【春雷】 イオナズン対策スレッド
■ このスレッドは過去ログ倉庫に格納されています
♪あなたはーいなづーまーのー よーぅにー
わたしのースレをー ひきさいたーぁー
つなぎかえ連投荒し 通称「イオナズン」の対策スレッドです
このスレも荒らされたりして >>67
すげーIDかぶりが2個ずつだ・・・
性能が増してる ゾンビPCが増えたってことかしら
どうせnyとかだろうけど、どうやって感染させてんだろ 今回は完成度が低い方です
IDがほとんど重複しない場合もあります Samba24の管理さえしておけば、IDがかぶっても問題ないし
その気になれば、ログ掘って焼くまでの間に全スレ埋めることも可能な気がする
前測定したら10000res/hは軽く超えてたし 厨房板で宇宙語書いてる香具師とかダウソ板でfusianasan爆撃してる香具師とかがゾンビPCだったりして >>75
>厨房板で宇宙語書いてる香具師
それはどうかな
遊びで書いてる人が数人いる >>74
規制情報板のような板でログ堀すれば無問題 掘られない件
というか1レスずつ報告したほうがいいのか?
それだときりが無いが・・・ >>79
報告は簡単だけど。これ使えば。
ttp://halcyan.30.kg/myscan.php >>79
書式
http://info.2ch.net/~info/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0#ResSingle_noKey
書式2を使って
共通キーワード:VIPでやれ
と入れればおk >>80-81
>>67をそれでやってみたんだけど本文が長すぎになっちまう どれどれ
>>67
http://live22x.2ch.net/test/read.cgi/news/1144246548/178 2006/04/06(木) 17:28:41.26 ID:zuWbf6mS0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:VIPでやれ
数 :800以上
速度 : 80res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144246548/1000 2006/04/06(木) 17:33:30.23 ID:13x6VXSF0 >>82
どの部分が本文が長すぎに引っかかったかわからないけど、
共通項目があるときはID省略してもいける(はず) >>84
あら、ID省略可だったんですか
すみませんでした >86
ある意味ブラクラw
プニルが「応答なし」になったジャマイカw では>>60のを
http://live22x.2ch.net/test/read.cgi/news/1144158214/260 2006/04/05(水) 23:12:11.18 ID:gUSd96Ou0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:ねこ死亡ワロタ
数 :700以上
速度 :200res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144158214/999 2006/04/05(水) 23:15:17.70 ID:TV6PjOvj0 >86って、Monazilla/1.00 (Jane2ch/0.1.12.2) だけっぽいね >>86
大半が16〜18 res
興味があるホスト
↓共有ホストで外部からは接続不可
asf-cable.c-able.ne.jp 17res
bergamot.aitai.ne.jp 4res
catv162.avis.ne.jp 17res
crux.aitai.ne.jp 19res
family.e-catv.ne.jp 19res
gw000057.ueda.ne.jp 18res
icc-pat2.orihime.ne.jp 14res
marguerite.aitai.ne.jp 37res
octans.aitai.ne.jp 18res
phoenix.aitai.ne.jp 18res
white2.scn-net.ne.jp 18res
どっかに接続して命令を待ってる様子
>>93
前回も Jane2ch/0.1.12.2 だったしUA規制してみたら? >94
もし>92も Monazilla/1.00 (Jane2ch/0.1.12.2) だったら、
規制すれば、一時しのぎとしても、しばらくは落ち着くかも その場その場で本文変えられるんだから
UserAgentだって変えられるだろ >>96
変えられるのが
ターゲットと本文だけだったら?
規制回避するんであれば 最初からUAはランダムにしてる ランダムにするのは結構面倒なんだよ
処理に時間かかるし 暇なので逆引きできないの手動で調べようと思ったが長くて挫折した
とりあえず重複が出てくる(レス番812)までhttp://www2.arearesearch.co.jp/ip-kensaku.htmlで割当国みてみた
で気づいたわけだが、>>86はスレが終わった時間以後もログが続いてるんですがw
違うスレのですかねぇ・・・
あとは.twと.comがひとつずつあった
やっぱ漫画とかに仕込まれてるんですかね
韓国
61.47.255.85
58.227.201.162
61.47.255.85
59.11.199.146
221.163.119.83
211.112.113.244
222.101.76.45
211.54.147.220
211.218.207.42
222.103.62.132
中国
219.152.68.141 つうことは
UA を種に Samba風味 とか、、、 ちなみに 爆撃されているのは news だけ?
データとるのは news を張っていればいいのかな? 運用情報にも一回爆撃きてたし、単に犯人の趣味かなぁ・・・
でも運用情報は120秒規制だよねぇ、、、
でも、1回ずつ書き込まれるだけでも十分な破壊力な気がしないでもない >>10のoperateの件はいおなずんちゃうの? 対応出来るまでBE_TYPE2で凌ぐとかは?
・・・ひろゆきに迷惑が掛かるか。。。 【速報】 ちょろ ★(=FOX ★)は嫌韓厨だった! 報告
>92
ログ
>99
全ホスト掲載不可なので分析結果でも
記録されてる書き込み回数 11210回
IP総数 829個
重複している数 818個(10回以上 736個)
プロバイダ分布は後ほど
UAは全て同一でした。(前にも書いたけど変えられる可能性もある)
※ここまで大量のゾンビPCがあると通報はほぼ不可能です。
(仮にやっても別のゾンビPCを作られる可能性が大) 何か前の投稿間隔も考慮に入れて
200秒間隔にそろうようとしてる気がするんだが
何の意味があるのだろう・・・
p2107-adsau07doujib1-acca.osaka.ocn.ne.jp
書き込み時間 間隔(秒未満切り捨て)
17:28:41.26 3:23
17:32:04.72 3:17
17:35:21.85 3:21
17:38:42.08 3:19
17:42:01.64 3:20
17:45:21.67 3:20
17:48:41.89 3:21
17:52:02.40 3:19
17:55:21.87 3:29
17:58:50.40 3:12
18:02:02.37 3:20
18:05:22.08 3:20
18:08:42.07 3:20
18:12:02.99 3:25
18:15:27.09 3:15
18:18:42.43 3:20
18:22:02.97 3:20
18:25:22.72 3:19
18:28:41.83 >>113
書き込みバーボン回避 or サンバ回避 とかじゃね? 山田オルタ、ふしあなageマルウェアとイオナズンに関連があるか
気になったので、>>86 >>99のリストにあったイオナズンのゾンビ
クライアント(1064個)と、以下で報告のあった山田オルタ、ふし
あなage感染ホストを付き合わせてみました。
■ウィルス爆撃相談所&焼き処2【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/304-582
両方にあったホストは次の13個。すべてダウンロード板へのふしあ
なage爆撃でした。
203-165-175-237.rev.home.ne.jp
218-251-13-189.eonet.ne.jp
58-188-72-69.eonet.ne.jp
EAOcf-84p166.ppp15.odn.ne.jp
F001089.ppp.dion.ne.jp
KHP222226060026.ppp-bb.dion.ne.jp
catv219122103074.ucatv.ne.jp
h219-110-195-046.catv02.itscom.jp
nthkid058077.hkid.nt.adsl.ppp.infoweb.ne.jp
p006.net059086018.tnc.ne.jp
p3235-ipad01hiraide.tochigi.ocn.ne.jp
softbank218179186044.bbtec.net
softbank219204064005.bbtec.net
イオナズンとふしあなageには関連がありそうな気がしますが、別々の
マルウェアにに多重感染した迂闊な人リストであるだけかもしれません。 まー、同居は可能でしょうねー。
居心地がいいって所でしょうかー。 今プロバイダ分布作成中ですが焼き可能なのを見つけたので報告します。
aa2003010479003.userreverse.dion.ne.jp 11res
aa2004040394002.userreverse.dion.ne.jp 11res
aa2004080395003.userreverse.dion.ne.jp 3res
KD125055207003.ppp-bb.dion.ne.jp 11res
KHP059136032193.ppp-bb.dion.ne.jp 12res
KHP059140101065.ppp-bb.dion.ne.jp 11res
KHP059140123188.ppp-bb.dion.ne.jp 12res
KHP059140238085.ppp-bb.dion.ne.jp 12res
KHP059141023129.ppp-bb.dion.ne.jp 11res
KHP059141102248.ppp-bb.dion.ne.jp 12res
KHP059141109013.ppp-bb.dion.ne.jp 12res
KHP059141174164.ppp-bb.dion.ne.jp 11res
KHP222000089144.ppp-bb.dion.ne.jp 10res
KHP222006002235.ppp-bb.dion.ne.jp 12res
KHP222009245116.ppp-bb.dion.ne.jp 11res プロバイダ分布(10以上のみ)
BIGLOBE 30
DION 70
eonet 31
infoweb 47
OCN 157
plala 22
so-net 24
YahooBB 171
zaq 17
※OCNとヤフーが異様に多いなぁ(全体の4割近く) yourenetが無いのが意外といえば意外ですな('A`) >119
掘られた2件見てみましたけど合計で10件無かったです。
※もう1件の方は纏めただけで分析してないけどゾンビPC推定で1000台以上は
分散してるんじゃないかと思われます。 >>120
>ゾンビPC推定で1000台以上
(ノ∀`)アチャー
やはり通報無理そうですな…
随時作業乙カレさまです、サー! どっかの中の人です
>>120
そうとうでかそうなBOTネットですねぇ(´・ω・`) winny使ってるホストかどーか調べようにも
比べるツールを今から作らないと・・・
時間かかります。(数時間で済むはず) 何かこの機会にBOTについての記事を色々読んでたら、暗澹とした気分になってきた
今回のny騒動でISPがウイルス等に感染してるっぽい怪しいトラフィックを常時監視したり
2ちゃん等からの指摘でもすぐに調査・対応するようにならなきゃどうしようもないね ウイルス感染しても自分に被害なければ無問題と言う認識がいけませんよね。
nyするなら専用機なんてバカな事をする言うヤツが居るからダメ。
ウイルス感染(して他所に迷惑かける事)は罪って事にならんと感染者は減らない。
罰金制度と感染者ハンターwがでてくれば良いなと思ってたりして...
雑談スマソ winnyも使ってたホスト(共有ホストは除く) こっちのクラスタは "【アプリ】Windows【ソフトウェア】※アプリ厨必死だな(藁【アプリ】みんなには内緒だよ【app】"
224.56.111.219.dy.bbexcite.jp
h219-110-187-039.catv02.itscom.jp
global221-101-232.aitai.ne.jp
i211-133-234-058.us.catvmics.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPbf364.saitama-ip.dti.ne.jp
dhcp234175.mv.icv-net.ne.jp
CATV-219-099-010-037.medias.ne.jp
p5190-ipbf14funabasi.chiba.ocn.ne.jp, p4051-ipbf204sapodori.hokkaido.ocn.ne.jp
p1110-ipbf310sapodori.hokkaido.ocn.ne.jp, p2238-ipbf210souka.saitama.ocn.ne.jp
a131051.usr.starcat.ne.jp
229.net059085184.t-com.ne.jp, 117.net220148219.t-com.ne.jp
z128.58-98-156.ppp.wakwak.ne.jp
m056147.ppp.asahi-net.or.jp
p171.net059084093.tokai.or.jp
softbank219016158062.bbtec.net, softbank219028160022.bbtec.net, softbank219051208001.bbtec.net, softbank219191248181.bbtec.net
softbank219204086130.bbtec.net, softbank219209107072.bbtec.net, softbank221094207006.bbtec.net >>127 は過去一週間
↓3/3以降 (>127に書いたものは除く) クラスタはいろいろと・・・
FLH1Aby159.szo.mesh.ad.jp
h219-110-187-061.catv02.itscom.jp, KHP222006002235.ppp-bb.dion.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPax346.saitama-ip.dti.ne.jp
59-190-80-158.eonet.ne.jp, 60-56-197-38.eonet.ne.jp
cr1-162-240.seaple.icc.ne.jp, eatkyo204252.adsl.ppp.infoweb.ne.jp
nttkyo332235.tkyo.nt.ftth.ppp.infoweb.ne.jp, nttyma034077.tyma.nt.ftth.ppp.infoweb.ne.jp, ntaich191135.aich.nt.ftth4.ppp.infoweb.ne.jp
dsl012-191.kcn.ne.jp, f190177.mctv.ne.jp, dhcp-5461.nava21.ne.jp
p5069-ipbfp02niho.hiroshima.ocn.ne.jp
p3233-ipbf1004marunouchi.tokyo.ocn.ne.jp
pc049129.f1.octv.ne.jp, p6ef193.tokyte00.ap.so-net.ne.jp
d2c67f3e.t-net.ne.jp, q057242.ppp.asahi-net.or.jp
softbank060090140029.bbtec.net, softbank218119236136.bbtec.net, softbank218139183208.bbtec.net, softbank218180180072.bbtec.net
softbank219040162002.bbtec.net, softbank220003038213.bbtec.net, softbank220031167032.bbtec.net, softbank221029010121.bbtec.net
softbank221059203138.bbtec.net, softbank221083136013.bbtec.net なんかネットエージェントみたいなことをやってるなwwww >>130
port 0 徹底排除
逆引きは出来ても正引きが出来ないホストが多くて・・・
winny動かすPCにBIND入れて電源切る時にdumpdbをやってる
winny専用に使ってるからwinny以外のホストは出てこない
dumpdbには nameserverの物も含まれるけど
($arpa,$ttl,$host) = $_ =~ /(.*.arpa.)\t(\d+)\tPTR\t(.*)./; で取り出してるから
逆引きしてるホスト名しか出てこない >>116
重複数が少なすぎますね。居心地いいんだろうなあw 【妄想】
ダウソ板で結構前に報告されているマルウェアがイオナズンゾンビクライアントかも
しれません。nyではNoCD/NoDVDパッチを騙って流されることの多い195KBほどのUPX圧縮
exeファイルで、実行するとWindowsのシステムファイルsmss.exeあるいはcsrss.exeの
フリをして常駐します(ただし、実行権限がSYSTEMではなくログオンユーザーになる)。
これに感染したPCは200秒のインターバルでニュー速VIPからsubject.txtを取得します。
バイナリ中の文字列などから類推するに、.datの取得や2ちゃんへの書き込みルーチンも
持っているようです。ホストや板の名前っぽい文字列は“ex14”、“news4vip”しか見あ
たらないのにニュー速VIPはどうやら爆撃されていません。怪しい。これらのほかに、
“Monazilla/1.00 (Jane2ch/0.1.12.2)”という文字列も見つかります。さらに怪しい。
ノートンさんはこのマルウェアを検出/検疫しますが、Trojan Horseに分類するだけで
動作の詳細を教えてくれません。う〜む、ますます怪しい。なんて書きながら、実はちゃ
んと解析できないのでこの程度の根拠をもとに疑っているだけです。
【妄想加速】
コイツに感染したPCはゾンビとして指令を待っている。指令はニュー速VIPへのカキコ
または新スレとして発令される。subject.txtがトリガーなら200秒以内に爆撃可能。これ
がイオナズン?
ニュー速VIPのsubject.txtをきっちり200秒ごとに持って行くホストと、イオナズンゾ
ンビホストの重複率が高ければアレです。もしそうであれば、イオナズン発動時のニュー
速VIPへのカキコ/スレ立ても調べていただけると、ゾンビへの指令方法が……グゥ。
はっ! 寝てた。夢だったのか。また夢の世界へ戻ります。お休みなさい。 >>132
出回っている物がほとんど同じトラップだから
一つ引っかかって気づいてない人は他も引っかかると。
そういうことかもしれないね。 >>133
手持ちのNoCD/NoDVDのうち最近多いCRC32:0053B1CE/CC36005Cは
トレンドが「TROJ_DELF.AXE」と判定(いわゆる小泉ウイルス)。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDELF%2EAXE&VSect=P
・プロキシサーバ機能:
この不正プログラムは、プロキシーサーバの機能を備えています。不正プログラムは、
ランダムなTCP(Transmission Control Protocol)ポートを開き、不正リモートユーザからの
コマンドを待機します。不正リモートユーザからのコマンドを受信すると、コマンドをター
ゲットのサーバに転送します。また、不正プロキシサーバが返答を受信すると、その返
答を不正リモートユーザに転送します。
なので、これがBOT機能かねぇ? >>133
2chに書き込みする部分がある (news4vip鯖に対して爆撃するものと思って放置してた)
中の文字列 (3/24)
news4vip
ex14.2ch.net
. exe
以下、名無しにかわりましてVIPがお送りします
71255
038701
147803
87634
56905415
2ch.net >>133
直接指令じゃなくてVIPのスレタイで攻撃するタイプだったら
攻撃の仕様が広く公開された日には、爆撃の雨嵐が飛び交うだろうな。 >>137
直接指令じゃないよ
感染したPCがvip鯖を定期的に見て命令があれば書き込みする仕様 >>138
そこまで分かってるのならその命令の書式も調べちゃってください。
そしてここで爆撃予告した後にスレ一つ潰す。
そうすれば信じてもらえます。 >>140
いま確認したら、どのスレも>>1から>>5のあいだで
半角数字の文字列が書き込まれているね
これが指令なのかな?
http://ex14.2ch.net/test/read.cgi/news4vip/1144246025/2
> 57185618789765187125585785988785819529583591249526685141288585888203870188585888688914780311621619309321699049299591649387634805350805844813837895270335386863569054158754218724
http://ex14.2ch.net/test/read.cgi/news4vip/1144310322/5
> 8764535677125585785988785849529583591249526685111288585888203870188585888688914780301621619349309519399149009309287634172040975805864805332805301569054152345
http://ex14.2ch.net/test/read.cgi/news4vip/1144343031/2
> 912657712558578598878584951958352121952668514128858588820387018858588868891478032161160931939981934161949930918763480584680530880535256905415865481
http://ex14.2ch.net/test/read.cgi/news4vip/1144078800/2
> 8654712558800672904121952668519128858588820387018888838588812648828581478039161164934930170990160980952958763480817380881580586481886481533480586583694083614080812480881480885380842280814680885780812480827280880980881483624056905415764
http://ex14.2ch.net/test/read.cgi/news4vip/1144059097/2
> 981625718712558578598878582959958351122954668512128858588820387018858588868891478034160162931981942929924950980928763480880780816780847480881583616880847183626856905415871245981269
>>136の 「. exe」って、exeの前に半角の空白があるねぇ。
そして>>140と。。
ビンゴっぽいなぁ。 5718561878976518【71255】857859887858195295835912495266851412885858882【038701】885858886889【147803】116216193093216990492995916493【87634】805350805844813837895270335386863【56905415】2345
>>142はすべて>>136の数字が入ってるね。
71255
038701
147803
87634
56905415 要するにニュー速VIPで「(空白)+.exe」のタイトルでスレ立てできないように
設定すればいいわけだ >>146
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167
のファイルのバイナリコードにその文字列があるみたいだよ('A`) う〜む
指令コードが判明しちゃうと2ちゃん全般に爆撃が及ぶ危険が・・・・・
※どういう風に指令を伝えているかと思ったらまさかスレそのものを使うとは
思わなかったなぁ >>151
以下、名無しにかわりましてVIPがお送りします<><>2006/04/05(水) 23:07:05.59 ydRrGbdY0<> <>ね . exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/06(木) 16:58:42.39 e6YrY7LT0<> <>ののの . exe<>cdn-ce-chi-t2-06.area4.il.chicago.comcast.net<>68.87.72.169<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/07(金) 02:03:51.37 /5b8gJ/q0<> <>ろ . exe<>cdn-ce-chi-t2-01.area4.il.chicago.comcast.net<>68.87.72.164<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/04(火) 00:40:00.01 ZH/kwjIE0<> <>みみ . exe<>ContentTelepuerto1.racsa.co.cr<>196.40.43.74<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします<><>2006/04/03(月) 19:11:37.63 2WK5Whug0<> <>も . exe<>ContentTelepuerto2.racsa.co.cr<>196.40.43.78<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
http://ex14.2ch.net/news4vip/kako/
「. exe」が付いたスレを漁ってみたら
ここの#news4vip1142〜#news4vip1144に40個ほどある模様。
#news4vip1141以前にはないっぽい。
ハゲ. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1142782705/
これはVIPで爆撃のテストか? >>152
全部串だな。
>>155
ここで公開してもいいのか?VIPPERとか爆撃し始めるぞwwwww 串が使えるからVIPで命令出してたんでしょうねぇ
ところでなぜbeが(^_^;) >>161
> 串が使えるからVIPで命令出してたんでしょうねぇ
なるほど、BBQなしだからか。 ついでなので>142の指令コードも掘っちゃってください。
同じ串なら確定だけど無理かな? ■ このスレッドは過去ログ倉庫に格納されています