■ウィルス爆撃相談所＆焼き処【RockBBQ】

[1 水色＠飛行石 ★ 2006/02/25(土) 23:49:54 ID:???0]

　ここはウィルス等を利用した爆撃等の相談所です。

　ウィルス感染ホストの報告と焼き処を兼ねます。

　＃削除依頼は、削除整理板へお願いします。
　＃ここでは芋掘りは行いません。専用スレでどうぞ。

【関連スレ】

【BBQ＆BBM12本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/

[909 名無しの報告 2006/03/30(木) 22:43:38 ID:DT2OEyfZ0]

>>887
フリーのAVソフトウェア
AVG　　　　　 PSW.Generic.AGB（対応済み）
BitDefender　に提出
ewido　　　　　に提出

virustotalではKasperskyは対応済みだった。　nod32,avast4は未対応。

[910 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI NG NG]

シマンテック・キングソフト・マカフィー・avast!・某の人に送りました。

[911 軍艦焼 ★ 2006/03/30(木) 23:27:33 ID:???0]

>>887 トレンドマイクロさんにブツを送りましたー。

[912 名無しの報告 2006/03/31(金) 00:09:37 ID:1XRB8KMZ0]

乙

[913 野焼き ★ 2006/03/31(金) 01:07:58 ID:???0]

>>905 はい。ちと見てきます。

[914 RockRanger ★ 2006/03/31(金) 14:07:23 ID:???P]

>>894の続きですー
3/30 17:27:15〜3/31 13:39:22(tmp6)
　　 　 　 　 　 〜3/31 11:08:46(comic6)
-tmp6-
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp　199件
phoenix.aitai.ne.jp　121件
144.114.168.203.megaegg.ne.jp　89件
p8081-ipad407marunouchi.tokyo.ocn.ne.jp　52件
p51044-adsao12honb4-acca.tokyo.ocn.ne.jp　36件
p7231-adsau12honb4-acca.tokyo.ocn.ne.jp　14件
p8126-ipad63marunouchi.tokyo.ocn.ne.jp　39件
softbank219052178096.bbtec.net　11件
p4169-ipbf05okidate.aomori.ocn.ne.jp　7件
i238241.ppp.asahi-net.or.jp　6件
softbank219062040169.bbtec.net　5件
210-194-24-189.rev.home.ne.jp　5件
nissin45079.ccnw.ne.jp　5件

-comic6-
d-218-40-130-174.d-cable.katch.ne.jp　103件
blackcat.reslife.okstate.edu　30件
p927305.aicint01.ap.so-net.ne.jp　14件

＊一部共有ホストも含まれておりますー

[915 星方天使天環 ◆W/UhU0N3pg 2006/03/31(金) 14:41:25 ID:bY2+BZ0i0]

ipbf05okidate.aomori.ocn.ne.jp　
近所でかかった馬鹿がいるのか
なむなむ

共有
phoenix.aitai.ne.jp　121件

[916 野焼き ★ 2006/03/31(金) 16:11:19 ID:???0]

>>914 お疲れ様です、ちと見てきます。

[917 野焼き ★ 2006/03/31(金) 16:22:05 ID:???0]

>>914　下記以外を焼きました。

共有
phoenix.aitai.ne.jp

[918 RockRanger ★ 2006/03/31(金) 18:35:34 ID:???P]

>>917 お疲れ様ですー

>>914の続きですー
〜3/31 18:09:53(tmp6)
〜3/31 18:12:57(comic6)
-tmp6-
p8126-ipad63marunouchi.tokyo.ocn.ne.jp　30件
p8082-adsau12honb4-acca.tokyo.ocn.ne.jp　29件
d30162c0.tcat.ne.jp　25件
55.114.168.203.megaegg.ne.jp　14件

-comic6-
softbank218122194073.bbtec.net　70件

[919 野焼き ★ 2006/03/31(金) 18:39:38 ID:???0]

>>918 お疲れ様です、ちと見てきます。

[920 野焼き ★ 2006/03/31(金) 18:43:53 ID:???0]

>>918　すべて焼きましたー。

[921 RockRanger ★ 2006/03/31(金) 18:52:24 ID:???P]

>>920
お疲れ様ですー
ありがとうございましたー

[922 名無しの報告 2006/03/31(金) 19:40:37 ID:CkKagM1k0]

>>908っす
symantecからレスポンスありました。

---
filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221.zip
machine: Machine
result: See the developer notes

filename: BLEACH221.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html

filename: (一般コミック・雑誌)[ジャンプ][2006-18]テニスの王子様Genius307.zip
machine: Machine
result: See the developer notes

filename: 王子307.scr
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html

filename: (一般コミック・雑誌)[ジャンプ][2006-18]BLEACH221(3).zip
machine: Machine
result: See the developer notes

filename: 鰤２２１　.exe
machine: Machine
result: This file is detected as Trojan.Kakkeys.D. http://www.symantec.com/avcenter/venc/data/trojan.kakkeys.d.html

---

「Troｊan.Kakkeys.Dですた」らしい。。。

[923 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI NG NG]

>>922
Norton AntiVirus LiveUpdateでも来ました。
Trojan.Kakkeys.D 03/23/06

キングソフトは解析中との返事がありました。

[924 名無しの報告 2006/03/31(金) 23:17:05 ID:Nms+dcMM0]

>>923
うぉぉ、今日http://www.symantec.com/region/jp/sarcj/download/jp/JP-N95.htmlでうｐだてしたはずなのに検出しないと思ったら、新しいの来てたわ

[925 AirRock ★ 2006/03/32(土) 00:15:54 ID:???0]

>918の続きです。

tmp6　03/31(金) 18:52:39 〜 03/31(金) 23:57:10

136.119.168.203.megaegg.ne.jp 　 203.168.119.136
14.46.87.61.ap.seikyou.ne.jp 　 61.87.46.14
220-213-104-245.pool.fctv.ne.jp 　 220.213.104.245
a0636.hyper-tsukumi.jp 　 210.188.114.128
d30162c0.tcat.ne.jp 　 211.1.98.192
dd37df534.oct-net.ne.jp 　 211.125.245.52
JJ034185.ppp.dion.ne.jp 　 211.4.34.185
OFSfa-02p3-147.ppp11.odn.ad.jp 　 61.209.162.147
OMCfa-01p1-238.ppp11.odn.ad.jp 　 61.116.143.238
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp 　 220.97.145.36
p9197-adsao12honb4-acca.tokyo.ocn.ne.jp 　 219.161.140.197


comic6　03/31(金) 18:33:14 〜 03/31(金) 23:59:54

221.net059085201.t-com.ne.jp 　 59.85.201.221
KHP059140192247.ppp-bb.dion.ne.jp 　 59.140.192.247
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp 　 60.39.176.24
softbank221039230023.bbtec.net 　 221.39.230.23
softbank221076082017.bbtec.net 　 221.76.82.17

[926 野焼き ★ 2006/03/32(土) 00:19:30 ID:???0]

>>925 お疲れ様です、ちと見てきます。

[927 野焼き ★ 2006/03/32(土) 00:28:40 ID:???0]

>>925 焼きましたー。

[928 名無しの報告 NG NG]

もうずっと人大杉でも止まりませんね…＞down

[929 RockRanger ★ 2006/03/32(土) 15:28:29 ID:???P]

>>925の続きですー
〜3/32 14:00:08(tmp6)
〜3/32 14:59:20(comic6)
-tmp6-
59-190-117-92.eonet.ne.jp　154件
softbank221092000083.bbtec.net　34件
OMCfa-01p1-238.ppp11.odn.ad.jp　10件
136.119.168.203.megaegg.ne.jp　9件
p8036-adsau12honb4-acca.tokyo.ocn.ne.jp　7件
softbank218116216024.bbtec.net　2件
14.46.87.61.ap.seikyou.ne.jp　4件
a0636.hyper-tsukumi.jp　2件

-comic6-
softbank220003040058.bbtec.net　72件
TTN202-127-81-29.ttn.ne.jp　70件
p3024-ipbf10akatuka.ibaraki.ocn.ne.jp　8件
softbank221039230023.bbtec.net　6件
221.net059085201.t-com.ne.jp　4件
softbank219012020092.bbtec.net　6件
softbank221089108029.bbtec.net　2件
KHP059140192247.ppp-bb.dion.ne.jp　2件
softbank221076082017.bbtec.net　1件

[930 名無しの報告 2006/03/32(土) 15:44:05 ID:ayyzjDI30]

>>929
まとめお疲れ様です
焼いてきますね

[931 生姜焼き ★ 2006/03/32(土) 15:44:23 ID:???0]

おっとっと

[932 生姜焼き ★ 2006/03/32(土) 15:56:54 ID:???0]

>>929
焼きましたー

[933 通報屋 ◆Y39/vakKjY 2006/03/32(土) 15:57:10 ID:qhqPjdT30]

軍艦焼★さんが提出していましたが念のため提出しましたー
#あともう一つ別のベンダに転送したいのですが本日オフラインのようで。

[934 RockRanger ★ 2006/03/32(土) 16:03:22 ID:???P]

>>932
お疲れ様ですー　ありがとうございましたー

>>933
お疲れ様ですー

[935 名無しの報告 2006/03/32(土) 19:29:54 ID:h+b1VD0B0]

>>928
どうして人大杉なのに書けるのよ？

[936 名無しの報告 2006/03/32(土) 19:39:56 ID:M84qfvqd0]

>>935
専ブラ使え

[937 [―{}@{}@{}-] TTN202-127-81-29.ttn.ne.jp 2006/03/32(土) 20:34:46 ID:kvQXURmK0]

>>929のTTN202-127-81-29.ttn.ne.jpですが、ケーブルの共有プライベートアドレスなので
もし可能でしたら解除して頂けませんでしょうか……

[938 名無しの報告 2006/03/32(土) 20:48:10 ID:8eR7VV230]

TTN202-127-81-29.ttn.ne.jpから2chへばっこんばっこんアクセスしている、
ウイルス感染者を始末して証拠を提示すればOK

[939 名無しの報告 2006/03/32(土) 21:08:15 ID:P4i/yIUe0]

>>937
ケーブル会社に連絡してそのアドレスで２ｃｈに連続書き込みしてる人を
処置してもらったほうが早いんじゃないの？

[940 水色＠飛行石 ★ 2006/03/32(土) 21:19:23 ID:???0]

えーと、感染のチェックってみんなどうやってるんだろー？

どんどん撒かれてる亜種についてはー、最新のソフト一つ
程度じゃ検出されないと思うんですけどー。

[941 軍艦焼 ★ 2006/03/32(土) 21:23:55 ID:???0]

>>937-939 とりあえず共有の可能性ありなので解除してみました。
＃また焼かれても私は無責任で。
>>887 ただいま解析中と中の人からお手紙ありましたー。

[942 名無しの報告 2006/03/32(土) 21:24:48 ID:M84qfvqd0]

>>940
http://hp.vector.co.jp/authors/VA032928/
このソフト入れて通信を監視していれば、意図しない２ちゃんねるへのアクセスに気づくことは可能。

[943 [―{}@{}@{}-] TTN202-127-81-29.ttn.ne.jp 2006/03/32(土) 21:28:57 ID:kvQXURmK0]

>>941
どうもありがとうございました。お手数掛けて申し訳ありません。

>>938-939
会社の方にも報告しておきます。お目汚し失礼しました。

[944 生姜焼き ★ 2006/03/32(土) 22:03:58 ID:???0]

あ、共有でしたか
すいません

[945 水色＠飛行石 ★ 2006/03/32(土) 22:28:16 ID:???0]

>>942
をー。結構面白いソフトあるんですねー。
けど、気づいたあとはどうなんでしょうねー。

どこのディレクトリにどういうファイルを作るかとかー、
亜種毎にそんなに違わないなら整理できないですかねー。

>>922の解説にある「C:\[JAPANESE CHARACTERS].exe」
って、具体的にはどんなファイルが作られるんだろー？

[946 水色＠飛行石 ★ 2006/03/32(土) 22:29:45 ID:???0]

あ、もう日本語の解説ページもあるのかー。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html

[947 水色＠飛行石 ★ 2006/03/32(土) 22:32:58 ID:???0]

＞3.　Winny プロセスが動作中である場合、これは Winny がインストールされているフォルダ内で次のファイルを検索し、その後そのファイルのコンテンツを C:\[日本語の文字].dat へ保存します。
＞
＞　Tab1.txt
＞　Tab2.txt
＞　download.txt

この機能ってー、絞り込みを回避するために感染パソコン
同士で書き込みワードをシャッフルする機能みたいですねー。

これによってターゲットもどんどん変えられるんじゃないかなー。
本体を感染させなくてもー。

[948 水色＠飛行石 ★ 2006/03/32(土) 22:34:28 ID:???0]

あ、>>947は勘違いかー。失礼ー。

[949 名無しの報告 2006/03/32(土) 22:39:27 ID:w7HHsmHR0]

>>945
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/42

[950 名無しの報告 2006/03/32(土) 22:51:52 ID:tbQIVhRJO]

そこで報告されてたのは送付されたのかな？
ひっかからないけど削除したって書いてあるけど。

[951 名無しの報告 2006/03/32(土) 23:16:01 ID:GnDATndJ0]

>>896の申請がされてるようですが
お狐様は見てくださるんですかねー？

[952 名無しの報告 2006/03/32(土) 23:43:19 ID:iBeBkmid0]

>>945
>って、具体的にはどんなファイルが作られるんだろー？

>885 にある

[953 水色＠飛行石 ★ 2006/04/02(日) 00:04:19 ID:???0]

>>951
ちょっと心配になってきたんですがー、1000まで埋まったあとに
各ウィルスはどういう動きしてましたっけー？

書き込めなかったら次にいっちゃうんじゃないかなー？
もしかしたら、傘にならないよーな気もしてきましたー（汗）。

[954 名無しの報告 2006/04/02(日) 00:24:32 ID:l0I0lTdJ0]

>>953
埋まってしまうと次へいくけど、
ちょっと前に、スレ本体が埋まってSubject.txtが999って状態のスレがあったんです。
その時は999のスレがdat落ちするまで爆撃は止まってました。

[955 名無しの報告 2006/04/02(日) 01:05:42 ID:TbQMyYhAO]

>>953
2get禁止スレはdat番号が一桁少ないので、特定ワードを含んだスレを古い順に爆撃タイプのウィルスの受け皿になれるかも
(申請されているスレタイは爆撃されるように工夫)
なんで上手くいけば、ウィルスの受け皿andウィルスが書き込みしようとする度に上がってくれてｳﾏｰ
受け皿になれずとも、良い宣伝にはなれるのではないかと
以上より申請させて頂きましたが、誰も見てくれてない予感

[956 (^-^)犬 ◆VET4349ZB. NG NG]

>>955
書き込まれるのが問題なんじゃなくて、バコバコ突っつかれるのが問題だから
924スレだと根本的な問題を隠しちゃうからダメなんじゃないかな。

[957 名無しの報告 2006/04/02(日) 09:30:38 ID:sfd4we7X0]

>2get禁止スレはdat番号が一桁少ないので
ソースきぼんぬ

9240000001

[958 名無しの報告 2006/04/02(日) 10:43:23 ID:fRkW9sT20]

>>956
同心板でのウィルスは、最新と古いスレを狙うので2get禁止スレだけじゃ全部は防げません
ﾀﾞｳｿ板の方はもはやDos攻撃になってるとは聞いたけれど、同人はそこまで激しくないかと
どっちにしろ鯖には優しくないことは確定ですが
>>957
私も教えてもらった人なのでソースは知りません
9240000001でも最新スレ爆撃タイプの標的になれるので問題ないです
（2get禁止スレに書き込みを試みた際のウィルスの挙動が分からないかので、言い切れませんが）

[959 2get禁止のやつ 2006/04/02(日) 11:04:52 ID:lIDkuSYC0]

【動画も】レンタルアップローダ(２ちゃんねる完全互換、384M)
http://pc8.2ch.net/test/read.cgi/pcnews/9242006003/l50
【アンケート】退役した tmp5 サーバ欲しい? (2get禁止)
http://pc8.2ch.net/test/read.cgi/pcnews/9242006002/l50
【動画も】レンタルアップローダ(２ちゃんねる完全互換、384M)
http://pc7.2ch.net/test/read.cgi/pc2nanmin/9242006003/l50
【動画も】レンタルアップローダ(２ちゃんねる完全互換、384M)
http://pc8.2ch.net/test/read.cgi/win/9242006003/l50

[960 名無しの報告 2006/04/02(日) 11:10:20 ID:AjUJp/jd0]

ウイルスの対応
スレッドキーの先等が9だったら対象からはずす

[961 名無しの報告 2006/04/02(日) 12:03:32 ID:AjUJp/jd0]

ダウソ板ウイルス対策スレまとめ

【nyreヲチ！】▲▲▲砲撃傘▲▲▲23【動画age】
http://tmp6.2ch.net/test/read.cgi/download/1143616483/
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/
新手のウィルスがダウソ大爆撃中？rigel2
http://tmp6.2ch.net/test/read.cgi/download/1143197171/
2ｃｈの動作報告はここで。 パート19
http://qb5.2ch.net/test/read.cgi/operate/1140600013/
■ウィルス爆撃相談所＆焼き処【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/
ダウン板小泉ウィルス（仮称）対策室
http://aa5.2ch.net/test/read.cgi/nanmin/1142776192/

[962 名無しの報告 2006/04/02(日) 12:18:34 ID:l0I0lTdJ0]

ダウソにまた新種が出ているかもー
フシアナageでいろんなスレにいろんな（VIPっぽい）メッセージを書込みます。
電話番号らしきものも何件か書き込まれています。

特定のスレに集中はしていないし、連投している訳でも無さそうです。
ウィルスの仕業なのかどうかは判明していませんが、とりあえず一報

[963 名無しの報告 2006/04/02(日) 13:14:44 ID:sfd4we7X0]

>>958
正確には
１桁少ないではない

このスレは
1140878994
なんだけど 924 スレは
9240000001 とかになってる (符号無し timeでは符号有りなんでマイナス)

[964 名無しの報告 2006/04/02(日) 13:58:51 ID:6+CqAZPl0]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
2006/02/23〜
【通称】　AntiDojin
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
【被害板】　同人板＠cimic6
【特徴】
　・「著作権守れ」「こんな所でバカやってる暇があったら働け」「自首しろ」等
　　のフレーズに、スペース・カンマ・ピリオドを混ぜた長文を書き込み
　・名前欄に板デフォルト名等を都度入力
　・亜種あり（スレタイ対策やデフォ名変更に対応して頻繁に発生）
　・ゾヌ2用私設板一覧から同人板のURLを採取
【経緯】
　2006/02/23　爆撃開始
　2006/02/25　klistからのBBQ焼き開始
　2006/02/27　Symantec・トレンドマイクロ等に検体提出、順次検出可能に
　2006/02/28　AntiLoチェッカー・有志の駆除ツールが対応
　2006/02/28　板一覧取得先が、板名表記変更・UAで拒否
　2006/03/01〜沈静化。亜種にも順次対応
【ウイルスの実体確認状況】　Winny2(一般コミック・雑誌) [ジャンプ]　など
【アンチウイルス検出状況】
　AVG 718 02.27.2006　：　PSW.Generic.AGB
　DrWeb 4.33 02.27.2006　：　Trojan.PWS.Ruby
　Ikarus 0.2.59.0 02.27.2006　：　Trojan.Win32.Agent.EZ
　Kaspersky 4.0.2.24 02.28.2006　：　Trojan-Spy.Ruby.Kakkeys.h
　Symantec 8.0 02.28.2006　：　Trojan.Kakkeys
　UNA 1.83 02.27.2006　：　Trojan.Spy.Win32.Kakkeys
　VBA32 3.10.5 02.27.2006　：　Trojan-Spy.Ruby.Kakkeys.h
　Trend Micro（バスター）　：　TROJ_KAKKEYS.I〜K
【参考スレ】
　運用・規制系
　http://qb5.2ch.net/test/read.cgi/operate/1130918407/455-475　（bbs.cgi）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/548-561　（BBQ）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/1-508　（>1-508）
　現地系
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140849989/322-326（以下のまとめ）
　http://comic6.2ch.net/test/read.cgi/doujin/1140918937/　（自治スレ4）
　http://comic6.2ch.net/test/read.cgi/doujin/1140974901/　（自治スレ5）
　http://comic6.2ch.net/test/read.cgi/doujin/1141063674/　（自治スレ6）
　http://comic6.2ch.net/test/read.cgi/doujin/1141361573/1-320　（自治スレ7）
　http://comic6.2ch.net/test/read.cgi/doujin/1140863905/　（情報集積所）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

[965 名無しの報告 2006/04/02(日) 13:59:07 ID:6+CqAZPl0]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
2006/03/08〜
【通称】　小泉ウイルス
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
【被害板】　Download＠tmp6
【特徴】
　・スレタイに「ny」を含む一番上のスレに、
　　下記のパターンの定型文を書き込み（海外からは文字化け）
　　[マーダー系]　英雄伝説�Y 空の軌跡SC　まだぁ〜？　ピザ　まだぁ〜？　等
　　[偏見系]　　　日本人のすべては無知な人間です　等
　　[ヲチスレ系]　良スレ（´・ω・）ｽ　ウィル(´・ω・)ｽ　等
　　[勧告系]　　　馬鹿は放置しる　等
　　[宣言系]　　　利用する　便利じゃん　等
　　[顔文字]　　　ｷﾀﾜｧ*･゜ﾟ･*:.｡..｡.:*･゜（n‘∀‘)ηﾟ･*:.｡..｡.:*･゜ﾟ･* ﾐ ☆
　　[嗜好系]　　　幼女とやりたい今日この頃　等
　　[犯罪予告]　 明日、小泉（以下略）
【経緯】
　2006/03/08　爆撃開始
　2006/03/11　klistからのBBQ焼き開始
【ウイルスの実体確認状況】
　[060309][一般ゲーム][Falcom] 英雄伝説�Y 〜空の軌跡SC〜
　三国志１１　NOCDパッチ
　FF12　HDL起動可パッチ
　英雄　SCのセーブデータ　等
【アンチウイルス検出状況】　？
【参考スレ】
　運用・規制系
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/511-811　（>511-811）
　現地系
　http://aa5.2ch.net/test/read.cgi/nanmin/1142776192/1-297　（対策室）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

[966 名無しの報告 2006/04/02(日) 13:59:25 ID:6+CqAZPl0]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
2006/03/24〜
【通称】　？（Winny検索文字列・PCユーザ名・メールアドレス暴露）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
【被害板】　Download＠tmp6
【特徴】
　・スレタイに「Winny」「Share」四桁の算用数字を含む各最古スレに並行して、
　　Winnyインストールフォルダ内のTab1.txt・Tab2.txt・download.txtの内容と
　　PCのユーザ名を書き込み
　　当初はsageのみ、後発のageは亜種の疑いあり
　・http://tmp6.2ch.net/test/read.cgi/download/1142594523/l50　に、
　　アドレス帳のアドレス・本人のMSNメッセンジャーのアドレス(先頭1文字伏せ)を、
　　fusianasanで書き込み
　・bbs.cgiを高頻度で起動、subject.txtとSETTING.TXTも強烈に触る模様
【経緯】
　2006/03/24　爆撃開始（01:00JSTに一斉発動）
　2006/03/24〜root ★氏がサーバ負荷対策中
【ウイルスの実体確認状況】　候補はあるが未特定（以下は候補の一部）
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/21
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/53-55
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/207-229　（※）
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/244
　http://tmp6.2ch.net/test/read.cgi/download/1143078115/275
　http://tmp6.2ch.net/test/read.cgi/download/1142682426/63-65
【アンチウイルス検出状況】　？（Trojan.Kakkeys.Dの未対応亜種かも）
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/216　（※の検出状況）
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/229　（※の検出状況）
【参考スレ】
　運用・規制系
　http://qb5.2ch.net/test/read.cgi/operate/1140600013/469-694　（動作報告）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/764-774　（>764-774）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/812-815　（>812-815）
　現地系
　http://aa5.2ch.net/test/read.cgi/nanmin/1142776192/298-　（対策室）
　http://tmp6.2ch.net/test/read.cgi/download/1143224133/　（ニュイルス解析班）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

[967 名無しの報告 2006/04/02(日) 13:59:45 ID:6+CqAZPl0]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
2006/03/30〜
【通称】　？（Winny検索文字列暴露）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
【被害板】　doujin＠comic6
【特徴】
　・Winnyインストールフォルダ内のTab1.txt・Tab2.txt・download.txtの内容を
　 書き込み（爆撃先はバグのため不定？）
　・fusianasan＋アドレスタイプは無い模様
　・爆撃精度を上げたバグ修正版亜種(新タイプ)が発生？
　・04/02時点での爆撃先パターン
　　１．最新2スレ（新スレが立てば移動）　<<旧タイプ・新タイプ>>
　　２．タイトルマッチしたスレを古い順に爆撃　<<新タイプ>>share
　　　(/[痛晒厨嫌捏欺儲]|いたい|さら|ちゅう|きら|ねつ|さぎ|日西|豆寸|女兼/i)
　　３．タイトルマッチしたスレを古い順に爆撃　<<新タイプ>>Winny
　　　(/と[^暴]{0,2}れ|ぱ.{0,2}く|ny|不正|盗|まね|真似/i)
　　４．最古スレを（ほぼ）無差別爆撃　<<旧タイプ>>
【経緯】
　2006/03/30　爆撃開始
　2006/03/30　実体発見・検体提出　（>879-911）
　2006/03/30　klistからのBBQ焼き開始
【ウイルスの実体確認状況】
　(一般コミック・雑誌) [ジャンプ]
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/879　（>879）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/881　（>881）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/887　（>887）
【アンチウイルス検出状況】
　symantec（Norton）　：　◎Trojan.Kakkeys.D
　Trend Micro（バスター）　：　△（3/30検体提出>911、解析中>941）
　McAfee　：　△（3/30検体提出>910、対応待ち）
　キングソフト　：　△（3/30検体提出>910、解析中>923）
　Eset（NOD32）　：　×
　Grisoft（AVG）　：　◎PSW.Generic.AGB
　ALWIL（Avast）　：　△（3/30検体提出>910、対応待ち）
　BitDefender　：　△（3/30検体提出>909、対応待ち）
　ewido networks　：　△（3/30検体提出>909、対応待ち）
【参考スレ】
　運用・規制系
　http://qb5.2ch.net/test/read.cgi/operate/1140600013/695-700　（動作報告）
　http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/879-　（>879-）
　現地系
　http://comic6.2ch.net/test/read.cgi/doujin/1141361573/338-　（自治スレ7）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
※>>●と言語が違うという話もあるので、一応別立て

[968 名無しの報告 2006/04/02(日) 14:00:31 ID:6+CqAZPl0]

このスレに出てきた物をまとめようとしたけど、力尽きました。
特に、亜種情報が埋まっていそうなDownload内のスレッドが追いきれませぬ。
亜種別に細かく補足すれば、飛行石氏ご提案のブツでしょうけど。。。�_。

追いやすくするには、やはり現地の方々のご協力が不可欠だと思います。
特に、微妙な変化で亜種の気配を感じるには、現場に居ないと難しいです。

同人板は、情報が自治スレにうまくまとまっていると思います。
Download板は分散してしまっているので、例えば傘スレでヲチってる方に、
ウイルスの挙動の変化や、実体の情報(未確認も可)を、ここに報告して頂くとか。
対策室スレ等に、傘とそれ以外の爆撃スレ一覧があるだけでも、助かるかも。

そしたら、実体捜索→発見→鑑定→検体提出の流れが作りやすいかと。

[969 名無しの報告 2006/04/02(日) 14:07:15 ID:fRkW9sT20]

>>968
お疲れ様でした
なんかちょっと感動しましたよ

[970 ◆den36p2gMY 2006/04/02(日) 14:25:33 ID:lIDkuSYC0]

>>968
ActivePerlとHTTPDが必要だけど
キーワード探索ツール
http://briefcase.yahoo.co.jp/bc/midnightsun_366/lst?.dir=/68fd&.src=bc&.view=

キーワードを含むスレをDAT番号でソートして表示します。キーワードは把握し切れてないので、外れるかもしれませんが。（大きめに取ってある）

--------------
腐海ウイルス（仮）の攻撃
攻撃ワードは大きくまとめてWinny系、Share系、算用数字4桁系があります。
レス内容で分類すると、age系とsage系があります。

★確定したワード★
・算用数字4桁系
　　age・sage両方来る。
・Share系上げ
　「hare」
・Share系下げ
　「share」
・Winny系上げ
　「inny」
・Winny系下げ
　「winny」

★ほぼ確定ワード
Winny系（上げ下げ両方）・・・うぃに
例：【うぃにー】　時代劇すれ　拾四　【 ('A`) 】
http://tmp6.2ch.net/test/read.cgi/download/1143178465/l50

★まだ確認してないが怪しいワード
Share系・・・しぇあ、シェア
Winny系・・・ウィニ

★今のところ無視することを確認したもの（今後対応する可能性もあるが）
「洒落」「ny」「re」「しゃれ」

[971 名無しの報告 2006/04/02(日) 14:32:00 ID:lIDkuSYC0]

訂正：
Winny系上げ
【Winn y】エロアニメ専用 第82ﾊｯｼｭ【ﾏﾀｰﾘ】
http://tmp6.2ch.net/test/read.cgi/download/1143323895/l50

例外がありました。

Winn yも攻撃したので、/W.*I.*N.*N.*Y/i かもしれません。

[972 名無しの報告 2006/04/02(日) 14:41:27 ID:lIDkuSYC0]

Winn　yガッカリ一般コミック　スレPart1
http://tmp6.2ch.net/test/read.cgi/download/1142948802/l50

さらに例外があったので、前言撤回します。

[973 名無しの報告 NG NG]

rlo、lroでも使うかｗ

[974 名無しの報告 2006/04/02(日) 19:39:59 ID:7SHM3ow70]

dat番号の古い(若い)順に爆撃

[975 名無しの報告 2006/04/02(日) 19:45:32 ID:9hcaAret0]

http://tmp6.2ch.net/test/read.cgi/download/1143646305/115
http://tmp6.2ch.net/test/read.cgi/download/1143727987/546
http://tmp6.2ch.net/test/read.cgi/download/1143727987/559

なんか種類がありすぎて・・・

[976 名無しの報告 2006/04/02(日) 21:32:26 ID:w4EmdrAx0]

以前自サイトにウイルスUPしていた ◆eYKXFMdxpwに対して2chは何かアクション起こした？
本当かわからないけど在住地を品川区と明記しているから
本人を特定することも可能だと思うんだけど

[977 名無しの報告 2006/04/02(日) 21:46:17 ID:dRz7WvGy0]

ttp://219.41.136.152/C:/Program%20Files/update/update.exe
これを踏んでしまいましたorz
キンタマと言われたのですが初心者な者で全くわからなくてこまってます。
誰か症状と消去方法を教えてください。
本当に心配です…

[978 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI 2006/04/02(日) 21:48:39 ID:EuEjm7AV0]

マカフィーは調査中

> お問い合わせありがとうございます。
> マカフィー株式会社のAVERTです。
>
> お送りいただいたファイルですが、弊社でもKakkeysに似ている点は確認できているのですが、
> いくつかの理由により、現段階ではトロイの木馬とは断定できておりません。
>
> 引き続き調査の上、必要があれば正式DATに反映させます。

ﾌﾚｰヾ(ﾟｰﾟゞ)( 尸ｰﾟ)尸_ﾌﾚｰ

[979 名無しの報告 2006/04/02(日) 21:56:13 ID:SWfHQ2y00]

>>977
それは山田オルタ。ここを参考にしたらいい
ttp://www.geocities.jp/dkstr_hamar/alter/alter.html

[980 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI 2006/04/02(日) 21:57:19 ID:EuEjm7AV0]

>>977
落ちてこないね。
既知のウイルスならとりあえずオンラインスキャンで
コピペ

ウィルスが入ったと思ったらオンラインウィルススキャン(検索が無料)
http://www.trendmicro.co.jp/hcall/scan.htm　(TrendMicro)
http://www.symantec.com/region/jp/securitycheck/　(symantec)
http://www.pandasoftware.com/activescan/jp/activescan_principal.htm (Panda 駆除も可能)

注：シマンテックオンラインスキャンで2ちゃんねるブラウザのログをウイルス判定することがありますがノートン先生の誤反応です。
ttp://ansitu.xrea.jp/guidance/?Trap#NortonTrap

ヤマイモ木から生えてくる観察ブログ: 仁義なきキンタマ
ttp://nemoba.seesaa.net/article/2479117.html

上記リンクでわからなかったらリカバリが最善の方法のようです。

[981 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI 2006/04/02(日) 21:58:32 ID:EuEjm7AV0]

>>979
山田でしたか>>980は撤回します。

[982 名無しの報告 2006/04/02(日) 21:59:16 ID:w4EmdrAx0]

>>980
俺の質問に答えてほしいづら>>976

[983 ｃ⌒っミ ｀Д)っφ ◆CaKkuEV3EI 2006/04/02(日) 22:10:46 ID:EuEjm7AV0]

>>982
質問する相手が違うお。
そのコテハンさん本人に直接聞いてください。

[984 名無しの報告 2006/04/02(日) 22:23:26 ID:13RzYxQf0]

洒落　が入っているところにも爆撃がきているっぽいですね

[985 名無しの報告 2006/04/02(日) 22:38:47 ID:w4EmdrAx0]

>>983
しまった★の人と勘違いした。悪かった

[986 名無しの報告 2006/04/02(日) 23:56:57 ID:9hcaAret0]

40 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2006/04/02(日) 23:03:04 ID:dbXynRo20
スレタイに
二桁以上の数字があるとウイルスの爆撃対象になるみたいだな

http://tmp6.2ch.net/test/read.cgi/download/1143910812/40

漢字タイトルに爆撃来るのはこのタイプじゃないかと。

[987 名無しの報告 2006/04/03(月) 00:08:34 ID:CIzSdXIs0]

フシアナ爆撃は完全にランダムだと思うよ
数字入ってないスレにも来てるし
↓こことか

【エミュ】ニンテンドーDS【ロム】
http://tmp6.2ch.net/test/read.cgi/download/1141518010/843
【攻略本】ゲーム関連書籍総合スレッド【雑誌】
http://tmp6.2ch.net/test/read.cgi/download/1140850206/169-175

[988 977 2006/04/03(月) 01:53:16 ID:rwjjHZOL0]

皆さん返答ありがとうございました。
しかしupdate.exeもsys.exeもみつからないのですが感染はしていないのでしょうか…
踏んだのに感染しなかったということもあるのでしょうか…
踏んだ時に「このページは表示できません」と言われたのは覚えているのですが…
質問ばかりで本当にすいません。

[989 名無しの報告 2006/04/03(月) 02:02:14 ID:EyM3XFw/O]

それ完全に感染してないからw
ゴメン、おもいっきり笑った

BBQ焼きは今後復活しないのでしょうか？
ﾀﾞｳｿ板・同人板ともに爆撃は止まっておりません
ﾀﾞｳｿ板の方はフシアナで書き込む新ウィルスが発生した模様です
同人板ではフシアナさんウィルスは確認されておりません
そんなわけで、できればBBQの続行をお願いします

[990 名無しの報告 2006/04/03(月) 02:21:03 ID:cR4k6aK30]

fusianasanのはホスト別にまとめて報告すればやってくれるかも

それ以外のは、定型文で巻き添え出なさそうならRock→焼きもできるだろうが、
そういうわけでもなさそうだし、FOXのおじさんを召喚しないときつそう

[991 名無しの報告 2006/04/03(月) 02:26:42 ID:ryLcpD1n0]

ダウソ板にkakikomi.txtをフシアナで爆撃するウィルスが増えてきた
BBQをやってほしい所ですがまとめるのが大変。。。

[992 ｒｅｆｆｉ@報告人 ★ 2006/04/03(月) 02:37:43 ID:???0]

ぐはぁ
ついにkakikomi.txtばらまきも来ちゃったか
ＢＢＱにしろ通報コースにしろ既に対応できる範囲超えちゃってるんで抜本的対策
を高じない限り無理かと

[993 名無しの報告 2006/04/03(月) 03:00:07 ID:ryLcpD1n0]

必死チェッカーで簡単にまとめられないかと思い見に行ったんですけど
同人は統計出てたけどダウソ板は無かったです。。。

kakikomi.txtのタイプはスレをランダムで選んでる気が
どうしたらいいもんかと

[994 名無しの報告 2006/04/03(月) 03:04:20 ID:ryLcpD1n0]

追記

必死チェッカーで見てみると4/2同人のレス数1位は1922回
Download.txtを書き込むウィルスみたいですね

つか上位占めてるのはほとんど感染者ですね

[995 名無しの報告 2006/04/03(月) 06:40:37 ID:ecgpGaPj0]

http://tmp6.2ch.net/test/read.cgi/download/1143818912/

本名をコピペする亜種？

[996 名無しの報告 2006/04/03(月) 06:51:57 ID:un9yrh8c0]

>>995
>>905が落ちたから移動したんじゃないかな

[997 名無しの報告 2006/04/03(月) 07:25:03 ID:siCx7KPu0]

http://tmp6.2ch.net/test/read.cgi/download/1143541526/
いまここ来てる

[998 名無しの報告 2006/04/03(月) 07:39:26 ID:wVYHAteM0]

fusianasan爆撃はフシアナしてきたら、自動で焼ければ対応は楽だろうけど

[999 名無しの報告 2006/04/03(月) 07:55:12 ID:tXH3OCw/0]

故意にフシアナしてる人まで焼かれちゃうよ

[1000 名無しの報告 2006/04/03(月) 08:51:55 ID:OOdcA+mf0]

1000