★051211 半角二次元板ゴミクズ溜まり場報告スレ

[1 名無しの報告 2005/12/11(日) 19:45:29 ID:0f67MHjG0]

半角二次元板のスクリプト爆撃報告のスレ

特徴
ロリ、小学生、子供など、ロリコン系キーワードを含むタイトルのスレッドを
中心に爆撃するスクリプト、またはキンタマ亜種の可能性あり

◆報告の注意
　http://info.2ch.net/wiki/pukiwiki.php?%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0

◆書式
　最新の書式はwikiを確認してください。
　http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0
　・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。

[325 胡麻太 2005/12/16(金) 11:01:33 ID:8ASWG6Ps0]

容量がそろそろやばいので次スレ。
以降の追加報告は下記でお願いします。

★051211 半角二次元板ゴミクズ溜まり場報告スレ ２
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/

>>324
ｺﾞﾊﾞｰｸ

[326 名無しの報告 2005/12/17(土) 04:32:03 ID:qOLhA6zR0]

>>321
ウィルスとかが上がって来ないトコロを見ると、足がつきにくいように２ちゃんに
アクセスしたこともないようなのを狙って踏み台にしてると思う

[327 2005/12/17(土) 08:58:29 ID:Z90Lv8tF0]

でも、他の板にまで拡がったら2chそのものが壊滅しかねんぞ。

[328 名無しの報告 2005/12/17(土) 13:38:37 ID:ANJIUjla0]

>>326
もしそうだったら気づきにくいだろうな…意外な盲点だな。
本人がアクセスしないなら書き込まれてる事自体もわからんし。
そうでなくとも、虹板を見ない香具師が引っかかってるかもしれない。

[329 名無しの報告 2005/12/17(土) 17:18:45 ID:CikRwgcB0]

誰かがウィルスまがいのスパイウェアでも仕込んでるのかね
あちこちのＰＣに

[330 ◆Reffiz2Zh. 2005/12/18(日) 14:53:01 ID:or+ZG6zs0]

試しに落としてみましたが何か山田の新種っぽいふいんきしてますねぇ（何故か（ｒｙ
ちょっとウィルス専門家探して連れてこようかな

[331 名無しの報告 2005/12/19(月) 00:02:27 ID:YRgBaWdL0]

http://strawberry.web-sv.com/Sn2/up3/2.html?1134234277

straw2968.zip (同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTG1･2.zip 6.2MB 05/12/10(Sat),02:55:16 application/x-zip-compressed

そのファイルが原因と特定はできたけども、スクリプト投稿自体はもっと前から続いてるんだよね。
最初にうｐした物が流れたので再うｐしれたって事なのかな。

[332 某所の人 ◆Y39/vakKjY 2005/12/19(月) 00:13:56 ID:wv9kEkI60]

呼ばれたふいんき（なぜｋ（ｒｙ

[333 ◆Reffiz2Zh. 2005/12/19(月) 00:19:49 ID:4FMPmjao0]

>332
おぉ
専門家が来てくれた
それで今回のですがノートンで検出できなかったので新種の可能性があります。
よろしくお願いします。

[334 [ ＾ω＾] 名無しの報告 2005/12/19(月) 00:20:59 ID:+QDnEeZx0]

NOD32での検出確認はされてる？
試そうと思ったけどもう404だった・・・

[335 名無しの報告 2005/12/19(月) 00:26:27 ID:wv9kEkI60]

えーと、うｐされてた検体が削除されていたのですが、どこぞにあるのでせうか？
メールで送ってくれると嬉しいです。

#ログ堀されているUA見たのですが
#Monazilla/1.00 gikoNavi/beta50/1.50.2.606　この部分が
#最近落としたのならたしか1.50.3.610になってるはずなんですよねぇ。
#古いのを使っているだけなのかはたまた古いｿｰｽでごにょごにょしてあるのか。。。

[336 [ ＾ω＾] 名無しの報告 2005/12/19(月) 00:29:11 ID:+QDnEeZx0]

なんか本来の使い方ではないような気がするが再うpキボン

[337 ◆Reffiz2Zh. 2005/12/19(月) 00:42:08 ID:4FMPmjao0]

>335
どうも２種類存在しているようです。
（ここで報告されている物と別ＨＰで感染報告のあった実行ファイル名が違っている）


※検体ですが僕の方は中身だけ見て消しちゃったんでお役に立てませんm(__)m
　持っている人がいらっしゃいましたらよろしくお願いします。

[338 名無しの報告 2005/12/19(月) 00:51:41 ID:66mSsMsO0]

遅くなりまして申し訳ない
検体です
ttp://www.uploda.org/file/uporg265268.zip.html
DLKey +QDnEeZx0
解P AntiLo
*.bin にリネーム済みです

[339 [ ＾ω＾] 名無しの報告 2005/12/19(月) 00:59:11 ID:5/tsaCgf0]

>337
向こうの892です
なんかvip臭いとかで書き込めないので、こちらで

一応あとは送るだけなんですけど、>338氏のは苺で落したもの(straw2968.zip)でしょうか？
それならｶﾌﾞるんで、止めときますけど

[340 338 2005/12/19(月) 01:00:19 ID:66mSsMsO0]

>>339
はい
straw2968.zip　です

[341 [ ＾ω＾] 名無しの報告 2005/12/19(月) 01:01:23 ID:5/tsaCgf0]

>340
あ、それならこちらは止めておきます
そういうことで>337

[342 某所の人 ◆Y39/vakKjY 2005/12/19(月) 01:03:16 ID:wv9kEkI60]

NOD32では検知する事を確認しましたー。
また、AVG・BitDefenderでも検出するようです。
これから大手に対応依頼してきます。
#平行してチェッカー。。。いらないか。

[343 名無しの報告 2005/12/19(月) 01:04:24 ID:KpLjkYoI0]

あー、ここで揚げない方がいいよ、ヘタすると愉快犯に悪用されるから。
>>335は山田チェッカーの作者さんですよね、出来れば彼に直接送った
方がいいと思います。

[344 名無しの報告 2005/12/19(月) 01:06:00 ID:KpLjkYoI0]

>>342
ああ、もうチェックしてくれたようで何よりです。

いつもお疲れさまです。

[345 名無しの報告 2005/12/19(月) 01:06:59 ID:5/tsaCgf0]

>342
いつもお疲れ様です

[346 名無しの報告 2005/12/19(月) 01:10:02 ID:8dxow8E90]

>>342
おつかれさまーです。

[347 ◆Reffiz2Zh. 2005/12/19(月) 01:11:44 ID:4FMPmjao0]

>342
お疲れ様です〜
チェッカーは対応が必要になった場合はよろしくお願いします。

[348 名無しの報告 2005/12/19(月) 01:12:44 ID:66mSsMsO0]

>>342
お疲れ様です

では、消してきます

[349 [ ＾ω＾] 名無しの報告 2005/12/19(月) 01:21:11 ID:+QDnEeZx0]

(;´Д｀)ｧｧﾝ
風呂入ってる間に消されちゃった･･･

ちょっとNODで検出してみたかった俺ガイル
でも、とりあえず一安心かな。
メジャーなソフトでの定義作られて、浸透すれば消えてくれるかな、ほぼ。
やっとこれであぼーんから正規表現外せるかもしれない

[350 某所の人 ◆Y39/vakKjY 2005/12/19(月) 01:21:35 ID:wv9kEkI60]

大手三社への連絡終了致しましたー。
ノートン先生は緊急定義を発行して対応した模様です。
--ここから
ご提出いただいたサンプルについて、シマンテック・セキュリティ・レスポンスはウイルス、ワームまたはトロイの木馬に感染していると判断いたしました。
今回の提出されたサンプルに含まれる脅威に個別対応した定義ファイルを作成いたしましたので、このメールの末尾に書かれた手順にしたがってインストールしてください。
URL：
ｆｔｐ：//ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
--ここまで
にあるらしいので心配なかたはどうぞ。
TrendMicro・マカフィーの方は連絡終わっていますが対応は明日以降になるかと思われます。

[351 [ ＾ω＾] 名無しの報告 2005/12/19(月) 01:25:22 ID:+QDnEeZx0]

>>350
乙です。

しかし931の巻き添えはうざいなぁ・・・
ノートン先生、緊急定義をあてるのがなかなか面倒なんだよね。
価格のときにそれを思い知った・・・

[352 [ ＾ω＾] 名無しの報告 2005/12/19(月) 01:46:46 ID:JR8mxtto0]

>>350
中の人凄い。乙。

[353 某所の人 ◆Y39/vakKjY 2005/12/19(月) 02:16:58 ID:wv9kEkI60]

平行して解析中。
実行後は
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
　"ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・なんだかIMEの辞書ファイルにアクセスしてます。。。。
・３５秒ごとに2chに書き込むような仕組みになっている模様です。
・本体コピーが旨く行ってない？ファイル検索でANTILOを検索してもなし。
・現時点の解析ではとりあえずプロセス殺せばOK
・Windows2000のフォルダアイコンなんでXPは騙されにくいと思う。
・エラー回避が旨く行っていないのか接続できないとエラーメッセージ吐きます
・UAはログ掘りの通りでした。

おまけ：プログラム内の文字列
・おすすめ特別企画まちＢＢＳチャットお絵かき運営案内ツール類他のサイト
正規表現で以下の物
・炉利|炉理|[^ポ]ロリ|小学|中学|ランドセル|子供|幼|わはー|カスミン|すじ|さくらたん|CCさくら

ANTILOの通りロリータ系統のスレを狙ってますね。
今日はこんなもんで勘弁して下さい　orz

[354 某所の人＠fushianasan ◆Y39/vakKjY 2005/12/19(月) 02:18:02 ID:wv9kEkI60]

追伸：VMWareで注意して行ったつもりですが、このリモホでの爆撃があったらご一報下さい。

[355 名無しの報告 2005/12/19(月) 02:18:46 ID:JZKw+UMz0]

fushianasan。。。

[356 某所の人＠ adc1-p27.tepco.hi-ho.ne.jp ◆Y39/vakKjY 2005/12/19(月) 02:18:55 ID:wv9kEkI60]

あうう。。。スレ汚しすいません。　orz

[357 名無しの報告 2005/12/19(月) 02:22:58 ID:d269DknF0]

お疲れ様です

[358 ◆Reffiz2Zh. 2005/12/19(月) 02:23:12 ID:4FMPmjao0]

乙でした〜

[359 名無しの報告 2005/12/19(月) 03:04:20 ID:+QDnEeZx0]

>>353

＞|[^ポ]ロリ

ﾜﾗﾀww
何このウィルス作者の好みww

[360 名無しの報告 2005/12/19(月) 03:19:11 ID:pl1QRbpW0]

てすと

[361 名無しの報告 2005/12/19(月) 04:02:45 ID:lKf1Tvu40]

>・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
>　"ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
>・本体コピーが旨く行ってない？ファイル検索でANTILOを検索してもなし。

待て、そのパスは副次ストリームジャマイカ？

[362 名無しの報告 2005/12/19(月) 04:47:03 ID:csdzasa00]

それならプロセス名で気づくだろ。

[363 名無しの報告 2005/12/19(月) 10:54:25 ID:M1o70XS60]

ウイルス＋ギコ・・・・
だれかと思えば、通●屋氏ではないですかぁ〜
いつも乙です。

[364 名無しの報告 2005/12/19(月) 11:32:24 ID:iaLpCmSu0]

>>338

検証したかったのですが４０４でした。
検体提供お願いできませんか？

[365 名無しの報告 2005/12/19(月) 11:37:13 ID:iaLpCmSu0]

Kingsoft使っているので、検出できるかを
試してみたかったのですが。
（Kingsoftのサイトではまだ情報は出ていません）
キンタマ系駆除できるお手軽アンチウイルスなだけに
何とかしたかったのですけれど・・・。

[366 名無しの報告 2005/12/19(月) 11:40:30 ID:KpLjkYoI0]

便乗犯が出る可能性も否定出来ないので、ここでウイルスの
クレクレするのはやめましょう。

とりあえず、Reffiさん始め運営諸氏、そして連絡してくれた中の人
のご尽力に改めて感謝します。

[367 名無しの報告 2005/12/19(月) 11:43:44 ID:iaLpCmSu0]

ですか。
でしたらここにも通報お願いします。

kingsoftのアンチウイルス検体提供サイトです

ttp://is.kingsoft.jp/support/kentai.htm

自分も役に立ちたかったのですが、残念です。
結局初期のログ掘り以外何も出来なかった。


orz

[368 名無しの報告 2005/12/19(月) 12:50:57 ID:KpLjkYoI0]

何を仰る、それだって充分な貢献じゃないですか。
板住人の一人として感謝の意を捧げますよ。本当にありがとうございます。

ここがパブリックな場所で、ウイルス作者や便乗して荒らしたい人間も
見ていないとも限らない事を考えると、被害を拡大させない為には再アップ
禁止は止むを得ないと思います。
それでも欲しいのでしたら、あとは、通●屋さんと直接連絡を取り合って
やって頂くしかないんじゃないでしょうか。

[369 某所の人 ◆Y39/vakKjY 2005/12/19(月) 12:54:46 ID:wv9kEkI60]

>>361
そのようですね。
まぁプロセス殺してRun削除すれば表面的には消えるでしょう。
>>362
再起動忘れてた　orz
>>365
わからんけど入れるの怖いよ・・・＜kingsoft

[370 名無しの報告 2005/12/19(月) 13:14:28 ID:iaLpCmSu0]

>>369

キングソフトはキンタマも除去してくれるほど強力ですよ。
・・・・・「最近の」ウイルスには・・・
Netsky（バイナリー除去済みウイルスメール）はVBでは
警告出たのにキングソフトでは無反応でしたよ、と。

[371 某所の人 ◆Y39/vakKjY 2005/12/19(月) 13:28:20 ID:wv9kEkI60]

というわけで、仮想マシンに投入
Win32.Troj.PSWLo.c.324608
で検出される模様。
ここまでの集計
・Symantec対応、ウイルス名不明(緊急定義)
・Mcafee対応、Uploader-AAにて検出(ExtraDat)
・TrendMicro現時点で未対応
・NOD32対応、Win32/Delf.QUにて検出
・AVG対応、Generic.LZXにて検出
・kingsoft対応、Win32.Troj.PSWLo.c.324608
etc....

[372 名無しの報告 2005/12/19(月) 15:10:47 ID:Krs7skNc0]

ギコナビの症状はもうありませんが、
他のプログラムに影響を及ぼす可能性はありますか？

[373 名無しの報告 2005/12/19(月) 15:48:07 ID:c01CiLKX0]

>>371
Avast!とかPandaはどうなんでしょうか?
特に前者はfreeで日本語対応なことから、ユーザー数多いらしいんで。

[374 某所の人 ◆Y39/vakKjY 2005/12/19(月) 16:38:41 ID:wv9kEkI60]

>>373
Avast!・Pandaは現時点無反応。

[375 名無しの報告 2005/12/19(月) 18:33:32 ID:G5gnL2yt0]

自分で感染をチェックする方法はありますか？
とりあえず>>353の"おすすめ特別企画まちＢＢＳチャットお絵かき運営案内ツール類他のサイト"の
文字列を全ドライブ検索はしてみたのですが・・・

[376 某所の人 ◆Y39/vakKjY 2005/12/19(月) 19:03:14 ID:wv9kEkI60]

>>375
現時点ではオンラインスキャンが最適。
文字列検索はこちらで解析した結果なので普通に検索しても見つかりません。

#デコンパイルとかUPX解除とか・・・

[377 名無しの報告 2005/12/19(月) 19:12:40 ID:G5gnL2yt0]

>>376
御回答ありがとうございます。（−人ー）
対応しているらしいのでシマンテックのオンライスキャンしてきます！

[378 某所の人 ◆Y39/vakKjY 2005/12/20(火) 01:10:21 ID:fqUZ4VgH0]

一応AntiLoチェッカー作ってみました。
ttp://www.geocities.jp/antiny_virus/
どう見ても急いで作ったようにしか思えませんが一応。
誤爆・バグ等ございましたらメールで。
ここは汚さないようにお願い致します
そして、スレ汚しｽﾏｿorz

[379 名無しの報告 2005/12/20(火) 05:41:48 ID:O0KVUK6u0]

> どう見ても急いで作ったようにしか思えませんが一応。
本当にありがとうございました。

[380 名無しの報告 2005/12/20(火) 20:27:26 ID:oVgW3JLx0]

>>371
英語版しかないAVGが既に対応してるのは意外だな…

[381 名無しの報告 2005/12/20(火) 21:50:47 ID:2FQ294R70]

ウイルス作者はショタコンじゃないのかな？ｗ

[382 [ ＾ω＾] 名無しの報告 2005/12/20(火) 21:58:21 ID:rGcW6z140]

>>380
AVGは完全にウイルス定義に頼るタイプだったよね？

[383 某所の人 ◆Y39/vakKjY 2005/12/20(火) 22:08:13 ID:fqUZ4VgH0]

TrendMicroから対応完了とのこと。
パターンファイル番号3.115.00〜で、検出名は｢TROJ_UPCHAN.B｣
現在ウイルスデータベースには掲載されていません。
というわけで、書き換え
(前略)
・TrendMicro対応、TROJ_UPCHAN.Bにて検出
(後略)

[384 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI NG NG]

>>383
乙です！

UPCHAN.Bかぁ。。。

[385 名無しの報告 2005/12/21(水) 12:40:47 ID:AAO3SAY10]

>>383
乙です！
TrendMicro 3.117.00 で対応確認
straw2968.zip,(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTG�U.exe 隔離完了
ただし、暗号化ZIPであるuporg265268.zipは放置
思うに、犯人は伊藤晴雨(萌え絵、ロリ絵が描けずに仕事の減ったエロ絵描き)ではないかと

[386 名無しの報告 2005/12/21(水) 14:58:14 ID:7cINN0bJ0]

>>385
故人だし…って、もしかして隠語？

[387 名無しの報告 2005/12/22(木) 20:11:58 ID:8S188/UC0]

再発したっぽいですね。

[388 名無しの報告 2005/12/22(木) 20:29:37 ID:UrAODFU/0]

★051211 半角二次元板ゴミクズ溜まり場報告スレ ２
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/

[389 [ ＾ω＾] ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI NG NG]

>>354
添付メールしました。
件名
AntiLo.exe亜種

本文
疑わしいファイルを送ります。
.exeを消しています。
(同人誌) [共月亭] 英国式魔法少女�U.exe
328kB
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/270-n

[390 某所の人 ◆Y39/vakKjY 2005/12/23(金) 11:54:17 ID:qXiZtkEtO]

>>389
検体提供ありがとうございます。
今出張なのでちと、遅れるかもしれません

[391 名無しの報告 2005/12/23(金) 12:21:05 ID:QMfEn57J0]

巻き添えはっけーん
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1130636356/652 2005/12/23 04:23:43 ID:igTwOVD6
652 名前：名無したん(;´Д｀)ﾊｧﾊｧ[sage] 投稿日：2005/12/23 04:23:43 ID:igTwOVD6
共通IPだからな・・・vip規制の巻き添えでアニメ板に全く書き込めなくなったし、
同じ市内におかしなのが一人いるんだろう、多分

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134312971/340 2005/12/23 04:27:50 ID:igTwOVD6
340 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:27:50 ID:igTwOVD6
さっ　さ と子ね ク ズ

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134563784/203 2005/12/23 04:29:26 ID:igTwOVD6
203 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:29:26 ID:igTwOVD6
　死ねキ モ オ タ　

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1133708703/777 2005/12/23 04:30:48 ID:igTwOVD6
777 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:30:48 ID:igTwOVD6
糞 乙 ｗw

[392 名無しの報告 2005/12/23(金) 14:33:34 ID:QMfEn57J0]

某コピペ
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134357748/606 2005/12/23 00:46:26 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134666592/31 2005/12/23 00:47:21 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134304514/84 2005/12/23 00:48:11 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1130768889/913 2005/12/23 00:49:42 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1133776514/877 2005/12/23 00:50:13 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134560162/40 2005/12/23 00:50:50 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134722139/140 2005/12/23 00:52:33 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134563784/191 2005/12/23 00:53:11 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134400975/484 2005/12/23 00:53:41 ID:MfMQ2k9d
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1129536988/500 2005/12/23 00:55:12 ID:MfMQ2k9d

[393 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI NG NG]

>>390
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/297-n
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1122336330/801-802n
送りました。

[394 名無しの報告 2005/12/23(金) 15:12:36 ID:QMfEn57J0]

Calculating hash of 5083088 bytes file `fup54689.zip`...

MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3

Calculation took 0.156 seconds

Calculating hash of 5083088 bytes file `viploader18080.zip`...

MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3

Calculation took 0.047 seconds
同じじゃん。

[395 名無しの報告 2005/12/23(金) 18:28:26 ID:+bYn+u7D0]

デバッガで復号された文字列を横取りしたので報告。
ttp://www.vipper.org/vip163191.txt.html

所見：
○正規表現で
　"ロリ、小・中学、幼児、幼女、幼稚、ようじょ、子供、こども、
　ランドセル、すじ、わはー、カスミン、さくら、コメット、
　おジャ、どれみ、クレヨン王国、ふたご姫、ナージャ、
　リリカルなのは、ガッシュ"
　以上にマッチングするスレがターゲット

○偽装用UAとみられる文字列が増加
　ギコナビ・Jane2ch・ホットゾヌを偽称するようだ

[396 名無しの報告 2005/12/23(金) 18:31:41 ID:gr/VAl260]

やっぱり新種が出てきたか。　回避策でスレタイ変えたスレに
新規対応してるところといい、「暇人 乙 ｗｗｗ」としか言いようがない。

というか引っかかってexe踏む香具師もアホだよな…

[397 名無しの報告 2005/12/23(金) 19:01:09 ID:2ywCvp1r0]

犯人はかちゅ使い、は単純すぎる考えか

[398 [ ＾ω＾] 名無しの報告 2005/12/23(金) 19:15:59 ID:EBqyLsly0]

ここでおいらが犯人の特徴を大胆予想！

1.拡張子を表示していない。
2.ウイルスバスターを使っている。

間違いない

[399 半角五右衛門 2005/12/23(金) 19:22:19 ID:jSTXT2HH0]

件のファイル入手したので手持ちのキングソフトで確認。
検出されなかったので検体提供。
AVGもまだ検出されません。

[400 某所の人 ◆Y39/vakKjY 2005/12/23(金) 20:22:23 ID:qXiZtkEtO]

解析している皆さま本当にお疲れ様です。
また、検体提供を行っている方々もGJです。
#漏れは出先なもんで処理ができない。ｽﾏｿ

[401 半角五右衛門 2005/12/23(金) 20:28:37 ID:jSTXT2HH0]

旧スレにも書きましたが、とりあえずKingsoftに検体提供。（EXEファイルのみを圧縮）

[402 半角五右衛門 2005/12/23(金) 20:30:13 ID:jSTXT2HH0]

ってここ旧スレだった・・・

[403 名無しの報告 2005/12/23(金) 20:36:47 ID:QMfEn57J0]

>>400
改良が行われてるだけで前回とほぼ同じ

変更点
・使われる単語が増えた
・単語等がmime64のような形で格納
・ＵＡは３つ用意されていて数値部分(Version)はランダム


・ウィルスが入ったファイルのアップ場所が二ヶ所になった (削除対策?)

[404 名無しの報告 2005/12/23(金) 20:41:15 ID:sut6SgND0]

>>392
ウイルスのファイルを宣伝しまくってるこのID:MfMQ2k9dが作者本人か、
と思うのは短絡的かな。

[405 名無しの報告 2005/12/23(金) 21:55:19 ID:1XjpPpei0]

マルチしまくってるし、その可能性も否定できないな。

[406 名無しの報告 2005/12/23(金) 22:03:33 ID:oscakbhc0]

･･･作者が自ら「このファイルはウイルス入りだよ」と教える意味がわからんのだが

[407 名無しの報告 2005/12/23(金) 22:10:13 ID:Sqor92LS0]

そこから情報を得て、無関係なスレに転載する香具師もいるかもしれん。

[408 名無しの報告 2005/12/23(金) 22:44:17 ID:cGjOgMiG0]

このスレの人たち凄い。。
俺にはちんぷんかんぷんだ。

[409 名無しの報告 2005/12/23(金) 23:04:03 ID:2ywCvp1r0]

解らないなら黙っておきな

[410 名無しの報告 2005/12/24(土) 00:29:25 ID:qLy2se+j0]

>>392,404-407
向こうの794でも言ってる人がいたけど、ウイルス作者がスクリプト
のライト版を使ってマルチしたのかもね。

[411 ◆Y39/vakKjY 2005/12/24(土) 12:06:28 ID:UEAxSg2M0]

>>403
んじゃぁアンチ炉チェッカーで検出できるかな。。。
そのへん出かけから帰ったら調べますわ。
とりあえず今日は各社に提出しておきます。

[412 半角五右衛門 NG NG]

>>411

一応KINGSOFTには提出しました。
にしても・・・こうも簡単に亜種が出てくるとは・・・恐ろしいものです。

[413 名無しの報告 2005/12/25(日) 00:16:58 ID:6d+baNo80]

>>412
作った犯人はソース持ってんだし、いくらでも作れるんだろうね。
まさにいたちごっこ。
早く逮捕までこぎつけないと終わらないと思う。

ウィルス作ってバラまく行為って、日本の法律で取り締まれるんだっけ？
電子計算機損壊とかになるのかな。

[414 名無しの報告 2005/12/25(日) 03:08:37 ID:vqPjmMgZ0]

>>413
ほれ。

情報処理推進機構：セキュリティセンター：ウイルス関連ＦＡＱ
ttp://www.ipa.go.jp/security/virus/faq/qa_a.html#7-2

[415 [ ＾ω＾] 名無しの報告 2005/12/25(日) 03:19:39 ID:muKBb12X0]

>>414
電子計算機損壊になるかとずっと思っていたが、これ見る限りだと作ろうと
配布しようと法には触れないってことなの？

ロダとかは勝手に落した結果感染しましたとかだから、完全にアウトじゃなく
グレーゾーンになっちゃうのかな。


でもウイルスってどんなソフトよりも簡単に作れそうなのは俺が何も知らないから？

[416 名無しの報告 2005/12/25(日) 03:25:35 ID:uBtPkZI60]

＞395
＼｜／学生の工口り画像を集めるスレ19＼｜／
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1134400975/

ここでも爆撃中…はて？「学」？「学生」？？もしかして「工口（こうくち）」？？？



どれみスレでもスレタイ改変。ここもターゲットになるようなら相当積極的なウイルス作者。
お,ジ.ャ・魔'女-ど_れ−み　@半角虹板 part25
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1135443483/

[417 [ ＾ω＾] 名無しの報告 2005/12/25(日) 03:34:15 ID:muKBb12X0]

かなりヲチしてるんじゃないだろうか、犯人

ウイルス便乗なのか、本当にウイルスなのか分からないけど、正規表現が徐々に成長しつつあるなw

[418 名無しの報告 2005/12/25(日) 03:41:15 ID:uBtPkZI60]

二次板を「学」と「学生」で検索したところ、「学」だけで被害のある板はありません。

「工口」は…なんとこんなスレタイで今のところ無事なスレが。
（閲覧注意。ノートン誤動作ラブレタースクリプトの一部が貼られてます）
小學六・五年生の工口画像　その2
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134635475/


というわけで「学生」が加えられてる模様。

[419 [ ＾ω＾] 名無しの報告 2005/12/25(日) 03:58:39 ID:muKBb12X0]

なんか某トナメを思い出した。

[420 名無しの報告 2005/12/25(日) 04:11:46 ID:GIktyLYN0]

「口り」の可能性はないの？

[421 名無しの報告 2005/12/25(日) 04:15:52 ID:uBtPkZI60]

>420
それはありうるです

[422 名無しの報告 2005/12/25(日) 04:55:55 ID:bNOlOUpw0]

年末のこの時期にヒマなウイルス作者…
なんかもう哀れみさえ感じてきたｗｗｗ

[423 名無しの報告 2005/12/25(日) 07:23:39 ID:JgIcR75p0]

？

[424 名無しの報告 2005/12/25(日) 09:13:23 ID:KwAr09Ko0]

OpenJane正規表現NGワード４段重ねで全駆除できたが
ここに検索条件貼ったりしたらすぐに亜種が出てきそうだ

つか、エロ画像欲しさにフォルダ偽装exe踏むって、どんだけマヌケなんだよボケどもが