X


【春雷】 イオナズン対策スレッド Part3

■ このスレッドは過去ログ倉庫に格納されています
1root▲ ★
垢版 |
NGNG
次スレですよ。

前スレ:
【春雷】 イオナズン対策スレッド2
http://qb5.2ch.net/test/read.cgi/sec2chd/1144508679/
NGNG
>>464
シマンテック・キングソフト・マカフィーに送りました。

こちらのブラウザメールからavast!のほうは送れてないようです。
どなたか送ってくだちい。
2006/04/09(日) 23:35:35ID:TftAbHa10
>>465-475
みんなありがおつ。

>>475
たった今自分も送っちゃった・・・('A`)
うぷろだのは消しときます。
2006/04/09(日) 23:39:20ID:dTMPAlWb0
>>464
連レス。
VirusTotalに食わせたら全部no virus found・・・('A`)
2006/04/09(日) 23:58:25ID:LSurwLGxO
ここに来てる人ってVM持ち多いの?
2006/04/10(月) 00:02:41ID:G0Eiefv/0
あれ?Virus Total復活した?
2006/04/10(月) 00:16:13ID:eN1EuaYT0
>>480
普通に使えますよ。
混雑してるとメルアドつっこめと出てきて入力してしばらくすると結果がメールで届きます
NGNG
>>479
ビジュアルメモリのことかと思った。
2006/04/10(月) 00:31:58ID:mk+DPyQ50
>479
今、β版だけどフリーだよ。
2006/04/10(月) 01:31:58ID:2AOX0LLg0
>>470の件だけどシマンテックからTrojan.Sufiageだと返信が来たよ。
2006/04/10(月) 01:47:18ID:cljzWxXx0
節穴しなくてもsufiageになるのか・・
NGNG
>>484
やっと確認。
メールが来た時点(0:37)でftpのタイムスタンプは2006年4月9日 23:34:59
もう一度DLしたら2006年4月10日 0:48:39
2006/04/10(月) 02:14:01ID:???0
>>484-485
亜種はまあある程度は一括りしてるんじゃないですかねー。
細かく分けていくときりがないですしー、要は検出できれば
いいわけでー。
2006/04/10(月) 02:29:57ID:uYwgdfgK0
 ニュース議論板に爆撃する亜種ともどもAvastに送付しました。
 fusiana ageマルウェアとは作りが全然違うけど、シマンテックは同じ
名前でくくっちゃうんですね。水色@飛行石 ★さんのいうとおり、検出
できればいいわけでー。うんうん。

【ご参考】
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/592-601
2006/04/10(月) 07:47:35ID:eN1EuaYT0
>>474 の補足
Winsockの初期化に失敗してて自己終了してた模様。
15秒くらいでプロセスが落ちたらWinsockで落ちてます。>各位
2006/04/10(月) 08:12:55ID:ySz4jrYr0
>>489
vmware対策してるウィルスも一部あるようだ
2006/04/10(月) 08:32:59ID:gIeAkGfq0
それなら15秒もかからんだろう
2006/04/10(月) 08:37:41ID:R/Nf8/vPO
逆にそう思わせるために15秒なのかも。
2006/04/10(月) 09:19:28ID:86nzR1130
全部の板でBE導入すりゃいいのん
2006/04/10(月) 09:54:47ID:50SabZkh0
>>493
>337
>446

書き込みできなくなるだけで、アクセスは無くならない。
2006/04/10(月) 11:14:43ID:GxdEAxCq0
bbs.cgiに対するアクセスはdenyしたら?患者PC
2006/04/10(月) 11:45:10ID:3dEcrO7U0
ダウソとVIPを閉鎖しよう。
解決にはならないが被害は激減するだろうし。
2006/04/10(月) 11:45:18ID:86nzR1130
>>495
ほとんどのプロバイダーがDHCP割り当てだから
書き込めない人多数になりますよ

書き込み用cgiを別URLにすりゃいいんですけどね
もしくはログイン経由で別のcgi経由して書きコさせればいいんだけれども
書き込みできない人はこちら、みたいな。

完全にcgiを叩くものを0にするのは無理な話。
負荷を分散させるシステムを作るか、負荷を起こさせないシステム設計すべき
2006/04/10(月) 12:06:46ID:7QWxSA0gO
そういえばこのイオナズンはネット上の場所しかアクセス出来ないのかな。

ローカルファイルが可能なら画面上にそんなファイルねーよとダイアログがだせそうだが。
2006/04/10(月) 12:19:49ID:vNnQrKPo0
>>498
*.2ch.netにしか爆撃できないように内部処理してある気がする。
bbspinkには爆撃できなかったし、localhost指定でも無理だと思う。
仮に存在しないターゲットに打てても、エラー表示はしないとも思う。
2006/04/10(月) 12:21:28ID:bLI0RDnv0
>>498
バックグラウンドで動いてるソフトは致命的なエラーでも
でない限りは何もメッセージは出さないと思うが。
2006/04/10(月) 12:22:55ID:7QWxSA0gO
そっか。ありがとう。

ホントに焼くしか手がないのね。
2006/04/10(月) 12:36:36ID:DeMLSFIR0
山田オルタのドライブシュートを思い出したw
2006/04/10(月) 12:40:55ID:1DqOt6jJ0
専用のオンラインスキャンプログラムをつくってサイトに誘導するとかすればどう?
あるいは、スキャン&駆除ツールを配布するとか...

技術的なことをわかってないで書いてるけどそうすれば少しはちがうんじゃないかな?
2006/04/10(月) 12:47:01ID:y4z76Eim0
誰がつくるねん
餅は餅屋ってことで検体捜索・提供に力を注いだ方がいいっしょ
2006/04/10(月) 12:49:21ID:4g/nDb3v0
とりあえずハニーポットでも作ってみたら?
http://ex15.2ch.net/bot/ とかをでっちあげて、
そこのbbs.cgiを叩くと自動的に焼かれる仕組みを作る

で、あとは定期的にこの板への攻撃命令を出すと
2006/04/10(月) 12:49:24ID:7QWxSA0gO
IEでみれば広告と一緒に何かしら出来るかもね。
でも専ブラだとわかんないしトロイの木馬に感染していない人だけカキコ出来ればいいなぁ。

あとBeログイン必須だけどカキコしても表示しなければ匿名性は保証されるし、賛成ですん。
2006/04/10(月) 12:50:03ID:1DqOt6jJ0
>>504
なるほど、ネラーならだれかやれそうな人がいるんじゃないかとおもったんだけど。
2ch.netなら誘導できるって読んだからそうすれば一気に発動してオンラインスキャンの
ページへ呼び込み、スキャンをかけて駆除できるかなぁと思ったんだけどね。
2006/04/10(月) 13:19:52ID:???0
別に自動の仕組み作らなくてもー、fusiana可能な板に
誘導して書き込ませれば、一気に焼けますけどねー。

それで昨日は1日焼きにしてましたからー、そろそろ全て
外れてる頃かなーと思いますー。

現段階のリストに更新して(共有は抜いて)、再度焼きますかねー。
2006/04/10(月) 13:22:56ID:ySz4jrYr0
>>508
強制ふしあなの板なら何個かあるけど
ふしあな不可能な板があるの?
2006/04/10(月) 13:31:20ID:7QWxSA0gO
デフォネームがフシアナの板じゃないのん?

個人的にtasukeruyoの方が好きだなぁ。
2006/04/10(月) 13:35:42ID:L0YtEY/x0
bbs.cgiに負荷掛けたくないなら爆撃命令書いた924で
鯖のないところに誘導すればいいんじゃね?
2006/04/10(月) 13:41:52ID:7QWxSA0gO



????
なんで爆撃する必要があるんだ?

わかりましぇ〜ん
2006/04/10(月) 13:46:23ID:7QWxSA0gO
鯖がないからエラー吐く

そっから抽出

ってことか?そしたら永遠に書き込めないから返って負荷が増えそうな希ガス
2006/04/10(月) 14:13:39ID:Dx+Lg0Xr0
>>482
それも持ってる。
しかも20個w
2006/04/10(月) 15:11:36ID:He6F/LZU0
だれかイオナズンを発動させるbot本体を捕獲できたんすか?
2006/04/10(月) 15:14:35ID:7WtN3tfy0
>>505 の方法で
bbs.cgiをたたくとIEが起動して「おまえのPC、ウィルスに感染しとるでぇ」っていうhtmlを表示させることはできたりしないの?
2006/04/10(月) 15:27:58ID:4g/nDb3v0
>>516
普通に考えて無理だべ
攻撃用のスクリプトが何使ってるか知らんけど、たぶんIEコンポーネントは使ってないでしょ
PerlなりRubyなり、スクリプト言語的なもんで書き込み処理を行なわせてるだろうから
2006/04/10(月) 15:58:41ID:7WtN3tfy0
だめかー
そりゃそうだよなぁ 外部からアプリケーション起動できちゃったら
セキュリティ上問題あるもんなぁ
2006/04/10(月) 16:36:46ID:QQM/Zp210
>>462

すげーwwwwwwマジだwwwwww
2006/04/10(月) 18:00:13ID:bn/20/BB0
感染者に外部から積極的に連絡を取る方法はないと考えて良いよ。
プロバイダの協力があれば別だけど。

実は何人か連絡とる方法のある人がいたんでコンタクトを試みたのよ。
2日経つけど何の反応もないのよね。
そういう人なんだよ。感染してる人って。
521名無しの報告
垢版 |
2006/04/10(月) 19:21:43ID:GxdEAxCq0
偽bbs.cgi用意して、データ送信すると書き込み成功の画面返すけど結果をスレに反映させないなんてことしたらどうなるんだろう。
BOTは永久にその架空スレを攻撃し続けるのかな?

★偽bbs.cgiのソース★
<html lang="ja">
<head>
<title>書きこみました。</title>
<meta http-equiv="Content-Type" content="text/html; charset=shift_jis">
<meta content=5;URL=../pcqa/index.html http-equiv=refresh>
</head>
<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
</body>
</html>

勘違いして攻撃し続けるなら、他のイオナズンを阻止できるけど。
2006/04/10(月) 19:24:44ID:+9YXMBag0
別にメッセージなんざ見ちゃいないだろう
2006/04/10(月) 19:33:46ID:ySz4jrYr0
>>552
<title>書きこみました。</title>

<body>書きこみが終わりました。<br><br>
画面を切り替えるまでしばらくお待ち下さい。
この辺は必要
2006/04/10(月) 19:34:11ID:bn/20/BB0
命令一回で一回書き込みを試みる、だと思う。
仮に延々と攻撃し続けるようになったら今度はDoSアタックとしての効果が出るな。
あの数だと。
2006/04/10(月) 19:38:21ID:E8g0qbiq0
1000台以上ある時点で、スレをあっさり潰すから十分なんじゃね?
2006/04/10(月) 19:40:19ID:GxdEAxCq0
ふと思ったんですけど
イオナズンの呪文は、
A)鯖名
B)板名
C)スレ番号
D)書き込み内容

で構成されているんですよね。チェックして無いなら、たとえば
A = www.example/foo
B = tekito
C = 1234567890
D = テスト

とすると、http://www.example/foo.2ch.net/test/bbs.cgiに攻撃する予感。
2006/04/10(月) 19:41:10ID:7TLp8xpq0
>>526
このスレをよく読んでから書けアホ
2006/04/10(月) 19:44:16ID:3dEcrO7U0
アホはお前だろ。
説明できないなら失せろ。
2006/04/10(月) 19:45:43ID:7TLp8xpq0
>>528
仕方ないな。>>242をよんでみなさい。
530名無しの報告
垢版 |
2006/04/10(月) 19:45:44ID:tvgSymqp0
はどうけーん
2006/04/10(月) 19:47:19ID:bn/20/BB0
A = www.example/foo.2ch.net
だったらどうだろう?
2006/04/10(月) 19:47:34ID:7QWxSA0gO
>>526のAに2ch.netが入っていればなんでも書き込むのかな?

っていう意味じゃないの
2006/04/10(月) 19:49:21ID:2HMgN2MGP
ttp://www.mahoroba.ne.jp/~gonbe007/hog/shouka/harugakita.html か?
2006/04/10(月) 19:49:39ID:7TLp8xpq0
>>532
そういうことか。それなら2ちゃんと同じ使用のbbs.cgiがあれば書き込むだろうな。
2006/04/10(月) 19:50:14ID:GxdEAxCq0
>>527
だれか鯖名にスラッシュ入れて試した人いる?


----
まあ、使い道は自宅鯖にアクセスさせてログ取るとか、2ちゃんねる以外の鯖にDDoSさせるとか(っておい)
・・・警察にやれば間違いなくタイーホだろうからやらないでねw
2006/04/10(月) 19:50:29ID:OAxb1dJB0
>>534
404なURLでもF5アタックになるような。
2006/04/10(月) 19:50:51ID:ySz4jrYr0
qb6.2ch.net.ddns.org
なら爆撃するかも

>531
それ正引きできるのか?
538名無しの報告
垢版 |
2006/04/10(月) 19:51:39ID:7TLp8xpq0
>>537
/のあとに.2ch.netとかはできないよな。
2006/04/10(月) 19:55:56ID:ySz4jrYr0
詳細(たぶん)

A)鯖名 - nslookup可能なもの "/"を含んではいけない
B)板名(英数字) - 空白不可
C)スレ番号 - 10桁固定
D)書き込み内容 - 一応、制限無し
2006/04/10(月) 19:57:39ID:bn/20/BB0
>>537
正引きできる必要があるのね。

でだ、それってDDNSサービスでワイルドカード使ってて
2ch互換の板を使ってる場合は打てるかもって事だよね。
2006/04/10(月) 19:57:41ID:GxdEAxCq0
>>537
正引きしてからIPアドレスで攻撃するルーチンがある?それだとダメ。

>>531
キーワードは2ch.net込みか
2006/04/10(月) 20:00:00ID:ioeBEcgY0
A : localhost

いやなんでもない
2006/04/10(月) 20:02:21ID:GxdEAxCq0
>>542
正引きしてチェックだとNGだけど
localhost/2ch.netなら出来るかもしれない。

自分自身に3分毎に砲撃しても効果はいまひとつだろうけど
2006/04/10(月) 20:09:38ID:GxdEAxCq0
・・・良く考えたら、URL生成してからアクセスするルーチンじゃないとだめか
www.example/foo.2ch.net に対するソケット作ったらアクセスできないなorz

エラー出して止まったら丁度いいけどw
2006/04/10(月) 20:44:34ID:Bv0CVdbm0
あんまりアホアホ言ったりこの際閉鎖しようとか言うと、
傍から見ると犯人に見えたりするから注意だ。
別に掘られても問題ない人間ならいいが
2006/04/10(月) 20:47:18ID:bLI0RDnv0
【今日の言葉】

  「あほあほ閉鎖」

2006/04/10(月) 20:54:28ID:GtXvHJux0
俺の肛門はあまりにもアホアホなのでこの際閉鎖しようかと思う
2006/04/10(月) 20:59:16ID:3dEcrO7U0
>>545
でも、こうなる事は予想はできたけどな。
ここ数年、あまりにも外部に迷惑をかけ恨みを買い過ぎた。
いつかその矛先が逆に2chに向く、ありえない話じゃなかったからな。

俺は今回の件は単体の事例じゃなくて、
今後何度も起きる大規模荒らしの前兆だと思ってる。
2006/04/10(月) 21:07:32ID:7QWxSA0gO
ん?犯行予告?

きたらみんなで解析するの面白いお。
2006/04/10(月) 21:17:00ID:GxdEAxCq0
>>548
ちなみに、まだひろゆきは警察に通報するというカードは切ってないね。
明らかな、2ちゃんねるに対する妨害行為だから捕まれば懲役刑もありうるんだけど

串アクセスでも米国の串使ってたら作者は死亡ほぼ確定。米国は串のログ取らないといけない法律があるから、その気になれば掘れる。
2006/04/10(月) 22:23:42ID:Xqx79ODb0
>>550
ビンゴ
2,3番目が雨串だった。
OrgName: Comcast Cable Communications, Inc.
Country: US
(長すぎると言われたんで名前欄と本文省略。前スレより)
>13 :田吾作 ★ :2006/04/09(日) 00:08:25 ID:???0 ?#
>>3
><><>2006/04/08(土) 23:58:41.96 SiERaLyW0<><>. exe<>61-60-21-226.HINET-IP.hinet.net<>61.60.21.226<> ( )<>Monazilla/1.00 (JaneStyle/2.23)
><><>2006/04/09(日) 00:02:30.12 uI2XbFoZ0<><><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)
><>sage<>2006/04/09(日) 00:03:09.21 uI2XbFoZ0<><><>CDN-CE-INFLOW-T1-01.inflow.pa.bo.comcast.net<>68.87.64.117<><>Monazilla/1.00 (JaneStyle/2.23)
2006/04/10(月) 22:28:30ID:ySz4jrYr0
>>550
米国は串のログ取らないといけない法律がある
これはいいけど
米国は串のログ取らないといけない法律がある = 串のログが入手可能 ではない
2006/04/10(月) 22:30:45ID:0WMtbVRE0
発信元は特定出来るともうけど、作者はどうやってさがすのでしょ?
2006/04/10(月) 22:58:37ID:4g/nDb3v0
ま、そこから先は捜査権が無いとね
逆に言えば、捜査権さえあれば罪名なんていくらでもでっちあげられることは
Winny作者の逮捕で証明済みなわけで
2006/04/10(月) 23:05:50ID:rFgW3dgd0
>>553
殴って吐かせんじゃねーの、やっぱ
2006/04/10(月) 23:16:39ID:???0
捜査権はどうやったら発生するんですかー?
2006/04/10(月) 23:18:10ID:Xqx79ODb0
>>555
えいっ!このっ!糞ルーターがっ!
さっさとっ!作者をっ!吐きやがれっ!
2006/04/10(月) 23:19:14ID:7TLp8xpq0
まず捜査令状が裁判所から出ないと取り調べできない。
PC押収して不起訴とかなると警察の恥だから現状では発信元が分かっても証拠がなくて無理。
2006/04/10(月) 23:54:34ID:f7GO6gSj0
>>558
なんで証拠がないの?
2006/04/11(火) 00:17:55ID:UB0l1Oql0
ちょっwww

>ttp://espio.air-nifty.com/
>意外にあっさり開示するのねw

2006/04/11(火) 00:25:51ID:???0
>>558
その前に被害届がいるんじゃないですかー?

でー、届けを管理人さんが出すと思いますかー?
2006/04/11(火) 00:29:19ID:ez8GW8cw0
誰かわざと自分のPCをゾンビにして被害届けだせよ
2006/04/11(火) 00:43:50ID:AF10sIcA0
>>561
お気に入りの板ぶっ壊されたら出すと思う。

というのは冗談で、只でさえ裁判で忙しいだろうから出さないだろうね。その意思があるのか無いのかのレスはまだ無いと思うけど。
2006/04/11(火) 00:48:00ID:TAgo+D320
>561
Jim-sanなら出せないかな? 
対外的には管理人と言えないこともないし。
そういう意味ならおいちゃんでもいいんだけど、
米国内ならやりとりも早そう。
2006/04/11(火) 01:41:24ID:2D+8FfsvO
まあ、2chは裁判所に訴えない、と舐められてるのかもしれんしな。
たまには気紛れで訴えてみるのもよかろう。
ま、ぴろしきの気分によるだろうが。
2006/04/11(火) 02:59:18ID:xxQHg6q90
別に被害届けじゃなくてもいいんじゃないんですかあ?
これだけ悪質なら通報だけでも動いてくれるんじゃないんですかあ?
インターネット110番とか
2006/04/11(火) 03:48:13ID:IPoHL50KO
被害届け出したり裁判したりすれば、、
2chが白旗あげて法に頼ったという事が広く世間に知られる訳で。
そうなれば攻撃が減るかというと、増える事が予想される訳で。
2006/04/11(火) 03:49:01ID:RSNWbqAQ0
そんな親切な団体がいると思うんですかあ
2006/04/11(火) 04:01:49ID:lMw6ro70P
持ってくとすればこの辺とかなのかな?

ttp://www.cybersafety.go.jp/nwqa/TopPageServlet
ttp://www.npa.go.jp/cyber/soudan.htm
2006/04/11(火) 05:30:34ID:2D+8FfsvO
勝ち負けは俺にはよく分からんが、個人的には訴える必要はないと思うがね。
そもそもイメージ的に、2chは「訴えられる側」であって「訴える側」ではなかろうw
なあに、小泉だってイオナズンだって対応できてるんだ。今後もどうにかなるだろうさ。

このままイオナズンも風化させていくのが良いかもな。
所詮、大したプログラムではない。2ch史に組み込む価値はない。
2006/04/11(火) 05:33:17ID:E3iUgUqC0
逆に考えて(ry

ゾンビPCがすべてUDに回ればおk
2006/04/11(火) 05:45:28ID:PbaQNCTg0
>>571
感動しt(ry

PCが外部アクセスを繰り返してても、HTTP鯖として動いてても、ドライブシュートされても気付かない輩だ。
UDを勝手に動作させても、nyだかshareだかが100%CPU取ってるとでも思うだろう。
...善行を押し付けるウィルス作成が、一連のウィルス作者の免罪符になりかねないのには閉口するが。
2006/04/11(火) 09:59:55ID:gxj+TuGz0
また、こんなレスがあったので、念のために張っておくよ。


ヲチャ回帰(´・ω・) カワイソス 山田ヲチスレ 222
ttp://tmp6.2ch.net/test/read.cgi/download/1144537663/

>322 名前:0918526486[] 投稿日:2006/04/11(火) 09:22:20 ID:elSEVxgB0
>0918677362
>7736112441
>6429145266


>324 名前:6527411099[] 投稿日:2006/04/11(火) 09:23:53 ID:elSEVxgB0
>7323216804
>6154500630
>2658200311

>325 名前:9081508347[] 投稿日:2006/04/11(火) 09:26:05 ID:elSEVxgB0
>1105124233
>1323151562
>1620200572
>end
2006/04/11(火) 11:14:52ID:JVIg4ox30
>>572
善行というか偽善だけどな

やらない善よりやる偽善ってことで、漏れもやってるw
2006/04/11(火) 15:16:52ID:MLEfQ3hf0
いまのところ「ウイルス作成罪」は成立してないからねえ(国会で審議中)
まあ、警察がその気になったら、罪名なんてどうとでもなるんだけど

「Winnyウイルス作成者を初の逮捕、ボットネットも構築の疑い」
てな見出しの記事になって話題になるのは確実なので、初物好きな警察なら手を出すかもね

ま、そこまでのやる気があるかどうかは疑問だけど
社会的に大話題になったウイルスだし、たとえ亜種でも作者を逮捕して名を上げたいと考える所はあるかも
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。