■ウィルス爆撃相談所＆焼き処２【RockBBQ】

◆UdJrYHOy42 · 2006/04/03(月) 08:55:03

　ここはウィルス等を利用した爆撃等の相談所です。

　ウィルス感染ホストの報告と焼き処を兼ねます。

　＃削除依頼は、削除整理板へお願いします。
　＃ここでは芋掘りは行いません。専用スレでどうぞ。

前スレ
■ウィルス爆撃相談所＆焼き処【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/

【関連スレ】
【BBQ＆BBM12本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1139102655/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/

**名無しの報告** · 2006/04/04(火) 01:24:58

>>139
内部の犯行だ。証拠隠滅ｷﾀ

**名無しの報告** · 2006/04/04(火) 02:38:55

電話番号だな。
http://tmp6.2ch.net/test/read.cgi/download/1143959849/35-37

**名無しの報告** · 2006/04/04(火) 02:42:59

>141
こちらへどうぞ～
■ 電話番号削除専用 ■
http://qb5.2ch.net/test/read.cgi/saku2ch/1143597027/

**名無しの報告** · 2006/04/04(火) 02:58:21

>>132
おまえらダウソ住人も氏ね。

**名無しの報告** · 2006/04/04(火) 03:07:15

ダウソは死なないわ
ワタシが無視るもの

**名無しの報告** · 2006/04/04(火) 03:11:02

http://ex14.2ch.net/test/read.cgi/news4vip/1144086608/88　他
これウイルスの爆撃？

**名無しの報告** · 2006/04/04(火) 03:16:03

よく分かんないけど容量潰しの荒らし？

**名無しの報告** · 2006/04/04(火) 03:35:50

>>145
某コテがよくやってるよな

**名無しの報告** · 2006/04/04(火) 11:15:56

http://tmp6.2ch.net/test/read.cgi/download/1144065932/19-20
19 名前：softbank219055126002.bbtec.net[age] 投稿日：2006/04/04(火) 00:27:47 ID:p3WPDn1L0
蟹工船

20 名前：softbank219055126002.bbtec.net[age] 投稿日：2006/04/04(火) 02:45:50 ID:p3WPDn1L0
正直どうでもよくね？

**RockRanger ★** · 2006/04/04(火) 13:37:38

>>11の続きですー
～4/04 12:58:58(tmp6)
～4/04 12:59:36(comic6)

-tmp6-
229.net059086127.t-com.ne.jp　255件
ntoska328025.oska.nt.ftth4.ppp.infoweb.ne.jp　62件
z57.58-98-194.ppp.wakwak.ne.jp　47件
softbank220022208002.bbtec.net　47件
41.110.168.203.megaegg.ne.jp　35件
EAOcf-255p114.ppp15.odn.ne.jp　28件
EATcf-445p88.ppp15.odn.ne.jp　17件
nttkyo386051.tkyo.nt.ftth.ppp.infoweb.ne.jp　14件
softbank220063144099.bbtec.net　13件
softbank219057150195.bbtec.net　13件
softbank219055126002.bbtec.net　10件
226.net059086127.t-com.ne.jp　8件
59-190-45-215.eonet.ne.jp　7件
193.127.168.203.megaegg.ne.jp　5件
p4222-ipad109fukuokachu.fukuoka.ocn.ne.jp　5件

-comic6-
TTN202-127-81-29.ttn.ne.jp　458件
softbank221081139012.bbtec.net　91件
p5131-ipbf09akatuka.ibaraki.ocn.ne.jp　85件
p4179-adsau15hon-acca.tokyo.ocn.ne.jp　44件
ntibrk070150.ibrk.nt.ftth.ppp.infoweb.ne.jp　29件
softbank220003040110.bbtec.net　27件
p8254-ipad05hiraide.tochigi.ocn.ne.jp　13件
b-fp1-3110.noc.ntt-west.nsk.ne.jp　7件
218.net220216085.t-com.ne.jp　7件

*共有ホストも含まれていますー

**焼プリン ★** · 2006/04/04(火) 14:30:44

>>149
いきまーす

**焼プリン ★** · 2006/04/04(火) 14:53:04

>>149
焼かれてないものは焼きました。

24hだけでも止めた方が良い様な気もしましたが、、、
共有なので焼きませんでした。
> TTN202-127-81-29.ttn.ne.jp　458件

**RockRanger ★** · 2006/04/04(火) 15:08:16

>>151
お疲れ様でしたー　ありがとうございましたー
悩ましいですよねー＞TTN202-127-81-29

**あまた** ◆GOKvPKrEQ. · 2006/04/04(火) 15:30:11

968 名前： ◆SSu.zv/rvs [sage] 投稿日：2006/04/04(火) 15:20:33
今困っているのは

1) イオナズン
2) download の爆撃

の二つなのかな?

974 名前： ◆SSu.zv/rvs [sage] 投稿日：2006/04/04(火) 15:29:08
>>971 ふむ、純潔じゃなさそうだな

んじゃ

気分一新
それぞれ(お客さん別)の専用スレ立ててくださいー

**名無しの報告** · 2006/04/04(火) 15:34:42

>>32
AVG BitDefender ewido送信しました。

◆tiffinlc2w · 2006/04/04(火) 15:52:40

>>153
ソースも貼っておくれよ
http://aa5.2ch.net/test/read.cgi/nanmin/1142431006/968-974

ログ開示方面で何とかなるといいなぁ。＞TTN202-127-81-29

**名無しの報告** · 2006/04/04(火) 15:54:23

>>151
共有のせいにしても、一番件数が多いから対処はするべきでは？
comic6の半分はTTN202-127-81-29.ttn.ne.jpで占めてるんだから

**名無しの報告** · 2006/04/04(火) 16:03:22

>>32
今ノートンIUしたが、まだ対応されてないねぇ

**名無しの報告** · 2006/04/04(火) 16:05:30

プロバイダ通報は？

**名無しの報告** · 2006/04/04(火) 16:46:53

TTN202-127-81-29.ttn.ne.jp　458件
↑
これプロバイダ通報してアク禁にしろよ
458件も爆撃してんだぜこいつ
プロバで特定して貰って感染してる奴締め出せよ

**水色＠飛行石 ★** · 2006/04/04(火) 17:05:26

うーん。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FAGENT%2EBOG&VSect=T

改めてみると、これ厄介ですねー。

>・バックドア活動：
>　不正プログラムはバックドアの機能を備えています。不正プログラムはランダムに
>ポートを開き、不正リモートユーザによるコマンドの実行を可能にします。

>　また、不正プログラムは感染コンピュータをWebサーバとして設定します。そして作成
>したWebサーバのアドレスを暗号化し、以下の無害なWebサイトへ送信します。

>http://tmp6.2ch.ne＜省略＞tchen
>　不正プログラムは、感染コンピュータのポート80番、8000番、8080番を開放し、Webサーバ
>として機能させます。これにより、不正リモートユーザが感染コンピュータへアクセスし、以下の
>ような動作を行うことが可能になります。

> 感染コンピュータ内のファイルの閲覧
> ファイルのダウンロード、アップロード
> 感染コンピュータのスクリーンショットを作成

>　また不正プログラムは、感染コンピュータと他の感染コンピュータを接続し、感染コンピュータ
>間のネットワークを構築します。

>・プロセスの強制終了：
>　不正プログラムは、以下のプロセスを強制終了します。

>_Avp32.exe
>_avpcc.exe
　(以下略）

つまりですねー、感染させられると完全に傀儡化されて好き放題
ってことですねー。

・とりあえず感染したらアンチウイルスソフトは止めてしまう
・バックドア機能があるので、更新版の本体を上書き可能

次々と亜種が出てくるのはー、結局入れ替えが行われてる
可能性が高いってことですよねー。

恐らく古いパターンのままで投稿してるのはー、間にルーターがあるとかー。
ルーターあったら、感染はできるけどコントロールは出来ないだろーなーと。

やっぱり元に戻って通報コースも再検討かと思ったりー（行ったり来たり）。

**水色＠飛行石 ★** · 2006/04/04(火) 17:06:13

それでー、これなんですがー。

>http://tmp6.2ch.ne＜省略＞tchen

厨房板のどっかのスレに投稿されてるってことですかねー？

**名無しの報告** · 2006/04/04(火) 17:16:02

>>161
ﾀﾞｳｿ板じゃないんですか？
確かあそこもtmp6かと

**名無しの報告** · 2006/04/04(火) 17:16:43

>>161
結構前から
はっきり覚えてないけど小泉出現よりも前じゃなかったかな

おちんちん総合
http://tmp6.2ch.net/test/read.cgi/kitchen/1141550042/
にあるような、どこをどう見ても意味不明なやつはほとんどウィルスのはず
ダウンロードや同人と違って、板自体に意味不明な性質があるからわかりづらい

**名無しの報告** · 2006/04/04(火) 17:16:50

宇宙語ですな
既にデコードするスクリプトも出ていたかと

**名無しの報告** · 2006/04/04(火) 17:18:06

>>164
そのスクリプトをはじめに公開したやつが作者じゃね？

**水色＠飛行石 ★** · 2006/04/04(火) 17:19:20

>>162
違いますよー。
後半にtchenって書いてありますしー、暗号化した
URLっていうことですからー。

つまりー、その暗号を読みに行って他の感染パソコンと
通信したりとかー、作成者が不正アクセスしたりとかするんじゃ
ないかなーと。

直接鯖を指定せずに厨房板を介してやってるんでしょうねー。
追跡避けるためにー。

**水色＠飛行石 ★** · 2006/04/04(火) 17:23:29

けど受け皿のスレは自分で立てるのかなー。
それともランダムに投稿してるだけかなー。

まーランダムに投稿してランダムに読んでも、
それぞれ目的は達成できるでしょうけどねー。

けどこれってー、感染パソコンに侵入してプロセス
止めるとか、ウイルス削除して無効化も可能ってことなのかなー
（あくまで可能性で、やっちゃ不味いんでしょうけどー）

**名無しの報告** · 2006/04/04(火) 17:24:51

犯人はこのスレを見ているっ！！１

**名無しの報告** · 2006/04/04(火) 17:29:04

>>167
vipの連中はしまくりだったような(結果、感染者は激減したわけだけども)
今もヲチスレはあるんじゃないかな。当時はν速にあったスレを見てたもんで。

**名無しの報告** · 2006/04/04(火) 17:30:31

まぁ、極端な話
厨房板を一時封鎖すれば
活動が抑えられるって事かな。

**名無しの報告** · 2006/04/04(火) 17:33:03

ν速はもうないのか…

まだ続くよ（´・ω・）ｶﾜｲｿｽ山田ヲチスレ 221
http://tmp6.2ch.net/test/read.cgi/download/1144070106/

山田オルタナティブ77
http://ex14.2ch.net/test/read.cgi/news4vip/1144024235/

**名無しの報告** · 2006/04/04(火) 17:37:36

>171
爆撃が継続中だとしても、もう速報性はないでしょ
だから立てる必要はない

**名無しの報告** · 2006/04/04(火) 17:38:31

>>167
>受け皿のスレ
たぶん"スレ"はどうでもよくて
ttp://tmp6.2ch.net/kitchen/ で表示される内容が重要

winnyの場合１つでも繋がるノードがあれば
全体へ接続したのと同じ (winny内でノード情報のやり取りをしてる)

やるとしたら
ttp://tmp6.2ch.net/kitchen/ トップの停止して
入り口を ttp://tmp6.2ch.net/kitchen/index.html ではなく ttp://tmp6.2ch.net/kitchen/index3.html にすれば・・・

**名無しの報告** · 2006/04/04(火) 17:55:41

厨房板って運営の気まぐれで一時閉鎖されたりへんに規制重くなったりするよな
かわいそうに

**水色＠飛行石 ★** · 2006/04/04(火) 17:59:36

>>173
えーと、ウィルスの入れ替えも可能ってあたりを
忘れてるよーな気がしますー。

**RockRanger ★** · 2006/04/04(火) 18:00:59

>>149の続きですー
～4/04 17:39:14(tmp6)
～4/04 17:38:47(comic6)

-tmp6-
229.net059086127.t-com.ne.jp　40件
220.36.138.58.dy.bbexcite.jp　20件
p109.net059086006.tnc.ne.jp　9件
softbank221036248074.bbtec.net　7件
EATcf-445p88.ppp15.odn.ne.jp　7件

-comic6-
TTN202-127-81-29.ttn.ne.jp　106件
softbank220052108037.bbtec.net　48件
softbank220003040110.bbtec.net　27件
p3081-ipbf01akatuka.ibaraki.ocn.ne.jp　21件
p6216b1.osakac00.ap.so-net.ne.jp　3件

*共有ホストのものも含まれていますー

**名無しの報告** · 2006/04/04(火) 18:12:45

ウイルスが書き込むのは厨房板のそのときトップにあるスレ。いつも見てるからわかる。

**名無しの報告** · 2006/04/04(火) 18:14:34

今回だけは傘スレも意味がない

**名無しの報告** · 2006/04/04(火) 18:17:57

vip931の応用で厨房931なんてのは？

**名無しの報告** · 2006/04/04(火) 18:24:44

厨房板をどうにかしても、今度は別の板を媒介にした亜種が出回る悪寒

**名無しの報告** · 2006/04/04(火) 18:32:46

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     202.127.80.0/20
b. [ネットワーク名]　　TTN
f. [組織名]　　　　　　　丹南ケーブルテレビ株式会社
g. [Organization] 　　　Tannan Cable Television Corporation
m. [管理者連絡窓口] YI6083JP
n. [技術連絡担当者]  RT1196JP
n. [技術連絡担当者]  OT184JP
p. [ネームサーバ]　　 dns1.ttn.ne.jp
p. [ネームサーバ]　　　dns2.ttn.ne.jp
[割当年月日]　　　　　　2005/04/14
[返却年月日]
[最終更新]　　　　　2005/04/14 13:38:02(JST)

上位情報
----------
丹南ケーブルテレビ株式会社 (Tannan Cable Television Corporation)
[割り振り]   202.127.80.0/20

下位情報
----------

酷すぎるなら、TTN202-127-81-29.ttn.ne.jp、焼いちゃえば？
プロバイダに警告という手もあるが

**名無しの報告** · 2006/04/04(火) 18:35:32

ISPへの通報は過去に拒否されたことがあるから
今のとこしてないわけです

**名無しの報告** · 2006/04/04(火) 18:39:23

ひろゆきが「電子計算機損壊等業務妨害幇助」で被害届を出すとか、プロバイダ相手に損害賠償請求するとかすればいいんだけどね
まあ、裁判で忙しいのにこれ以上増やすわけないだろうけど。

**焼プリン ★** · 2006/04/04(火) 18:40:27

えーっと、イオナズンの方は専用スレ立ちましたけど
download の爆撃は専用スレは立てないんですかねー？>>153-155

とりあえず、>>176で焼けてないのは
以下になります。
チョット今時間が無いので焼かないまま離席しまーす。

220.36.138.58.dy.bbexcite.jp 58.138.36.220
p109.net059086006.tnc.ne.jp 59.86.6.109
softbank221036248074.bbtec.net 221.36.248.74
softbank220052108037.bbtec.net 220.52.108.37
p6216b1.osakac00.ap.so-net.ne.jp 219.98.22.177

TTN202-127-81-29.ttn.ne.jp 202.127.81.29 ←共有

**焼プリン ★** · 2006/04/04(火) 18:49:39

>>184
時間とれそうなので作業しますー。

**名無しの報告** · 2006/04/04(火) 18:51:57

ヤフーニュースに今回のウイルスの記事キタ。
http://headlines.yahoo.co.jp/hl?a=20060404-00000504-yom-soci

気づいてくれる人が増えればいいんだけど。

**焼プリン ★** · 2006/04/04(火) 18:53:05

>>176
共有以外やきましたー。
おつかれさまです。

**名無しの報告** · 2006/04/04(火) 18:59:33

>>183
ひろゆきが被害届出してくれれば簡単な問題なんだけどねぇ。
単体で活動するvirusと違って今回のようなバックドア装備の場合は
感染者PCへのアクセスログにウィルス作成者自身の情報が記録されていることは確かなんだし。

**水色＠飛行石 ★** · 2006/04/04(火) 19:08:15

>>188
えーと、それならですねー。
やってくれる人がいるかどーか判りませんけどー、
誰かが自分のパソコンに感染させてアクセスしてくる
奴を監視するってのはどーですかねー。
動作からするとー、感染パソコンからのアクセスが多いと
思うんですけどー、手動でやってるのは挙動が違うと思いますしー。

IPアドレスばらしたら相手にもばれちゃいますからー、
メールでやり取りすればいいよーな気もしますー。
(別のパソコンとか携帯から報告してくれてもいーですがー）。

けどかなり危険かなー。うーむ。

**名無しの報告** · 2006/04/04(火) 19:09:56

2ch大量投稿ウィルスについてのことも書かされている。

山田オルタ感染された時の症状を撮ったスクリーンショットも載ってる。詳しくは記事で

「山田オルタネイティブ」の動作を知る (1/2)
http://www.itmedia.co.jp/enterprise/articles/0604/04/news003.html
http://www.itmedia.co.jp/enterprise/articles/0604/04/news003_2.html

>掲示板を攻撃する新たなマルウェア
(中略)
>具体的には、大量投稿を行ってその他の書き込みを邪魔するマルウェアが、
>2ちゃんねるのダウンロード板を攻撃している。感染者のPCから

>スレッドタイトルに「Winny」または「Share」の文字がある
>現存するスレッドのうち最も古い
>という条件に該当するWinny／Share関連のスレッドに対して、
>幾つかのフレーズをリモートホストが分かる形で大量に投稿する。

**名無しの報告** · 2006/04/04(火) 19:13:22

>>189
イオナズンはBOT使ってると思うから、その手法は有効だろうけど
おそらく、上からの命令無しで攻撃してると思います。
あらかじめ特定ルールで爆撃するようにしておけば、命令する必要ないし

あと、共同IPの場合、外部から感染PCに命令するのは不可能と思われます。
プロバイダがウイルスからの指令でポートマッピングするとかしない限り

**水色＠飛行石 ★** · 2006/04/04(火) 19:22:57

>>191
あのー。バックドア動作するそうですけどー。
このウイルスもー。

単独でも動作するのは当たり前ですー。
さらに他の感染PCを探してきたりとかしてくれるならー、
そのリストをBBQしていくって手もありますー。

**名無しの報告** · 2006/04/04(火) 19:25:45

>>190
その掲示板を攻撃する新たなマルウェアすらもう古い状態なんだよなぁ。
少数だがスレタイ関係なく爆撃されてるものもある。もうどうにもならない。

**水色＠飛行石 ★** · 2006/04/04(火) 19:25:53

とゆーか、>>190見て思ったんですがー、
暗号化されてるのがIPアドレスならー、
そこに書かれたものは片っ端から焼いてみても
いいんですよねー。

変換ソフトとかはどこにあるんだろー？

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 19:28:34

>>191
>あと、共同IPの場合、外部から感染PCに命令するのは不可能と思われます。
winnyでいうport0 なら上から命令を取ってくることで可能

winny の port0 は吸い取り専門だし
Ａ(NAT) -> Ｂ(port0) -> Ｃ(raw) と流れる

**名無しの報告** · 2006/04/04(火) 19:31:55

宇宙語複合化ツール前にﾀﾞｳｿとか厨板とかで晒されてたっけ。どこだったかしらん

**名無しの報告** · 2006/04/04(火) 19:32:33

>>192
うーん。バックドア付きか
うちは捨てPCないし、IPひとつだけでルーター設置してるから上手く感染PCと通信できないだろうな。
感染PCで2ch.netに対するアクセスをきっちゃうなりhostファイルで2ch.netに対するアクセスをlocalhostに振り返るなどすれば、無害化するが。

**名無しの報告** · 2006/04/04(火) 19:34:34

> 宇宙語復号

この辺り
ttp://yamada.xxxxxxxx.jp/tool.htm

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

ｷﾀ━━━━ヽミ´ー｀彡ﾉ━━━━!!!!

シマンテック

ファイル名: C:\Documents and Settings\User\virus\[NoCD][060331] この青空に約束を\この青空に約束を_NoDVD.exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Sufiage. http://www.symantec.com/avcenter/venc/data/trojan.sufiage.html
ファイル名: C:\Documents and Settings\User\virus\[NoCD][060331] 愛玩隷嬢～Doll～_NODVD\愛玩隷嬢～Doll～_NODVD.exe
コンピュータ:
結果: このファイルの検出結果 Trojan.Sufiage. http://www.symantec.com/avcenter/venc/data/trojan.sufiage.html

ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe

キングソフトは解析中とのこと

**名無しの報告** · 2006/04/04(火) 19:37:22

ttp://www.google.co.jp/search?q=Trojan.Sufiage&num=100&hl=ja&lr=&ie=UTF-8

Trojan.Sufiageに該当するページが見つかりませんでした。

検索のヒント
キーワードに誤字・脱字がないか確かめてください。
違うキーワードを使ってみてください。
より一般的な言葉を使ってみてください。

orz..

**名無しの報告** · 2006/04/04(火) 19:39:45

そういえば、ID焼きという仕組みを作ってもらうってのはどうですか？
特定板で特定IDの人は書き込み不能にするという（確率は低いので同一IDになった人は不幸ということで）

ただ、IDは一日で代わるので制限は0時までになりますが

・・・恒久的なものとしては使えないかな。板分散型が出たら大変になるし

**名無しの報告** · 2006/04/04(火) 19:46:23

＞ISPへの通報は過去に拒否されたことがあるから
＞今のとこしてないわけです
だそうなんですね。だったら

・TTN202-127-81-29.ttn.ne.jpは焼く
・そこに契約している2chユーザーの人が、
　「2chから通報があれば、アタックしてるユーザーをどうにかする」
　と言う確約をプロバイダから取ってここに報告
・2chから通報
・プロバイダ対処
・焼き解除

ってな事はできないですか？

**名無しの報告** · 2006/04/04(火) 19:56:37

一応確認ですが
ISPへの通報は拒否されたというのは

ISPに通報したけど、対応できないと拒否されたということですよね？
報告する人にISPに通報することを拒絶されたとも取れるので。

前者だったら最悪、拒否したらdenyという手段もありますが。
特にプライベートIPのところはそれ以外対応しようもないので。

**名無しの報告** · 2006/04/04(火) 20:06:38

拒否するISPはけっこうあります。理由は判りません。
経営レベルが低いのでしょうね。

**名無しの報告** · 2006/04/04(火) 20:13:59

あとは、ウイルス対策ソフトが対応してるのに全然対策しないユーザーに対して
未必の故意の電子計算機損壊等業務妨害で訴えるとかか。

>>204
denyして、ユーザーからISPに苦情殺到するようにすればいい。被害が拡大した最悪の場合はね。

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>32
>>199に引き続き

お問い合わせありがとうございます。
マカフィー株式会社のAVERTです。

検体をお送りいただいてありがとうございます。

<解析結果> Uploader-AC

この検体は、最新のスキャンエンジン(4400)と添付しましたExtra.DATで検出・駆除が可能です。
正式なウイルス定義ファイルへは次回リリースの定義ファイルで反映される予定です。
なお、事情により反映が遅れ、定義ファイルへの更新が次々回以降になる場合もございます。あらかじめご了承ください。

Extra.DATのインストール方法につきましては、こちらをご覧ください。
http://www.mcafeesecurity.com/Japan/downloads/updates/datfaq.asp#extra

**名無しの報告** · 2006/04/04(火) 20:30:44

>>189
捨てPCがある方にお願いして挙動を見てみる価値はあるかもですね。

>>194
負荷の問題さえクリア出来るのであれば、
宇宙語が書き込まれると同時に解析して自動焼き、なんて出来れば理想ですけどねー。

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 20:34:45

>捨てPC
捨てＯＳ入りＨＤ (クリーンインストールする予定) ならあるけど

**水色＠飛行石 ★** · 2006/04/04(火) 20:45:33

えーと、仮に感染させたＰＣのアドレスはー、
メールで教えていただければＢＢＱしますんでー。

感染させたＰＣ側でなんか設定する必要は多分ないですよー。

**名無しの報告** · 2006/04/04(火) 20:51:47

ムカツク喋り方だな

**名無しの報告** · 2006/04/04(火) 20:55:09

堤防の高さ低！

**名無しの報告** · 2006/04/04(火) 21:00:08

>>209
2つIPないと、２ちゃんねるにアクセスできなくなるという弊害が

**名無しの報告** · 2006/04/04(火) 21:03:22

共有でも、あまり被害が出るようなら
「とりあえず焼いてみてから後のことを考える」というのもアリだと思うのだが

**名無しの報告** · 2006/04/04(火) 21:10:53

感染者がいる限りISPに通報してもまた再発するよ

**名無しの報告** · 2006/04/04(火) 21:10:56

犯人はこのスレを見てますよー
何食わぬ顔で書き込みもしてるかもしれない

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:13:23

今回のたーげっつ
24,023,812 (シングル) PS2ゲーム「フタコイオルタナティブ恋と少女とマシンガン」OP&ED「恋泥棒ごっこ」(mp3 192k).rar
-> ！？

5,803,053 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220(1).zip
-> subj.rb.zz

5,489,519 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220(2).zip
-> subj.rb.zz

4,847,075 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220.zip
-> 本物

4,169,746 (一般コミック・雑誌) [ジャンプ] [2006-19] ツギハギ漂流作家.zip
-> 893の住所とか

5,535,458 (一般コミック・雑誌) [ヤングジャンプ] [奥浩哉] [2006-19] GANTZ 0229 流出.zip
-> 騙された (新しいフォルダ内に本物が・・・)

subj.rb.zz はつづく

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:15:18

5,803,053 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220(1).zip -> subj0322.rb
5,489,519 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220(2).zip -> subj0324.rb

***** subj0322.rb
757: targets = []
758: winny_thre = board.include_title(/(winny)|(うぃに)/)
759: if winny_thre.empty?
***** SUBJ0324.RB
761: targets = []
762: winny_thre = board.include_title(/(winny)|(うぃに)/i)
763: if winny_thre.empty?
*****

***** subj0322.rb
763: end
764: share_thre = board.include_title(/(share)|(しぇあ)/)
765: if share_thre.empty?
***** SUBJ0324.RB
767: end
768: share_thre = board.include_title(/(share)|(しぇあ)/i)
769: if share_thre.empty?
*****
↓さらに続く

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:18:01

***** subj0322.rb
792:
793: $exename = 'c:\\:滝川クリトリス.exe'
794: $dataname = 'c:\\:滝川クリトリス.dat'
795: $lockname = 'c:\\:滝川クリトリス.lock'
796: if vmware?
***** SUBJ0324.RB
796:
797: $exename = 'c:\\:滝川クリトリスv2.exe'
798: $dataname = 'c:\\:滝川クリトリスv2.dat'
799: $lockname = 'c:\\:滝川クリトリスv2.lock'
800: if vmware?
*****
***** subj0322.rb
850: (infothre = board.include_title(/そす/)).empty?
851: info_write(infothre.min{|a, b| a.key - b.key}, info_message(maxline, maxchar))
852: open($lockname, 'w'){}
853: end
***** SUBJ0324.RB
856: (infothre = board.include_title(/そす/)).empty?
857: if info_write(infothre.min{|a, b| a.key - b.key}, info_message(maxline, maxchar))
858: open($lockname, 'w'){}
859: end
860: end
*****
ここまで (ruby使ってるvirus作者って・・・)

**白パン3号** ◆/XB/yBWAzA · NG

【規制議論板】質問でも雑談でもOKのスレッド★63
http://qb5.2ch.net/test/read.cgi/sec2chd/1143374400/467-

なんかはじまった('A｀)

**名無しの報告** · 2006/04/04(火) 21:24:28

>>219
串使って爆撃はいつものこと

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:29:24

一部
elsif body.match(/お茶でも/)
@board.set_tmp_wait(60*5)
return false
elsif body.match(/もうずっと書けませんよ/)
@board.set_tmp_wait(60*65)
return false
elsif body.match(/このスレッドには書き込めません/)
@over_size = true
return false
elsif body.match(/(\d+) sec たたないと書けません/)
@board.set_wait($1.to_i)
sleep($1.to_i + 1)
retry
elsif body.match(/ブラウザ変ですよん-2/)
TwoChannel::set_user_agent
retry
elsif body.match(/連続投稿ですか？？/)
@board.set_tmp_wait(60)
return false

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:31:19

爆撃対象
targets = []
winny_thre = board.include_title(/(winny)|(うぃに)/i)
if winny_thre.empty?
targets << board.latest
else
targets << winny_thre.min{|a, b| a.key - b.key}
end
share_thre = board.include_title(/(share)|(しぇあ)/i)
if share_thre.empty?
targets << board.oldest
else
targets << share_thre.min{|a, b| a.key - b.key}
end
eroge_thre = board.include_title(/\d\d\d\d/)
if eroge_thre.empty?
targets << board.max_res
else
targets << eroge_thre.min{|a, b| a.key - b.key}
end

**名無しの報告** · 2006/04/04(火) 21:34:49

>>221
書き込みが終了しました。のページにSambaのsecたたないと書けませんをうまく忍び込ませられれば
ある程度書き込みを抑えられそうな気が
専用ブラウザに副作用が出ちゃうかな？

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:37:13

今回の処理残骸 (exeは upx -d 済み)
1,216,512 322.exe <= 5,803,053 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220.zip
7,040 322b.zz
1,216,512 324.exe <= 5,489,519 (一般コミック・雑誌) [ジャンプ] [2006-17] BLEACH 220.zip
7,120 324b.zz
32,190 subj0322.rb
32,489 subj0324.rb

**名無しの報告** · 2006/04/04(火) 21:44:32

いま、ダウンロード板のスレを全部ダウンロードしてみた
幸いTor串さしてるから、速度が出ずにバーボンになってない

多少負荷かかったかもしれない。ｽﾏｿ（1時間ぐらいかけてのダウンロードだから軽微だとは思いますが）

fusiana総数
3/30・・・2
3/31・・・0
3/32・・・55
4/02・・・829
4/03・・・2035
4/04・・・1299

※古ければ古いほど、dat落ちの影響を受けてると思われる。

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 21:51:34

ちなみにSymantecAntiVirus 9.0.5 パターン 2006/03/27でスキャン

322.exe -> Virus
324.exe -> 反応なし

いつもの (検出してくれない324だけ)
ttp://kasamatusan.sakura.ne.jp/cgi-bin2/src/ichi30476.zip.html
かいとうぱす：ragnarokonlinevirus

**水色＠飛行石 ★** · 2006/04/04(火) 22:01:30

>>218
＞ (ruby使ってるvirus作者って・・・)

BOTの作成にはRudyがよく使われてるそーですよー。

ウイルスとゆーかは、もうBOTとして最初から
作られてるよーな気がしてきましたねー。
うーむ。

**名無しの報告** · 2006/04/04(火) 22:03:06

>>226
いつもうｐﾓﾂｶﾚです

ttp://virusscan.jotti.org/　にてスキャンしました結果('A`)

File: (一般コミック・雑誌)_[ジャンプ]_[2006-17]_BLEACH_220.zip
Status: INFECTED/MALWARE
MD5 903c500dd552ebda68a32f30e0c13776
Packers detected: Analyzing...
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found PSW.Generic.AGB
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.PWS.Ruby
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Agent.qk
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found Trojan.Spy.Win32.Kakkeys
VirusBuster Found nothing
VBA32 Found nothing

---
ちなみに手元のノートンAV2005では、Kakkeys.Dとして検出しました
Dとは微妙に違う気もするんだけどなあ('A`)

**名無しの報告** · 2006/04/04(火) 22:12:27

プロバイダの人は数秒おきに２ちゃんねるに書き込みしてるPCを特定できないの？
「お宅のユーザーから爆撃されて困ってるんだよねぇ～、なんとかしろよ」
とか言ってプロバイダーに対応させられないかなぁー

**名無しの報告** · 2006/04/04(火) 22:15:28

>>226
ノートン先生によれば、Trojan.Kakkeys.D
ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.kakkeys.d.html
とのことですた

**星方天使天環** ◆W/UhU0N3pg · 2006/04/04(火) 22:25:08

upx -d した後ではダメだったのか
吊ってくる

>山田オルタナティブ復号化
なんとかなりそう
～.cppがあるから
これをperlで書き直して(略

**名無しの報告** · 2006/04/04(火) 22:29:48

宇宙語解析の話をしてるんなっらこんなサイトもあるんだけど
ttp://vip2ch.com/yam/index.html

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>226
一応キングソフト・マカフィー・avast!に送りました。

**水色＠飛行石 ★** · 2006/04/04(火) 22:45:42

>>232
をー。
ホスト名とユーザー名まで出てきちゃうんですねー。

けど全部拾うのは大変ですかねー。
傘スレ立ててって訳にもいかないですかねー。
(兼宇宙語翻訳）

**名無しの報告** · 2006/04/04(火) 22:50:34

>>234
全部拾えるけど解析が・・・

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

雨中語解析落ちた・・・

**名無しの報告** · 2006/04/04(火) 23:07:27

っ宇宙語復元ツール　ttp://yamada.xxxxxxxx.jp/tool.htm

**名無しの報告** · 2006/04/04(火) 23:12:11

>>219
467 ： [―{}@{}@{}-] fccdns.frankston.vic.gov.au ：2006/04/04(火) 21:18:39 ID:8i2EYyOV0
469 ： [―{}@{}@{}-] fccdns.frankston.vic.gov.au ：2006/04/04(火) 21:19:22 ID:8i2EYyOV0
478 ： [―{}@{}@{}-] ns1.koyo-ksb.com.br ：2006/04/04(火) 21:33:16 ID:tQxuvCrJ0 BE:699792269-
484 ： [―{}@{}@{}-] nat.morrishospital.org ：2006/04/04(火) 21:38:19 ID:TLISvpvM0

fccdns.frankston.vic.gov.auは80番が空いてるな。オーストラリアのヴィクトリア州フランクトン市の串なのかな？

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>237
どもー

雨中語解析復旧
ログが凄い事になってるる