★051211 半角二次元板ゴミクズ溜まり場報告スレ
■ このスレッドは過去ログ倉庫に格納されています
半角二次元板のスクリプト爆撃報告のスレ
特徴
ロリ、小学生、子供など、ロリコン系キーワードを含むタイトルのスレッドを
中心に爆撃するスクリプト、またはキンタマ亜種の可能性あり
◆報告の注意
http://info.2ch.net/wiki/pukiwiki.php?%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0
◆書式
最新の書式はwikiを確認してください。
http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0
・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。 >337
向こうの892です
なんかvip臭いとかで書き込めないので、こちらで
一応あとは送るだけなんですけど、>338氏のは苺で落したもの(straw2968.zip)でしょうか?
それならカブるんで、止めときますけど >>339
はい
straw2968.zip です >340
あ、それならこちらは止めておきます
そういうことで>337 NOD32では検知する事を確認しましたー。
また、AVG・BitDefenderでも検出するようです。
これから大手に対応依頼してきます。
#平行してチェッカー。。。いらないか。 あー、ここで揚げない方がいいよ、ヘタすると愉快犯に悪用されるから。
>>335は山田チェッカーの作者さんですよね、出来れば彼に直接送った
方がいいと思います。 >>342
ああ、もうチェックしてくれたようで何よりです。
いつもお疲れさまです。 >342
お疲れ様です〜
チェッカーは対応が必要になった場合はよろしくお願いします。 (;´Д`)ァァン
風呂入ってる間に消されちゃった・・・
ちょっとNODで検出してみたかった俺ガイル
でも、とりあえず一安心かな。
メジャーなソフトでの定義作られて、浸透すれば消えてくれるかな、ほぼ。
やっとこれであぼーんから正規表現外せるかもしれない 大手三社への連絡終了致しましたー。
ノートン先生は緊急定義を発行して対応した模様です。
--ここから
ご提出いただいたサンプルについて、シマンテック・セキュリティ・レスポンスはウイルス、ワームまたはトロイの木馬に感染していると判断いたしました。
今回の提出されたサンプルに含まれる脅威に個別対応した定義ファイルを作成いたしましたので、このメールの末尾に書かれた手順にしたがってインストールしてください。
URL:
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
--ここまで
にあるらしいので心配なかたはどうぞ。
TrendMicro・マカフィーの方は連絡終わっていますが対応は明日以降になるかと思われます。 >>350
乙です。
しかし931の巻き添えはうざいなぁ・・・
ノートン先生、緊急定義をあてるのがなかなか面倒なんだよね。
価格のときにそれを思い知った・・・ 平行して解析中。
実行後は
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
"ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・なんだかIMEの辞書ファイルにアクセスしてます。。。。
・35秒ごとに2chに書き込むような仕組みになっている模様です。
・本体コピーが旨く行ってない?ファイル検索でANTILOを検索してもなし。
・現時点の解析ではとりあえずプロセス殺せばOK
・Windows2000のフォルダアイコンなんでXPは騙されにくいと思う。
・エラー回避が旨く行っていないのか接続できないとエラーメッセージ吐きます
・UAはログ掘りの通りでした。
おまけ:プログラム内の文字列
・おすすめ特別企画まちBBSチャットお絵かき運営案内ツール類他のサイト
正規表現で以下の物
・炉利|炉理|[^ポ]ロリ|小学|中学|ランドセル|子供|幼|わはー|カスミン|すじ|さくらたん|CCさくら
ANTILOの通りロリータ系統のスレを狙ってますね。
今日はこんなもんで勘弁して下さい orz 追伸:VMWareで注意して行ったつもりですが、このリモホでの爆撃があったらご一報下さい。 >>353
>|[^ポ]ロリ
ワラタww
何このウィルス作者の好みww >・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
> "ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
>・本体コピーが旨く行ってない?ファイル検索でANTILOを検索してもなし。
待て、そのパスは副次ストリームジャマイカ? ウイルス+ギコ・・・・
だれかと思えば、通●屋氏ではないですかぁ〜
いつも乙です。 >>338
検証したかったのですが404でした。
検体提供お願いできませんか? Kingsoft使っているので、検出できるかを
試してみたかったのですが。
(Kingsoftのサイトではまだ情報は出ていません)
キンタマ系駆除できるお手軽アンチウイルスなだけに
何とかしたかったのですけれど・・・。 便乗犯が出る可能性も否定出来ないので、ここでウイルスの
クレクレするのはやめましょう。
とりあえず、Reffiさん始め運営諸氏、そして連絡してくれた中の人
のご尽力に改めて感謝します。 ですか。
でしたらここにも通報お願いします。
kingsoftのアンチウイルス検体提供サイトです
ttp://is.kingsoft.jp/support/kentai.htm
自分も役に立ちたかったのですが、残念です。
結局初期のログ掘り以外何も出来なかった。
orz 何を仰る、それだって充分な貢献じゃないですか。
板住人の一人として感謝の意を捧げますよ。本当にありがとうございます。
ここがパブリックな場所で、ウイルス作者や便乗して荒らしたい人間も
見ていないとも限らない事を考えると、被害を拡大させない為には再アップ
禁止は止むを得ないと思います。
それでも欲しいのでしたら、あとは、通●屋さんと直接連絡を取り合って
やって頂くしかないんじゃないでしょうか。 >>361
そのようですね。
まぁプロセス殺してRun削除すれば表面的には消えるでしょう。
>>362
再起動忘れてた orz
>>365
わからんけど入れるの怖いよ・・・<kingsoft >>369
キングソフトはキンタマも除去してくれるほど強力ですよ。
・・・・・「最近の」ウイルスには・・・
Netsky(バイナリー除去済みウイルスメール)はVBでは
警告出たのにキングソフトでは無反応でしたよ、と。 というわけで、仮想マシンに投入
Win32.Troj.PSWLo.c.324608
で検出される模様。
ここまでの集計
・Symantec対応、ウイルス名不明(緊急定義)
・Mcafee対応、Uploader-AAにて検出(ExtraDat)
・TrendMicro現時点で未対応
・NOD32対応、Win32/Delf.QUにて検出
・AVG対応、Generic.LZXにて検出
・kingsoft対応、Win32.Troj.PSWLo.c.324608
etc.... ギコナビの症状はもうありませんが、
他のプログラムに影響を及ぼす可能性はありますか? >>371
Avast!とかPandaはどうなんでしょうか?
特に前者はfreeで日本語対応なことから、ユーザー数多いらしいんで。 >>373
Avast!・Pandaは現時点無反応。
自分で感染をチェックする方法はありますか?
とりあえず>>353の"おすすめ特別企画まちBBSチャットお絵かき運営案内ツール類他のサイト"の
文字列を全ドライブ検索はしてみたのですが・・・ >>375
現時点ではオンラインスキャンが最適。
文字列検索はこちらで解析した結果なので普通に検索しても見つかりません。
#デコンパイルとかUPX解除とか・・・ >>376
御回答ありがとうございます。(−人ー)
対応しているらしいのでシマンテックのオンライスキャンしてきます! 一応AntiLoチェッカー作ってみました。
ttp://www.geocities.jp/antiny_virus/
どう見ても急いで作ったようにしか思えませんが一応。
誤爆・バグ等ございましたらメールで。
ここは汚さないようにお願い致します
そして、スレ汚しスマソorz > どう見ても急いで作ったようにしか思えませんが一応。
本当にありがとうございました。 >>371
英語版しかないAVGが既に対応してるのは意外だな… >>380
AVGは完全にウイルス定義に頼るタイプだったよね? TrendMicroから対応完了とのこと。
パターンファイル番号3.115.00〜で、検出名は「TROJ_UPCHAN.B」
現在ウイルスデータベースには掲載されていません。
というわけで、書き換え
(前略)
・TrendMicro対応、TROJ_UPCHAN.Bにて検出
(後略) >>383
乙です!
TrendMicro 3.117.00 で対応確認
straw2968.zip,(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTGU.exe 隔離完了
ただし、暗号化ZIPであるuporg265268.zipは放置
思うに、犯人は伊藤晴雨(萌え絵、ロリ絵が描けずに仕事の減ったエロ絵描き)ではないかと >>354
添付メールしました。
件名
AntiLo.exe亜種
本文
疑わしいファイルを送ります。
.exeを消しています。
(同人誌) [共月亭] 英国式魔法少女U.exe
328kB
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/270-n >>389
検体提供ありがとうございます。
今出張なのでちと、遅れるかもしれません 巻き添えはっけーん
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1130636356/652 2005/12/23 04:23:43 ID:igTwOVD6
652 名前:名無したん(;´Д`)ハァハァ[sage] 投稿日:2005/12/23 04:23:43 ID:igTwOVD6
共通IPだからな・・・vip規制の巻き添えでアニメ板に全く書き込めなくなったし、
同じ市内におかしなのが一人いるんだろう、多分
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134312971/340 2005/12/23 04:27:50 ID:igTwOVD6
340 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:27:50 ID:igTwOVD6
さっ さ と子ね ク ズ
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134563784/203 2005/12/23 04:29:26 ID:igTwOVD6
203 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:29:26 ID:igTwOVD6
死ねキ モ オ タ
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1133708703/777 2005/12/23 04:30:48 ID:igTwOVD6
777 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:30:48 ID:igTwOVD6
糞 乙 ww
Calculating hash of 5083088 bytes file `fup54689.zip`...
MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3
Calculation took 0.156 seconds
Calculating hash of 5083088 bytes file `viploader18080.zip`...
MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3
Calculation took 0.047 seconds
同じじゃん。 デバッガで復号された文字列を横取りしたので報告。
ttp://www.vipper.org/vip163191.txt.html
所見:
○正規表現で
"ロリ、小・中学、幼児、幼女、幼稚、ようじょ、子供、こども、
ランドセル、すじ、わはー、カスミン、さくら、コメット、
おジャ、どれみ、クレヨン王国、ふたご姫、ナージャ、
リリカルなのは、ガッシュ"
以上にマッチングするスレがターゲット
○偽装用UAとみられる文字列が増加
ギコナビ・Jane2ch・ホットゾヌを偽称するようだ やっぱり新種が出てきたか。 回避策でスレタイ変えたスレに
新規対応してるところといい、「暇人 乙 www」としか言いようがない。
というか引っかかってexe踏む香具師もアホだよな… ここでおいらが犯人の特徴を大胆予想!
1.拡張子を表示していない。
2.ウイルスバスターを使っている。
間違いない 件のファイル入手したので手持ちのキングソフトで確認。
検出されなかったので検体提供。
AVGもまだ検出されません。 解析している皆さま本当にお疲れ様です。
また、検体提供を行っている方々もGJです。
#漏れは出先なもんで処理ができない。スマソ 旧スレにも書きましたが、とりあえずKingsoftに検体提供。(EXEファイルのみを圧縮) >>400
改良が行われてるだけで前回とほぼ同じ
変更点
・使われる単語が増えた
・単語等がmime64のような形で格納
・UAは3つ用意されていて数値部分(Version)はランダム
・ウィルスが入ったファイルのアップ場所が二ヶ所になった (削除対策?) >>392
ウイルスのファイルを宣伝しまくってるこのID:MfMQ2k9dが作者本人か、
と思うのは短絡的かな。 マルチしまくってるし、その可能性も否定できないな。 ・・・作者が自ら「このファイルはウイルス入りだよ」と教える意味がわからんのだが そこから情報を得て、無関係なスレに転載する香具師もいるかもしれん。 このスレの人たち凄い。。
俺にはちんぷんかんぷんだ。 >>392,404-407
向こうの794でも言ってる人がいたけど、ウイルス作者がスクリプト
のライト版を使ってマルチしたのかもね。 >>403
んじゃぁアンチ炉チェッカーで検出できるかな。。。
そのへん出かけから帰ったら調べますわ。
とりあえず今日は各社に提出しておきます。 >>411
一応KINGSOFTには提出しました。
にしても・・・こうも簡単に亜種が出てくるとは・・・恐ろしいものです。 >>412
作った犯人はソース持ってんだし、いくらでも作れるんだろうね。
まさにいたちごっこ。
早く逮捕までこぎつけないと終わらないと思う。
ウィルス作ってバラまく行為って、日本の法律で取り締まれるんだっけ?
電子計算機損壊とかになるのかな。 >>413
ほれ。
情報処理推進機構:セキュリティセンター:ウイルス関連FAQ
ttp://www.ipa.go.jp/security/virus/faq/qa_a.html#7-2 >>414
電子計算機損壊になるかとずっと思っていたが、これ見る限りだと作ろうと
配布しようと法には触れないってことなの?
ロダとかは勝手に落した結果感染しましたとかだから、完全にアウトじゃなく
グレーゾーンになっちゃうのかな。
でもウイルスってどんなソフトよりも簡単に作れそうなのは俺が何も知らないから? >395
\|/学生の工口り画像を集めるスレ19\|/
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1134400975/
ここでも爆撃中…はて?「学」?「学生」??もしかして「工口(こうくち)」???
どれみスレでもスレタイ改変。ここもターゲットになるようなら相当積極的なウイルス作者。
お,ジ.ャ・魔'女-ど_れ−み @半角虹板 part25
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1135443483/ かなりヲチしてるんじゃないだろうか、犯人
ウイルス便乗なのか、本当にウイルスなのか分からないけど、正規表現が徐々に成長しつつあるなw 二次板を「学」と「学生」で検索したところ、「学」だけで被害のある板はありません。
「工口」は…なんとこんなスレタイで今のところ無事なスレが。
(閲覧注意。ノートン誤動作ラブレタースクリプトの一部が貼られてます)
小學六・五年生の工口画像 その2
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134635475/
というわけで「学生」が加えられてる模様。 年末のこの時期にヒマなウイルス作者…
なんかもう哀れみさえ感じてきたwww OpenJane正規表現NGワード4段重ねで全駆除できたが
ここに検索条件貼ったりしたらすぐに亜種が出てきそうだ
つか、エロ画像欲しさにフォルダ偽装exe踏むって、どんだけマヌケなんだよボケどもが >>424
このウィルス、ちょっと本質的にヤバいんだよ。
ってのが、今でこそ書き込みを煽るだけの内容なんだが、
そのうち政治家の誰それを殺すとかいう亜種が間違いなく出てくる。
そうすれば「2chがなければ犯罪予告も効果はなくなる」という主張が
大手を振って出てくる。
おまけに、エロ画像に偽装した.exeを踏んだという後ろめたさから、
感染者も言い出しにくいし調べにくい。
スクリプト荒らしのとき同様今回も釣りスレが結構立ったが、
今回ほとんど、しかもいきなり消えてるだろ?2chの運営陣が
このヤバさに気付いてるからだ。自分たちとしては対処は
してますよというアリバイ作りに必死になってるのさ。 そういう場合、ばら撒いたやつの方がヤバイだろうね
釣りスレは鯖の負荷増大を招くだけなので消してるのだろう >>415
グレーの場合でも、場合によっては黒になるかもしれないから
疑われるような事はしないほうがいいね。
まだ、2ch内で収まってるけど、他の掲示板などに被害が及んだら
只じゃすまないだろうね。
>>426
面白がって、ばら撒いてる人も共犯だから。
ヤバイね。 >>428
ROのそれは前からあったような気がするけど・・・ 暗号化文字列の詳細が判明したので報告。
文字列は以下の手順で解読できます。
1. 暗号化文字列をBASE64でデコードする
2. このとき、手順1でデコードした文字列をループで舐めながら
暗号化を解いていく。
[復号化の方法]
文字列のインデックスを255で割った余りと文字コードとのxorをとる。
0x48A02Dあたりに復号ルーチンがあります。
サンプルコードを以下に示します。
var
Buf : String;
i : Integer;
begin
// Base64デコード
Buf := IdDecoderMime1.DecodeString(Edit1.Text);
// xor 暗号化を解く
for i := 1 to Length(Buf) do
begin
Buf[i] := char(byte(Buf[i]) xor (i mod 255));
end;
Memo1.Text := Buf;
end; あと、気付いたこと。
・タスクマネージャを使用不可にする模様。
(HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System に
DisableTaskMgr=1 を書き込んでいる)
・エラーが一切出ない
TApplicationEvents.OnException イベントで例外をスキップしている模様
・2chへのアクセス部分をクラス化している
汎用的なパーツを作っていることから、ウイルス作成は常習的である可能性がある スレタイ対応文字列が微妙に進化している件なのかどうかわからんが
ぅゎ ょぅち゛ょ っょぃ 7
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1135353845/
ょぅι"ょスレからの改変だが、「ょぅ」あたりで登録されてたのかも試練。
>431
常習的つってもなあ…二次でウイルス騒ぎ起きたのって記憶に無いぜ。
<個人的予想>ダウンロード板から来たんじゃないかと思う。</個人的予想> use MIME::Base64;
$hexs2 = decode_base64($encoded);
for ($i=0;$i<length($hexs2);$i++){
$ifix = $i + 1;
$c = substr($hexs2,$i,1);
$cu = unpack("C1",$c);
$ca = $cu ^ ($ifix % 255);
$hexs3 .= pack("C1",$ca);
}
$decoded = $hexs3;
print $decoded."\n";
>>432
じ,ジ,ジ,し゛,シ゛,ぢ,ヂ,ヂ,ち゛,チ゛,ι゛ を同一視してる
単純な偽装ではダメっぽ Mcafeeから対応の報告有りました。
前回と検出名は同様です。
また、TrendMicroも解析中との連絡を頂いております。 >>424
それとなくどっかで是非教えて欲しい・・・ ■ このスレッドは過去ログ倉庫に格納されています