【春雷】　イオナズン対策スレッド

**名無しの報告** · 2006/04/04(火) 16:35:59

♪あなたはーいなづーまーのー　よーぅにー
　わたしのースレをー　ひきさいたーぁー

つなぎかえ連投荒し　通称「イオナズン」の対策スレッドです
このスレも荒らされたりして

**ちょろ ★** · 2006/04/07(金) 15:12:40

つうことは
UA を種に Samba風味とか、、、

**ちょろ ★** · 2006/04/07(金) 15:13:36

ちなみに　爆撃されているのは news だけ?
データとるのは news を張っていればいいのかな?

**あまた** ◆GOKvPKrEQ. · 2006/04/07(金) 15:16:49

ν即以外あまりきかない

**ちょろ ★** · 2006/04/07(金) 15:18:33

それはtimecloseとかに引っかかるから?

**名無しの報告** · 2006/04/07(金) 15:21:28

運用情報にも一回爆撃きてたし、単に犯人の趣味かなぁ・・・
でも運用情報は120秒規制だよねぇ、、、
でも、1回ずつ書き込まれるだけでも十分な破壊力な気がしないでもない

**名無しの報告** · 2006/04/07(金) 15:22:06

>>10のoperateの件はいおなずんちゃうの？

**名無しの報告** · 2006/04/07(金) 15:23:43

対応出来るまでBE_TYPE2で凌ぐとかは？
・・・ひろゆきに迷惑が掛かるか。。。

**ちょろ ★** · 2006/04/07(金) 15:26:20

韓国、中国等外国のは焼いちゃってください

**名無しの報告** · 2006/04/07(金) 15:28:15

>>108
逆引き不可もじゃないか？

**名無しの報告** · 2006/04/07(金) 15:29:47

【速報】ちょろ ★(=FOX ★)は嫌韓厨だった！

**水色＠飛行石 ★** · 2006/04/07(金) 15:52:37

>>100
焼いておきましたー。

**ｒｅｆｆｉ@報告人 ★** · 2006/04/07(金) 16:20:01

報告
>92

ログ
>99

全ホスト掲載不可なので分析結果でも

記録されてる書き込み回数　11210回
ＩＰ総数　829個
重複している数　818個（１０回以上　736個）
プロバイダ分布は後ほど
ＵＡは全て同一でした。（前にも書いたけど変えられる可能性もある）

※ここまで大量のゾンビＰＣがあると通報はほぼ不可能です。
（仮にやっても別のゾンビＰＣを作られる可能性が大）

**名無しの報告** · 2006/04/07(金) 16:20:35

何か前の投稿間隔も考慮に入れて
200秒間隔にそろうようとしてる気がするんだが
何の意味があるのだろう・・・

p2107-adsau07doujib1-acca.osaka.ocn.ne.jp
書き込み時間　　間隔（秒未満切り捨て）
17:28:41.26　　3:23
17:32:04.72　　3:17
17:35:21.85　　3:21
17:38:42.08　　3:19
17:42:01.64　　3:20
17:45:21.67　　3:20
17:48:41.89　　3:21
17:52:02.40　　3:19
17:55:21.87　　3:29
17:58:50.40　　3:12
18:02:02.37　　3:20
18:05:22.08　　3:20
18:08:42.07　　3:20
18:12:02.99　　3:25
18:15:27.09　　3:15
18:18:42.43　　3:20
18:22:02.97　　3:20
18:25:22.72　　3:19
18:28:41.83

▲ ◆SANUKI/VII · NG

>>113
書き込みバーボン回避 or サンバ回避とかじゃね？

**名無しの報告** · 2006/04/07(金) 20:34:45

山田オルタ、ふしあなageマルウェアとイオナズンに関連があるか
気になったので、>>86 >>99のリストにあったイオナズンのゾンビ
クライアント（1064個）と、以下で報告のあった山田オルタ、ふし
あなage感染ホストを付き合わせてみました。

■ウィルス爆撃相談所＆焼き処２【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/304-582

両方にあったホストは次の13個。すべてダウンロード板へのふしあ
なage爆撃でした。

203-165-175-237.rev.home.ne.jp
218-251-13-189.eonet.ne.jp
58-188-72-69.eonet.ne.jp
EAOcf-84p166.ppp15.odn.ne.jp
F001089.ppp.dion.ne.jp
KHP222226060026.ppp-bb.dion.ne.jp
catv219122103074.ucatv.ne.jp
h219-110-195-046.catv02.itscom.jp
nthkid058077.hkid.nt.adsl.ppp.infoweb.ne.jp
p006.net059086018.tnc.ne.jp
p3235-ipad01hiraide.tochigi.ocn.ne.jp
softbank218179186044.bbtec.net
softbank219204064005.bbtec.net

イオナズンとふしあなageには関連がありそうな気がしますが、別々の
マルウェアにに多重感染した迂闊な人リストであるだけかもしれません。

**水色＠飛行石 ★** · 2006/04/07(金) 20:38:36

まー、同居は可能でしょうねー。
居心地がいいって所でしょうかー。

**ｒｅｆｆｉ@報告人 ★** · 2006/04/07(金) 20:46:17

今プロバイダ分布作成中ですが焼き可能なのを見つけたので報告します。

aa2003010479003.userreverse.dion.ne.jp 11res
aa2004040394002.userreverse.dion.ne.jp 11res
aa2004080395003.userreverse.dion.ne.jp 3res
KD125055207003.ppp-bb.dion.ne.jp 11res
KHP059136032193.ppp-bb.dion.ne.jp 12res
KHP059140101065.ppp-bb.dion.ne.jp 11res
KHP059140123188.ppp-bb.dion.ne.jp 12res
KHP059140238085.ppp-bb.dion.ne.jp 12res
KHP059141023129.ppp-bb.dion.ne.jp 11res
KHP059141102248.ppp-bb.dion.ne.jp 12res
KHP059141109013.ppp-bb.dion.ne.jp 12res
KHP059141174164.ppp-bb.dion.ne.jp 11res
KHP222000089144.ppp-bb.dion.ne.jp 10res
KHP222006002235.ppp-bb.dion.ne.jp 12res
KHP222009245116.ppp-bb.dion.ne.jp 11res

**ｒｅｆｆｉ@報告人 ★** · 2006/04/07(金) 21:09:42

プロバイダ分布（１０以上のみ）

BIGLOBE 30
DION 70
eonet 31
infoweb 47
OCN 157
plala 22
so-net 24
YahooBB 171
zaq 17

※ＯＣＮとヤフーが異様に多いなぁ（全体の４割近く）

**ところてん** ◆.wzxzpP5/s · 2006/04/07(金) 21:18:16

yourenetが無いのが意外といえば意外ですな('A｀)

**ｒｅｆｆｉ@報告人 ★** · 2006/04/07(金) 21:22:42

>119
掘られた２件見てみましたけど合計で１０件無かったです。

※もう１件の方は纏めただけで分析してないけどゾンビＰＣ推定で１０００台以上は
　分散してるんじゃないかと思われます。

**ところてん** ◆.wzxzpP5/s · 2006/04/07(金) 21:25:38

>>120
＞ゾンビＰＣ推定で１０００台以上
(ノ∀`)ｱﾁｬｰ
やはり通報無理そうですな…
随時作業乙カレさまです、サー！

**名無しの報告** · 2006/04/07(金) 21:43:50

どっかの中の人です

>>120
そうとうでかそうなBOTネットですねぇ(´･ω･`)

**名無しの報告** · 2006/04/07(金) 22:27:01

winny使ってるホストかどーか調べようにも
比べるツールを今から作らないと・・・

時間かかります。(数時間で済むはず)

**名無しの報告** · 2006/04/07(金) 22:28:42

なんかｸﾙｰ

**名無しの報告** · 2006/04/07(金) 22:31:40

何かこの機会にBOTについての記事を色々読んでたら、暗澹とした気分になってきた
今回のｎｙ騒動でISPがウイルス等に感染してるっぽい怪しいトラフィックを常時監視したり
2ちゃん等からの指摘でもすぐに調査・対応するようにならなきゃどうしようもないね

**名無しの報告** · 2006/04/07(金) 22:48:12

ウイルス感染しても自分に被害なければ無問題と言う認識がいけませんよね。
nyするなら専用機なんてバカな事をする言うヤツが居るからダメ。
ウイルス感染（して他所に迷惑かける事）は罪って事にならんと感染者は減らない。
罰金制度と感染者ハンターwがでてくれば良いなと思ってたりして...

雑談ｽﾏｿ

**名無しの報告** · 2006/04/07(金) 23:10:41

winnyも使ってたホスト(共有ホストは除く) こっちのクラスタは "【アプリ】Windows【ソフトウェア】※アプリ厨必死だな（藁【アプリ】みんなには内緒だよ【app】"
224.56.111.219.dy.bbexcite.jp
h219-110-187-039.catv02.itscom.jp
global221-101-232.aitai.ne.jp
i211-133-234-058.us.catvmics.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPbf364.saitama-ip.dti.ne.jp
dhcp234175.mv.icv-net.ne.jp
CATV-219-099-010-037.medias.ne.jp
p5190-ipbf14funabasi.chiba.ocn.ne.jp, p4051-ipbf204sapodori.hokkaido.ocn.ne.jp
p1110-ipbf310sapodori.hokkaido.ocn.ne.jp, p2238-ipbf210souka.saitama.ocn.ne.jp
a131051.usr.starcat.ne.jp
229.net059085184.t-com.ne.jp, 117.net220148219.t-com.ne.jp
z128.58-98-156.ppp.wakwak.ne.jp
m056147.ppp.asahi-net.or.jp
p171.net059084093.tokai.or.jp
softbank219016158062.bbtec.net, softbank219028160022.bbtec.net, softbank219051208001.bbtec.net, softbank219191248181.bbtec.net
softbank219204086130.bbtec.net, softbank219209107072.bbtec.net, softbank221094207006.bbtec.net

**名無しの報告** · 2006/04/07(金) 23:18:32

>>127 は過去一週間

↓3/3以降 (>127に書いたものは除く) クラスタはいろいろと・・・
FLH1Aby159.szo.mesh.ad.jp
h219-110-187-061.catv02.itscom.jp, KHP222006002235.ppp-bb.dion.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPax346.saitama-ip.dti.ne.jp
59-190-80-158.eonet.ne.jp, 60-56-197-38.eonet.ne.jp
cr1-162-240.seaple.icc.ne.jp, eatkyo204252.adsl.ppp.infoweb.ne.jp
nttkyo332235.tkyo.nt.ftth.ppp.infoweb.ne.jp, nttyma034077.tyma.nt.ftth.ppp.infoweb.ne.jp, ntaich191135.aich.nt.ftth4.ppp.infoweb.ne.jp
dsl012-191.kcn.ne.jp, f190177.mctv.ne.jp, dhcp-5461.nava21.ne.jp
p5069-ipbfp02niho.hiroshima.ocn.ne.jp
p3233-ipbf1004marunouchi.tokyo.ocn.ne.jp
pc049129.f1.octv.ne.jp, p6ef193.tokyte00.ap.so-net.ne.jp
d2c67f3e.t-net.ne.jp, q057242.ppp.asahi-net.or.jp
softbank060090140029.bbtec.net, softbank218119236136.bbtec.net, softbank218139183208.bbtec.net, softbank218180180072.bbtec.net
softbank219040162002.bbtec.net, softbank220003038213.bbtec.net, softbank220031167032.bbtec.net, softbank221029010121.bbtec.net
softbank221059203138.bbtec.net, softbank221083136013.bbtec.net

**名無しの報告** · 2006/04/07(金) 23:43:09

じゃあな。ひよゆき！

**名無しの報告** · 2006/04/07(金) 23:44:05

なんかネットエージェントみたいなことをやってるなｗｗｗｗ

**名無しの報告** · 2006/04/07(金) 23:50:49

>>130
port 0 徹底排除

逆引きは出来ても正引きが出来ないホストが多くて・・・
winny動かすＰＣにBIND入れて電源切る時にdumpdbをやってる

winny専用に使ってるからwinny以外のホストは出てこない

dumpdbには nameserverの物も含まれるけど
($arpa,$ttl,$host) = $_ =~ /(.*.arpa.)\t(\d+)\tPTR\t(.*)./; で取り出してるから
逆引きしてるホスト名しか出てこない

**名無しの報告** · 2006/04/08(土) 05:59:39

>>116
重複数が少なすぎますね。居心地いいんだろうなあw

**名無しの報告** · 2006/04/08(土) 06:28:01

【妄想】
　ダウソ板で結構前に報告されているマルウェアがイオナズンゾンビクライアントかも
しれません。nyではNoCD/NoDVDパッチを騙って流されることの多い195KBほどのUPX圧縮
exeファイルで、実行するとWindowsのシステムファイルsmss.exeあるいはcsrss.exeの
フリをして常駐します（ただし、実行権限がSYSTEMではなくログオンユーザーになる）。

　これに感染したPCは200秒のインターバルでニュー速VIPからsubject.txtを取得します。
バイナリ中の文字列などから類推するに、.datの取得や2ちゃんへの書き込みルーチンも
持っているようです。ホストや板の名前っぽい文字列は“ex14”、“news4vip”しか見あ
たらないのにニュー速VIPはどうやら爆撃されていません。怪しい。これらのほかに、
“Monazilla/1.00 (Jane2ch/0.1.12.2)”という文字列も見つかります。さらに怪しい。

　ノートンさんはこのマルウェアを検出／検疫しますが、Trojan Horseに分類するだけで
動作の詳細を教えてくれません。う～む、ますます怪しい。なんて書きながら、実はちゃ
んと解析できないのでこの程度の根拠をもとに疑っているだけです。

【妄想加速】
　コイツに感染したPCはゾンビとして指令を待っている。指令はニュー速VIPへのカキコ
または新スレとして発令される。subject.txtがトリガーなら200秒以内に爆撃可能。これ
がイオナズン？

　ニュー速VIPのsubject.txtをきっちり200秒ごとに持って行くホストと、イオナズンゾ
ンビホストの重複率が高ければアレです。もしそうであれば、イオナズン発動時のニュー
速VIPへのカキコ／スレ立ても調べていただけると、ゾンビへの指令方法が……グゥ。
はっ！　寝てた。夢だったのか。また夢の世界へ戻ります。お休みなさい。

**名無しの報告** · 2006/04/08(土) 08:49:50

>>132
出回っている物がほとんど同じトラップだから
一つ引っかかって気づいてない人は他も引っかかると。
そういうことかもしれないね。

**名無しの報告** · 2006/04/08(土) 11:28:44

>>133
手持ちのNoCD/NoDVDのうち最近多いCRC32:0053B1CE/CC36005Cは
トレンドが「TROJ_DELF.AXE」と判定(いわゆる小泉ウイルス)。

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE&VSect=P

・プロキシサーバ機能：
　この不正プログラムは、プロキシーサーバの機能を備えています。不正プログラムは、
ランダムなTCP（Transmission Control Protocol）ポートを開き、不正リモートユーザからの
コマンドを待機します。不正リモートユーザからのコマンドを受信すると、コマンドをター
ゲットのサーバに転送します。また、不正プロキシサーバが返答を受信すると、その返
答を不正リモートユーザに転送します。

なので、これがBOT機能かねぇ？

**名無しの報告** · 2006/04/08(土) 16:11:33

>>133
2chに書き込みする部分がある (news4vip鯖に対して爆撃するものと思って放置してた)

中の文字列 (3/24)
news4vip
ex14.2ch.net
. exe
以下、名無しにかわりましてVIPがお送りします
71255
038701
147803
87634
56905415
2ch.net

**名無しの報告** · 2006/04/08(土) 17:21:36

>>133
直接指令じゃなくてVIPのスレタイで攻撃するタイプだったら
攻撃の仕様が広く公開された日には、爆撃の雨嵐が飛び交うだろうな。

**名無しの報告** · 2006/04/08(土) 17:24:48

>>137
直接指令じゃないよ

感染したＰＣがvip鯖を定期的に見て命令があれば書き込みする仕様

**名無しの報告** · 2006/04/08(土) 17:31:31

>>138
そこまで分かってるのならその命令の書式も調べちゃってください。
そしてここで爆撃予告した後にスレ一つ潰す。
そうすれば信じてもらえます。

**名無しの報告** · 2006/04/08(土) 22:14:40

>>132と>>136のヒントをもとに
イオナズン爆撃の直前にVIPに立てられたスレを漁ってみたら
怪しいスレを発見。

>>92の爆撃前
ね　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144246025/

>>83の爆撃前
ののの　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144310322/

その他怪しいスレ
ろ　　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/
みみ　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144078800/
も　　　　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144059097/

攻撃者はスレタイに「. exe」をつけてスレを立てて
2以降にゾンビPCへの命令を暗号化して書いている？

**名無しの報告** · 2006/04/08(土) 22:15:50

上の>>132は>>133の間違い。ｽﾏｿ

**名無しの報告** · 2006/04/08(土) 22:52:54

>>140
いま確認したら、どのスレも>>1から>>5のあいだで
半角数字の文字列が書き込まれているね
これが指令なのかな？

http://ex14.2ch.net/test/read.cgi/news4vip/1144246025/2
> 57185618789765187125585785988785819529583591249526685141288585888203870188585888688914780311621619309321699049299591649387634805350805844813837895270335386863569054158754218724
http://ex14.2ch.net/test/read.cgi/news4vip/1144310322/5
> 8764535677125585785988785849529583591249526685111288585888203870188585888688914780301621619349309519399149009309287634172040975805864805332805301569054152345
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/2
> 912657712558578598878584951958352121952668514128858588820387018858588868891478032161160931939981934161949930918763480584680530880535256905415865481
http://ex14.2ch.net/test/read.cgi/news4vip/1144078800/2
> 8654712558800672904121952668519128858588820387018888838588812648828581478039161164934930170990160980952958763480817380881580586481886481533480586583694083614080812480881480885380842280814680885780812480827280880980881483624056905415764
http://ex14.2ch.net/test/read.cgi/news4vip/1144059097/2
> 981625718712558578598878582959958351122954668512128858588820387018858588868891478034160162931981942929924950980928763480880780816780847480881583616880847183626856905415871245981269

▲ ◆SANUKI/VII · NG

面白い展開になってきますた

**名無しの報告** · 2006/04/08(土) 22:58:11

>>136の　「. exe」って、exeの前に半角の空白があるねぇ。
そして>>140と。。

ビンゴっぽいなぁ。

**名無しの報告** · 2006/04/08(土) 23:09:09

随分とタイミング良く情報がポンポン出てくるものだ

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

5718561878976518【71255】857859887858195295835912495266851412885858882【038701】885858886889【147803】116216193093216990492995916493【87634】805350805844813837895270335386863【56905415】2345

>>142はすべて>>136の数字が入ってるね。
71255
038701
147803
87634
56905415

**名無しの報告** · 2006/04/08(土) 23:17:20

要するにニュー速VIPで「（空白）＋.exe」のタイトルでスレ立てできないように
設定すればいいわけだ

**名無しの報告** · 2006/04/08(土) 23:25:45

>>146
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1

【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167
のファイルのバイナリコードにその文字列があるみたいだよ('A`)

**ｒｅｆｆｉ@報告人 ★** · 2006/04/08(土) 23:30:50

う～む
指令コードが判明しちゃうと２ちゃん全般に爆撃が及ぶ危険が・・・・・

※どういう風に指令を伝えているかと思ったらまさかスレそのものを使うとは
　思わなかったなぁ

▲ ◆SANUKI/VII · NG

同じ状況を再現してみるとか

**ちょろ ★** · 2006/04/08(土) 23:34:57

http://ex14.2ch.net/test/read.cgi/news4vip/1144246025/

>>83の爆撃前
ののの　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144310322/1

その他怪しいスレ
ろ　　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/1
みみ　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144078800/1
も　　　　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144059097/1

**田吾作 ★** · NG

>>151

以下、名無しにかわりましてVIPがお送りします<><>2006/04/05(水) 23:07:05.59 ydRrGbdY0<> <>ね　　　　　　　　　　　　　　. exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/06(木) 16:58:42.39 e6YrY7LT0<> <>ののの　　　　　　　　　　　　　. exe<>cdn-ce-chi-t2-06.area4.il.chicago.comcast.net<>68.87.72.169<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/07(金) 02:03:51.37 /5b8gJ/q0<> <>ろ　　　　　　　　　　　　　　　. exe<>cdn-ce-chi-t2-01.area4.il.chicago.comcast.net<>68.87.72.164<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/04(火) 00:40:00.01 ZH/kwjIE0<> <>みみ　　　　　　　　　　　　　　. exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/03(月) 19:11:37.63 2WK5Whug0<> <>も　　　　　　　　　　　　　　　　　. exe<>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<> ( )<>Monazilla/1.00 (JaneStyle/2.23)

**名無しの報告** · 2006/04/08(土) 23:36:27

>>142
解けたｗｗｗ発動できるかもｗｗｗ

**名無しの報告** · 2006/04/08(土) 23:36:46

http://ex14.2ch.net/news4vip/kako/
「. exe」が付いたスレを漁ってみたら
ここの#news4vip1142～#news4vip1144に40個ほどある模様。

#news4vip1141以前にはないっぽい。

ハゲ. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1142782705/
これはVIPで爆撃のテストか？

**ちょろ ★** · 2006/04/08(土) 23:36:53

わくわく

**名無しの報告** · 2006/04/08(土) 23:37:36

>>152
全部串だな。

>>155
ここで公開してもいいのか？ＶＩＰＰＥＲとか爆撃し始めるぞｗｗｗｗｗ

**名無しの報告** · 2006/04/08(土) 23:38:05

>>153
デコードの方法教えてくれ

**名無しの報告** · 2006/04/08(土) 23:38:07

わくわく

**名無しの報告** · 2006/04/08(土) 23:38:39

にくにく

▲ ◆SANUKI/VII · NG

解析して爆撃し放題！

**名無しの報告** · 2006/04/08(土) 23:39:45

串が使えるからVIPで命令出してたんでしょうねぇ
ところでなぜbeが(^_^;)

**root▲ ★** · NG

ずいぶん乗り遅れ。

さて、どうなるのか。

**root▲ ★** · NG

>>161
> 串が使えるからVIPで命令出してたんでしょうねぇ

なるほど、BBQなしだからか。

**ｒｅｆｆｉ@報告人 ★** · 2006/04/08(土) 23:41:16

ついでなので>142の指令コードも掘っちゃってください。
同じ串なら確定だけど無理かな？

▲ ◆SANUKI/VII · NG

>>161
ということはシベリアでもよかったと、

**名無しの報告** · 2006/04/08(土) 23:42:03

え、爆撃テストするの？

**ちょろ ★** · 2006/04/08(土) 23:42:56

書式整えてくれくれ

**水色＠飛行石 ★** · 2006/04/08(土) 23:43:06

うひゃー。

**名無しの報告** · 2006/04/08(土) 23:44:44

うひょー

**水色＠飛行石 ★** · 2006/04/08(土) 23:45:16

とりあえず>>148はアンチウイルス会社にどなたか
送付をお願いしますー。もうされてるかもですがー。

**名無しの報告** · 2006/04/08(土) 23:45:28

**名無しの報告** · 2006/04/08(土) 23:46:17

**田吾作 ★** · NG

>>171

以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:16:43.80 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:17:01.60 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:43:55.35 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:44:25.58 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:10.34 q6lp+5od0<>571856187897651871255857859887<><>cdn-ce-den-t2-03.cmc.co.denver.comcast.net<>68.87.66.151<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:49.23 ydRrGbdY0<>571856187897651871255857859887<><>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:28:39.71 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:39.29 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:42.42 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:30:17.46 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:04:46.90 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:05:08.54 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)

**田吾作 ★** · NG

>>172

以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:16:43.80 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/03(月) 19:17:01.60 2WK5Whug0<>981625718712558578598878582959<><>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:43:55.35 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/04(火) 00:44:25.58 mjPY6At+0<>865471255880067290412195266851<><>80.81.24.33<>80.81.24.33<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:10.34 q6lp+5od0<>571856187897651871255857859887<><>cdn-ce-den-t2-03.cmc.co.denver.comcast.net<>68.87.66.151<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/05(水) 23:12:49.23 ydRrGbdY0<>571856187897651871255857859887<><>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:28:39.71 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:39.29 3eZ4hO3R0<>876453567712558578598878584952<><>62.116.40.112<>62.116.40.112<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:29:42.42 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/06(木) 17:30:17.46 PTCjf0ps0<>876453567712558578598878584952<><>cdn-ce-wland-t2-01.westlandrdc.mi.michigan.comcast.net<>68.87.77.180<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:04:46.90 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/07(金) 02:05:08.54 2VKsxN+o0<>912657712558578598878584951958<><>cdn-ce-chi-t2-04.area4.il.chicago.comcast.net<>68.87.72.167<><>Monazilla/1.00 (JaneStyle/2.23)

**名無しの報告** · 2006/04/08(土) 23:47:48

すまん被ったorz

**ちょろ ★** · 2006/04/08(土) 23:48:20

どうすると面白いかな、、、

VIP は BBQ=ON にする?

▲ ◆SANUKI/VII · NG

見事に串ばかり

**あまた** ◆GOKvPKrEQ. · 2006/04/08(土) 23:49:25

>>176
まさに"面白い"展開を希望

**名無しの報告** · 2006/04/08(土) 23:49:48

>>176
焼かれてない串使われたら意味ないじゃん

▲ ◆SANUKI/VII · NG

>>176
BBQ=ON
解析して爆撃テスト

などなど

**名無しの報告** · 2006/04/08(土) 23:50:38

とりあえず>>153に爆撃させて検証してみるとか

**root▲ ★** · NG

>>176
BBQの負荷はそんなに大きくないんで、
今のnews4vipならいけるんじゃないですかね。

FreeBSD 6.0 + 64bit Apache + worker MPM (最高パフォーマンス構成)だし、
パワー的にはなんとかなるかと。

**名無しの報告** · 2006/04/08(土) 23:51:12

爆撃テストってゾンビどもを操ることになるんだよなぁ
>>180任せた！

**名無しの報告** · 2006/04/08(土) 23:51:13

単にVIPじゃなくて他の場所が発令所になるだけ違いますか

**root▲ ★** · NG

ただ、BBQ=on にするのは正直いつでもできるので、
解析がもうちょっとできてからでもいいのかもしれないです。

**root▲ ★** · NG

>>184
BBQ off なのって、あとどこだっけ、
siberia かな。

**ｒｅｆｆｉ@報告人 ★** · 2006/04/08(土) 23:53:00

比較してみたけどスレ建てた串と指令コードの串は分けてるようですね。

※ＢＢＱ有効でも書ける串使われたらアウトだしウィルス登録しても半減する
　だろうけど根絶は無理（仮に半分でも破壊力は変わらない）だしどうしたものか

▲ ◆SANUKI/VII · NG

>>186
シベリアは手動+自動でonoff出来るんで大丈夫じゃないでしょうか

**ちょろ ★** · 2006/04/08(土) 23:54:22

串使っているとたまにボロでるし
神経使うと爽快感もなくなるし作戦

**root▲ ★** · NG

＊今の＊ものを回避するだけなら、news4vipをex14じゃなくせばいいんでしょうね。
固定で見ているようなので。

移転追随型だったりするのかもしれませんが。

**133** · 2006/04/08(土) 23:54:33

急展開。>>140すごいす。
私も手作業で解読中だけど、変換テーブルが穴だらけで作れません。

ろ　　　　　　　　　　　　　　　. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/

これがニュー速の1144*41*46スレへの爆撃指令かと。
*の部分はテーブルの穴で判明せず。

**名無しの報告** · 2006/04/08(土) 23:54:47

串つかえて2ch互換ならどこでもいい、ってことではないのかな

**水色＠飛行石 ★** · 2006/04/08(土) 23:55:10

いやー、けど見えない敵と戦ってる状態よりは
一歩前進だと思いますよー。

**名無しの報告** · 2006/04/08(土) 23:59:37

>>154のスレのスレ立てと命令
http://ex14.2ch.net/test/read.cgi/news4vip/1142782705/1 2006/03/20 00:38:25.07 ID:IA3+abBj0
http://ex14.2ch.net/test/read.cgi/news4vip/1142782705/3 2006/03/20 00:41:15.46 ID:dkfYp6uk0

どうせこれも串なんだろうな・・・

**ｒｅｆｆｉ@報告人 ★** · 2006/04/09(日) 00:00:09

今北産業の人向けに
イオナズン動作（推測だけどほぼ合ってると思います。）

１．山田などで穴が空いているＰＣにbotを送り込む
２．送り込まれたＰＣは定期的にvipのスレ監視をするようになる。
３．特定のスレッドが建って指令コードを書かれたのを確認したら
　　指令されたスレッドの爆撃を開始する。
４．一定回数実行したらまた２に戻る。

**田吾作 ★** · NG

>>194

掘れなかった

**root▲ ★** · NG

>>195
1. は違うかもしれんですね。
トロイの木馬っぽいような。

**名無しの報告** · 2006/04/09(日) 00:02:31

人の心に悪がある限り、私は蘇る！！

**名無しの報告** · 2006/04/09(日) 00:02:32

人の心に悪がある限り、私は蘇る！！

**名無しの報告** · 2006/04/09(日) 00:02:32

人の心に悪がある限り、私は蘇る！！

【春雷】 イオナズン対策スレッド

【春雷】　イオナズン対策スレッド