X

【春雷】 イオナズン対策スレッド Part3

■ このスレッドは過去ログ倉庫に格納されています
1root▲ ★
垢版 |
NGNG
次スレですよ。

前スレ:
【春雷】 イオナズン対策スレッド2
http://qb5.2ch.net/test/read.cgi/sec2chd/1144508679/
2006/04/09(日) 15:53:36ID:errVKbNs0
テストを利用して感染者に感染を知らせる方法はある?
2006/04/09(日) 15:57:27ID:h5m/Mxx1O
感染したPCが2chやらないと無理ぽ
2006/04/09(日) 15:58:50ID:rX4Dtqpz0
もう2ch閉鎖だな!
やったじゃん
423名無しの報告
垢版 |
NGNG
指令出来ないようにvip閉鎖すれば良いんじゃね?
2006/04/09(日) 16:01:43ID:Pqs7q9Ow0
>>423
別のところに指定されると面倒になりそう
2006/04/09(日) 16:03:58ID:ckBXzxD/0
>>420
直接知らせる方法はない。
キンタマのときは駆除ウイルスがあったらしいが、それは犯罪になる可能性大。
2006/04/09(日) 16:19:02ID:o22xlVF0P
全板閉鎖でいいよ
2006/04/09(日) 16:22:06ID:h5m/Mxx1O
書き込みにきたときポップアップ出せればいいんだがブラウザできてないから出しようがない。


回線を極端に遅くさせるようにアクセスしたのに3GBのファイル(中身は警告文)を落とさせる(ダウソcgiみたく)。

んでこれなんだ?とおもって該当プログラムをユーザーが削除か停止しようとする。


うまー。

とか出来たらなぁ。
2006/04/09(日) 16:23:41ID:7Rv4D5Ow0
ISPが利用者の安全を考えて2ちゃんへのアクセス禁止にすればよくね?
2006/04/09(日) 16:26:04ID:G0Eiefv/0
今帰って北産業

>>340
一応、ハッシュは全部出せるけど、実はキャッシュ保持しているので漏れが
弾かれそうだw

>>411
[060331]も同一CRC32だが、ダウンロード板爆撃パターンあったか?
ignore.txtは小数点使えます。1MB=1024x1024=1048576に注意

キージェネはファイル名のつけ方とサイズからこの辺がクサイ。

【アプリ】Nero7 Premium キージェネレーター(keygen) 最新版.zip 194,988 3e28fba6c6493c52a03758f7a8a335fe
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.zip 195,000 4acb0022093c88510ae976dc2e5716a4
【アプリ】Microsoft Visual C++ 6.0 キージェネレーター(keygen) 最新版.zip 195,010 b82aec12fbe33119ad583073c0900206
【アプリ】Borland Developer Studio 2006 キージェネレーター(keygen) 最新版.zip 195,020 672d4d80df5e63ab3fd690e5430ae791
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip 195,022 5c650976323cad26642905dfbcb85167
【アプリ】ホームページビルダー10 日本語版 キージェネレーター(keygen) 最新版.zip 195,024 6725a8084767ef8d4a89f0e117048c94
【アプリ】Norton System Works 2006 日本語版 キージェネレーター(keygen)最新版.zip 195,026 0c1b92809103354102fdc9a44a32b593
【アプリ】Microsoft Office 2003 Professional 日本語版 キージェネレーター(keygen)最新版.zip 195,046 54080c15e14900d24ec72fd88c9d54fe
【アプリ】Nero7 Premium キージェネレーター(keygen) 最新版.rar 195,061 90254d232080e776b01482f2d948e0fb
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.rar 195,075 ff0aae1d9d2b5e0e003b390fbd687bd2
【アプリ】ホームページビルダー10 日本語版 キージェネレーター(keygen) 最新版.rar 195,088 492a4f0276e3637cc7f7f9abc511cea0
【アプリ】Borland Developer Studio 2006 キージェネレーター(keygen) 最新版.rar 195,097 4e8d2a4f87500fd5964078f38dfd90a0
【アプリ】ノートン・システムワークス 2006 日本語版 キージェネレーター(keygen)最新版.rar 195,103 355d3a407cd9bbc4f3cd714d2682b192
【アプリ】Norton Internet Security 2006 日本語版 キージェネレーター(keygen)最新版.rar 195,114 cfe9ed094c9b8100c461d95cbb57c47e
2006/04/09(日) 16:27:58ID:R3yywanF0
>>427
3Gのファイルか・・・・・・
マァヴが回線の帯域限界のテストしたがってたっけな。
2006/04/09(日) 16:41:01ID:azCL6P1Y0
>>429
[060331]のやつ、たぶんこれのことだと思う('A`)
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/26n
ttp://hashdb.com/2a40bde6a959e45231575d7c8237e549

実体はTrojan.Sufiageっぽい
ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sufiage.html
2006/04/09(日) 16:43:41ID:h5m/Mxx1O
いま管理サイドは何やっているんだろうか?

みんなお昼寝してますかね。

こういう時になんでキツネさん出てこないんだろう。2ch嫌いになったのかな、
2006/04/09(日) 16:46:31ID:evsB0itv0
深夜に●焼きまくったりしてましたし
というか、特に緊急ですることないんじゃないかな・・・
2006/04/09(日) 16:55:28ID:tetZ2rHR0
リアルでなんかやってたりして
2006/04/09(日) 16:58:08ID:KETjj1CO0
すすきのでおねえちゃんに振られた

イオナズンで更にストレス

2ch証券で遊ぼうか

ν速でアホが居るとタレこみ

焼き祭り発生
2006/04/09(日) 17:04:52ID:7Y2/+37V0
イオナズン対策にBe導入て効果あり?
2006/04/09(日) 17:12:10ID:3gL0p+pYO
beの入ってる板に撃ってみれば?
NGNG
今喜多ザンギエフ
2006/04/09(日) 17:21:02ID:KETjj1CO0
( ´д)ヒソ(´д`)ヒソ(д` )
2006/04/09(日) 17:29:42ID:pOC6El700
>>438
ttp://sv2ch.baila6.jp/chk_proxy.cgi
これ、DSBLだったら診断結果を表示させないってどうよ?
2006/04/09(日) 17:57:57ID:b2+ci5Zs0
前スレで一覧にのってたからやっぱりそうか
2006/04/09(日) 18:09:31ID:???0
追加で焼く必要ありますかー?
2006/04/09(日) 18:16:22ID:pOC6El700
>>441
そのホスト
http://tmp6.2ch.net/test/read.cgi/kitchen/1143211310/98 2006/04/08 21:37:13 ID:O0oh7vS8
asf-cable.c-able.ne.jp 80 既定

でも・・・
2006/04/09(日) 18:34:38ID:dTMPAlWb0
今北産業超乗遅課・・・orz
とりあえず検体確保次第各所に連行します。
2006/04/09(日) 18:35:39ID:pOC6El700
>>444
遅い。
2006/04/09(日) 18:43:44ID:xDjm5dwY0
>>436
書き込み出来ないだけで、書き込みしようとする動作は全て行うから負荷軽減にはならないと思われ。
2006/04/09(日) 19:05:56ID:G0Eiefv/0
>>444
あ、漏れが上げた検体もう消しちゃったよ(´・ω・`)
2006/04/09(日) 19:20:26ID:b2+ci5Zs0
>>337
俺じゃないぞ。グローバルIP取ろうかな・・・
2006/04/09(日) 19:21:19ID:b2+ci5Zs0
>>377に訂正
2006/04/09(日) 19:21:29ID:azCL6P1Y0
>>444
オイラ>>447が上げてくれたやつ、まだもってる('A`)
あぷろだとかメアドとか、指定してくれたら送るよ
2006/04/09(日) 19:24:22ID:dTMPAlWb0
>>447,450
thx。
うpろだはヤバそうなので目欄にすまんが送ってくれない?

で、keygenのサンプル3つTrendMicroに送付した。
2006/04/09(日) 19:37:25ID:b2+ci5Zs0
>448-449
ウイルスに引っかかっているのは2chを殆ど見ない香具師のような希ガス。

当然このスレを見て対策を取るなんて事も期待できないだろうなぁ……
2006/04/09(日) 19:40:30ID:azCL6P1Y0
>>451
送ったよ('A`)ノよろしくです
2006/04/09(日) 22:33:19ID:SnNPEpCv0
ナニ、この静けさは・・・

もしかすて対策完了?

2006/04/09(日) 22:35:26ID:wmRm4nlm0
いや、この静けさは放(ry
2006/04/09(日) 22:37:48ID:z9QUtuAH0
ほ、……放流中?
2006/04/09(日) 22:40:32ID:+LyVFjk+0
みんなタイムマシンみてる
2006/04/09(日) 22:43:12ID:B1E/UCbb0
ガイ・ピアーズですか。
2006/04/09(日) 22:44:19ID:dTMPAlWb0
とりあえず簡易的に調べてみた。ミス大量かもしれないけど。
・実行するとC:\WINDOWS\system32とC:\WINDOWSに自身をコピー
・その際のファイル名はsystem32は"chkntsv.exe"
 WINDOWSフォルダは二種類くらい(smss.exe or csrss.exe)
・タスクマネージャから殺すのは無理(重要なシステム プロセスです。タスク マネージャは〜が表示)
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExにキーを追加
・二種類のファイル名を持っていて、二回ほど再起動すると変化?(不明)

暫定駆除方法(自己責任にてお願いします)
1.ProcessWalkerとかProcessExplorerを使って本体を終了させる
2.レジストリエディタで
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0002キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\の下にある"(既定)"以外を削除
3.本体を削除する
2006/04/09(日) 22:55:17ID:H3hwTgH/0
キタコレ!!
2006/04/09(日) 22:55:33ID:???0
掘るのありますかー?
462sage
垢版 |
2006/04/09(日) 22:56:52ID:7t8VPK6g0
変数の範囲チェックしてないけどデコーダの実装例
エンコーダも書いたけど自粛

#include <stdio.h>
int path1[] = {3,4,6,2,7,0,9,8,1,5};
int path2[] = {0,0,0,1,1,1,1,1,1,2,2};

struct keyinfo {
char *keyword;
char *start;
char *end;
};

struct keyinfo keys[]={
{"71255", NULL, NULL},
{"038701", NULL, NULL},
{"147803", NULL, NULL},
{"87634", NULL, NULL},
{"56905415", NULL, NULL},
{NULL,NULL,NULL}
};



int main()
{
char buffer[1024],*p;
int a,b,c,dest;

fgets(buffer, sizeof(buffer), stdin);
for(i = 0; keys[i].keyword!= NULL; i++){
keys[i].start = strstr(buffer,keys[i].keyword);
if(i != 0)
keys[i-1].end = keys[i].start;
keys[i].start += strlen(keys[i].keyword);
}

for(i=0; keys[i].keyword !=NULL; i++){
for(p = keys[i].start ; p < keys[i].end; p+=3){
a = path1[p[0]-0x30];
b = path1[p[1]-0x30];
c = path1[p[2]-0x30];
dest = ((path2[a] !=0)? 0 : a*100) + ((path2[a] == 2)? 0: b*10) + c;
putchar(dest);
}
printf("\n");
}
}

2006/04/09(日) 22:58:21ID:azCL6P1Y0
>>459
モツカレさまです('A`)

オイラの調べた中で今んとこいちばん詳しいのが↓なんだけど
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/1854/tr_delf.kp.html
>>459で挙げてくれた以上のことは、まだ分からないみたい>ベンダ

上記頁は、小泉ウイルスと同列で扱ってるけど・・・('A`)Sumantecは汎用名称だし
2006/04/09(日) 23:07:31ID:TftAbHa10
焼きスレから誘導されてきたんだけど・・・

(成年コミック) [雑誌] comic lo 2006年05月号(vol.26)      .exe

Norton先生では認識されない。実行してないから症状はわからないけどけどなんかの亜種?

ttp://kasamatusan.sakura.ne.jp/cgi-bin2/src/ichi31060.zip.html
パスワード:rvrv
2006/04/09(日) 23:14:33ID:GWrXi2WH0
>>464
小泉の亜種だろう。
イオナズンとは関係ない。
2006/04/09(日) 23:19:42ID:zmmLbQIW0
>>462
ソースキタ━━━━━━(゚∀゚)━━━━━━!!!
2006/04/09(日) 23:21:54ID:U4jdu8mv0
>>464
犯罪予告とかイパーイ書いてあるよなぁ@コイズミ関連
2006/04/09(日) 23:22:57ID:TftAbHa10
>>465
なんか色々あるのね・・・
報告するとしたらどのスレ?
2006/04/09(日) 23:23:45ID:IOKbcwle0
>>464
小泉を模倣した新種っぽい。vc++製。イオナズンはスレ違い。
download板のみ書き込み、見た感じもしかしたら人工無能系の機能搭載かもしれない
svchost.exeとして自身をコピーする機能が見られるがレジストリを弄る処理が見あたらない

続けるならこのへんで
P2Pを狙ったニャーム・ニュイルス解析班 Part53
ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/
ダウン板小泉ウィルス(仮称)対策室
ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/
2006/04/09(日) 23:27:43ID:TftAbHa10
>>469

解説ありがとう。

> P2Pを狙ったニャーム・ニュイルス解析班 Part53
> ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/

あ、最初に報告したスレだ・・・

> ダウン板小泉ウィルス(仮称)対策室
> ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/

こっち行ってきます。


・・・・とその前に、シマンテックとかに検体提出すべき?
2006/04/09(日) 23:28:31ID:R3yywanF0
最近ウイルスにしては変わったレスが増えてきたっけな・・・・・・
亜種多杉
2006/04/09(日) 23:29:39ID:zmmLbQIW0
>>464
なんかヤバイ文字列がイパーイあるな
アンチウイルスソフトのベンダーに送っとけ
2006/04/09(日) 23:30:03ID:azCL6P1Y0
>>470
検体はオイラ提出しときます('A`)ノ
あ、あぷろだのファイルは消しても大丈夫かもよ
2006/04/09(日) 23:31:25ID:dTMPAlWb0
>>470
確認。
実際にVMで実行させてみたが自爆(自分で自分を終了)した('A`)

さくっとTrendMicroに送信
2006/04/09(日) 23:32:02ID:7kNABm1Z0
>>470
とりあえずシマンテックには送っておいたよ
NGNG
>>464
シマンテック・キングソフト・マカフィーに送りました。

こちらのブラウザメールからavast!のほうは送れてないようです。
どなたか送ってくだちい。
2006/04/09(日) 23:35:35ID:TftAbHa10
>>465-475
みんなありがおつ。

>>475
たった今自分も送っちゃった・・・('A`)
うぷろだのは消しときます。
2006/04/09(日) 23:39:20ID:dTMPAlWb0
>>464
連レス。
VirusTotalに食わせたら全部no virus found・・・('A`)
2006/04/09(日) 23:58:25ID:LSurwLGxO
ここに来てる人ってVM持ち多いの?
2006/04/10(月) 00:02:41ID:G0Eiefv/0
あれ?Virus Total復活した?
2006/04/10(月) 00:16:13ID:eN1EuaYT0
>>480
普通に使えますよ。
混雑してるとメルアドつっこめと出てきて入力してしばらくすると結果がメールで届きます
NGNG
>>479
ビジュアルメモリのことかと思った。
2006/04/10(月) 00:31:58ID:mk+DPyQ50
>479
今、β版だけどフリーだよ。
2006/04/10(月) 01:31:58ID:2AOX0LLg0
>>470の件だけどシマンテックからTrojan.Sufiageだと返信が来たよ。
2006/04/10(月) 01:47:18ID:cljzWxXx0
節穴しなくてもsufiageになるのか・・
NGNG
>>484
やっと確認。
メールが来た時点(0:37)でftpのタイムスタンプは2006年4月9日 23:34:59
もう一度DLしたら2006年4月10日 0:48:39
2006/04/10(月) 02:14:01ID:???0
>>484-485
亜種はまあある程度は一括りしてるんじゃないですかねー。
細かく分けていくときりがないですしー、要は検出できれば
いいわけでー。
2006/04/10(月) 02:29:57ID:uYwgdfgK0
 ニュース議論板に爆撃する亜種ともどもAvastに送付しました。
 fusiana ageマルウェアとは作りが全然違うけど、シマンテックは同じ
名前でくくっちゃうんですね。水色@飛行石 ★さんのいうとおり、検出
できればいいわけでー。うんうん。

【ご参考】
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/592-601
2006/04/10(月) 07:47:35ID:eN1EuaYT0
>>474 の補足
Winsockの初期化に失敗してて自己終了してた模様。
15秒くらいでプロセスが落ちたらWinsockで落ちてます。>各位
2006/04/10(月) 08:12:55ID:ySz4jrYr0
>>489
vmware対策してるウィルスも一部あるようだ
2006/04/10(月) 08:32:59ID:gIeAkGfq0
それなら15秒もかからんだろう
2006/04/10(月) 08:37:41ID:R/Nf8/vPO
逆にそう思わせるために15秒なのかも。
2006/04/10(月) 09:19:28ID:86nzR1130
全部の板でBE導入すりゃいいのん
2006/04/10(月) 09:54:47ID:50SabZkh0
>>493
>337
>446

書き込みできなくなるだけで、アクセスは無くならない。
2006/04/10(月) 11:14:43ID:GxdEAxCq0
bbs.cgiに対するアクセスはdenyしたら?患者PC
2006/04/10(月) 11:45:10ID:3dEcrO7U0
ダウソとVIPを閉鎖しよう。
解決にはならないが被害は激減するだろうし。
2006/04/10(月) 11:45:18ID:86nzR1130
>>495
ほとんどのプロバイダーがDHCP割り当てだから
書き込めない人多数になりますよ

書き込み用cgiを別URLにすりゃいいんですけどね
もしくはログイン経由で別のcgi経由して書きコさせればいいんだけれども
書き込みできない人はこちら、みたいな。

完全にcgiを叩くものを0にするのは無理な話。
負荷を分散させるシステムを作るか、負荷を起こさせないシステム設計すべき
2006/04/10(月) 12:06:46ID:7QWxSA0gO
そういえばこのイオナズンはネット上の場所しかアクセス出来ないのかな。

ローカルファイルが可能なら画面上にそんなファイルねーよとダイアログがだせそうだが。
2006/04/10(月) 12:19:49ID:vNnQrKPo0
>>498
*.2ch.netにしか爆撃できないように内部処理してある気がする。
bbspinkには爆撃できなかったし、localhost指定でも無理だと思う。
仮に存在しないターゲットに打てても、エラー表示はしないとも思う。
2006/04/10(月) 12:21:28ID:bLI0RDnv0
>>498
バックグラウンドで動いてるソフトは致命的なエラーでも
でない限りは何もメッセージは出さないと思うが。
2006/04/10(月) 12:22:55ID:7QWxSA0gO
そっか。ありがとう。

ホントに焼くしか手がないのね。
2006/04/10(月) 12:36:36ID:DeMLSFIR0
山田オルタのドライブシュートを思い出したw
2006/04/10(月) 12:40:55ID:1DqOt6jJ0
専用のオンラインスキャンプログラムをつくってサイトに誘導するとかすればどう?
あるいは、スキャン&駆除ツールを配布するとか...

技術的なことをわかってないで書いてるけどそうすれば少しはちがうんじゃないかな?
2006/04/10(月) 12:47:01ID:y4z76Eim0
誰がつくるねん
餅は餅屋ってことで検体捜索・提供に力を注いだ方がいいっしょ
2006/04/10(月) 12:49:21ID:4g/nDb3v0
とりあえずハニーポットでも作ってみたら?
http://ex15.2ch.net/bot/ とかをでっちあげて、
そこのbbs.cgiを叩くと自動的に焼かれる仕組みを作る

で、あとは定期的にこの板への攻撃命令を出すと
2006/04/10(月) 12:49:24ID:7QWxSA0gO
IEでみれば広告と一緒に何かしら出来るかもね。
でも専ブラだとわかんないしトロイの木馬に感染していない人だけカキコ出来ればいいなぁ。

あとBeログイン必須だけどカキコしても表示しなければ匿名性は保証されるし、賛成ですん。
2006/04/10(月) 12:50:03ID:1DqOt6jJ0
>>504
なるほど、ネラーならだれかやれそうな人がいるんじゃないかとおもったんだけど。
2ch.netなら誘導できるって読んだからそうすれば一気に発動してオンラインスキャンの
ページへ呼び込み、スキャンをかけて駆除できるかなぁと思ったんだけどね。
2006/04/10(月) 13:19:52ID:???0
別に自動の仕組み作らなくてもー、fusiana可能な板に
誘導して書き込ませれば、一気に焼けますけどねー。

それで昨日は1日焼きにしてましたからー、そろそろ全て
外れてる頃かなーと思いますー。

現段階のリストに更新して(共有は抜いて)、再度焼きますかねー。
2006/04/10(月) 13:22:56ID:ySz4jrYr0
>>508
強制ふしあなの板なら何個かあるけど
ふしあな不可能な板があるの?
2006/04/10(月) 13:31:20ID:7QWxSA0gO
デフォネームがフシアナの板じゃないのん?

個人的にtasukeruyoの方が好きだなぁ。
2006/04/10(月) 13:35:42ID:L0YtEY/x0
bbs.cgiに負荷掛けたくないなら爆撃命令書いた924で
鯖のないところに誘導すればいいんじゃね?
2006/04/10(月) 13:41:52ID:7QWxSA0gO



????
なんで爆撃する必要があるんだ?

わかりましぇ〜ん
2006/04/10(月) 13:46:23ID:7QWxSA0gO
鯖がないからエラー吐く

そっから抽出

ってことか?そしたら永遠に書き込めないから返って負荷が増えそうな希ガス
2006/04/10(月) 14:13:39ID:Dx+Lg0Xr0
>>482
それも持ってる。
しかも20個w
2006/04/10(月) 15:11:36ID:He6F/LZU0
だれかイオナズンを発動させるbot本体を捕獲できたんすか?
2006/04/10(月) 15:14:35ID:7WtN3tfy0
>>505 の方法で
bbs.cgiをたたくとIEが起動して「おまえのPC、ウィルスに感染しとるでぇ」っていうhtmlを表示させることはできたりしないの?
2006/04/10(月) 15:27:58ID:4g/nDb3v0
>>516
普通に考えて無理だべ
攻撃用のスクリプトが何使ってるか知らんけど、たぶんIEコンポーネントは使ってないでしょ
PerlなりRubyなり、スクリプト言語的なもんで書き込み処理を行なわせてるだろうから
2006/04/10(月) 15:58:41ID:7WtN3tfy0
だめかー
そりゃそうだよなぁ 外部からアプリケーション起動できちゃったら
セキュリティ上問題あるもんなぁ
2006/04/10(月) 16:36:46ID:QQM/Zp210
>>462

すげーwwwwwwマジだwwwwww
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。

ニューススポーツなんでも実況