★051211 半角二次元板ゴミクズ溜まり場報告スレ

**名無しの報告** · 2005/12/11(日) 19:45:29

半角二次元板のスクリプト爆撃報告のスレ

特徴
ロリ、小学生、子供など、ロリコン系キーワードを含むタイトルのスレッドを
中心に爆撃するスクリプト、またはキンタマ亜種の可能性あり

◆報告の注意
　http://info.2ch.net/wiki/pukiwiki.php?%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0

◆書式
　最新の書式はwikiを確認してください。
　http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0
　・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。

**某所の人** ◆Y39/vakKjY · 2005/12/19(月) 19:03:14

>>375
現時点ではオンラインスキャンが最適。
文字列検索はこちらで解析した結果なので普通に検索しても見つかりません。

#デコンパイルとかUPX解除とか・・・

**名無しの報告** · 2005/12/19(月) 19:12:40

>>376
御回答ありがとうございます。（－人ー）
対応しているらしいのでシマンテックのオンライスキャンしてきます！

**某所の人** ◆Y39/vakKjY · 2005/12/20(火) 01:10:21

一応AntiLoチェッカー作ってみました。
ttp://www.geocities.jp/antiny_virus/
どう見ても急いで作ったようにしか思えませんが一応。
誤爆・バグ等ございましたらメールで。
ここは汚さないようにお願い致します
そして、スレ汚しｽﾏｿorz

**名無しの報告** · 2005/12/20(火) 05:41:48

> どう見ても急いで作ったようにしか思えませんが一応。
本当にありがとうございました。

**名無しの報告** · 2005/12/20(火) 20:27:26

>>371
英語版しかないAVGが既に対応してるのは意外だな…

**名無しの報告** · 2005/12/20(火) 21:50:47

ウイルス作者はショタコンじゃないのかな？ｗ

[ ＾ω＾] **名無しの報告** · 2005/12/20(火) 21:58:21

>>380
AVGは完全にウイルス定義に頼るタイプだったよね？

**某所の人** ◆Y39/vakKjY · 2005/12/20(火) 22:08:13

TrendMicroから対応完了とのこと。
パターンファイル番号3.115.00～で、検出名は｢TROJ_UPCHAN.B｣
現在ウイルスデータベースには掲載されていません。
というわけで、書き換え
(前略)
・TrendMicro対応、TROJ_UPCHAN.Bにて検出
(後略)

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>383
乙です！

UPCHAN.Bかぁ。。。

**名無しの報告** · 2005/12/21(水) 12:40:47

>>383
乙です！
TrendMicro 3.117.00 で対応確認
straw2968.zip,(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTGⅡ.exe 隔離完了
ただし、暗号化ZIPであるuporg265268.zipは放置
思うに、犯人は伊藤晴雨(萌え絵、ロリ絵が描けずに仕事の減ったエロ絵描き)ではないかと

**名無しの報告** · 2005/12/21(水) 14:58:14

>>385
故人だし…って、もしかして隠語？

**名無しの報告** · 2005/12/22(木) 20:11:58

再発したっぽいですね。

**名無しの報告** · 2005/12/22(木) 20:29:37

★051211 半角二次元板ゴミクズ溜まり場報告スレ２
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/

[ ＾ω＾] **ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>354
添付メールしました。
件名
AntiLo.exe亜種

本文
疑わしいファイルを送ります。
.exeを消しています。
(同人誌) [共月亭] 英国式魔法少女Ⅱ.exe
328kB
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/270-n

**某所の人** ◆Y39/vakKjY · 2005/12/23(金) 11:54:17

>>389
検体提供ありがとうございます。
今出張なのでちと、遅れるかもしれません

**名無しの報告** · 2005/12/23(金) 12:21:05

巻き添えはっけーん
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1130636356/652 2005/12/23 04:23:43 ID:igTwOVD6
652 名前：名無したん(;´Д｀)ﾊｧﾊｧ[sage] 投稿日：2005/12/23 04:23:43 ID:igTwOVD6
共通IPだからな・・・vip規制の巻き添えでアニメ板に全く書き込めなくなったし、
同じ市内におかしなのが一人いるんだろう、多分

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134312971/340 2005/12/23 04:27:50 ID:igTwOVD6
340 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:27:50 ID:igTwOVD6
さっ　さと子ねクズ

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134563784/203 2005/12/23 04:29:26 ID:igTwOVD6
203 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:29:26 ID:igTwOVD6
　死ねキモオタ　

http://sakura03.bbspink.com/test/read.cgi/ascii2d/1133708703/777 2005/12/23 04:30:48 ID:igTwOVD6
777 名前：名無したん(;´Д｀)ﾊｧﾊｧ[] 投稿日：2005/12/23 04:30:48 ID:igTwOVD6
糞乙ｗw

**名無しの報告** · 2005/12/23(金) 14:33:34

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>390
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/297-n
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1122336330/801-802n
送りました。

**名無しの報告** · 2005/12/23(金) 15:12:36

Calculating hash of 5083088 bytes file `fup54689.zip`...

MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3

Calculation took 0.156 seconds

Calculating hash of 5083088 bytes file `viploader18080.zip`...

MD5 : 3A07F79A563CF347E28966470952D8DB
CRC-32 : C29A93D3

Calculation took 0.047 seconds
同じじゃん。

**名無しの報告** · 2005/12/23(金) 18:28:26

デバッガで復号された文字列を横取りしたので報告。
ttp://www.vipper.org/vip163191.txt.html

所見：
○正規表現で
　"ロリ、小・中学、幼児、幼女、幼稚、ようじょ、子供、こども、
　ランドセル、すじ、わはー、カスミン、さくら、コメット、
　おジャ、どれみ、クレヨン王国、ふたご姫、ナージャ、
　リリカルなのは、ガッシュ"
　以上にマッチングするスレがターゲット

○偽装用UAとみられる文字列が増加
　ギコナビ・Jane2ch・ホットゾヌを偽称するようだ

**名無しの報告** · 2005/12/23(金) 18:31:41

やっぱり新種が出てきたか。　回避策でスレタイ変えたスレに
新規対応してるところといい、「暇人乙ｗｗｗ」としか言いようがない。

というか引っかかってexe踏む香具師もアホだよな…

**名無しの報告** · 2005/12/23(金) 19:01:09

犯人はかちゅ使い、は単純すぎる考えか

[ ＾ω＾] **名無しの報告** · 2005/12/23(金) 19:15:59

ここでおいらが犯人の特徴を大胆予想！

1.拡張子を表示していない。
2.ウイルスバスターを使っている。

間違いない

**半角五右衛門** · 2005/12/23(金) 19:22:19

件のファイル入手したので手持ちのキングソフトで確認。
検出されなかったので検体提供。
AVGもまだ検出されません。

**某所の人** ◆Y39/vakKjY · 2005/12/23(金) 20:22:23

解析している皆さま本当にお疲れ様です。
また、検体提供を行っている方々もGJです。
#漏れは出先なもんで処理ができない。ｽﾏｿ

**半角五右衛門** · 2005/12/23(金) 20:28:37

旧スレにも書きましたが、とりあえずKingsoftに検体提供。（EXEファイルのみを圧縮）

**半角五右衛門** · 2005/12/23(金) 20:30:13

ってここ旧スレだった・・・

**名無しの報告** · 2005/12/23(金) 20:36:47

>>400
改良が行われてるだけで前回とほぼ同じ

変更点
・使われる単語が増えた
・単語等がmime64のような形で格納
・ＵＡは３つ用意されていて数値部分(Version)はランダム

・ウィルスが入ったファイルのアップ場所が二ヶ所になった (削除対策?)

**名無しの報告** · 2005/12/23(金) 20:41:15

>>392
ウイルスのファイルを宣伝しまくってるこのID:MfMQ2k9dが作者本人か、
と思うのは短絡的かな。

**名無しの報告** · 2005/12/23(金) 21:55:19

マルチしまくってるし、その可能性も否定できないな。

**名無しの報告** · 2005/12/23(金) 22:03:33

･･･作者が自ら「このファイルはウイルス入りだよ」と教える意味がわからんのだが

**名無しの報告** · 2005/12/23(金) 22:10:13

そこから情報を得て、無関係なスレに転載する香具師もいるかもしれん。

**名無しの報告** · 2005/12/23(金) 22:44:17

このスレの人たち凄い。。
俺にはちんぷんかんぷんだ。

**名無しの報告** · 2005/12/23(金) 23:04:03

解らないなら黙っておきな

**名無しの報告** · 2005/12/24(土) 00:29:25

>>392,404-407
向こうの794でも言ってる人がいたけど、ウイルス作者がスクリプト
のライト版を使ってマルチしたのかもね。

◆Y39/vakKjY · 2005/12/24(土) 12:06:28

>>403
んじゃぁアンチ炉チェッカーで検出できるかな。。。
そのへん出かけから帰ったら調べますわ。
とりあえず今日は各社に提出しておきます。

**半角五右衛門** · NG

>>411

一応KINGSOFTには提出しました。
にしても・・・こうも簡単に亜種が出てくるとは・・・恐ろしいものです。

**名無しの報告** · 2005/12/25(日) 00:16:58

>>412
作った犯人はソース持ってんだし、いくらでも作れるんだろうね。
まさにいたちごっこ。
早く逮捕までこぎつけないと終わらないと思う。

ウィルス作ってバラまく行為って、日本の法律で取り締まれるんだっけ？
電子計算機損壊とかになるのかな。

**名無しの報告** · 2005/12/25(日) 03:08:37

>>413
ほれ。

情報処理推進機構：セキュリティセンター：ウイルス関連ＦＡＱ
ttp://www.ipa.go.jp/security/virus/faq/qa_a.html#7-2

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 03:19:39

>>414
電子計算機損壊になるかとずっと思っていたが、これ見る限りだと作ろうと
配布しようと法には触れないってことなの？

ロダとかは勝手に落した結果感染しましたとかだから、完全にアウトじゃなく
グレーゾーンになっちゃうのかな。

でもウイルスってどんなソフトよりも簡単に作れそうなのは俺が何も知らないから？

**名無しの報告** · 2005/12/25(日) 03:25:35

＞395
＼｜／学生の工口り画像を集めるスレ19＼｜／
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1134400975/

ここでも爆撃中…はて？「学」？「学生」？？もしかして「工口（こうくち）」？？？

どれみスレでもスレタイ改変。ここもターゲットになるようなら相当積極的なウイルス作者。
お,ジ.ャ・魔'女-ど_れ－み　@半角虹板 part25
ttp://sakura03.bbspink.com/test/read.cgi/ascii2d/1135443483/

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 03:34:15

かなりヲチしてるんじゃないだろうか、犯人

ウイルス便乗なのか、本当にウイルスなのか分からないけど、正規表現が徐々に成長しつつあるなw

**名無しの報告** · 2005/12/25(日) 03:41:15

二次板を「学」と「学生」で検索したところ、「学」だけで被害のある板はありません。

「工口」は…なんとこんなスレタイで今のところ無事なスレが。
（閲覧注意。ノートン誤動作ラブレタースクリプトの一部が貼られてます）
小學六・五年生の工口画像　その2
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134635475/

というわけで「学生」が加えられてる模様。

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 03:58:39

なんか某トナメを思い出した。

**名無しの報告** · 2005/12/25(日) 04:11:46

「口り」の可能性はないの？

**名無しの報告** · 2005/12/25(日) 04:15:52

>420
それはありうるです

**名無しの報告** · 2005/12/25(日) 04:55:55

年末のこの時期にヒマなウイルス作者…
なんかもう哀れみさえ感じてきたｗｗｗ

**名無しの報告** · 2005/12/25(日) 07:23:39

？

**名無しの報告** · 2005/12/25(日) 09:13:23

OpenJane正規表現NGワード４段重ねで全駆除できたが
ここに検索条件貼ったりしたらすぐに亜種が出てきそうだ

つか、エロ画像欲しさにフォルダ偽装exe踏むって、どんだけマヌケなんだよボケどもが

**マヌケはマヌケだけども** · 2005/12/25(日) 10:19:25

>>424
このウィルス、ちょっと本質的にヤバいんだよ。

ってのが、今でこそ書き込みを煽るだけの内容なんだが、
そのうち政治家の誰それを殺すとかいう亜種が間違いなく出てくる。
そうすれば「2chがなければ犯罪予告も効果はなくなる」という主張が
大手を振って出てくる。

おまけに、エロ画像に偽装した.exeを踏んだという後ろめたさから、
感染者も言い出しにくいし調べにくい。

スクリプト荒らしのとき同様今回も釣りスレが結構立ったが、
今回ほとんど、しかもいきなり消えてるだろ？2chの運営陣が
このヤバさに気付いてるからだ。自分たちとしては対処は
してますよというアリバイ作りに必死になってるのさ。

**名無しの報告** · 2005/12/25(日) 11:15:05

そういう場合、ばら撒いたやつの方がヤバイだろうね
釣りスレは鯖の負荷増大を招くだけなので消してるのだろう

**名無しの報告** · 2005/12/25(日) 14:38:43

>>415
グレーの場合でも、場合によっては黒になるかもしれないから
疑われるような事はしないほうがいいね。
まだ、２ｃｈ内で収まってるけど、他の掲示板などに被害が及んだら
只じゃすまないだろうね。

>>426
面白がって、ばら撒いてる人も共犯だから。
ヤバイね。

**名無しの報告** · 2005/12/25(日) 15:30:14

>>425
もう出てるよ
PCユーザ名とメルアド晒して爆破予告
http://game10.2ch.net/test/read.cgi/mmosaloon/1124645293/395

※マリンスフィアーってのはガンホーのゲームに出てくる機雷型モンスター

**名無しの報告** · 2005/12/25(日) 15:55:31

>>428
ROのそれは前からあったような気がするけど・・・

**395** · 2005/12/25(日) 16:02:18

暗号化文字列の詳細が判明したので報告。

文字列は以下の手順で解読できます。

1. 暗号化文字列をBASE64でデコードする
2. このとき、手順1でデコードした文字列をループで舐めながら
　暗号化を解いていく。

[復号化の方法]
　文字列のインデックスを255で割った余りと文字コードとのxorをとる。
　0x48A02Dあたりに復号ルーチンがあります。

サンプルコードを以下に示します。
var
Buf : String;
i : Integer;
begin
// Base64デコード
Buf := IdDecoderMime1.DecodeString(Edit1.Text);

// xor 暗号化を解く
for i := 1 to Length(Buf) do
begin
Buf[i] := char(byte(Buf[i]) xor (i mod 255));
end;

Memo1.Text := Buf;
end;

**395** · 2005/12/25(日) 16:23:48

あと、気付いたこと。

・タスクマネージャを使用不可にする模様。
　(HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System に
　DisableTaskMgr=1 を書き込んでいる)

・エラーが一切出ない
　TApplicationEvents.OnException イベントで例外をスキップしている模様

・2chへのアクセス部分をクラス化している
　汎用的なパーツを作っていることから、ウイルス作成は常習的である可能性がある

**名無しの報告** · 2005/12/25(日) 16:41:24

スレタイ対応文字列が微妙に進化している件なのかどうかわからんが

ぅゎょぅち゛ょっょぃ 7
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1135353845/

ょぅι"ょスレからの改変だが、「ょぅ」あたりで登録されてたのかも試練。

>431
常習的つってもなあ…二次でウイルス騒ぎ起きたのって記憶に無いぜ。
<個人的予想>ダウンロード板から来たんじゃないかと思う。</個人的予想>

**名無しの報告** · 2005/12/25(日) 17:05:55

use MIME::Base64;

$hexs2 = decode_base64($encoded);
for ($i=0;$i<length($hexs2);$i++){
$ifix = $i + 1;
$c = substr($hexs2,$i,1);
$cu = unpack("C1",$c);
$ca = $cu ^ ($ifix % 255);
$hexs3 .= pack("C1",$ca);
}
$decoded = $hexs3;
print $decoded."\n";

**名無しの報告** · 2005/12/25(日) 17:06:06

Σ（・ω・｀ﾉ）ﾉ !?

**名無しの報告** · 2005/12/25(日) 17:07:35

>>432
苺きんたま

**名無しの報告** · 2005/12/25(日) 17:30:50

>>432
じ,ジ,ｼﾞ,し゛,シ゛,ぢ,ヂ,ﾁﾞ,ち゛,チ゛,ι゛　を同一視してる
単純な偽装ではダメっぽ

**某所の人** ◆Y39/vakKjY · 2005/12/25(日) 18:14:01

Mcafeeから対応の報告有りました。
前回と検出名は同様です。
また、TrendMicroも解析中との連絡を頂いております。

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 20:02:46

>>424
それとなくどっかで是非教えて欲しい･･･

**名無しの報告** · 2005/12/25(日) 20:41:34

>424
黙ってても亜種が出るのは避けられないと思われ。
ウイルス厨はスレ巡回してるみたいだから、
偽装スレタイなども全部伏せようが伏せまいが同じじゃないだろうか？（若干寿命は延びるかも知れんが）

**名無しの報告** · 2005/12/25(日) 20:47:27

実際亜種作りはそれほど難しくないみたいだね
知識があれば厨房でも充分可能といったとこか

亜種が出てこないことを祈るばかりだなぁ

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 20:50:09

亜種っていうか、ソースの改良なら簡単でしょ。
犯人同一の可能性高そうだし。

ちゃちゃーっと語彙増やしたりして、F5叩くだけ

**名無しの報告** · 2005/12/25(日) 20:52:07

>>441
バイナリからでも対処スレ文字列を変更できるっていうこと
暗号化のルーチンさえ考えつけば

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 21:01:42

>>442
なるほど

逆汗大歓迎ってやつか

**名無しの報告** · 2005/12/25(日) 21:06:26

>>443
そゆこと

このスレで複合化ルーチンの出てきたしね
ただ暗号化後の対象スレ文字列データベースサイズが元exeの対象スレ文字列データベースと同じサイズじゃないといけないって言う制約があったと思う

そのサイズが違うとその後の展開されるメモリ上の位置が変わるから。だったっけ？
ゴメンよく覚えてない

[ ＾ω＾] **名無しの報告** · 2005/12/25(日) 21:10:14

でも効果的なのは逆汗防ぐよりも面白がってウイルスを広めさせない事だな。
犯人に便乗して、いろんなスレに書き込む香具師も出てくるだろうし、季節的にも

**名無しの報告** · 2005/12/25(日) 21:11:50

>>444
同じサイズかそれ以下ならＯＫ

**名無しの報告** · 2005/12/25(日) 21:13:34

>>445
確かに冬厨に便乗されるのは怖いなぁ
あいつら馬鹿だからこういうことには食いつきが早い

>>446
補足THX

**名無しの報告** · 2005/12/25(日) 22:31:51

さっさと解決しろゴミクズどもｗｗｗ

**名無しの報告** · 2005/12/25(日) 23:47:16

◆書式
　最新の書式はwikiを確認してください。
　http://info.2ch.net/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0
　・書式を合わせて報告して下さい。フォーマットに沿っていないと原則スルーです。

◆報告書式 ※専用スレの為カニさんコースでお願いします。
名前：＊＊＊ ←（名前を記入）
数：100
http://aa5.2ch.net/test/read.cgi/aastory/1234567890/123 2005/05/20 05:07:33 ID:abcdefgh
http://aa5.2ch.net/test/read.cgi/aastory/1234567894/456 2005/05/20 05:09:01 ID:ijklmnop
http://aa5.2ch.net/test/read.cgi/aastory/1234567895/789 2005/05/20 05:09:22 ID:qrstuvwx
http://aa5.2ch.net/test/read.cgi/aastory/1234567896/123 2005/05/20 05:09:54 ID:abcdefgh
http://aa5.2ch.net/test/read.cgi/aastory/1234567897/456 2005/05/20 05:10:15 ID:ijklmnop
http://aa5.2ch.net/test/read.cgi/aastory/1234567898/789 2005/05/20 05:10:38 ID:qrstuvwx
http://aa5.2ch.net/test/read.cgi/aastory/1234567899/123 2005/05/20 05:11:02 ID:abcdefgh ←（レス番URL）

※時系列で報告して下さい。
※曜日表示は消して報告して下さい。
※報告１レスあたり、指定するURLは10個程度迄、それ以上は分割して下さい。

◆特長
スレに関係ない虐殺AA・コピペ

◆継続性
2ヶ月前に発生

**名無しの報告** · 2005/12/25(日) 23:47:48

誤爆スマソ

**名無しの報告** · 2005/12/26(月) 01:45:55

>>448は便乗犯。アク禁よろ

**名無しの報告** · 2005/12/26(月) 02:17:30

何百レスもしてるスクリプト荒らしの実行犯は野放しなのに、
たった1レスでアク禁てｗｗｗ

**名無しの報告** · 2005/12/26(月) 06:33:44

>>436
それはどうかな？　滅茶苦茶スレは今のところ爆撃を免れている訳だが。

**名無しの報告** · 2005/12/26(月) 07:31:05

>>453
>滅茶苦茶スレは今のところ爆撃を免れている訳
スレタイをここに書け

**名無しの報告** · 2005/12/26(月) 07:47:59

>>454
これでそ
ょぅιﾞょが滅茶苦茶に犯されてる画像は六倍萌える
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134664638/

#滅茶苦茶で検索したら出てくるものを書けというのは流石にいかがなものかと・・・

**名無しの報告** · 2005/12/26(月) 08:20:58

>>455
詳しい事は書かないけど
同一視リストに入ってないやつを使って回避してる

**名無しの報告** · 2005/12/26(月) 17:35:09

苺5のup3941.zip「Lolita Complex 8,9 3.5MB」にLolita Complex9.exeが入ってました。

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>457

BitDefender Found BehavesLike:Trojan.TaskDisabler (probable variant)
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Backdoor.Delf.13 (probable variant)

**395** · 2005/12/26(月) 18:02:33

>>457
少し調べてみました。

・例のウイルスの亜種と思われる
・語彙が増えている（グロ画像？と思われるアドレスを貼る等する模様）
・ターゲットスレを決定する正規表現がパワーアップ↓
(ロ[ 　.．,，･・_＿-－~～|｜’'/／"”]*リ)|([小|中][ 　.．,，･・_＿-－~～|｜’'/／"
”]*学)|(幼[ 　.．,，･・_＿-－~～|｜’'/／"”]*[児|女|稚])|(子[ 　.．,，･・_＿-－~
～|｜’'/／"”]*供)|(す[ 　.．,，･・_＿-－~～|｜’'/／"”]*じ)|(こ[ 　.．,，･・_＿-
－~～|｜’'/／"”]*ど[ 　.．,，･・_＿-－~～|｜’'/／"”]*も)|(わ[ 　.．,，･・_＿-－
~～|｜’'/／"”]*は[ 　.．,，･・_＿-－~～|｜’'/／"”]*ー)|(さ[ 　.．,，･・_＿-－~
～|｜’'/／"”]*く[ 　.．,，･・_＿-－~～|｜’'/／"”]*ら)|(お.*ジ.*ャ)|(ど[
　.．,，･・_＿-－~～|｜’'/／"”]*れ[ 　.．,，･・_＿-－~～|｜’'/／"”]*み)|(よ.*う.
*じ.*ょ)|(カ.*ス.*ミ.*ン)|(コ.*メ.*ッ.*ト)|(ふ.*た.*ご.*姫)|(ナ.*ー.*ジ.*ャ)|(ガ.*
ッ.*シ.*ュ)|(苺.*ま.*し.*ま.*ろ)|(ラ.*ン.*ド.*セ.*ル)|(ク.*レ.*ヨ.*ン.*王.*国)|(リ.
*リ.*カ.*ル.*な.*の.*は)|(k.*o.*d.*o.*m.*o)

・VIPろだ(ttp://up.viploader.net/mini/upload.cgi)に何らかのアップロードを仕掛ける模様

従来型より危険な感じですね。。
とりあえずシマンテックに通報しておきました。

[ ＾ω＾] **名無しの報告** · 2005/12/26(月) 18:06:10

製作者もかなり本気だねぇ。

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>457
削除依頼しました。
シマンテックに該当ファイルを送りました。

>>459
ｹｺ━━━━(・∀・)人(・∀・)━━━━ﾝ

>>437
検体送りました。

**某所の人** ◆Y39/vakKjY · 2005/12/26(月) 18:27:02

TrendMicroとMcafeeに検体を送信しました。

>>459
解析マジ乙です。

**名無しの報告** · 2005/12/26(月) 18:32:59

作者も相当暇なんだなあｗｗｗ
苺ましまろにガッシュか。いずれショタにも被害が及びそうだ。
行く行くは虹板の大半のスレをターゲットにして鯖ごとぶっ殺すつもりか。

**395** · 2005/12/26(月) 18:36:41

>>461
ヽ(´ー`)ノ

>>462
お褒め頂き光栄でつ(〃▽〃)
こちらこそ、いつも応援しております～

**某所の人** ◆Y39/vakKjY · 2005/12/26(月) 18:38:21

んー・・・ウイルスの潜伏先は相変わらずだなぁ。
またANTILOチェッカーで検出できました。（仮想マシン上で。）
しかし、ここまで正規表現を拡張して頑張る作者はじめて見た。
なんかあったのかなぁ。

U095246.ppp.dion.ne.jp · 2005/12/26(月) 18:39:06

>>459
わざわざ.にしたり[]を使ったりと几帳面ですね。

>>463
既に某ショタスレでは被害が出てたり…

◆Aoi9.tXKwA · 2005/12/26(月) 18:54:19

経緯をまとめて見ました

一発目
2005/12/02 17:39:36　http://qb5.2ch.net/test/read.cgi/sec2chd/1134297929/3　最初の被害報告
2005/12/10 02:55:16　http://strawberry.web-sv.com/Sn2/up3/2.html?1134234277　感染ファイルのアップロード
2005/12/11 07:56:45　http://pc8.2ch.net/test/read.cgi/sec/1129958911/765　ウィルス報告
2005/12/18 14:27:44　http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134664638/18　スクリプト荒らしの原因ファイルの特定（この時点で2種類？）

二発目
2005/12/23 00:46:26　http://sakura03.bbspink.com/test/read.cgi/ascii2d/1134357748/606　スクリプト荒らしの原因ファイルの特定
2005/12/23 13:03:13　http://sakura03.bbspink.com/test/read.cgi/ascii2d/1122336330/801　スクリプト荒らしの原因ファイルの特定（2箇所目）

三発目
2005/12/26 15:59:51　感染ファイルのアップロード
2005/12/26 17:35:09　http://qb5.2ch.net/test/read.cgi/sec2chd/1134297929/457　スクリプト荒らしの原因ファイルの特定

一発目のウィルスの詳細
http://qb5.2ch.net/test/read.cgi/sec2chd/1134297929/353
二発目のウィルスの詳細
http://qb5.2ch.net/test/read.cgi/sec2chd/1134297929/395,430,431
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/273
三発目のウィルスの詳細
http://qb5.2ch.net/test/read.cgi/sec2chd/1134297929/459

二発目の感染ファイルのうｐ時間は、削除済みのためわかりませんでした。

**名無しの報告** · 2005/12/26(月) 18:54:26

>>465
ロリ本がママにバレて怒られちゃったんじゃ。

>>466
ロリショタ？

[ ＾ω＾] **名無しの報告** · 2005/12/26(月) 18:58:29

すげぇ正規表現だなｗｗ
暇だねぇ・・・としか言いようがない

**名無しの報告** · 2005/12/26(月) 19:09:15

たぶんここ見て必死になってるんだと思う

**395** · 2005/12/26(月) 19:16:18

三発目ウイルス続報。

・VIPろだに送りつけるファイルは自分自身（ウイルス）をZIP圧縮したもの。
　カレントフォルダ？に拡張子のみのファイル「.zip」を作成する。
　ZIP圧縮には zip32.dll および zip32j.dll を動的リンクにて用いている模様。

・何のためにこのようなアップを行うのかは現時点では不明。
　仮に拡散目的であれば、アップされたウイルスのアドレスが貼られる等の被害が
　今後発生する恐れがあり、警戒が必要。

**名無しの報告** · 2005/12/26(月) 19:24:11

どれだけ作者が頑張ってもファイルを落として実行しない限り俺らは無害なんだろ？
知らずに感染してる人間が本当に大マヌケだよなｗ

**名無しの報告** · 2005/12/26(月) 19:24:43

今のところ角煮だけが被害？

**名無しの報告** · 2005/12/26(月) 19:39:37

こっちでやってたのか orz

★051211 半角二次元板ゴミクズ溜まり場報告スレ２
http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/l50
にかいちゃったよぉ～

ttp://musi.s6.xrea.com/imgn48.jpg
をさくらにすれば爆撃は防げるかも

**名無しの報告** · 2005/12/26(月) 19:40:42

虫画像注意な