【春雷】 イオナズン対策スレッド Part3
■ このスレッドは過去ログ倉庫に格納されています
相談所スレでやってたまとめを更新してみました
http://life.45.kg/sec/#iona
【ウイルス通称】 (仮)イオナズンBOT化ウイルス
【亜種名】 keygen型
【亜種名】 エロゲNoCD/NoDVDパッチ型
#間違っていたらごめんなさいです。レスが錯綜して自分も錯乱気味
#新種か何かの亜種かは、深く考えずに別立て イオナズンで今爆撃されてないサーバーもbbs.cgiが相変わらず叩かれまくり
http://mumumu.mu//mrtg/mrtg-rrd.cgi/read/ex11bbs.html
ちょっとこれは不味いと思う。
>>368
qb5にやってんの?やばくねえか? >>367
乙です。
>>369
一応言っておきますが、自分は暗号解読しただけです。
爆撃ヤバスには同意です。 >>369
ex11は、なんかすごい状態ですね。
worker MPM のテスト機だったりするので、
微妙に挙動不審になる場合があったりして。
# 6.1-RC にしようとしていたりしますが。
# 今は FreeBSD 5.4R + worker MPM ・1000超えてるスレに二回も三回も書きに来るやつは自動的に焼く
・焼き専用のスレキーを用意して、そこに書きに来たやつは自動的に焼く
ようにbbs.cgiを変更して、そこに誘導する暗号コードを書けばウハウハ
こんな感じ? ウィルステストサイトはここが空いてますよ。
jottiとの違いはKasperskyが参加していません。
http://scanner.virus.org/ 削除要請板に書き込めないと思ったらイオナズンで焼かれてたのか。
同じプロバの中に感染した馬鹿が居るという事だな…… fusianaしないテストに今更何の意味が…
それこそ模倣愉快犯じゃねーか 焼く前と比べたらかなり低速になってるようですが
いろんな板でテストするのは正直どうかと
イオナズンを知ってるのはニュー速と運営くらいだったのだから >>377
そういうことですヨ
共有のネックですネ bbs.cgiに対するアクセスだけdenyにするってことは出来ないんでしょうか?
ウイルス焼きは串と違う仕組みで焼いて、bbs.cgiはdenyにするとか、bbs.cgi実行する前に警告画面へリダイレクトとか あまりアチコチでテストやり過ぎると使用者の拡散にしかならんぞ >>381
1000に達しているスレにいつまでも書き込もうとするからでしょ >>381>>383
アホがイオナズン唱えまくれば、サーキットブレーカーになる予感。
って鯖が持たないということなんだけどね もはや、ミナデインだな・・・
ttp://d.hatena.ne.jp/keyword/%A5%DF%A5%CA%A5%C7%A5%A4%A5%F3 608 名前: 以下、名無しにかわりましてVIPがお送りします 投稿日: 2006/04/09(日) 13:30:22.20 ID:+HtXMDNL0
ウワチャー!
609 名前: 以下、名無しにかわりましてVIPがお送りします 投稿日: 2006/04/09(日) 13:30:24.73 ID:pYR7NstH0
アチョー
アチョー
http://ex14.2ch.net/test/read.cgi/news4vip/1144551106/l50
混成攻撃だな カキコテストのやつでtasukeruyoすればいいんでないでUAだしているので対象UAを焼く
とか 鯖落ちスレが少し賑わったのもこれの負荷だったのかなぁ、、、、 春雷キャッチャー@2ch掲示板を作ってそこを爆撃専用にすればいい
名無しはtasukeruyoで強制IPとかの 12:30 ぐらいのは、たぶん経路問題かなと。>>390 >>395
場合によっては同居のqb5も死ぬじゃん 運営サイドに俺がどこにいつ何を書いたかなんてお見通しなんだろうなぁ。
俺携帯だし。
運営サイドにアボンされないようにカキコするスリルは快感だ。
とトチクるってみるテスト 実験をどの板でするにしても、鯖落ちの可能性はあることだしねぇ
まぁ、新たに鯖を用意して、そこでするのなら事態は変わるけどネ・・・ つか、テストで過負荷にならないようにこのスレがあるんじゃないのか?
事前に宣言するとか、一度なにかテストしたらその結果を
分析してから次に入るとか。なんのための掲示板だか。 >> ID:R3yywanF0
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip 5c650976323cad26642905dfbcb85167
元#408 & バイナリの中みた人#415
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=408-415&offline=1
---
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.zip 195,000 4acb0022093c88510ae976dc2e5716a4
元
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1138882062&ls=747&offline=1
---
NoCD][060331] 愛玩隷嬢〜Doll〜_NODVD.zip KhE4yIobOz 187,773 2a40bde6a959e45231575d7c8237e549
元
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143727987&ls=663&offline=1
---
解析込みでわかるのはここまでだった('A`)またあったら追加するね
解析レスのないものは挙げてないけど、「これトロイ/ウイルス入ってる鴨」なレスは他にもあって
共通してるのが、パッチだったらどれも
ttp://hashdb.com/ にある、[060331] or [060317] or [060324]で190KB前後のものみたい('A`) ・qb6みたいに実体は同じの別名サーバーを立てる。(たとえば、banana2848.maido3.comにqb7つくる)
・板は体裁だけで、スレたても書き込みも出来ないようにする。(bbs.cgiへのPOSTが出来ないように投稿フォームも用意しない)
・bbs.cgiは偽者にしておく(色々な判定しない書き込みに特化した軽いCGIとか、書き込んだら即denyになるCGIとか)
・架空のスレに爆撃するようイオナズンを詠唱。(http://qb7.2ch.net/test/read.cgi/ionazun/1150000000/)
スレが存在しなければ、専ブラでも書き込みできないから間違えて書き込むということはたぶん無い。 片っ端から焼きまくるのにも限界があるだろうから、感染チェックツールとか、
感染していた場合の除去ツールを制作して配布する方向でも考えてみてはどうかなと....
ひたすら受け身で対応しているだけでは、アンチウィルスベンダーの対応が遅かったり
感染者自身の対応待ちではラチがあかないのではないかと思うんだけど。 >>404
>ttp://hashdb.com/ にある、[060331] or [060317] or [060324]で190KB前後のものみたい('A`)
0331は別 060331は別すか。アイサー
[060317],,0.000171661,0.000190734,,0,1,1
[060324],,0.000171661,0.000190734,,0,1,1
これをignore.txtに追加で弾けると思います。念のため範囲は+-10kで180-200kb >>405自己レス(補足)
bbs.cgiを用意しなくても、偽板のbbs.cgiにアクセスを試みた人を片っ端から焼くという手もあるかな?
アクセスログは一部の人しか見られないだろうから、難しいだろうけど >>409
060317と060324はここのスレで扱うもの
060331はダウンロード板へ爆撃
ignore.txtファイルは小数点使えたっけ? >>411
9152のjpg弾けてるんで大丈夫だと思います。 勝手にアドオン起動する
えっーと、三井住友銀行のサイトみたく勝手に起動する埋め込み型のアンチウイルスソフトがあればいいんだ。
攻撃対象になったスレへの書き込みはトラップbbs.cgiがうけて、正しい書き込みはsubmitする情報を特定の隠しPASSを付随させるようにできたらなぁ。 >>408 >>411
だね('A`)失礼しました
追加で何かあったらまた報告しにきます nyやshareで180K〜200Kのzip、rarをはじくようにすればおk? >>415
誤爆があるだろうから、>>409みたいに日付限定したほうがいいと思う。 1000で止まらないように板の設定を変えたら、どういう動きをするんじゃろか テストを利用して感染者に感染を知らせる方法はある? >>423
別のところに指定されると面倒になりそう >>420
直接知らせる方法はない。
キンタマのときは駆除ウイルスがあったらしいが、それは犯罪になる可能性大。 書き込みにきたときポップアップ出せればいいんだがブラウザできてないから出しようがない。
回線を極端に遅くさせるようにアクセスしたのに3GBのファイル(中身は警告文)を落とさせる(ダウソcgiみたく)。
んでこれなんだ?とおもって該当プログラムをユーザーが削除か停止しようとする。
うまー。
とか出来たらなぁ。 ISPが利用者の安全を考えて2ちゃんへのアクセス禁止にすればよくね? 今帰って北産業
>>340
一応、ハッシュは全部出せるけど、実はキャッシュ保持しているので漏れが
弾かれそうだw
>>411
[060331]も同一CRC32だが、ダウンロード板爆撃パターンあったか?
ignore.txtは小数点使えます。1MB=1024x1024=1048576に注意
キージェネはファイル名のつけ方とサイズからこの辺がクサイ。
【アプリ】Nero7 Premium キージェネレーター(keygen) 最新版.zip 194,988 3e28fba6c6493c52a03758f7a8a335fe
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.zip 195,000 4acb0022093c88510ae976dc2e5716a4
【アプリ】Microsoft Visual C++ 6.0 キージェネレーター(keygen) 最新版.zip 195,010 b82aec12fbe33119ad583073c0900206
【アプリ】Borland Developer Studio 2006 キージェネレーター(keygen) 最新版.zip 195,020 672d4d80df5e63ab3fd690e5430ae791
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip 195,022 5c650976323cad26642905dfbcb85167
【アプリ】ホームページビルダー10 日本語版 キージェネレーター(keygen) 最新版.zip 195,024 6725a8084767ef8d4a89f0e117048c94
【アプリ】Norton System Works 2006 日本語版 キージェネレーター(keygen)最新版.zip 195,026 0c1b92809103354102fdc9a44a32b593
【アプリ】Microsoft Office 2003 Professional 日本語版 キージェネレーター(keygen)最新版.zip 195,046 54080c15e14900d24ec72fd88c9d54fe
【アプリ】Nero7 Premium キージェネレーター(keygen) 最新版.rar 195,061 90254d232080e776b01482f2d948e0fb
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.rar 195,075 ff0aae1d9d2b5e0e003b390fbd687bd2
【アプリ】ホームページビルダー10 日本語版 キージェネレーター(keygen) 最新版.rar 195,088 492a4f0276e3637cc7f7f9abc511cea0
【アプリ】Borland Developer Studio 2006 キージェネレーター(keygen) 最新版.rar 195,097 4e8d2a4f87500fd5964078f38dfd90a0
【アプリ】ノートン・システムワークス 2006 日本語版 キージェネレーター(keygen)最新版.rar 195,103 355d3a407cd9bbc4f3cd714d2682b192
【アプリ】Norton Internet Security 2006 日本語版 キージェネレーター(keygen)最新版.rar 195,114 cfe9ed094c9b8100c461d95cbb57c47e
>>427
3Gのファイルか・・・・・・
マァヴが回線の帯域限界のテストしたがってたっけな。 >>429
[060331]のやつ、たぶんこれのことだと思う('A`)
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/26n
ttp://hashdb.com/2a40bde6a959e45231575d7c8237e549
実体はTrojan.Sufiageっぽい
ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sufiage.html いま管理サイドは何やっているんだろうか?
みんなお昼寝してますかね。
こういう時になんでキツネさん出てこないんだろう。2ch嫌いになったのかな、 深夜に●焼きまくったりしてましたし
というか、特に緊急ですることないんじゃないかな・・・ すすきのでおねえちゃんに振られた
↓
イオナズンで更にストレス
↓
2ch証券で遊ぼうか
↓
ν速でアホが居るとタレこみ
焼き祭り発生 >>438
ttp://sv2ch.baila6.jp/chk_proxy.cgi
これ、DSBLだったら診断結果を表示させないってどうよ? >>441
そのホスト
http://tmp6.2ch.net/test/read.cgi/kitchen/1143211310/98 2006/04/08 21:37:13 ID:O0oh7vS8
asf-cable.c-able.ne.jp 80 既定
でも・・・ 今北産業超乗遅課・・・orz
とりあえず検体確保次第各所に連行します。 >>436
書き込み出来ないだけで、書き込みしようとする動作は全て行うから負荷軽減にはならないと思われ。 >>444
あ、漏れが上げた検体もう消しちゃったよ(´・ω・`) >>337
俺じゃないぞ。グローバルIP取ろうかな・・・ >>444
オイラ>>447が上げてくれたやつ、まだもってる('A`)
あぷろだとかメアドとか、指定してくれたら送るよ >>447,450
thx。
うpろだはヤバそうなので目欄にすまんが送ってくれない?
で、keygenのサンプル3つTrendMicroに送付した。 >448-449
ウイルスに引っかかっているのは2chを殆ど見ない香具師のような希ガス。
当然このスレを見て対策を取るなんて事も期待できないだろうなぁ…… とりあえず簡易的に調べてみた。ミス大量かもしれないけど。
・実行するとC:\WINDOWS\system32とC:\WINDOWSに自身をコピー
・その際のファイル名はsystem32は"chkntsv.exe"
WINDOWSフォルダは二種類くらい(smss.exe or csrss.exe)
・タスクマネージャから殺すのは無理(重要なシステム プロセスです。タスク マネージャは〜が表示)
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExにキーを追加
・二種類のファイル名を持っていて、二回ほど再起動すると変化?(不明)
暫定駆除方法(自己責任にてお願いします)
1.ProcessWalkerとかProcessExplorerを使って本体を終了させる
2.レジストリエディタで
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0002キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\の下にある"(既定)"以外を削除
3.本体を削除する 変数の範囲チェックしてないけどデコーダの実装例
エンコーダも書いたけど自粛
#include <stdio.h>
int path1[] = {3,4,6,2,7,0,9,8,1,5};
int path2[] = {0,0,0,1,1,1,1,1,1,2,2};
struct keyinfo {
char *keyword;
char *start;
char *end;
};
struct keyinfo keys[]={
{"71255", NULL, NULL},
{"038701", NULL, NULL},
{"147803", NULL, NULL},
{"87634", NULL, NULL},
{"56905415", NULL, NULL},
{NULL,NULL,NULL}
};
int main()
{
char buffer[1024],*p;
int a,b,c,dest;
fgets(buffer, sizeof(buffer), stdin);
for(i = 0; keys[i].keyword!= NULL; i++){
keys[i].start = strstr(buffer,keys[i].keyword);
if(i != 0)
keys[i-1].end = keys[i].start;
keys[i].start += strlen(keys[i].keyword);
}
for(i=0; keys[i].keyword !=NULL; i++){
for(p = keys[i].start ; p < keys[i].end; p+=3){
a = path1[p[0]-0x30];
b = path1[p[1]-0x30];
c = path1[p[2]-0x30];
dest = ((path2[a] !=0)? 0 : a*100) + ((path2[a] == 2)? 0: b*10) + c;
putchar(dest);
}
printf("\n");
}
}
>>459
モツカレさまです('A`)
オイラの調べた中で今んとこいちばん詳しいのが↓なんだけど
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/1854/tr_delf.kp.html
>>459で挙げてくれた以上のことは、まだ分からないみたい>ベンダ
上記頁は、小泉ウイルスと同列で扱ってるけど・・・('A`)Sumantecは汎用名称だし
焼きスレから誘導されてきたんだけど・・・
(成年コミック) [雑誌] comic lo 2006年05月号(vol.26) .exe
Norton先生では認識されない。実行してないから症状はわからないけどけどなんかの亜種?
ttp://kasamatusan.sakura.ne.jp/cgi-bin2/src/ichi31060.zip.html
パスワード:rvrv >>464
小泉の亜種だろう。
イオナズンとは関係ない。 >>462
ソースキタ━━━━━━(゚∀゚)━━━━━━!!! >>464
犯罪予告とかイパーイ書いてあるよなぁ@コイズミ関連 ■ このスレッドは過去ログ倉庫に格納されています