★ Share / Upchan 報告スレッド

**名無しの報告** · 04/09/23 23:07:51

・アップローダにあげられた(偽装)exeを不用意に実行させてしまい、
　２ちゃんねるに自動投稿(デスクトップ晒しやクリップボート晒し)するウィルスがあります。
・Shareのバッチファイルに偽装したexeファイルもあるようです。

これらを情報収集するための報告専用スレッドです。

・質問などはこちらへ

【規制議論板】質問でも雑談でもOK牧場のスレッド13
http://qb5.2ch.net/test/read.cgi/sec2chd/1095412945/l50

>>2-5　このウィルスについての説明

**不良債権** ◆3eyGpKrDAg · 04/09/23 23:30:00

Σ(ﾟДﾟ；≡；ﾟдﾟ)

**未承諾広告※** ◆TWARamEjuA · 04/09/23 23:30:17

メールで無差別に配布されるとかなりやっかいかもですねぇ。。。＠ウイルシ未対策の方々も多いことですし。

**FOX ★** · 04/09/23 23:30:48

>>20
沢山自動投稿が観測できるところで
いろいろな変数を観測してみようかと、
ログが膨大になるから全サーバでやると大変なんで、

idol サーバでしたっけ ? < ascii2d

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:32:11

>>23
今のえさ（ｗ　は
アップローダー
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/l50

**FOX ★** · 04/09/23 23:32:27

HTTP_REFERER
USER_AGENT

あと何とればいいんだ?
久しぶりの作業だから、忘れちまったなぁ

**FOX ★** · 04/09/23 23:35:44

>>24
さんきゅでーす

もし Rock かかっているようでしたら
そのスレには爆撃くるように外してくださーい　> Rocker な方々

**名無しの報告** · 04/09/23 23:36:47

私は苺で～　をはずせばいいのかな？

**名無しの報告** · 04/09/23 23:36:48

http://tmp4.2ch.net/test/read.cgi/download/1093715748/315

まだ続いてるよ

**未承諾広告※** ◆TWARamEjuA · 04/09/23 23:37:11

>>25
ひととおり全部吐き出してみるのはいかがでしょう？
foreach (sort keys %ENV){
print "$_ = $ENV{$_}<br>\n";
}
みたいな。。

**水色＠飛行石 ★** · 04/09/23 23:37:12

>>26
それじゃー、苺の方は外しますけどー。
（さくらだけはずしますー）
けど板中また爆撃だなー。

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:39:42

>>30
私は苺で違法ダウンロードばか～
のほうだけだよ

**水色＠飛行石 ★** · 04/09/23 23:40:32

さくらは外しましたー。

**FOX ★** · 04/09/23 23:41:23

十個たまったら Kaniさんコースで報告していただけると
ありがたいです

**未承諾広告※** ◆TWARamEjuA · 04/09/23 23:44:14

苺きんたま対策(仮)
http://www.geocities.jp/ichigo_kintama/
参考になるかも？

**エリュトロン** ◆kABgDGdS46 · 04/09/23 23:45:07

　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　　　／　　　（・∀・　）　　＜まってます
　　　　　　　　〆　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人＿.ノノ _||_.　／|＼

**名無しの報告** · 04/09/23 23:51:55

upされた画像のほうは晒してもいいんだよね？

**名無しの報告** · 04/09/23 23:54:33

【警報】Winnyを狙ったワーム・ウイルス情報 Part27
http://tmp4.2ch.net/test/read.cgi/download/1095939735/l50

◆CaKkuEV3EI · 04/09/23 23:57:55

http://qb5.2ch.net/test/read.cgi/operate/1085757465/438
２ちゃんねるWikiに更新の申請しました。
突っ込み所がありましたら上のスレにお知らせください。

落ちます。
ﾉｼｼ

**名無しの報告** · 04/09/24 00:19:31

乙かれー

**エリュトロン** ◆kABgDGdS46 · 04/09/24 00:53:01

そろそろ待ちくたびれてきましたよ

　　　　　　　　　＝≡＝　 ∧＿∧　　　　　☆
　　　　　　　　　／　　.　（・∀・　）／　　/　チン
　　　　　　　　〆　 .―⊂　　　　つ∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人＿.ノノ _||_.　／|＼

>>32-33
解除されてないか「】～ｱｯﾌﾟﾛｰﾀﾞ～【」となってないあっぷろだスレは無視なのかも

**名無しの報告** · 04/09/24 00:56:50

【アップローダ】

確かこれでも反応したはず

**FOX ★** · 04/09/24 00:57:16

こないっすね、

**水色＠飛行石 ★** · 04/09/24 00:58:18

>>40
あわわわー。
二重にさくらされてましたー（汗）。
もう片方も解除しましたー（汗）。

**水色＠飛行石 ★** · 04/09/24 01:00:27

あー。始まったみたいですー。

**FOX ★** · 04/09/24 01:01:33

おおっ

**ZubuRock ★** · 04/09/24 01:02:44

わくわく

**名無しの報告** · 04/09/24 01:02:51

なんだか花火みたいですね。

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:03:16

http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/659 04/09/24 00:59:45 ID:AihUky2F
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/660 04/09/24 00:59:50 ID:NzUQN1eO
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/676 04/09/24 01:00:55 ID:NzUQN1eO
?

**水色＠飛行石 ★** · 04/09/24 01:03:51

なんか、「ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ｯ!! 」
の方が多いよーなー（汗）。

**名無しの報告** · 04/09/24 01:03:59

アプロダ落とすとかって対策はしないの？

**名無しの報告** · 04/09/24 01:04:41

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!
ばっかり

**FOX ★** · 04/09/24 01:05:51

ちょっと　様子見して
対策第一弾を考えてみる予定。

50 · 04/09/24 01:06:19

今の状況認識してながら放置ってやばくないのか？
あんま法律詳しくないからよくわかんないんだけどさ。。

50=感染者とか無しな。

**名無しの報告** · 04/09/24 01:09:10

>>53
２ちゃんねるに爆撃並みの投稿があるのでその対策をする
それ以下でもそれ以上でもないような希ガス

**名無しの報告** · 04/09/24 01:09:22

50=感染者

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:09:42

http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/659 04/09/24 00:59:45 ID:AihUky2F
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/660 04/09/24 00:59:50 ID:NzUQN1eO
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/676 04/09/24 01:00:55 ID:NzUQN1eO
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/717 04/09/24 01:02:11 ID:N6QvFgR4
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/821 04/09/24 01:04:09 ID:DOIgQAIK
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/902 04/09/24 01:06:08 ID:rYQugydD
http://idol.bbspink.com/test/read.cgi/ascii2d/1095933366/978 04/09/24 01:07:42 ID:vEwupNIN

\e

**名無しの報告** · 04/09/24 01:09:58

とりあえず漏れが秘策を教えてやろう

きゅうり踊り

**名無しの報告** · 04/09/24 01:10:40

はやすぎて、うｐロダがついて行けてない。
画像がかぶってるね。

**名無しの報告** · 04/09/24 01:10:47

>>53
苺キンタマ関連スレを読む限りでは
うｐ先変更した亜種がすぐ作れるみたいなんで
全部のうｐろだ落とす事になりかねない

**AirRock ★** · 04/09/24 01:10:55

>43
削除したつもりが延長になってました。すんません。

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:12:19

アップローダー　exe　ファイル　捨てたい
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/5 04/09/24 01:04:29 ID:HuvfVX4n
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/37 04/09/24 01:08:44 ID:O9taWw7h
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/43 04/09/24 01:08:48 ID:PzLckCzW
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/69 04/09/24 01:09:41 ID:0liyV5cR
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/80 04/09/24 01:10:07 ID:+y2W7kiH

**名無しの報告** · 04/09/24 01:13:11

ｷﾀｰで埋め尽くされてしまった

**GRIZZLY ★** · 04/09/24 01:13:41

（*・(ェ)・）つAirRock ★

（*・(ェ)・）ｹﾞﾌ　　　　 ★

**FOX ★** · 04/09/24 01:15:42

ふむふむ

**名無しの報告** · 04/09/24 01:16:06

|∀・)＜ｷﾀｰをさくらにしてs

|∀ﾟ)･∵. ﾀｰﾝ

**名無しの報告** · 04/09/24 01:16:25

>>64
対策浮かびました？

**名無しの報告** · 04/09/24 01:16:31

ｷﾀｰは実況扱いになるんですかね？

**FOX ★** · 04/09/24 01:17:28

第一弾は入れてみた　< idol

**名無しの報告** · 04/09/24 01:17:43

すみません、懺悔します。

4回くらいｷﾀｰ言いました。ｽﾏｿ…orz

**名無しの報告** · 04/09/24 01:19:45

とりあえずとまってるような

**名無しの報告** · 04/09/24 01:21:46

>>70
cgi乙

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:22:43

**名無しの報告** · 04/09/24 01:24:37

住民ひでぇ

て、60秒規制？

**FOX ★** · 04/09/24 01:27:10

ふむ

よさげなので全サーバに配ってみる。

桶屋 · 04/09/24 01:28:53

これが根本的な対策になればよいのだけど……。

半角二次元のタイプは、最初は「苺アップローダ」というその道では有名なアップローダにあげられたらしい。
苺の管理人と連携をとって、アップした人を追っていこうというのは……、多分駄目だよね。
こんなexeを作る人だから、最低でも串経由でアップして身元を隠しているだろうな。(;^ ^
(それどころかもっと高度なことをやっているかもしれない)

**名無しの報告** · 04/09/24 01:29:43

Torとかね

**水色＠飛行石 ★** · 04/09/24 01:30:00

>>74
そしたら、他のさくら分も解除してみますー。

**名無しの報告** · 04/09/24 01:30:34

>>75
そんなことする必要ない。
２ちゃんねるに直接の利害がなけりゃ、
「見てるだけ～」が基本だ。

cgiいじって終了。

**FOX ★** · 04/09/24 01:31:09

第一ラウンドということかなぁ、
また　発生するだろあなぁ・・・

はぁ

**名無しの報告** · 04/09/24 01:31:23

>>75
警察に任せる方向で

**FOX ★** · 04/09/24 01:31:42

>>77

はーい

既に配り終わりました。

04/09/24 01:32:20

>>81が見えないです

**名無しの報告** · 04/09/24 01:32:52

2chバイダのロダに投稿できなくする対策はスレ違い？

**名無しの報告** · 04/09/24 01:36:14

>>75
多分そういった事は個人的に苺や２ｃｈあぷろだ管理人にメールしてみればいいと思うよ

**名無しの報告** · 04/09/24 01:46:10

http://travel2.2ch.net/test/read.cgi/oversea/1083663743/

…また新しいのが出ました…

**名無しの報告** · 04/09/24 01:47:41

>75
何か勘違いしてるな。それをして誰の利益になるんだ？
んな事はそれで飯を食ってる奴に任せればいいことだ。
頑張って京都府警にでも投書しておけ。

**名無しの報告** · 04/09/24 01:48:15

>>85
うわ。。。。こりゃきっついな

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:51:27

>>85
それ
半角２次元とは別

**名無しの報告** · 04/09/24 01:52:18

>>88
スレ違いでしたか

**S.H.E** ◆5A7Xlyzdb2 · 04/09/24 01:52:52

>85で
やな物を見てしまった・・・

ＩＳＰに通報するかな

**名無しの報告** · 04/09/24 01:54:39

初級ネットワーク板ローカルルール申請
http://qb5.2ch.net/test/read.cgi/operate/1095695740/

こっちのが大量にある

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:57:09

>>89
今回のデータを集めて対策したのは Upchanであって Shareではない

あと>85は時間が古い
最低限 09/24 01:30以降に投稿してあるものが対象

**名無しの報告** · 04/09/24 01:58:07

>>91は現在進行形みたいね

**エリュトロン** ◆kABgDGdS46 · 04/09/24 01:58:55

初級ネットワーク板ローカルルール申請
http://qb5.2ch.net/test/read.cgi/operate/1095695740/146 04/09/24 01:49:39 ID:Gxq3XWnD
http://qb5.2ch.net/test/read.cgi/operate/1095695740/147 04/09/24 01:53:56 ID:PN4TBw6F

...

**名無しの報告** · 04/09/24 02:04:03

（；´Д｀）

**FOX ★** · 04/09/24 02:14:17

また出たの?

**水色＠飛行石 ★** · 04/09/24 02:16:12

>>96
いえー。>>94はOperateだから止まってないだけだと思いますー。

その投稿対応のさくらも解除してありますけどー、>>10の各スレには、
21時以降の追加は、今のところ無いみたいですー。

**FOX ★** · 04/09/24 02:19:57

りょうかいですー

**名無しの報告** · 04/09/24 02:27:34

NG WORD={Now!}

V061126.ppp.dion.ne.jp · 04/09/24 02:32:30

テスト

**名無しの報告** · 04/09/24 11:51:56

http://news16.2ch.net/test/read.cgi/scienceplus/1095696790/24
名前：***＠Share使用中 ◆i.ESDXOLYY [] 投稿日：04/09/24 10:38:46 ID:lG/dTPMB

**一石アンプ ★** · 04/09/24 13:00:01

ttp://science3.2ch.net/test/read.cgi/rikei/1095401696/27　09/24 10:38:58

**水色＠飛行石 ★** · 04/09/24 14:28:10

http://news15.2ch.net/test/read.cgi/femnewsplus/1095691286/22　04/09/24 10:38:45 ID:Tj6SJLGr
http://music4.2ch.net/test/read.cgi/musicnews/1095563850/30　04/09/24 10:38:47 ID:y50J9hBd
http://school4.2ch.net/test/read.cgi/qa/1095590311/30　04/09/24 10:38:51
http://book3.2ch.net/test/read.cgi/poem/1095326311/42　04/09/24 10:38:56 ID:euFxBLOq
http://tv6.2ch.net/test/read.cgi/sfx/1095674537/40　04/09/24 10:38:57 ID:U+IHrAW3
http://science3.2ch.net/test/read.cgi/rikei/1095401696/27　04/09/24 10:38:58
http://comic5.2ch.net/test/read.cgi/x3/1095681603/40　04/09/24 10:39:00 ID:TUOMNUjL

>>101-102も含めて、みんな同じ人みたいですねー。ホスト同じですしー。

**名無しの報告** · 04/09/24 15:11:17

http://etc3.2ch.net/test/read.cgi/entrance/1095158429/39　04/09/24 10:38:49 ID:ZNKp+ShG

**名無しの報告** · 04/09/24 19:41:33

325 ：[名無し]さん(bin+cue).rar ：04/09/24 19:35:39 ID:r62Gjm8M
http://syobon.zive.net:85/src/syobon9104.jpg
現在のうｐろだの状況
なんで鯖落ちしないんだろこれ

さっきからリロード終わるまで今までかかった

**名無しの報告** · 04/09/24 23:04:50

http://news16.2ch.net/test/read.cgi/scienceplus/1095696790/28
名前：dion.ne.jp＠Share使用中 ◆i.ESDXOLYY 04/09/24 22:58:37 ID:2UUffw7s

**（＾▽＾）ｴﾍﾍ** ◆lP0z/paris · 04/09/25 03:38:32

http://travel2.2ch.net/test/read.cgi/oversea/1083663743/125-126
125 名前：ZO244150.ppp.dion.ne.jp＠Share使用中 ◆i.ESDXOLYY [] 投稿日：04/09/24(金) 22:02:39 ID:Bp+GOAfo
126 名前：ZO143093.ppp.dion.ne.jp＠Share使用中 ◆i.ESDXOLYY [] 投稿日：04/09/25(土) 00:44:51 ID:Hh0e7dbw

**名無しの報告** · 04/09/25 04:10:57

http://news16.2ch.net/test/read.cgi/scienceplus/1095696790/30 04/09/25 03:30:39 ID:XPxglVRI

>>106-107
全部同じ人？

**FOX ★** · 04/09/25 07:21:52

これらも２ちゃんねるに自動的に書き込むんですか?
そうだとしたら、現在の頻度はどれくらいかしらん

**名無しの報告** · 04/09/25 07:59:59

ttp://www.symantec.com/region/jp/avcenter/venc/data/pf/jp-trojan.upchan.html
> ３．感染先システムのスクリーンショットを撮影し、それを
> 　　次の Web サイトにアップロードします。
> 　　 http:/ /up.isp.2ch.net/upload/c=03okari/index.cgi
> ４．次の URL で公開されているリストからランダムに選択
> 　　した掲示板に、感染先システムのコンピュータやユーザ名、
> 　　ならびにスクリーンショットへのリンクを掲載します。
> 　　 http:/ /www.ff.iij4u.or.jp/~ch2/bbstable.html

被害状況は「低」となってますが、すでに顧客の個人情報をうｐしてしまっている
（と思われる）例も多く、詳しくは大人の実況板参照で。
http://sakura02.bbspink.com/erolive/

**AirRock ★** · 04/09/25 08:51:32

klist には 04/09/24 10:39:00 ～ 04/09/25 03:35:27 の間に 50 回記録あり。
dion.ne.jp だけです。

tmp4.2ch.net 04/09/25 03:35:27 y*.ppp.dion.ne.jp
tmp4.2ch.net 04/09/25 03:34:14
tmp4.2ch.net 04/09/25 03:33:51
tmp4.2ch.net 04/09/25 03:33:27
tmp4.2ch.net 04/09/25 03:33:03
tmp4.2ch.net 04/09/25 03:32:39
tmp4.2ch.net 04/09/25 03:32:15
tmp4.2ch.net 04/09/25 03:31:51
tmp4.2ch.net 04/09/25 03:31:27
tmp4.2ch.net 04/09/25 03:31:04
pc5.2ch.net 04/09/25 03:31:03
travel2.2ch.net 04/09/25 03:31:01 y*.ppp.dion.ne.jp

tmp4.2ch.net 04/09/25 00:50:38 Z*.ppp.dion.ne.jp
tmp4.2ch.net 04/09/25 00:50:14
tmp4.2ch.net 04/09/25 00:49:50
tmp4.2ch.net 04/09/25 00:49:26
tmp4.2ch.net 04/09/25 00:48:59
tmp4.2ch.net 04/09/25 00:48:07
tmp4.2ch.net 04/09/25 00:47:43
tmp4.2ch.net 04/09/25 00:47:19
tmp4.2ch.net 04/09/25 00:46:55
tmp4.2ch.net 04/09/25 00:46:31
tmp4.2ch.net 04/09/25 00:46:07
tmp4.2ch.net 04/09/25 00:45:43
tmp4.2ch.net 04/09/25 00:45:19 Z*.ppp.dion.ne.jp

俺のクリップボードを検索しますた。 46スレ

**名無しの報告** · 04/09/25 14:29:14

http://news15.2ch.net/test/read.cgi/femnewsplus/1095691286/22　04/09/24 (金) 10:38:45 ID:Tj6SJLGr
|
>>103の1行目のスレですが、現在も継続中。
|
http://news15.2ch.net/test/read.cgi/femnewsplus/1095691286/26　04/09/25 (土) 12:24:13 ID:8AHQITCb

**名無しの報告** · 04/09/25 15:08:14

そのクリップボードのなんちゃらかんちゃらって
晒されても全く意味がわかんないので自分的には無害なんですが
いったい書き込まれてる文字列にはなんの意味があるんでしょうか？？

**水色＠飛行石 ★** · 04/09/25 15:14:54

>>113
ファイルとか画像とかのデータじゃないですかねー。
メールに添付してあるもののソースって、
そーゆー意味不明な文字列ですしー。

Rockはしてるんですがー、繋ぎ変わっちゃうので
３レスは毎回書けちゃってるみたいですねー。

**名無しの報告** · 04/09/25 15:26:18

>>109
2ちゃんには自動的に書き込まれない
ロダにうpられるだけ

**FOX ★** · 04/09/25 15:28:15

>>115
そうなんですか、
んじゃ　「皆で楽しく見守ろう」だすな、

**名無しの報告** · 04/09/25 15:30:49

>>115
それってupchan？の方でないの？
>>112みたいなのは２ｃｈに直接書き込まれてるけど。。。

**名無しの報告** · 04/09/25 15:31:17

>>115
書き込まれてるだろーが

**名無しの報告** · 04/09/25 15:55:52

>>113
クリップボードの内容だから、テキストをコピー＆ペーストした内容が晒される。
訳わかんなくなってる奴は、バイナリか何か、アプリの固有形式だろうが、
見る人が見れば解るのかも知れん。

**名無しの報告** · 04/09/25 16:18:49

なんか、2種が混乱しているようですね。。。

◆Trojan.Upchan（苺きんたま）
　2chうｐろだへのアップは継続していますが、
　２ちゃんねるへの自動投稿は、>>74の対策で止まっています。

◆Shareウイルス
　２ちゃんねるへの自動投稿は、止まっていません。
　>>85以降の報告は、Shareのぶんです。
　（ちなみに「俺のクリップボード」の内容は、Shareのノードリストが大半かと）