【春雷】 イオナズン対策スレッド Part3
■ このスレッドは過去ログ倉庫に格納されています
>>441
そのホスト
http://tmp6.2ch.net/test/read.cgi/kitchen/1143211310/98 2006/04/08 21:37:13 ID:O0oh7vS8
asf-cable.c-able.ne.jp 80 既定
でも・・・ 今北産業超乗遅課・・・orz
とりあえず検体確保次第各所に連行します。 >>436
書き込み出来ないだけで、書き込みしようとする動作は全て行うから負荷軽減にはならないと思われ。 >>444
あ、漏れが上げた検体もう消しちゃったよ(´・ω・`) >>337
俺じゃないぞ。グローバルIP取ろうかな・・・ >>444
オイラ>>447が上げてくれたやつ、まだもってる('A`)
あぷろだとかメアドとか、指定してくれたら送るよ >>447,450
thx。
うpろだはヤバそうなので目欄にすまんが送ってくれない?
で、keygenのサンプル3つTrendMicroに送付した。 >448-449
ウイルスに引っかかっているのは2chを殆ど見ない香具師のような希ガス。
当然このスレを見て対策を取るなんて事も期待できないだろうなぁ…… とりあえず簡易的に調べてみた。ミス大量かもしれないけど。
・実行するとC:\WINDOWS\system32とC:\WINDOWSに自身をコピー
・その際のファイル名はsystem32は"chkntsv.exe"
WINDOWSフォルダは二種類くらい(smss.exe or csrss.exe)
・タスクマネージャから殺すのは無理(重要なシステム プロセスです。タスク マネージャは〜が表示)
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExにキーを追加
・二種類のファイル名を持っていて、二回ほど再起動すると変化?(不明)
暫定駆除方法(自己責任にてお願いします)
1.ProcessWalkerとかProcessExplorerを使って本体を終了させる
2.レジストリエディタで
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0002キーと
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\の下にある"(既定)"以外を削除
3.本体を削除する 変数の範囲チェックしてないけどデコーダの実装例
エンコーダも書いたけど自粛
#include <stdio.h>
int path1[] = {3,4,6,2,7,0,9,8,1,5};
int path2[] = {0,0,0,1,1,1,1,1,1,2,2};
struct keyinfo {
char *keyword;
char *start;
char *end;
};
struct keyinfo keys[]={
{"71255", NULL, NULL},
{"038701", NULL, NULL},
{"147803", NULL, NULL},
{"87634", NULL, NULL},
{"56905415", NULL, NULL},
{NULL,NULL,NULL}
};
int main()
{
char buffer[1024],*p;
int a,b,c,dest;
fgets(buffer, sizeof(buffer), stdin);
for(i = 0; keys[i].keyword!= NULL; i++){
keys[i].start = strstr(buffer,keys[i].keyword);
if(i != 0)
keys[i-1].end = keys[i].start;
keys[i].start += strlen(keys[i].keyword);
}
for(i=0; keys[i].keyword !=NULL; i++){
for(p = keys[i].start ; p < keys[i].end; p+=3){
a = path1[p[0]-0x30];
b = path1[p[1]-0x30];
c = path1[p[2]-0x30];
dest = ((path2[a] !=0)? 0 : a*100) + ((path2[a] == 2)? 0: b*10) + c;
putchar(dest);
}
printf("\n");
}
}
>>459
モツカレさまです('A`)
オイラの調べた中で今んとこいちばん詳しいのが↓なんだけど
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/1854/tr_delf.kp.html
>>459で挙げてくれた以上のことは、まだ分からないみたい>ベンダ
上記頁は、小泉ウイルスと同列で扱ってるけど・・・('A`)Sumantecは汎用名称だし
焼きスレから誘導されてきたんだけど・・・
(成年コミック) [雑誌] comic lo 2006年05月号(vol.26) .exe
Norton先生では認識されない。実行してないから症状はわからないけどけどなんかの亜種?
ttp://kasamatusan.sakura.ne.jp/cgi-bin2/src/ichi31060.zip.html
パスワード:rvrv >>464
小泉の亜種だろう。
イオナズンとは関係ない。 >>462
ソースキタ━━━━━━(゚∀゚)━━━━━━!!! >>464
犯罪予告とかイパーイ書いてあるよなぁ@コイズミ関連 >>465
なんか色々あるのね・・・
報告するとしたらどのスレ? >>464
小泉を模倣した新種っぽい。vc++製。イオナズンはスレ違い。
download板のみ書き込み、見た感じもしかしたら人工無能系の機能搭載かもしれない
svchost.exeとして自身をコピーする機能が見られるがレジストリを弄る処理が見あたらない
続けるならこのへんで
P2Pを狙ったニャーム・ニュイルス解析班 Part53
ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/
ダウン板小泉ウィルス(仮称)対策室
ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/ >>469
解説ありがとう。
> P2Pを狙ったニャーム・ニュイルス解析班 Part53
> ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/
あ、最初に報告したスレだ・・・
> ダウン板小泉ウィルス(仮称)対策室
> ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/
こっち行ってきます。
・・・・とその前に、シマンテックとかに検体提出すべき? 最近ウイルスにしては変わったレスが増えてきたっけな・・・・・・
亜種多杉 >>464
なんかヤバイ文字列がイパーイあるな
アンチウイルスソフトのベンダーに送っとけ >>470
検体はオイラ提出しときます('A`)ノ
あ、あぷろだのファイルは消しても大丈夫かもよ >>470
確認。
実際にVMで実行させてみたが自爆(自分で自分を終了)した('A`)
さくっとTrendMicroに送信 >>470
とりあえずシマンテックには送っておいたよ >>464
シマンテック・キングソフト・マカフィーに送りました。
こちらのブラウザメールからavast!のほうは送れてないようです。
どなたか送ってくだちい。 >>465-475
みんなありがおつ。
>>475
たった今自分も送っちゃった・・・('A`)
うぷろだのは消しときます。 >>464
連レス。
VirusTotalに食わせたら全部no virus found・・・('A`) >>480
普通に使えますよ。
混雑してるとメルアドつっこめと出てきて入力してしばらくすると結果がメールで届きます >>470の件だけどシマンテックからTrojan.Sufiageだと返信が来たよ。
>>484
やっと確認。
メールが来た時点(0:37)でftpのタイムスタンプは2006年4月9日 23:34:59
もう一度DLしたら2006年4月10日 0:48:39 >>484-485
亜種はまあある程度は一括りしてるんじゃないですかねー。
細かく分けていくときりがないですしー、要は検出できれば
いいわけでー。 ニュース議論板に爆撃する亜種ともどもAvastに送付しました。
fusiana ageマルウェアとは作りが全然違うけど、シマンテックは同じ
名前でくくっちゃうんですね。水色@飛行石 ★さんのいうとおり、検出
できればいいわけでー。うんうん。
【ご参考】
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/592-601
>>474 の補足
Winsockの初期化に失敗してて自己終了してた模様。
15秒くらいでプロセスが落ちたらWinsockで落ちてます。>各位
>>489
vmware対策してるウィルスも一部あるようだ >>493
>337
>446
書き込みできなくなるだけで、アクセスは無くならない。
bbs.cgiに対するアクセスはdenyしたら?患者PC ダウソとVIPを閉鎖しよう。
解決にはならないが被害は激減するだろうし。 >>495
ほとんどのプロバイダーがDHCP割り当てだから
書き込めない人多数になりますよ
書き込み用cgiを別URLにすりゃいいんですけどね
もしくはログイン経由で別のcgi経由して書きコさせればいいんだけれども
書き込みできない人はこちら、みたいな。
完全にcgiを叩くものを0にするのは無理な話。
負荷を分散させるシステムを作るか、負荷を起こさせないシステム設計すべき そういえばこのイオナズンはネット上の場所しかアクセス出来ないのかな。
ローカルファイルが可能なら画面上にそんなファイルねーよとダイアログがだせそうだが。 >>498
*.2ch.netにしか爆撃できないように内部処理してある気がする。
bbspinkには爆撃できなかったし、localhost指定でも無理だと思う。
仮に存在しないターゲットに打てても、エラー表示はしないとも思う。 >>498
バックグラウンドで動いてるソフトは致命的なエラーでも
でない限りは何もメッセージは出さないと思うが。 そっか。ありがとう。
ホントに焼くしか手がないのね。 専用のオンラインスキャンプログラムをつくってサイトに誘導するとかすればどう?
あるいは、スキャン&駆除ツールを配布するとか...
技術的なことをわかってないで書いてるけどそうすれば少しはちがうんじゃないかな? 誰がつくるねん
餅は餅屋ってことで検体捜索・提供に力を注いだ方がいいっしょ とりあえずハニーポットでも作ってみたら?
http://ex15.2ch.net/bot/ とかをでっちあげて、
そこのbbs.cgiを叩くと自動的に焼かれる仕組みを作る
で、あとは定期的にこの板への攻撃命令を出すと IEでみれば広告と一緒に何かしら出来るかもね。
でも専ブラだとわかんないしトロイの木馬に感染していない人だけカキコ出来ればいいなぁ。
あとBeログイン必須だけどカキコしても表示しなければ匿名性は保証されるし、賛成ですん。 >>504
なるほど、ネラーならだれかやれそうな人がいるんじゃないかとおもったんだけど。
2ch.netなら誘導できるって読んだからそうすれば一気に発動してオンラインスキャンの
ページへ呼び込み、スキャンをかけて駆除できるかなぁと思ったんだけどね。 別に自動の仕組み作らなくてもー、fusiana可能な板に
誘導して書き込ませれば、一気に焼けますけどねー。
それで昨日は1日焼きにしてましたからー、そろそろ全て
外れてる頃かなーと思いますー。
現段階のリストに更新して(共有は抜いて)、再度焼きますかねー。 >>508
強制ふしあなの板なら何個かあるけど
ふしあな不可能な板があるの? デフォネームがフシアナの板じゃないのん?
個人的にtasukeruyoの方が好きだなぁ。 bbs.cgiに負荷掛けたくないなら爆撃命令書いた924で
鯖のないところに誘導すればいいんじゃね? ?
????
なんで爆撃する必要があるんだ?
わかりましぇ〜ん 鯖がないからエラー吐く
↓
そっから抽出
ってことか?そしたら永遠に書き込めないから返って負荷が増えそうな希ガス だれかイオナズンを発動させるbot本体を捕獲できたんすか? >>505 の方法で
bbs.cgiをたたくとIEが起動して「おまえのPC、ウィルスに感染しとるでぇ」っていうhtmlを表示させることはできたりしないの? >>516
普通に考えて無理だべ
攻撃用のスクリプトが何使ってるか知らんけど、たぶんIEコンポーネントは使ってないでしょ
PerlなりRubyなり、スクリプト言語的なもんで書き込み処理を行なわせてるだろうから だめかー
そりゃそうだよなぁ 外部からアプリケーション起動できちゃったら
セキュリティ上問題あるもんなぁ >>462
乙
すげーwwwwwwマジだwwwwww 感染者に外部から積極的に連絡を取る方法はないと考えて良いよ。
プロバイダの協力があれば別だけど。
実は何人か連絡とる方法のある人がいたんでコンタクトを試みたのよ。
2日経つけど何の反応もないのよね。
そういう人なんだよ。感染してる人って。 偽bbs.cgi用意して、データ送信すると書き込み成功の画面返すけど結果をスレに反映させないなんてことしたらどうなるんだろう。
BOTは永久にその架空スレを攻撃し続けるのかな?
★偽bbs.cgiのソース★
<html lang="ja">
<head>
<title>書きこみました。</title>
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">
<meta content=5;URL=../pcqa/index.html http-equiv=refresh>
</head>
<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
</body>
</html>
勘違いして攻撃し続けるなら、他のイオナズンを阻止できるけど。 >>552
<title>書きこみました。</title>
<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
この辺は必要 命令一回で一回書き込みを試みる、だと思う。
仮に延々と攻撃し続けるようになったら今度はDoSアタックとしての効果が出るな。
あの数だと。 1000台以上ある時点で、スレをあっさり潰すから十分なんじゃね? ふと思ったんですけど
イオナズンの呪文は、
A)鯖名
B)板名
C)スレ番号
D)書き込み内容
で構成されているんですよね。チェックして無いなら、たとえば
A = www.example/foo
B = tekito
C = 1234567890
D = テスト
とすると、http://www.example/foo.2ch.net/test/bbs.cgiに攻撃する予感。 >>528
仕方ないな。>>242をよんでみなさい。 A = www.example/foo.2ch.net
だったらどうだろう? >>526のAに2ch.netが入っていればなんでも書き込むのかな?
っていう意味じゃないの ttp://www.mahoroba.ne.jp/~gonbe007/hog/shouka/harugakita.html か? >>532
そういうことか。それなら2ちゃんと同じ使用のbbs.cgiがあれば書き込むだろうな。 >>527
だれか鯖名にスラッシュ入れて試した人いる?
----
まあ、使い道は自宅鯖にアクセスさせてログ取るとか、2ちゃんねる以外の鯖にDDoSさせるとか(っておい)
・・・警察にやれば間違いなくタイーホだろうからやらないでねw >>534
404なURLでもF5アタックになるような。 qb6.2ch.net.ddns.org
なら爆撃するかも
>531
それ正引きできるのか? >>537
/のあとに.2ch.netとかはできないよな。 詳細(たぶん)
A)鯖名 - nslookup可能なもの "/"を含んではいけない
B)板名(英数字) - 空白不可
C)スレ番号 - 10桁固定
D)書き込み内容 - 一応、制限無し
>>537
正引きできる必要があるのね。
でだ、それってDDNSサービスでワイルドカード使ってて
2ch互換の板を使ってる場合は打てるかもって事だよね。 >>537
正引きしてからIPアドレスで攻撃するルーチンがある?それだとダメ。
>>531
キーワードは2ch.net込みか ■ このスレッドは過去ログ倉庫に格納されています