【春雷】　イオナズン対策スレッド2

**名無しの報告** · NG

195 名前：ｒｅｆｆｉ@報告人 ★[sage] 投稿日：2006/04/09(日) 00:00:09 ID:???0
今北産業の人向けに
イオナズン動作（推測だけどほぼ合ってると思います。）

１．山田などで穴が空いているＰＣにbotを送り込む
２．送り込まれたＰＣは定期的にvipのスレ監視をするようになる。
３．特定のスレッドが建って指令コードを書かれたのを確認したら
　　指令されたスレッドの爆撃を開始する。
４．一定回数実行したらまた２に戻る。

【春雷】　イオナズン対策スレッド
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/

**名無しの報告** · 2006/04/09(日) 00:07:56

これだね

. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/

**ちょろ ★** · 2006/04/09(日) 00:07:56

BBQ=ON@ex14 にした

**名無しの報告** · NG

★持ちの自作自演だろ。どーせ。
犯人はrootちゃん。

**名無しの報告** · 2006/04/09(日) 00:08:21

ドクドキしてきた

**田吾作 ★** · NG

>>3

以下、名無しにかわりましてVIPがお送りします<><>2006/04/08(土) 23:58:41.96 SiERaLyW0<>誰かやれｗｗｗｗｗ<>. exe<>61-60-21-226.HINET-IP.hinet.net<>61.60.21.226<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <><>2006/04/09(日) 00:02:30.12 uI2XbFoZ0<>712558800674902120954668519128<><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)
以下、名無しにかわりましてVIPがお送りします <>sage<>2006/04/09(日) 00:03:09.21 uI2XbFoZ0<>712558800674902120954668519128<><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)

**名無しの報告** · 2006/04/09(日) 00:08:38

目の当たりにすると凄いもんだな。やっぱり。

**root▲ ★** · NG

>>10
了解。

**名無しの報告** · 2006/04/09(日) 00:08:57

イナズオン、ﾞ発動〝

なんちて

**名無しの報告** · 2006/04/09(日) 00:09:16

VIPのキャップ欲しがってた子か

**田吾作 ★** · NG

>>9

以下、名無しにかわりましてVIPがお送りします<><>2006/04/08(土) 23:58:41.96 SiERaLyW0<>誰かやれｗｗｗｗｗ<>. exe<>61-60-21-226.HINET-IP.hinet.net<>61.60.21.226<> ( )<>Monazilla/1.00 (JaneStyle/2.23)

**あまた** ◆GOKvPKrEQ. · 2006/04/09(日) 00:10:02

そしてシベリアは警戒態勢に入るのか、
（戦争っぽいわぁ

**名無しの報告** · 2006/04/09(日) 00:10:06

一連の暴露ウイルス作者の正体は散々2chを荒らしたbananan辺りが怪しいと見てるんだが

**名無しの報告** · 2006/04/09(日) 00:10:14

やっぱり串か

**ちょろ ★** · 2006/04/09(日) 00:10:19

>>15
bbs.cgi@ex14 だけ書き換えたっす
本体再配布で元に戻るです

**root▲ ★** · NG

>>22
だと思っていました。

**水色＠飛行石 ★** · 2006/04/09(日) 00:11:31

をー。

**名無しの報告** · 2006/04/09(日) 00:11:33

とりあえずν速VIPで、exeを含むスレタイは書き込めないようにしないと、
数日中には発動コマンドが第三者に解読されるような気がする

▲ ◆SANUKI/VII · NG

>>20
banananなら串で遊ぶっしょ

これも疑似串かな？

**名無しの報告** · 2006/04/09(日) 00:12:52

数日いらないんじゃね？

**名無しの報告** · NG

これもどうにかしてよ。ニュー速で多発。

4 名前：softbank219198090185.bbtec.net[] 投稿日：2006/04/08(土) 23:37:42.75 ID:qN/jzpHG0
自殺志願者が線路に飛び込むスピードで殺します
http://softbank219198090185.bbtec.net/

**名無しの報告** · 2006/04/09(日) 00:13:28

誘導されて来ました

また新しいのが出たもよりです…

http://live22x.2ch.net/test/read.cgi/news/1144505749/2
名前はﾌｼｱﾅで、本文は「自殺志願者が線路に飛び込むスピードで○します」
続いてURLが貼られてしまいます。

**あまた** ◆GOKvPKrEQ. · 2006/04/09(日) 00:14:01

http://live22x.2ch.net/test/read.cgi/news/1144507467/
ということで、多くの人が遊べる準備が整いそうね>>25

**名無しの報告** · 2006/04/09(日) 00:14:08

この対策もそんなに持ちそうにないですねぇ
（外部かシベリア移転型が出そう）

>28
それは小泉ウィルスの一種ですね。

**名無しの報告** · 2006/04/09(日) 00:15:34

>>30
あちゃ～
これではもうアウトですね。
やはりタイトルに「.exe」はNGワードにしないとダメかも

**名無しの報告** · 2006/04/09(日) 00:17:48

>>28-29
新種の山田ウイルス？

▲ ◆SANUKI/VII · NG

それをやると複数単語に対応する予感

**名無しの報告** · 2006/04/09(日) 00:18:20

そのスレを立てた当人がbanananで犯人だという噂もあるくらい

**名無しの報告** · 2006/04/09(日) 00:19:00

>>34
まあ、それは正論だけどさ
とりあえず、穴を塞いでおかないと、
ダムが決壊するような気がしますね、今回は

**ｒｅｆｆｉ@報告人 ★** · 2006/04/09(日) 00:20:08

帽子忘れ
Ｎ速のはこちら向けですね

■ウィルス爆撃相談所＆焼き処２【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/

**名無しの報告** · 2006/04/09(日) 00:20:39

ウイルス作者にも心のダムがあれば良かったのに(´･ω･`)

**名無しの報告** · 2006/04/09(日) 00:21:39

>>30
とりあえず、その記者剥奪でいいんじゃね

**名無しの報告** · 2006/04/09(日) 00:22:08

NGワード弾きじゃ間に合わんのなら

一時的にbe垢ないとカキコめんようにすればいいという安易な発想をしてみる。

**名無しの報告** · 2006/04/09(日) 00:22:45

BOT作者はメカニズムを見破られてしまったわけだが、
これで発動原理が解明されたら、他の便乗犯によって
イオナズン連発されるわけで、作者にとってはかえって
うれしい結果になったと。

**名無しの報告** · 2006/04/09(日) 00:23:21

>37
申し訳ありませんでした
そちらへ行ってみます

**名無しの報告** · 2006/04/09(日) 00:23:36

2006/04/09(日) 00:02:30.12

↑に命令だして↓に発動するってすごいね
VIPを読み込みまくってるだんだろうね、それでゾンビの検出とかはできない？
まあ、いちいち焼いてられないから対策にならないか・・・

2006/04/09(日) 00:02:31

▲ ◆SANUKI/VII · NG

テストスレタテしてみた

**名無しの報告** · 2006/04/09(日) 00:25:29

>>43
スレを発見したら激読み込みモードになるんだろうね
なかなか巧いわ

**あまた** ◆GOKvPKrEQ. · 2006/04/09(日) 00:25:34

>>38
>人の心に悪がある限り、私は蘇る！！
まあ、犯人は常にここを見ているということもわかった、と。

>>39
どこぞで疑われてたなぁ。
お前（あははーっφ ★）が発動したんじゃないか？！って
http://live22x.2ch.net/test/read.cgi/news/1144246615/

**名無しの報告** · 2006/04/09(日) 00:28:08

>>46
擁護する訳じゃないが多分に無関係かと
あははーが居る時間帯にたまたま数回現れてるだけで
現に彼が立てたスレもイオナズンされてた

**名無しの報告** · 2006/04/09(日) 00:29:08

>>47
> 現に彼が立てたスレもイオナズンされてた
いやそれは、違うという証明にはならんだろｗ

**名無しの報告** · 2006/04/09(日) 00:29:26

>>45
>>47
作者乙

**名無しの報告** · 2006/04/09(日) 00:31:21

>>48
まあそういう事がありましたよ、ということ
彼がやったという格足る証拠は無い

ただ彼には複数キャップ疑惑が。

**名無しの報告** · 2006/04/09(日) 00:32:25

おまいら巣に帰るぞ

**名無しの報告** · 2006/04/09(日) 00:32:33

>>50
りょうかい

で、作者ってsoftbankなの？

**名無しの報告** · 2006/04/09(日) 00:32:56

もうあらかじめ攻撃するスレが特定されている訳でないと、
実行コードをNGワードにする。

犯人が誰にしろ管理法の見直しが必要か。

頑張るんだ西村さん。

▲ ◆SANUKI/VII · NG

さくらにするにしてもVIPには(´･ω･`)

**ちょろ ★** · 2006/04/09(日) 00:35:30

当分楽しめるということですな。
楽しんだほうの勝ちかと、

追われ、逃げるのも楽しいんだと思う。

▲ ◆SANUKI/VII · NG

そういえば、指令コードと爆撃されたスレとワードってまとめられてるのかな

◆qb.x27/m96 · 2006/04/09(日) 00:38:42

(´-`).｡oO（やってるのは一人だとおもう、きっときっと…）

**名無しの報告** · 2006/04/09(日) 00:39:10

ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sufiage.html
これはその答えになりますか？

**root▲ ★** · NG

>>55
同意、同意。

**名無しの報告** · 2006/04/09(日) 00:39:43

>>56
指令コードの例は
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/140-142
あたりにあるけど、
それと爆撃スレ、爆撃ワードとの対応は、コードの解析が済まないかぎりは
分からないと思われる

**名無しの報告** · 2006/04/09(日) 00:40:10

さて誰が最初に指令コードの解析をするか

**名無しの報告** · 2006/04/09(日) 00:40:28

>>58
それは別のウィルスだよ

**水色＠飛行石 ★** · 2006/04/09(日) 00:40:28

いやー、しかし緊迫した状況の方がー、
いろいろさくっと進みますねー。

みんな一生懸命になるしーｗ

**名無しの報告** · 2006/04/09(日) 00:41:19

しかしテストなしでここまで出来るものなのか？
やはりなんかテストなしにここまでことを運ぶのは至難の技だと思うんだが。

**名無しの報告** · 2006/04/09(日) 00:41:21

sanukidesukedotest . exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144509814/14
テストしてる人がいますね

**名無しの報告** · 2006/04/09(日) 00:42:13

>>64
ちゃんと動くかどうかのテストは簡単にできるんじゃないの？

**名無しの報告** · 2006/04/09(日) 00:42:16

コードわかんねー
そして当たり前のことに気づく
自分がスキルがないということに

**名無しの報告** · 2006/04/09(日) 00:42:22

じゃあ、楽しみ倍増のためにこれを剥奪してみるとか
＞あははーっφ ★

**名無しの報告** · 2006/04/09(日) 00:44:45

>68
ついでに「ろりろりφ ★」も剥奪しちゃえ

**ちょろ ★** · 2006/04/09(日) 00:46:30

今なら
解析出来た人はもれなくイオナズンが撃てる特典付き !!

**名無しの報告** · 2006/04/09(日) 00:47:31

>>70
おいおい＾＾；

**名無しの報告** · 2006/04/09(日) 00:47:34

ちょｗｗｗｗｗｗｗ

**名無しの報告** · 2006/04/09(日) 00:47:47

撃った後が怖いわい

**名無しの報告** · 2006/04/09(日) 00:47:55

それはダークサイドに落ちてる気もするｗ

朝倉 · 2006/04/09(日) 00:48:31

>>70
前から解析してたから解読はできたんだが打つとあく金くらうんだろｗ
ひろゆきにもメールしたけど無視されし・・・

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/2-3n
71255880067490212095466851912885858882【038701】889858066495966851855【147803】116416993093216498991116990194【87634】811857805351811070805358802848805845805825805300815863805303836229813803805359819851805300836440836240【56905415】

イナズマン
強力将来
調理器将来

**水色＠飛行石 ★** · 2006/04/09(日) 00:49:29

>>75
あーどーもですー。

アク禁にはならないと思いますよー。

**名無しの報告** · 2006/04/09(日) 00:49:52

>>66ことreffi@報告人 ★

テストできますかね？

削除人でないとできないでしょう。

案外命令コードはおとりでただ単にスレ直指定で荒らすシステムかもしれない。

◆Reffiz2Zh. · 2006/04/09(日) 00:51:13

>78
人違いですよ～
さて解析された後が真の本番って所かな？

**名無しの報告** · 2006/04/09(日) 00:52:04

誰か　　　　. exe　
http://ex14.2ch.net/test/read.cgi/news4vip/1144511357/

**名無しの報告** · 2006/04/09(日) 00:53:01

前スレから

ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=418&offline=1

【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip
ハッシュ: 5c650976323cad26642905dfbcb85167

**名無しの報告** · 2006/04/09(日) 00:53:22

>>80
解読。対象スレは
書き込み時Captcha（画像）認証制導入議論スレ
http://qb5.2ch.net/test/read.cgi/operate/1144071322/
↑のスレ立てたやつも解読できたってことか？

**名無しの報告** · 2006/04/09(日) 00:53:33

ありゃ>>37に書いて有ること誤解したもよーん。
reffi@報告人 ★さんすいません。

**名無しの報告** · 2006/04/09(日) 00:53:35

前スレの153
解析結果をｋｗｓｋ

って前スレのイオナズンは153がやったのかも

**名無しの報告** · 2006/04/09(日) 00:54:39

>>82

でも解読できたからって対策を取れるわけ？
メカニズムが分かっても、それが対抗策には直結しないと思う

**名無しの報告** · 2006/04/09(日) 00:54:42

>>84
前スレの153は俺。

**水色＠飛行石 ★** · 2006/04/09(日) 00:54:49

>>84
いやー、わざわざ串は使わないと思いますよー。

**名無しの報告** · 2006/04/09(日) 00:55:03

＞解析できた人
あれってアドレスと書き込み内容の二種類？

**名無しの報告** · 2006/04/09(日) 00:55:45

>>88
そう。名前とかメールとかは書かれてない。

**名無しの報告** · 2006/04/09(日) 00:56:24

>>70
・・・・・

BOTに直接アクセスするわけではないから、不正アクセス禁止法には触れないか。
サーバーが潰れるけど（システム管理公認だから1回目は許されるだろうなｗ）

**水色＠飛行石 ★** · 2006/04/09(日) 00:57:20

>>85
そうでもないですよー。
詳細に調べれば調べるほど、ちょっとした工夫で
なんとかなっちゃうアイデアが出るもんですー。

それがわいわいがやがやってことでー。

**名無しの報告** · 2006/04/09(日) 00:58:26

じゃあ、テストをやってみたら？>>89
スレを立てるときに、かならず爆撃先と書き込み内容を同じスレで同じIDで書き込むという
条件なら、いたずらではないと分かるわけだし

**名無しの報告** · 2006/04/09(日) 00:58:29

　 ∧＿∧
　（　・∀・）　イオ何とかまだかな～
　（　∪ ∪
　と＿_）__）

**名無しの報告** · 2006/04/09(日) 01:00:24

+　　　+
　 ∧＿∧ 　+
　（0ﾟ・∀・）　ﾜｸﾜｸﾃｶﾃｶ
　（0ﾟ∪ ∪ +
　と＿_）__）　+

**名無しの報告** · 2006/04/09(日) 01:01:07

なぜ特定のワードにしたのだろうか。
なんならスレタイだけで攻撃してもいいはず。

なぜここまで凝るのか。
どうも俺の命令コードはおとりじゃないかという意見は違うぽいので
プロファイリングしますか。

**名無しの報告** · 2006/04/09(日) 01:02:47

勝手にまとめ

★攻撃スクリプトの書かれたスレ
. exe
http://ex14.2ch.net/test/read.cgi/news4vip/1144508321/2-3

★暗号
712558800674902120954668519128858588820387018898580664959668518551478031164169930932164989911169901948763481185780535181107080535880284880584580582580530081586380530383622981380380535981985180530083644083624056905415

★テキスト
人の心に悪がある限り、私は蘇る！！

★エンコード
%90l%82%CC%90S%82%C9%88%AB%82%AA%82%A0%82%E9%8C%C0%82%E8%81A%8E%84%82%CD%91h%82%E9%81I%81I

★ターゲットURL
http://qb5.2ch.net/test/read.cgi/sec2chd/1144136159/

この辺が埋め込まれてるだろうな。眠いから寝よ。今日はウイルス投稿の報告無しでｽﾏｿ

**名無しの報告** · 2006/04/09(日) 01:07:32

>>78
どうせならこのくらいの勢いで勘違いしてみると小吉

reffi@報告人の成分解析結果 :
reffi@報告人はすべて着色料で出来ています。

**名無しの報告** · 2006/04/09(日) 01:16:01

イオナズンつーか、ミナデインのアホ版だな。

バカデイン

**水色＠飛行石 ★** · 2006/04/09(日) 01:16:14

同じIDで同じ命令を2回書く必要があるよーですねー。
それが発動の条件かなー。

**名無しの報告** · 2006/04/09(日) 01:23:38

結構簡単だ。これやばいよ。

2006/04/09(日) 01:26:57

ついつい寝てしまった。

で、しっぽつかめそうなの？

**名無しの報告** · 2006/04/09(日) 01:27:10

BCDコードらすぃ

**root▲ ★** · NG

>>102
最初そう思ったけど、ほんとにそうなのかしらね。

**root▲ ★** · NG

個人的には、base10 とかも思いましたが、さて。

**名無しの報告** · 2006/04/09(日) 01:33:16

>>81をゲットできますた。

▲ ◆SANUKI/VII · NG

そういやウィルスに入ってた文字列を抜いて分解したほうがいいのかな

**名無しの報告** · 2006/04/09(日) 01:36:18

>>105
.rarでくれ

**名無しの報告** · 2006/04/09(日) 01:37:24

どういうこと？
>>96のスレ踏んじゃったんだけど、それだけでもうアウト？

**名無しの報告** · 2006/04/09(日) 01:38:02

あれ？
>>81では0006D7F0あたりに情報が格納されてるみたいだけど、
00030A00までしかないよな・・・・・・実行するとプロセスを生成するのかしら

とりあえずDelphiみたいだけど

>>107
http://www.vipper.org/vip231654.zip.html
自爆には注意

【春雷】 イオナズン対策スレッド2

【春雷】　イオナズン対策スレッド2