方は感染マシンのデスクトップ画像を
>2ちゃんねるアップローダーにアップロード
>環境変数と共にそのURLを特定のスレへ投稿。
>Shareの方は特定の文字列又はクリップボードの内容(無ければ環境変数)を
>特定のスレへ投稿なので恐らく亜種(パラメータ違い?)かと。
>
>亜種を作りやすい構造のようで、すでに新種も出ているようです。
>
>モノがexeファイルだけに、踏まなければ感染する事はありませんが、
>名称を変えたり、偽装を変える事は簡単なので、
>ネット上の怪しげなexeファイルは踏まないようにするのが吉。
>
>そして感染者拡大中。
ふむ。。。
>>1
> 2ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。
2ちゃんに対する迷惑行為ではある。
んなら、報告対象だね。 Upchanの説明 - 感染 -
up1360.zip(1,033,786Byte)内の
(写真集) (ロリータ) 水原友里.exe
(写真集) (ロリータ) 相田香奈子.exe
コピー 〜 (写真集) (ロリータ) 河瀬菜美.exe
全て(677,376Byte 04-09-22 15:57)で共通
アイコンはフォルダ
を実行すると
windowsフォルダにshellsystem.exeを作成し感染
起動時に実行するようにレジストリへ登録
にしても意味不明なexeを踏む奴が大量に居てびっくらこいた けどまー、ウィルスメールみたいなもんですしねー。
さくら以外で対策できるのかなー。 >>14
そこは今はRockされているんじゃないかと。
Upchanの説明 - 発症 -
デスクトップのSSを取り
up.isp.2ch.netへアップし
半角二次元 板にある「アップローダ」の文字列を含むスレに
名前欄 : 私は苺で違法ダウンロードばか〜
メール欄 : (ランダムな英数字):(投稿回数)回目
本文 :
私は苺で違法ダウンロードばか〜
【コンピュータ名】COMPUTERNAME
【ユーザー名】〜
【今こんな事やってます】http://v.isp.2ch.net/up/〜
で爆撃 >>15
↓こんなスレあるし
ファイルの中に入っていた.exeを思い切ってダブルクリック >>14
Upchanならあるけどいる?
さすがに全部(約1200)書き込む気は無い メールで無差別に配布されるとかなりやっかいかもですねぇ。。。@ウイルシ未対策の方々も多いことですし。 >>20
沢山自動投稿が観測できるところで
いろいろな変数を観測してみようかと、
ログが膨大になるから全サーバでやると大変なんで、
idol サーバでしたっけ ? < ascii2d HTTP_REFERER
USER_AGENT
あと何とればいいんだ?
久しぶりの作業だから、忘れちまったなぁ >>24
さんきゅでーす
もし Rock かかっているようでしたら
そのスレには爆撃くるように外してくださーい > Rocker な方々 >>25
ひととおり全部吐き出してみるのはいかがでしょう?
foreach (sort keys %ENV){
print "$_ = $ENV{$_}<br>\n";
}
みたいな。。 >>26
それじゃー、苺の方は外しますけどー。
(さくらだけはずしますー)
けど板中また爆撃だなー。 >>30
私は苺で違法ダウンロードばか〜
のほうだけだよ 十個たまったら Kaniさんコースで報告していただけると
ありがたいです =≡= ∧_∧
/ (・∀・ ) <まってます
〆 ┌ | | .∈≡∋
|| γ ⌒ヽヽコノ ||
|| .| |:::|∪〓 .||
./|\人 _.ノノ _||_. /|\ http://qb5.2ch.net/test/read.cgi/operate/1085757465/438
2ちゃんねるWikiに更新の申請しました。
突っ込み所がありましたら上のスレにお知らせください。
落ちます。
ノシシ そろそろ待ちくたびれてきましたよ
=≡= ∧_∧ ☆
/ . (・∀・ )/ / チン
〆 .―⊂ つ∈≡∋
|| γ ⌒ヽヽコノ ||
|| .| |:::|∪〓 .||
./|\人 _.ノノ _||_. /|\
>>32-33
解除されてない か 「】〜アップローダ〜【」となってないあっぷろだスレは無視なのかも >>40
あわわわー。
二重にさくらされてましたー(汗)。
もう片方も解除しましたー(汗)。 なんか、「キタ━━━━(゚∀゚)━━━━ッ!! 」
の方が多いよーなー(汗)。 キタ━━━━━━(゚∀゚)━━━━━━ !!!!
ばっかり ちょっと 様子見して
対策第一弾を考えてみる予定。 今の状況認識してながら放置ってやばくないのか?
あんま法律詳しくないからよくわかんないんだけどさ。。
50=感染者とか無しな。 >>53
2ちゃんねるに爆撃並みの投稿があるのでその対策をする
それ以下でもそれ以上でもないような希ガス はやすぎて、うpロダがついて行けてない。
画像がかぶってるね。 >>53
苺キンタマ関連スレを読む限りでは
うp先変更した亜種がすぐ作れるみたいなんで
全部のうpろだ落とす事になりかねない >43
削除したつもりが延長になってました。すんません。 (*・(ェ)・)つAirRock ★
(*・(ェ)・)ゲフ ★ |∀・)<キターをさくらにしてs
|∀゚)・∵. ターン すみません、懺悔します。
4回くらいキター言いました。スマソ…orz これが根本的な対策になればよいのだけど……。
半角二次元のタイプは、最初は「苺アップローダ」というその道では有名なアップローダにあげられたらしい。
苺の管理人と連携をとって、アップした人を追っていこうというのは……、多分駄目だよね。
こんなexeを作る人だから、最低でも串経由でアップして身元を隠しているだろうな。(;^ ^
(それどころかもっと高度なことをやっているかもしれない)
>>74
そしたら、他のさくら分も解除してみますー。 >>75
そんなことする必要ない。
2ちゃんねるに直接の利害がなけりゃ、
「見てるだけ〜」が基本だ。
cgiいじって終了。 第一ラウンドということかなぁ、
また 発生するだろあなぁ・・・
はぁ 2chバイダのロダに投稿できなくする対策はスレ違い? >>75
多分そういった事は個人的に苺や2chあぷろだ管理人にメールしてみればいいと思うよ >75
何か勘違いしてるな。それをして誰の利益になるんだ?
んな事はそれで飯を食ってる奴に任せればいいことだ。
頑張って京都府警にでも投書しておけ。 >85で
やな物を見てしまった・・・
ISPに通報するかな >>89
今回のデータを集めて対策したのは Upchanであって Shareではない
あと>85は時間が古い
最低限 09/24 01:30以降に投稿してあるものが対象 >>96
いえー。>>94はOperateだから止まってないだけだと思いますー。
その投稿対応のさくらも解除してありますけどー、>>10の各スレには、
21時以降の追加は、今のところ無いみたいですー。 http://news16.2ch.net/test/read.cgi/scienceplus/1095696790/24
名前:***@Share使用中 ◆i.ESDXOLYY [] 投稿日:04/09/24 10:38:46 ID:lG/dTPMB ■ このスレッドは過去ログ倉庫に格納されています
