【春雷】　イオナズン対策スレッド Part3

**root▲ ★** · NG

次スレですよ。

前スレ:
【春雷】　イオナズン対策スレッド2
http://qb5.2ch.net/test/read.cgi/sec2chd/1144508679/

**名無しの報告** · 2006/04/09(日) 22:58:21

>>459
モツカレさまです('A`)

ｵｲﾗの調べた中で今んとこいちばん詳しいのが↓なんだけど
ttp://www.avira.com/jp/threats/section/fulldetails/id_vir/1854/tr_delf.kp.html
>>459で挙げてくれた以上のことは、まだ分からないみたい＞ベンダ

上記頁は、小泉ウイルスと同列で扱ってるけど・・・('A`)Sumantecは汎用名称だし

**名無しの報告** · 2006/04/09(日) 23:07:31

焼きスレから誘導されてきたんだけど・・・

(成年コミック) [雑誌] comic lo 2006年05月号(vol.26)　　　　　　.exe

Norton先生では認識されない。実行してないから症状はわからないけどけどなんかの亜種?

ttp://kasamatusan.sakura.ne.jp/cgi-bin2/src/ichi31060.zip.html
パスワード：rvrv

**名無しの報告** · 2006/04/09(日) 23:14:33

>>464
小泉の亜種だろう。
イオナズンとは関係ない。

**名無しの報告** · 2006/04/09(日) 23:19:42

>>462
ソースｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!

◆TWARamEjuA · 2006/04/09(日) 23:21:54

>>464
犯罪予告とかｲﾊﾟｰｲ書いてあるよなぁ＠コイズミ関連

**名無しの報告** · 2006/04/09(日) 23:22:57

>>465
なんか色々あるのね・・・
報告するとしたらどのスレ?

**名無しの報告** · 2006/04/09(日) 23:23:45

>>464
小泉を模倣した新種っぽい。vc++製。イオナズンはスレ違い。
download板のみ書き込み、見た感じもしかしたら人工無能系の機能搭載かもしれない
svchost.exeとして自身をコピーする機能が見られるがレジストリを弄る処理が見あたらない

続けるならこのへんで
P2Pを狙ったニャーム・ニュイルス解析班 Part53
ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/
ダウン板小泉ウィルス（仮称）対策室
ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/

**名無しの報告** · 2006/04/09(日) 23:27:43

>>469

解説ありがとう。

> P2Pを狙ったニャーム・ニュイルス解析班 Part53
> ttp://tmp6.2ch.net/test/read.cgi/download/1143224133/

あ、最初に報告したスレだ・・・

> ダウン板小泉ウィルス（仮称）対策室
> ttp://aa5.2ch.net/test/read.cgi/nanmin/1142776192/

こっち行ってきます。

・・・・とその前に、シマンテックとかに検体提出すべき?

**名無しの報告** · 2006/04/09(日) 23:28:31

最近ウイルスにしては変わったレスが増えてきたっけな・・・・・・
亜種多杉

**名無しの報告** · 2006/04/09(日) 23:29:39

>>464
なんかヤバイ文字列がｲﾊﾟｰｲあるな
アンチウイルスソフトのベンダーに送っとけ

**名無しの報告** · 2006/04/09(日) 23:30:03

>>470
検体はｵｲﾗ提出しときます('A`)ﾉ
あ、あぷろだのファイルは消しても大丈夫かもよ

**某所の人** ◆Y39/vakKjY · 2006/04/09(日) 23:31:25

>>470
確認。
実際にVMで実行させてみたが自爆(自分で自分を終了)した('A`)

さくっとTrendMicroに送信

**名無しの報告** · 2006/04/09(日) 23:32:02

>>470
とりあえずシマンテックには送っておいたよ

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>464
シマンテック・キングソフト・マカフィーに送りました。

こちらのブラウザメールからavast!のほうは送れてないようです。
どなたか送ってくだちい。

**名無しの報告** · 2006/04/09(日) 23:35:35

>>465-475
みんなありがおつ。

>>475
たった今自分も送っちゃった・・・('A`)
うぷろだのは消しときます。

**某所の人** ◆Y39/vakKjY · 2006/04/09(日) 23:39:20

>>464
連レス。
VirusTotalに食わせたら全部no virus found・・・('A`)

**名無しの報告** · 2006/04/09(日) 23:58:25

ここに来てる人ってVM持ち多いの？

**名無しの報告** · 2006/04/10(月) 00:02:41

あれ？Virus Total復活した？

**某所の人** ◆Y39/vakKjY · 2006/04/10(月) 00:16:13

>>480
普通に使えますよ。
混雑してるとメルアドつっこめと出てきて入力してしばらくすると結果がメールで届きます

**arc** ◆arc/U573Xw · NG

>>479
ビジュアルメモリのことかと思った。

**名無しの報告** · 2006/04/10(月) 00:31:58

>479
今、β版だけどフリーだよ。

**名無しの報告** · 2006/04/10(月) 01:31:58

>>470の件だけどシマンテックからTrojan.Sufiageだと返信が来たよ。

**名無しの報告** · 2006/04/10(月) 01:47:18

節穴しなくてもsufiageになるのか・・

**ｃ⌒っミ｀Д)っφ** ◆CaKkuEV3EI · NG

>>484
やっと確認。
メールが来た時点（0:37）でftpのタイムスタンプは2006年4月9日 23:34:59
もう一度DLしたら2006年4月10日 0:48:39

**水色＠飛行石 ★** · 2006/04/10(月) 02:14:01

>>484-485
亜種はまあある程度は一括りしてるんじゃないですかねー。
細かく分けていくときりがないですしー、要は検出できれば
いいわけでー。

**名無しの報告** · 2006/04/10(月) 02:29:57

　ニュース議論板に爆撃する亜種ともどもAvastに送付しました。
　fusiana ageマルウェアとは作りが全然違うけど、シマンテックは同じ
名前でくくっちゃうんですね。水色＠飛行石 ★さんのいうとおり、検出
できればいいわけでー。うんうん。

【ご参考】
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/592-601

**某所の人** ◆Y39/vakKjY · 2006/04/10(月) 07:47:35

>>474 の補足
Winsockの初期化に失敗してて自己終了してた模様。
15秒くらいでプロセスが落ちたらWinsockで落ちてます。＞各位

**名無しの報告** · 2006/04/10(月) 08:12:55

>>489
vmware対策してるウィルスも一部あるようだ

**名無しの報告** · 2006/04/10(月) 08:32:59

それなら15秒もかからんだろう

**名無しの報告** · 2006/04/10(月) 08:37:41

逆にそう思わせるために１５秒なのかも。

**名無しの報告** · 2006/04/10(月) 09:19:28

全部の板でBE導入すりゃいいのん

**名無しの報告** · 2006/04/10(月) 09:54:47

>>493
>337
>446

書き込みできなくなるだけで、アクセスは無くならない。

**名無しの報告** · 2006/04/10(月) 11:14:43

bbs.cgiに対するアクセスはdenyしたら？患者PC

**名無しの報告** · 2006/04/10(月) 11:45:10

ダウソとVIPを閉鎖しよう。
解決にはならないが被害は激減するだろうし。

**名無しの報告** · 2006/04/10(月) 11:45:18

>>495
ほとんどのプロバイダーがDHCP割り当てだから
書き込めない人多数になりますよ

書き込み用cgiを別URLにすりゃいいんですけどね
もしくはログイン経由で別のcgi経由して書きコさせればいいんだけれども
書き込みできない人はこちら、みたいな。

完全にcgiを叩くものを0にするのは無理な話。
負荷を分散させるシステムを作るか、負荷を起こさせないシステム設計すべき

**名無しの報告** · 2006/04/10(月) 12:06:46

そういえばこのイオナズンはネット上の場所しかアクセス出来ないのかな。

ローカルファイルが可能なら画面上にそんなファイルねーよとダイアログがだせそうだが。

**名無しの報告** · 2006/04/10(月) 12:19:49

>>498
*.2ch.netにしか爆撃できないように内部処理してある気がする。
bbspinkには爆撃できなかったし、localhost指定でも無理だと思う。
仮に存在しないターゲットに打てても、エラー表示はしないとも思う。

**名無しの報告** · 2006/04/10(月) 12:21:28

>>498
バックグラウンドで動いてるソフトは致命的なエラーでも
でない限りは何もメッセージは出さないと思うが。

**名無しの報告** · 2006/04/10(月) 12:22:55

そっか。ありがとう。

ホントに焼くしか手がないのね。

**名無しの報告** · 2006/04/10(月) 12:36:36

山田オルタのドライブシュートを思い出したｗ

**名無しの報告** · 2006/04/10(月) 12:40:55

専用のオンラインスキャンプログラムをつくってサイトに誘導するとかすればどう？
あるいは、スキャン＆駆除ツールを配布するとか...

技術的なことをわかってないで書いてるけどそうすれば少しはちがうんじゃないかな？

**名無しの報告** · 2006/04/10(月) 12:47:01

誰がつくるねん
餅は餅屋ってことで検体捜索・提供に力を注いだ方がいいっしょ

**名無しの報告** · 2006/04/10(月) 12:49:21

とりあえずハニーポットでも作ってみたら？
http://ex15.2ch.net/bot/ とかをでっちあげて、
そこのbbs.cgiを叩くと自動的に焼かれる仕組みを作る

で、あとは定期的にこの板への攻撃命令を出すと

**名無しの報告** · 2006/04/10(月) 12:49:24

IEでみれば広告と一緒に何かしら出来るかもね。
でも専ブラだとわかんないしトロイの木馬に感染していない人だけカキコ出来ればいいなぁ。

あとBeログイン必須だけどカキコしても表示しなければ匿名性は保証されるし、賛成ですん。

**名無しの報告** · 2006/04/10(月) 12:50:03

>>504
なるほど、ネラーならだれかやれそうな人がいるんじゃないかとおもったんだけど。
2ch.netなら誘導できるって読んだからそうすれば一気に発動してオンラインスキャンの
ページへ呼び込み、スキャンをかけて駆除できるかなぁと思ったんだけどね。

**水色＠飛行石 ★** · 2006/04/10(月) 13:19:52

別に自動の仕組み作らなくてもー、fusiana可能な板に
誘導して書き込ませれば、一気に焼けますけどねー。

それで昨日は1日焼きにしてましたからー、そろそろ全て
外れてる頃かなーと思いますー。

現段階のリストに更新して（共有は抜いて）、再度焼きますかねー。

**名無しの報告** · 2006/04/10(月) 13:22:56

>>508
強制ふしあなの板なら何個かあるけど
ふしあな不可能な板があるの？

**名無しの報告** · 2006/04/10(月) 13:31:20

デフォネームがフシアナの板じゃないのん？

個人的にtasukeruyoの方が好きだなぁ。

**名無しの報告** · 2006/04/10(月) 13:35:42

bbs.cgiに負荷掛けたくないなら爆撃命令書いた924で
鯖のないところに誘導すればいいんじゃね？

**名無しの報告** · 2006/04/10(月) 13:41:52

？

？？？？
なんで爆撃する必要があるんだ？

わかりましぇ～ん

**名無しの報告** · 2006/04/10(月) 13:46:23

鯖がないからエラー吐く
↓
そっから抽出

ってことか？そしたら永遠に書き込めないから返って負荷が増えそうな希ガス

**名無しの報告** · 2006/04/10(月) 14:13:39

>>482
それも持ってる。
しかも２０個ｗ

**名無しの報告** · 2006/04/10(月) 15:11:36

だれかイオナズンを発動させるbot本体を捕獲できたんすか？

**外野ｧｧﾝ** · 2006/04/10(月) 15:14:35

>>505 の方法で
bbs.cgiをたたくとIEが起動して「おまえのPC、ウィルスに感染しとるでぇ」っていうhtmlを表示させることはできたりしないの？

**名無しの報告** · 2006/04/10(月) 15:27:58

>>516
普通に考えて無理だべ
攻撃用のスクリプトが何使ってるか知らんけど、たぶんIEコンポーネントは使ってないでしょ
PerlなりRubyなり、スクリプト言語的なもんで書き込み処理を行なわせてるだろうから

**外野ｧｧﾝ** · 2006/04/10(月) 15:58:41

だめかー
そりゃそうだよなぁ　外部からアプリケーション起動できちゃったら
セキュリティ上問題あるもんなぁ

**名無しの報告** · 2006/04/10(月) 16:36:46

>>462
乙
すげーｗｗｗｗｗｗマジだｗｗｗｗｗｗ

**名無しの報告** · 2006/04/10(月) 18:00:13

感染者に外部から積極的に連絡を取る方法はないと考えて良いよ。
プロバイダの協力があれば別だけど。

実は何人か連絡とる方法のある人がいたんでコンタクトを試みたのよ。
２日経つけど何の反応もないのよね。
そういう人なんだよ。感染してる人って。

**名無しの報告** · 2006/04/10(月) 19:21:43

偽bbs.cgi用意して、データ送信すると書き込み成功の画面返すけど結果をスレに反映させないなんてことしたらどうなるんだろう。
BOTは永久にその架空スレを攻撃し続けるのかな？

★偽bbs.cgiのソース★
<html lang="ja">
<head>
<title>書きこみました。</title>
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">
<meta content=5;URL=../pcqa/index.html http-equiv=refresh>
</head>
<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
</body>
</html>

勘違いして攻撃し続けるなら、他のイオナズンを阻止できるけど。

**名無しの報告** · 2006/04/10(月) 19:24:44

別にメッセージなんざ見ちゃいないだろう

**名無しの報告** · 2006/04/10(月) 19:33:46

>>552
<title>書きこみました。</title>

<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
この辺は必要

**名無しの報告** · 2006/04/10(月) 19:34:11

命令一回で一回書き込みを試みる、だと思う。
仮に延々と攻撃し続けるようになったら今度はDoSアタックとしての効果が出るな。
あの数だと。

**名無しの報告** · 2006/04/10(月) 19:38:21

1000台以上ある時点で、スレをあっさり潰すから十分なんじゃね？

**名無しの報告** · 2006/04/10(月) 19:40:19

ふと思ったんですけど
イオナズンの呪文は、
A)鯖名
B)板名
C)スレ番号
D)書き込み内容

で構成されているんですよね。チェックして無いなら、たとえば
A = www.example/foo
B = tekito
C = 1234567890
D = テスト

とすると、http://www.example/foo.2ch.net/test/bbs.cgiに攻撃する予感。

**名無しの報告** · 2006/04/10(月) 19:41:10

>>526
このスレをよく読んでから書けアホ

**名無しの報告** · 2006/04/10(月) 19:44:16

アホはお前だろ。
説明できないなら失せろ。

**名無しの報告** · 2006/04/10(月) 19:45:43

>>528
仕方ないな。>>242をよんでみなさい。

**名無しの報告** · 2006/04/10(月) 19:45:44

はどうけーん

**名無しの報告** · 2006/04/10(月) 19:47:19

A = www.example/foo.2ch.net
だったらどうだろう？

**名無しの報告** · 2006/04/10(月) 19:47:34

>>526のAに2ch.netが入っていればなんでも書き込むのかな?

っていう意味じゃないの

**名無しの報告** · 2006/04/10(月) 19:49:21

ttp://www.mahoroba.ne.jp/~gonbe007/hog/shouka/harugakita.html か？

**名無しの報告** · 2006/04/10(月) 19:49:39

>>532
そういうことか。それなら2ちゃんと同じ使用のbbs.cgiがあれば書き込むだろうな。

**名無しの報告** · 2006/04/10(月) 19:50:14

>>527
だれか鯖名にｽﾗｯｼｭ入れて試した人いる？

----
まあ、使い道は自宅鯖にアクセスさせてログ取るとか、２ちゃんねる以外の鯖にDDoSさせるとか（っておい）
・・・警察にやれば間違いなくﾀｲｰﾎだろうからやらないでねｗ

**名無しの報告** · 2006/04/10(月) 19:50:29

>>534
404なURLでもF5アタックになるような。

**名無しの報告** · 2006/04/10(月) 19:50:51

qb6.2ch.net.ddns.org
なら爆撃するかも

>531
それ正引きできるのか？

**名無しの報告** · 2006/04/10(月) 19:51:39

>>537
/のあとに.2ch.netとかはできないよな。

**名無しの報告** · 2006/04/10(月) 19:55:56

詳細(たぶん)

A)鯖名 - nslookup可能なもの "/"を含んではいけない
B)板名(英数字) - 空白不可
C)スレ番号 - 10桁固定
D)書き込み内容 - 一応、制限無し

**名無しの報告** · 2006/04/10(月) 19:57:39

>>537
正引きできる必要があるのね。

でだ、それってDDNSサービスでワイルドカード使ってて
2ch互換の板を使ってる場合は打てるかもって事だよね。

**名無しの報告** · 2006/04/10(月) 19:57:41

>>537
正引きしてからIPアドレスで攻撃するルーチンがある？それだとダメ。

>>531
キーワードは2ch.net込みか

**名無しの報告** · 2006/04/10(月) 20:00:00

A : localhost

いやなんでもない

**名無しの報告** · 2006/04/10(月) 20:02:21

>>542
正引きしてチェックだとNGだけど
localhost/2ch.netなら出来るかもしれない。

自分自身に3分毎に砲撃しても効果はいまひとつだろうけど

**名無しの報告** · 2006/04/10(月) 20:09:38

・・・良く考えたら、URL生成してからアクセスするルーチンじゃないとだめか
www.example/foo.2ch.net　に対するソケット作ったらアクセスできないなorz

エラー出して止まったら丁度いいけどｗ

**名無しの報告** · 2006/04/10(月) 20:44:34

あんまりアホアホ言ったりこの際閉鎖しようとか言うと、
傍から見ると犯人に見えたりするから注意だ。
別に掘られても問題ない人間ならいいが

**名無しの報告** · 2006/04/10(月) 20:47:18

【今日の言葉】

　　「あほあほ閉鎖」

**名無しの報告** · 2006/04/10(月) 20:54:28

俺の肛門はあまりにもアホアホなのでこの際閉鎖しようかと思う

**名無しの報告** · 2006/04/10(月) 20:59:16

>>545
でも、こうなる事は予想はできたけどな。
ここ数年、あまりにも外部に迷惑をかけ恨みを買い過ぎた。
いつかその矛先が逆に2chに向く、ありえない話じゃなかったからな。

俺は今回の件は単体の事例じゃなくて、
今後何度も起きる大規模荒らしの前兆だと思ってる。

**名無しの報告** · 2006/04/10(月) 21:07:32

ん？犯行予告？

きたらみんなで解析するの面白いお。

**名無しの報告** · 2006/04/10(月) 21:17:00

>>548
ちなみに、まだひろゆきは警察に通報するというカードは切ってないね。
明らかな、２ちゃんねるに対する妨害行為だから捕まれば懲役刑もありうるんだけど

串アクセスでも米国の串使ってたら作者は死亡ほぼ確定。米国は串のログ取らないといけない法律があるから、その気になれば掘れる。

**名無しの報告** · 2006/04/10(月) 22:23:42

>>550
ビンゴ
2，3番目が雨串だった。
OrgName: Comcast Cable Communications, Inc.
Country: US
(長すぎると言われたんで名前欄と本文省略。前スレより)
＞13 ：田吾作 ★ ：2006/04/09(日) 00:08:25 ID:???0 ?#
＞>>3
＞<><>2006/04/08(土) 23:58:41.96 SiERaLyW0<><>. exe<>61-60-21-226.HINET-IP.hinet.net<>61.60.21.226<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
＞<><>2006/04/09(日) 00:02:30.12 uI2XbFoZ0<><><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)
＞<>sage<>2006/04/09(日) 00:03:09.21 uI2XbFoZ0<><><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)

**名無しの報告** · 2006/04/10(月) 22:28:30

>>550
米国は串のログ取らないといけない法律がある
これはいいけど
米国は串のログ取らないといけない法律がある = 串のログが入手可能ではない

**名無しの報告** · 2006/04/10(月) 22:30:45

発信元は特定出来るともうけど、作者はどうやってさがすのでしょ？

**名無しの報告** · 2006/04/10(月) 22:58:37

ま、そこから先は捜査権が無いとね
逆に言えば、捜査権さえあれば罪名なんていくらでもでっちあげられることは
Winny作者の逮捕で証明済みなわけで

**名無しの報告** · 2006/04/10(月) 23:05:50

>>553
殴って吐かせんじゃねーの、やっぱ

**水色＠飛行石 ★** · 2006/04/10(月) 23:16:39

捜査権はどうやったら発生するんですかー？

**名無しの報告** · 2006/04/10(月) 23:18:10

>>555
えいっ！このっ！糞ルーターがっ！
さっさとっ！作者をっ！吐きやがれっ！

**名無しの報告** · 2006/04/10(月) 23:19:14

まず捜査令状が裁判所から出ないと取り調べできない。
PC押収して不起訴とかなると警察の恥だから現状では発信元が分かっても証拠がなくて無理。

**名無しの報告** · 2006/04/10(月) 23:54:34

>>558
なんで証拠がないの？

**名無しの報告** · 2006/04/11(火) 00:17:55

ちょっｗｗｗ

＞ttp://espio.air-nifty.com/
＞意外にあっさり開示するのねｗ

**水色＠飛行石 ★** · 2006/04/11(火) 00:25:51

>>558
その前に被害届がいるんじゃないですかー？

でー、届けを管理人さんが出すと思いますかー？

**名無しの報告** · 2006/04/11(火) 00:29:19

誰かわざと自分のPCをゾンビにして被害届けだせよ

【春雷】 イオナズン対策スレッド Part3

【春雷】　イオナズン対策スレッド Part3