195 名前:reffi@報告人 ★[sage] 投稿日:2006/04/09(日) 00:00:09 ID:???0
今北産業の人向けに
イオナズン動作(推測だけどほぼ合ってると思います。)
1.山田などで穴が空いているPCにbotを送り込む
2.送り込まれたPCは定期的にvipのスレ監視をするようになる。
3.特定のスレッドが建って指令コードを書かれたのを確認したら
指令されたスレッドの爆撃を開始する。
4.一定回数実行したらまた2に戻る。
【春雷】 イオナズン対策スレッド
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/
【春雷】 イオナズン対策スレッド2
■ このスレッドは過去ログ倉庫に格納されています
NGNG
30あまた ◆GOKvPKrEQ.
2006/04/09(日) 00:14:01ID:AHcEjv/q031名無しの報告
2006/04/09(日) 00:14:08ID:jFGpu6Y+0 この対策もそんなに持ちそうにないですねぇ
(外部かシベリア移転型が出そう)
>28
それは小泉ウィルスの一種ですね。
(外部かシベリア移転型が出そう)
>28
それは小泉ウィルスの一種ですね。
34▲ ◆SANUKI/VII
NGNG それをやると複数単語に対応する予感
35名無しの報告
2006/04/09(日) 00:18:20ID:ivIsvGLp0 そのスレを立てた当人がbanananで犯人だという噂もあるくらい
2006/04/09(日) 00:20:08ID:???0
38名無しの報告
2006/04/09(日) 00:20:39ID:cBAbAOsT0 ウイルス作者にも心のダムがあれば良かったのに(´・ω・`)
40名無しの報告
2006/04/09(日) 00:22:08ID:h5m/Mxx1O NGワード弾きじゃ間に合わんのなら
一時的にbe垢ないとカキコめんようにすればいいという安易な発想をしてみる。
一時的にbe垢ないとカキコめんようにすればいいという安易な発想をしてみる。
41名無しの報告
2006/04/09(日) 00:22:45ID:32M/W1o30 BOT作者はメカニズムを見破られてしまったわけだが、
これで発動原理が解明されたら、他の便乗犯によって
イオナズン連発されるわけで、作者にとってはかえって
うれしい結果になったと。
これで発動原理が解明されたら、他の便乗犯によって
イオナズン連発されるわけで、作者にとってはかえって
うれしい結果になったと。
42名無しの報告
2006/04/09(日) 00:23:21ID:H3hwTgH/0 >37
申し訳ありませんでした
そちらへ行ってみます
申し訳ありませんでした
そちらへ行ってみます
43名無しの報告
2006/04/09(日) 00:23:36ID:ItNLKahj0 2006/04/09(日) 00:02:30.12
↑に命令だして↓に発動するってすごいね
VIPを読み込みまくってるだんだろうね、それでゾンビの検出とかはできない?
まあ、いちいち焼いてられないから対策にならないか・・・
2006/04/09(日) 00:02:31
↑に命令だして↓に発動するってすごいね
VIPを読み込みまくってるだんだろうね、それでゾンビの検出とかはできない?
まあ、いちいち焼いてられないから対策にならないか・・・
2006/04/09(日) 00:02:31
44▲ ◆SANUKI/VII
NGNG テストスレタテしてみた
45名無しの報告
2006/04/09(日) 00:25:29ID:Ch3qr7f+O46あまた ◆GOKvPKrEQ.
2006/04/09(日) 00:25:34ID:AHcEjv/q0 >>38
>人の心に悪がある限り、私は蘇る!!
まあ、犯人は常にここを見ているということもわかった、と。
>>39
どこぞで疑われてたなぁ。
お前(あははーっφ ★)が発動したんじゃないか?!って
http://live22x.2ch.net/test/read.cgi/news/1144246615/
>人の心に悪がある限り、私は蘇る!!
まあ、犯人は常にここを見ているということもわかった、と。
>>39
どこぞで疑われてたなぁ。
お前(あははーっφ ★)が発動したんじゃないか?!って
http://live22x.2ch.net/test/read.cgi/news/1144246615/
47名無しの報告
2006/04/09(日) 00:28:08ID:Ch3qr7f+O50名無しの報告
2006/04/09(日) 00:31:21ID:Ch3qr7f+O51名無しの報告
2006/04/09(日) 00:32:25ID:cBAbAOsT0 おまいら巣に帰るぞ
53名無しの報告
2006/04/09(日) 00:32:56ID:h5m/Mxx1O もうあらかじめ攻撃するスレが特定されている訳でないと、
実行コードをNGワードにする。
犯人が誰にしろ管理法の見直しが必要か。
頑張るんだ西村さん。
実行コードをNGワードにする。
犯人が誰にしろ管理法の見直しが必要か。
頑張るんだ西村さん。
54▲ ◆SANUKI/VII
NGNG さくらにするにしてもVIPには(´・ω・`)
55ちょろ ★
2006/04/09(日) 00:35:30ID:???0 当分楽しめるということですな。
楽しんだほうの勝ちかと、
追われ、逃げるのも楽しいんだと思う。
楽しんだほうの勝ちかと、
追われ、逃げるのも楽しいんだと思う。
56▲ ◆SANUKI/VII
NGNG そういえば、指令コードと爆撃されたスレとワードってまとめられてるのかな
58名無しの報告
2006/04/09(日) 00:39:10ID:iguFQbDO0 ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sufiage.html
これはその答えになりますか?
これはその答えになりますか?
60名無しの報告
2006/04/09(日) 00:39:43ID:32M/W1o30 >>56
指令コードの例は
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/140-142
あたりにあるけど、
それと爆撃スレ、爆撃ワードとの対応は、コードの解析が済まないかぎりは
分からないと思われる
指令コードの例は
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/140-142
あたりにあるけど、
それと爆撃スレ、爆撃ワードとの対応は、コードの解析が済まないかぎりは
分からないと思われる
61名無しの報告
2006/04/09(日) 00:40:10ID:2rHYFtObP さて誰が最初に指令コードの解析をするか
63水色@飛行石 ★
2006/04/09(日) 00:40:28ID:???0 いやー、しかし緊迫した状況の方がー、
いろいろさくっと進みますねー。
みんな一生懸命になるしーw
いろいろさくっと進みますねー。
みんな一生懸命になるしーw
64名無しの報告
2006/04/09(日) 00:41:19ID:h5m/Mxx1O しかしテストなしでここまで出来るものなのか?
やはりなんかテストなしにここまでことを運ぶのは至難の技だと思うんだが。
やはりなんかテストなしにここまでことを運ぶのは至難の技だと思うんだが。
65名無しの報告
2006/04/09(日) 00:41:21ID:32M/W1o3067名無しの報告
2006/04/09(日) 00:42:16ID:ItNLKahj0 コードわかんねー
そして当たり前のことに気づく
自分がスキルがないということに
そして当たり前のことに気づく
自分がスキルがないということに
68名無しの報告
2006/04/09(日) 00:42:22ID:ivIsvGLp0 じゃあ、楽しみ倍増のためにこれを剥奪してみるとか
>あははーっφ ★
>あははーっφ ★
69名無しの報告
2006/04/09(日) 00:44:45ID:H3hwTgH/0 >68
ついでに「ろりろりφ ★」も剥奪しちゃえ
ついでに「ろりろりφ ★」も剥奪しちゃえ
70ちょろ ★
2006/04/09(日) 00:46:30ID:???0 今なら
解析出来た人はもれなくイオナズンが撃てる特典付き !!
解析出来た人はもれなくイオナズンが撃てる特典付き !!
72名無しの報告
2006/04/09(日) 00:47:34ID:cBAbAOsT0 ちょwwwwwww
73名無しの報告
2006/04/09(日) 00:47:47ID:XN6uBn4S0 撃った後が怖いわい
74名無しの報告
2006/04/09(日) 00:47:55ID:ItNLKahj0 それはダークサイドに落ちてる気もするw
76c⌒っミ `Д)っφ ◆CaKkuEV3EI
NGNG http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/2-3n
71255880067490212095466851912885858882【038701】889858066495966851855【147803】116416993093216498991116990194【87634】811857805351811070805358802848805845805825805300815863805303836229813803805359819851805300836440836240【56905415】
イナズマン
強力将来
調理器将来
71255880067490212095466851912885858882【038701】889858066495966851855【147803】116416993093216498991116990194【87634】811857805351811070805358802848805845805825805300815863805303836229813803805359819851805300836440836240【56905415】
イナズマン
強力将来
調理器将来
78名無しの報告
2006/04/09(日) 00:49:52ID:h5m/Mxx1O80名無しの報告
2006/04/09(日) 00:52:04ID:32M/W1o3081名無しの報告
2006/04/09(日) 00:53:01ID:ThEtEIv50 前スレから
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167
82名無しの報告
2006/04/09(日) 00:53:22ID:+LyVFjk+0 >>80
解読。対象スレは
書き込み時Captcha(画像)認証制導入議論スレ
http://qb5.2ch.net/test/read.cgi/operate/1144071322/
↑のスレ立てたやつも解読できたってことか?
解読。対象スレは
書き込み時Captcha(画像)認証制導入議論スレ
http://qb5.2ch.net/test/read.cgi/operate/1144071322/
↑のスレ立てたやつも解読できたってことか?
84名無しの報告
2006/04/09(日) 00:53:35ID:VSNViXxH0 前スレの153
解析結果をkwsk
って前スレのイオナズンは153がやったのかも
解析結果をkwsk
って前スレのイオナズンは153がやったのかも
88名無しの報告
2006/04/09(日) 00:55:03ID:R3yywanF0 >解析できた人
あれってアドレスと書き込み内容の二種類?
あれってアドレスと書き込み内容の二種類?
90名無しの報告
2006/04/09(日) 00:56:24ID:tetZ2rHR091水色@飛行石 ★
2006/04/09(日) 00:57:20ID:???092名無しの報告
2006/04/09(日) 00:58:26ID:32M/W1o3093名無しの報告
2006/04/09(日) 00:58:29ID:1Zl1jxjL0 ∧_∧
( ・∀・) イオ何とかまだかな〜
( ∪ ∪
と__)__)
( ・∀・) イオ何とかまだかな〜
( ∪ ∪
と__)__)
94名無しの報告
2006/04/09(日) 01:00:24ID:VSNViXxH0 + +
∧_∧ +
(0゚・∀・) ワクワクテカテカ
(0゚∪ ∪ +
と__)__) +
∧_∧ +
(0゚・∀・) ワクワクテカテカ
(0゚∪ ∪ +
と__)__) +
95名無しの報告
2006/04/09(日) 01:01:07ID:h5m/Mxx1O なぜ特定のワードにしたのだろうか。
なんならスレタイだけで攻撃してもいいはず。
なぜここまで凝るのか。
どうも俺の命令コードはおとりじゃないかという意見は違うぽいので
プロファイリングしますか。
なんならスレタイだけで攻撃してもいいはず。
なぜここまで凝るのか。
どうも俺の命令コードはおとりじゃないかという意見は違うぽいので
プロファイリングしますか。
96名無しの報告
2006/04/09(日) 01:02:47ID:tetZ2rHR0 勝手にまとめ
★攻撃スクリプトの書かれたスレ
. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/2-3
★暗号
712558800674902120954668519128858588820387018898580664959668518551478031164169930932164989911169901948763481185780535181107080535880284880584580582580530081586380530383622981380380535981985180530083644083624056905415
★テキスト
人の心に悪がある限り、私は蘇る!!
★エンコード
%90l%82%CC%90S%82%C9%88%AB%82%AA%82%A0%82%E9%8C%C0%82%E8%81A%8E%84%82%CD%91h%82%E9%81I%81I
★ターゲットURL
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/
この辺が埋め込まれてるだろうな。眠いから寝よ。今日はウイルス投稿の報告無しでスマソ
★攻撃スクリプトの書かれたスレ
. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/2-3
★暗号
712558800674902120954668519128858588820387018898580664959668518551478031164169930932164989911169901948763481185780535181107080535880284880584580582580530081586380530383622981380380535981985180530083644083624056905415
★テキスト
人の心に悪がある限り、私は蘇る!!
★エンコード
%90l%82%CC%90S%82%C9%88%AB%82%AA%82%A0%82%E9%8C%C0%82%E8%81A%8E%84%82%CD%91h%82%E9%81I%81I
★ターゲットURL
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/
この辺が埋め込まれてるだろうな。眠いから寝よ。今日はウイルス投稿の報告無しでスマソ
97名無しの報告
2006/04/09(日) 01:07:32ID:slqTsieK098名無しの報告
2006/04/09(日) 01:16:01ID:3xjv01uP0 イオナズンつーか、ミナデインのアホ版だな。
バカデイン
バカデイン
99水色@飛行石 ★
2006/04/09(日) 01:16:14ID:???0 同じIDで同じ命令を2回書く必要があるよーですねー。
それが発動の条件かなー。
それが発動の条件かなー。
100名無しの報告
2006/04/09(日) 01:23:38ID:GWrXi2WH0 結構簡単だ。これやばいよ。
101ただの野次馬さんですが・・・・・・ ◆SexseXmPko
2006/04/09(日) 01:26:57ID:8XsDgaea0 ついつい寝てしまった。
で、しっぽつかめそうなの?
で、しっぽつかめそうなの?
102名無しの報告
2006/04/09(日) 01:27:10ID:h5m/Mxx1O BCDコードらすぃ
104root▲ ★
NGNG 個人的には、base10 とかも思いましたが、さて。
106▲ ◆SANUKI/VII
NGNG そういやウィルスに入ってた文字列を抜いて分解したほうがいいのかな
109名無しの報告
2006/04/09(日) 01:38:02ID:R3yywanF0 あれ?
>>81では0006D7F0あたりに情報が格納されてるみたいだけど、
00030A00までしかないよな・・・・・・実行するとプロセスを生成するのかしら
とりあえずDelphiみたいだけど
>>107
http://www.vipper.org/vip231654.zip.html
自爆には注意
>>81では0006D7F0あたりに情報が格納されてるみたいだけど、
00030A00までしかないよな・・・・・・実行するとプロセスを生成するのかしら
とりあえずDelphiみたいだけど
>>107
http://www.vipper.org/vip231654.zip.html
自爆には注意
111c⌒っミ `Д)っφ ◆CaKkuEV3EI
NGNG >>109
ノートン反応しますた。
vip231654\【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.exe
は Trojan Horse ウィルスに感染しています。
ファイルへのアクセスが拒否されました。
ノートン反応しますた。
vip231654\【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.exe
は Trojan Horse ウィルスに感染しています。
ファイルへのアクセスが拒否されました。
112名無しの報告
2006/04/09(日) 01:41:18ID:+LyVFjk+0 ノートン対応してくれたのか。よかったな。
113名無しの報告
2006/04/09(日) 01:41:48ID:bh7XHo8+0 多分同じく不安に思ってる人がいそうだから聞いてみた
サンキュ帰る
サンキュ帰る
115名無しの報告
2006/04/09(日) 01:42:06ID:R3yywanF0 なんかカーネル叩いてロングパス求めてる?
00003390あたりkernel3..?.2.dll^GetLongPathName
00003D20あたりagel. MSWHEEL.&ouseZ
バスター無反応・・・・・・
00003390あたりkernel3..?.2.dll^GetLongPathName
00003D20あたりagel. MSWHEEL.&ouseZ
バスター無反応・・・・・・
116名無しの報告
2006/04/09(日) 01:42:39ID:Y96Bv6dQ0 AVGビクッ
Trojan horse Generic.SBJ
Trojan horse Generic.SBJ
117名無しの報告
2006/04/09(日) 01:44:08ID:dv59xzRV0 なるほどねえ、そういう訳
こりゃ2ヶ月は楽しめるな
こりゃ2ヶ月は楽しめるな
118名無しの報告
2006/04/09(日) 01:45:21ID:UJ9zjQnw0 BD8Freeはスルーでした
119名無しの報告
2006/04/09(日) 01:45:32ID:R4KwyUJn0 Symantec アンチウイルスプログラムは、
多くの、特定の定義が作成されていない各種のトロイの木馬を検出するときに、Trojan horse を汎用検出名として使用します。
なるほど
多くの、特定の定義が作成されていない各種のトロイの木馬を検出するときに、Trojan horse を汎用検出名として使用します。
なるほど
120名無しの報告
2006/04/09(日) 01:46:26ID:+LyVFjk+0 >>119
通信しようとしたら全部それなんだろうな。
通信しようとしたら全部それなんだろうな。
121 [―{}@{}@{}-] lacoocan.nifty.com
2006/04/09(日) 01:46:51ID:h0K1qgSt0 VIPのBBQ外して下さい。
.
.
122 [―{}@{}@{}-] lacoocan.nifty.com
2006/04/09(日) 01:47:52ID:h0K1qgSt0 VIPのBBQ外して下さい。
.
.
124名無しの報告
2006/04/09(日) 01:56:05ID:G0Eiefv/0 >>99
時間を見る限り最初の指令で爆撃開始しているようですけどねぇ。
今回のゾンビツールはkeygenだけでなく、エロゲのNoDVD/NoCDとしてnyで大量に
ばら撒かれています。
NoDVDパッチ [18禁ゲーム] [060317]
【18禁ゲーム】[060324]
【18禁ゲーム】[060331]
の195KB圧縮(ZIP/RAR)は大抵そうだと思っていいかも。
プログラムのCRC32:0053B1CEですね。100個ほど捕獲してますww
ほとんどがZIPとRAR両方配布されているため50タイトル以上のエロゲのパッチと
して配布されているため、被害対象者が多かった。そして3週間以上配布が行わ
れていたと予想できます。
ちなみに先生とバスターは一応反応します。VZBのkeygenはCRC32が違いますが、
ほぼ同じと思ってよさそうですね。(>>109アリガト)
時間を見る限り最初の指令で爆撃開始しているようですけどねぇ。
今回のゾンビツールはkeygenだけでなく、エロゲのNoDVD/NoCDとしてnyで大量に
ばら撒かれています。
NoDVDパッチ [18禁ゲーム] [060317]
【18禁ゲーム】[060324]
【18禁ゲーム】[060331]
の195KB圧縮(ZIP/RAR)は大抵そうだと思っていいかも。
プログラムのCRC32:0053B1CEですね。100個ほど捕獲してますww
ほとんどがZIPとRAR両方配布されているため50タイトル以上のエロゲのパッチと
して配布されているため、被害対象者が多かった。そして3週間以上配布が行わ
れていたと予想できます。
ちなみに先生とバスターは一応反応します。VZBのkeygenはCRC32が違いますが、
ほぼ同じと思ってよさそうですね。(>>109アリガト)
125名無しの報告
2006/04/09(日) 01:57:01ID:h5m/Mxx1O ★暗号
712
<55><88><00>
674902120954
<66>
851912
<88>
585
<88>
82038701
<88>
98580
<66>
4959
<66>
8518
<55>
147803
<11>
6416
<99>
3093216498
<99><11>
16
<99>
0194876348
<11>
8578053518
<11>
07080535
<88>
0284
<88>
058458058258053
<00>
815863805303836
<22>
98138038053598198518053
<00>
836
<44>
083624056905415
いやなんでもない。
712
<55><88><00>
674902120954
<66>
851912
<88>
585
<88>
82038701
<88>
98580
<66>
4959
<66>
8518
<55>
147803
<11>
6416
<99>
3093216498
<99><11>
16
<99>
0194876348
<11>
8578053518
<11>
07080535
<88>
0284
<88>
058458058258053
<00>
815863805303836
<22>
98138038053598198518053
<00>
836
<44>
083624056905415
いやなんでもない。
126c⌒っミ `Д)っφ ◆CaKkuEV3EI
NGNG127星方天使天環 ◆W/UhU0N3pg
2006/04/09(日) 01:57:56ID:pOC6El700 乗り遅れた産業
前スレ >136 だったりする
前スレ >136 だったりする
128名無しの報告
2006/04/09(日) 01:59:43ID:58yWaHIfO 50タイトルとはまた、強気な数やなぁ。
129名無しの報告
2006/04/09(日) 02:00:02ID:VSNViXxH0 ウイルスを踏んだのは割れ厨ってわけか
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 【神奈川】父親の誕生日プレゼントを買いに…1人で帰宅中の8歳女児に声かけ、性的暴行した疑い 34歳男を逮捕 [煮卵★]
- 【渡邊渚さん独占インタビュー】あの雨の日、私の心は殺されました… 入院後に自傷行為「私は2度死んだ」★3 [ネギうどん★]
- 兵庫知事買収疑惑、関係先を捜索 捜査当局、公選法違反疑い★2 [夜のけいちゃん★]
- 八潮道路陥没「復旧に2、3年かかる」より強力な下水の利用自粛求める ★4 [おっさん友の会★]
- 【訃報】人気ロックバンド『ガガガSP』のベース・桑原康伸さん急死 44歳 5日の明け方に突然 [冬月記者★]
- 【兵庫】コンビニ客の男性(56)、怒られながらも若者(20代)の“詐欺被害”を防ぐ [煮卵★]
- そろそろトランプはThe United States of America(アメリカ合衆国)って国号も変えたほうがいいんじゃないかw? [377482965]
- 【速報】「トランプは石破首相を嫌っている」説浮上wwwwwwwwwwwwww [308389511]
- 【動画】この原付さん、急に来ても対応できる??????? [242521385]
- 【悲報】アメリカ報道各社、反トランプの記者を一斉解雇し始めるwww日本以下だよこの国… [535650357]
- 面接官「こ の 空 白 の 8 年 間 は な ん で す か ?」 [425744418]
- 【石破速報】斎藤元彦、家宅捜索 地検と県警★3 [931948549]