★051211 半角二次元板ゴミクズ溜まり場報告スレ
■ このスレッドは過去ログ倉庫に格納されています
半角二次元板のスクリプト爆撃報告のスレ 特徴 ロリ、小学生、子供など、ロリコン系キーワードを含むタイトルのスレッドを 中心に爆撃するスクリプト、またはキンタマ亜種の可能性あり ◆報告の注意 http://info.2ch.net/wiki/pukiwiki.php?%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0 ◆書式 最新の書式はwikiを確認してください。 http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0 ・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。 ギコナビの症状はもうありませんが、 他のプログラムに影響を及ぼす可能性はありますか? >>371 Avast!とかPandaはどうなんでしょうか? 特に前者はfreeで日本語対応なことから、ユーザー数多いらしいんで。 >>373 Avast!・Pandaは現時点無反応。 自分で感染をチェックする方法はありますか? とりあえず>>353 の"おすすめ特別企画まちBBSチャットお絵かき運営案内ツール類他のサイト"の 文字列を全ドライブ検索はしてみたのですが・・・ >>375 現時点ではオンラインスキャンが最適。 文字列検索はこちらで解析した結果なので普通に検索しても見つかりません。 #デコンパイルとかUPX解除とか・・・ >>376 御回答ありがとうございます。(−人ー) 対応しているらしいのでシマンテックのオンライスキャンしてきます! 一応AntiLoチェッカー作ってみました。 ttp://www.geocities.jp/antiny_virus/ どう見ても急いで作ったようにしか思えませんが一応。 誤爆・バグ等ございましたらメールで。 ここは汚さないようにお願い致します そして、スレ汚しスマソorz > どう見ても急いで作ったようにしか思えませんが一応。 本当にありがとうございました。 >>371 英語版しかないAVGが既に対応してるのは意外だな… >>380 AVGは完全にウイルス定義に頼るタイプだったよね? TrendMicroから対応完了とのこと。 パターンファイル番号3.115.00〜で、検出名は「TROJ_UPCHAN.B」 現在ウイルスデータベースには掲載されていません。 というわけで、書き換え (前略) ・TrendMicro対応、TROJ_UPCHAN.Bにて検出 (後略) >>383 乙です! TrendMicro 3.117.00 で対応確認 straw2968.zip,(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTGU.exe 隔離完了 ただし、暗号化ZIPであるuporg265268.zipは放置 思うに、犯人は伊藤晴雨(萌え絵、ロリ絵が描けずに仕事の減ったエロ絵描き)ではないかと >>354 添付メールしました。 件名 AntiLo.exe亜種 本文 疑わしいファイルを送ります。 .exeを消しています。 (同人誌) [共月亭] 英国式魔法少女U.exe 328kB http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/270-n >>389 検体提供ありがとうございます。 今出張なのでちと、遅れるかもしれません 巻き添えはっけーん http://sakura03.bbspink.com/test/read.cgi/ascii2d/1130636356/652 2005/12/23 04:23:43 ID:igTwOVD6 652 名前:名無したん(;´Д`)ハァハァ[sage] 投稿日:2005/12/23 04:23:43 ID:igTwOVD6 共通IPだからな・・・vip規制の巻き添えでアニメ板に全く書き込めなくなったし、 同じ市内におかしなのが一人いるんだろう、多分 http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134312971/340 2005/12/23 04:27:50 ID:igTwOVD6 340 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:27:50 ID:igTwOVD6 さっ さ と子ね ク ズ http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134563784/203 2005/12/23 04:29:26 ID:igTwOVD6 203 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:29:26 ID:igTwOVD6 死ねキ モ オ タ http://sakura03.bbspink.com/test/read.cgi/ascii2d/1133708703/777 2005/12/23 04:30:48 ID:igTwOVD6 777 名前:名無したん(;´Д`)ハァハァ[] 投稿日:2005/12/23 04:30:48 ID:igTwOVD6 糞 乙 ww Calculating hash of 5083088 bytes file `fup54689.zip`... MD5 : 3A07F79A563CF347E28966470952D8DB CRC-32 : C29A93D3 Calculation took 0.156 seconds Calculating hash of 5083088 bytes file `viploader18080.zip`... MD5 : 3A07F79A563CF347E28966470952D8DB CRC-32 : C29A93D3 Calculation took 0.047 seconds 同じじゃん。 デバッガで復号された文字列を横取りしたので報告。 ttp://www.vipper.org/vip163191.txt.html 所見: ○正規表現で "ロリ、小・中学、幼児、幼女、幼稚、ようじょ、子供、こども、 ランドセル、すじ、わはー、カスミン、さくら、コメット、 おジャ、どれみ、クレヨン王国、ふたご姫、ナージャ、 リリカルなのは、ガッシュ" 以上にマッチングするスレがターゲット ○偽装用UAとみられる文字列が増加 ギコナビ・Jane2ch・ホットゾヌを偽称するようだ やっぱり新種が出てきたか。 回避策でスレタイ変えたスレに 新規対応してるところといい、「暇人 乙 www」としか言いようがない。 というか引っかかってexe踏む香具師もアホだよな… ここでおいらが犯人の特徴を大胆予想! 1.拡張子を表示していない。 2.ウイルスバスターを使っている。 間違いない 件のファイル入手したので手持ちのキングソフトで確認。 検出されなかったので検体提供。 AVGもまだ検出されません。 解析している皆さま本当にお疲れ様です。 また、検体提供を行っている方々もGJです。 #漏れは出先なもんで処理ができない。スマソ 旧スレにも書きましたが、とりあえずKingsoftに検体提供。(EXEファイルのみを圧縮) >>400 改良が行われてるだけで前回とほぼ同じ 変更点 ・使われる単語が増えた ・単語等がmime64のような形で格納 ・UAは3つ用意されていて数値部分(Version)はランダム ・ウィルスが入ったファイルのアップ場所が二ヶ所になった (削除対策?) >>392 ウイルスのファイルを宣伝しまくってるこのID:MfMQ2k9dが作者本人か、 と思うのは短絡的かな。 マルチしまくってるし、その可能性も否定できないな。 ・・・作者が自ら「このファイルはウイルス入りだよ」と教える意味がわからんのだが そこから情報を得て、無関係なスレに転載する香具師もいるかもしれん。 このスレの人たち凄い。。 俺にはちんぷんかんぷんだ。 >>392 ,404-407 向こうの794でも言ってる人がいたけど、ウイルス作者がスクリプト のライト版を使ってマルチしたのかもね。 >>403 んじゃぁアンチ炉チェッカーで検出できるかな。。。 そのへん出かけから帰ったら調べますわ。 とりあえず今日は各社に提出しておきます。 >>411 一応KINGSOFTには提出しました。 にしても・・・こうも簡単に亜種が出てくるとは・・・恐ろしいものです。 >>412 作った犯人はソース持ってんだし、いくらでも作れるんだろうね。 まさにいたちごっこ。 早く逮捕までこぎつけないと終わらないと思う。 ウィルス作ってバラまく行為って、日本の法律で取り締まれるんだっけ? 電子計算機損壊とかになるのかな。 >>413 ほれ。 情報処理推進機構:セキュリティセンター:ウイルス関連FAQ ttp://www.ipa.go.jp/security/virus/faq/qa_a.html#7-2 >>414 電子計算機損壊になるかとずっと思っていたが、これ見る限りだと作ろうと 配布しようと法には触れないってことなの? ロダとかは勝手に落した結果感染しましたとかだから、完全にアウトじゃなく グレーゾーンになっちゃうのかな。 でもウイルスってどんなソフトよりも簡単に作れそうなのは俺が何も知らないから? >395 \|/学生の工口り画像を集めるスレ19\|/ ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1134400975/ ここでも爆撃中…はて?「学」?「学生」??もしかして「工口(こうくち)」??? どれみスレでもスレタイ改変。ここもターゲットになるようなら相当積極的なウイルス作者。 お,ジ.ャ・魔'女-ど_れ−み @半角虹板 part25 ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1135443483/ かなりヲチしてるんじゃないだろうか、犯人 ウイルス便乗なのか、本当にウイルスなのか分からないけど、正規表現が徐々に成長しつつあるなw 二次板を「学」と「学生」で検索したところ、「学」だけで被害のある板はありません。 「工口」は…なんとこんなスレタイで今のところ無事なスレが。 (閲覧注意。ノートン誤動作ラブレタースクリプトの一部が貼られてます) 小學六・五年生の工口画像 その2 http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134635475/ というわけで「学生」が加えられてる模様。 年末のこの時期にヒマなウイルス作者… なんかもう哀れみさえ感じてきたwww OpenJane正規表現NGワード4段重ねで全駆除できたが ここに検索条件貼ったりしたらすぐに亜種が出てきそうだ つか、エロ画像欲しさにフォルダ偽装exe踏むって、どんだけマヌケなんだよボケどもが >>424 このウィルス、ちょっと本質的にヤバいんだよ。 ってのが、今でこそ書き込みを煽るだけの内容なんだが、 そのうち政治家の誰それを殺すとかいう亜種が間違いなく出てくる。 そうすれば「2chがなければ犯罪予告も効果はなくなる」という主張が 大手を振って出てくる。 おまけに、エロ画像に偽装した.exeを踏んだという後ろめたさから、 感染者も言い出しにくいし調べにくい。 スクリプト荒らしのとき同様今回も釣りスレが結構立ったが、 今回ほとんど、しかもいきなり消えてるだろ?2chの運営陣が このヤバさに気付いてるからだ。自分たちとしては対処は してますよというアリバイ作りに必死になってるのさ。 そういう場合、ばら撒いたやつの方がヤバイだろうね 釣りスレは鯖の負荷増大を招くだけなので消してるのだろう >>415 グレーの場合でも、場合によっては黒になるかもしれないから 疑われるような事はしないほうがいいね。 まだ、2ch内で収まってるけど、他の掲示板などに被害が及んだら 只じゃすまないだろうね。 >>426 面白がって、ばら撒いてる人も共犯だから。 ヤバイね。 >>428 ROのそれは前からあったような気がするけど・・・ 暗号化文字列の詳細が判明したので報告。 文字列は以下の手順で解読できます。 1. 暗号化文字列をBASE64でデコードする 2. このとき、手順1でデコードした文字列をループで舐めながら 暗号化を解いていく。 [復号化の方法] 文字列のインデックスを255で割った余りと文字コードとのxorをとる。 0x48A02Dあたりに復号ルーチンがあります。 サンプルコードを以下に示します。 var Buf : String; i : Integer; begin // Base64デコード Buf := IdDecoderMime1.DecodeString(Edit1.Text); // xor 暗号化を解く for i := 1 to Length(Buf) do begin Buf[i] := char(byte(Buf[i]) xor (i mod 255)); end; Memo1.Text := Buf; end; あと、気付いたこと。 ・タスクマネージャを使用不可にする模様。 (HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System に DisableTaskMgr=1 を書き込んでいる) ・エラーが一切出ない TApplicationEvents.OnException イベントで例外をスキップしている模様 ・2chへのアクセス部分をクラス化している 汎用的なパーツを作っていることから、ウイルス作成は常習的である可能性がある スレタイ対応文字列が微妙に進化している件なのかどうかわからんが ぅゎ ょぅち゛ょ っょぃ 7 http://sakura03.bbspink.com/test/read.cgi/ascii2d/1135353845/ ょぅι"ょスレからの改変だが、「ょぅ」あたりで登録されてたのかも試練。 >431 常習的つってもなあ…二次でウイルス騒ぎ起きたのって記憶に無いぜ。 <個人的予想>ダウンロード板から来たんじゃないかと思う。</個人的予想> use MIME::Base64; $hexs2 = decode_base64($encoded); for ($i=0;$i<length($hexs2);$i++){ $ifix = $i + 1; $c = substr($hexs2,$i,1); $cu = unpack("C1",$c); $ca = $cu ^ ($ifix % 255); $hexs3 .= pack("C1",$ca); } $decoded = $hexs3; print $decoded."\n"; >>432 じ,ジ,ジ,し゛,シ゛,ぢ,ヂ,ヂ,ち゛,チ゛,ι゛ を同一視してる 単純な偽装ではダメっぽ Mcafeeから対応の報告有りました。 前回と検出名は同様です。 また、TrendMicroも解析中との連絡を頂いております。 >>424 それとなくどっかで是非教えて欲しい・・・ >424 黙ってても亜種が出るのは避けられないと思われ。 ウイルス厨はスレ巡回してるみたいだから、 偽装スレタイなども全部伏せようが伏せまいが同じじゃないだろうか?(若干寿命は延びるかも知れんが) 実際亜種作りはそれほど難しくないみたいだね 知識があれば厨房でも充分可能といったとこか 亜種が出てこないことを祈るばかりだなぁ 亜種っていうか、ソースの改良なら簡単でしょ。 犯人同一の可能性高そうだし。 ちゃちゃーっと語彙増やしたりして、F5叩くだけ >>441 バイナリからでも対処スレ文字列を変更できるっていうこと 暗号化のルーチンさえ考えつけば >>443 そゆこと このスレで複合化ルーチンの出てきたしね ただ暗号化後の対象スレ文字列データベースサイズが元exeの対象スレ文字列データベースと同じサイズじゃないといけないって言う制約があったと思う そのサイズが違うとその後の展開されるメモリ上の位置が変わるから。だったっけ? ゴメンよく覚えてない でも効果的なのは逆汗防ぐよりも面白がってウイルスを広めさせない事だな。 犯人に便乗して、いろんなスレに書き込む香具師も出てくるだろうし、季節的にも >>445 確かに冬厨に便乗されるのは怖いなぁ あいつら馬鹿だからこういうことには食いつきが早い >>446 補足THX さっさ と 解 決 しろ ゴ ミ クズ ど も w w w 何百レスもしてるスクリプト荒らしの実行犯は野放しなのに、 たった1レスでアク禁てwww >>436 それはどうかな? 滅茶苦茶スレは今のところ爆撃を免れている訳だが。 >>453 >滅茶苦茶スレは今のところ爆撃を免れている訳 スレタイをここに書け >>454 これでそ ょぅι゙ょが滅茶苦茶に犯されてる画像は六倍萌える http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134664638/ #滅茶苦茶で検索したら出てくるものを書けというのは流石にいかがなものかと・・・ >>455 詳しい事は書かないけど 同一視リストに入ってないやつを使って回避してる 苺5のup3941.zip「Lolita Complex 8,9 3.5MB」にLolita Complex9.exeが入ってました。 >>457 BitDefender Found BehavesLike:Trojan.TaskDisabler (probable variant) ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found Backdoor.Delf.13 (probable variant) >>457 少し調べてみました。 ・例のウイルスの亜種と思われる ・語彙が増えている(グロ画像?と思われるアドレスを貼る等する模様) ・ターゲットスレを決定する正規表現がパワーアップ↓ (ロ[ ..,,・・__-−~〜||’'//"”]*リ)|([小|中][ ..,,・・__-−~〜||’'//" ”]*学)|(幼[ ..,,・・__-−~〜||’'//"”]*[児|女|稚])|(子[ ..,,・・__-−~ 〜||’'//"”]*供)|(す[ ..,,・・__-−~〜||’'//"”]*じ)|(こ[ ..,,・・__- −~〜||’'//"”]*ど[ ..,,・・__-−~〜||’'//"”]*も)|(わ[ ..,,・・__-− ~〜||’'//"”]*は[ ..,,・・__-−~〜||’'//"”]*ー)|(さ[ ..,,・・__-−~ 〜||’'//"”]*く[ ..,,・・__-−~〜||’'//"”]*ら)|(お.*ジ.*ャ)|(ど[ ..,,・・__-−~〜||’'//"”]*れ[ ..,,・・__-−~〜||’'//"”]*み)|(よ.*う. *じ.*ょ)|(カ.*ス.*ミ.*ン)|(コ.*メ.*ッ.*ト)|(ふ.*た.*ご.*姫)|(ナ.*ー.*ジ.*ャ)|(ガ.* ッ.*シ.*ュ)|(苺.*ま.*し.*ま.*ろ)|(ラ.*ン.*ド.*セ.*ル)|(ク.*レ.*ヨ.*ン.*王.*国)|(リ. *リ.*カ.*ル.*な.*の.*は)|(k.*o.*d.*o.*m.*o) ・VIPろだ(ttp://up.viploader.net/mini/upload.cgi)に何らかのアップロードを仕掛ける模様 従来型より危険な感じですね。。 とりあえずシマンテックに通報しておきました。 >>457 削除依頼しました。 シマンテックに該当ファイルを送りました。 >>459 ケコ━━━━(・∀・)人(・∀・)━━━━ン >>437 検体送りました。 TrendMicroとMcafeeに検体を送信しました。 >>459 解析マジ乙です。 作者も相当暇なんだなあwww 苺ましまろにガッシュか。いずれショタにも被害が及びそうだ。 行く行くは虹板の大半のスレをターゲットにして鯖ごとぶっ殺すつもりか。 >>461 ヽ(´ー`)ノ >>462 お褒め頂き光栄でつ(〃▽〃) こちらこそ、いつも応援しております〜 んー・・・ウイルスの潜伏先は相変わらずだなぁ。 またANTILOチェッカーで検出できました。(仮想マシン上で。) しかし、ここまで正規表現を拡張して頑張る作者はじめて見た。 なんかあったのかなぁ。 >>459 わざわざ.にしたり[]を使ったりと几帳面ですね。 >>463 既に某ショタスレでは被害が出てたり… >>465 ロリ本がママにバレて怒られちゃったんじゃ。 >>466 ロリショタ? すげぇ正規表現だなww 暇だねぇ・・・としか言いようがない 三発目ウイルス続報。 ・VIPろだに送りつけるファイルは自分自身(ウイルス)をZIP圧縮したもの。 カレントフォルダ?に拡張子のみのファイル「.zip」を作成する。 ZIP圧縮には zip32.dll および zip32j.dll を動的リンクにて用いている模様。 ・何のためにこのようなアップを行うのかは現時点では不明。 仮に拡散目的であれば、アップされたウイルスのアドレスが貼られる等の被害が 今後発生する恐れがあり、警戒が必要。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる