■ウィルス爆撃相談所&焼き処4【RockBBQ】
■ このスレッドは過去ログ倉庫に格納されています
ここはウィルス等を利用した爆撃等の相談所です。 ウィルス感染ホストの報告と焼き処を兼ねます。 解析もここで扱います。 #削除依頼は、削除整理板へお願いします。 #ここでは芋掘りは行いません。専用スレでどうぞ。 前スレ ■ウィルス爆撃相談所&焼き処3【RockBBQ】 http://qb5.2ch.net/test/read.cgi/sec2chd/1144848937/ 【関連スレ】 【BBQ&BBM14本目】公開串登録所【ピンポイント規制】 http://qb5.2ch.net/test/read.cgi/sec2chd/1145893627/ bbs.cgi再開発プロジェクト7 http://qb5.2ch.net/test/read.cgi/operate/1130918407/ お願いします。 comic6 2006/05/25(木) 21:40:12 まで 155.62.244.43.ap.gmo-access.jp 43.244.62.155 ppp4013.hakata06.bbiq.jp 125.31.85.203 >327 乙でした。 お願いします。 comic6 2006/05/26(金) 00:30:07まで 36.180.12.61.ap.seikyou.ne.jp 61.12.180.36 60-56-84-121.eonet.ne.jp 60.56.84.121 >>328 焼き済みでした。 >>329 焼きました。 ところで、今同人板では名前欄書き込み強制にして、 (削除人さんからの提案により、スレ名を名前欄に記入してもらう為変更済み デフェ名無しを強制フシアナに変えてウィルス書き込みをIPで焼けないか…という 提案が出ているようですが、それは可能ですかね? (自治で話し合ってる段階 今も焼き部隊の方々にはお世話になっていますが、 更に負担が掛かるかもしれませんが… >>335 日本語でおk ・爆撃ウイルスは、名前欄にBBS_NONAME_NAMEから取得した言葉(デフォ名無し)を入力する →現在、同人板ではNANASHI_CHECK=1にして、普通の書き込み時には名前欄に スレタイなどを入力するように告知し、ウイルス爆撃との区別がつきやすいようにしている ・この措置を一歩進め、BBS_NONAME_NAMEに「fusianasan@ウイルス」などの名前を指定し 爆撃された場合IPが見えるようにしようという議論が持ち上がっている (NANASHI_CHECK=1のままなので、普通の書き込みはfusianasanにはならない) ・この変更が受理された場合、現在のダウンロード板からの報告(例>>332 )のように 当該レスのアドレスと書き込まれたIPをここに報告すれば、焼いて頂くことは可能でしょうか? ・なお、現状は自治スレで話し合っている段階で、決定事項ではありません 本日ここまでですー -comic6- sechttp605.sec.nifty.com 44件 218-228-150-190.eonet.ne.jp 4件* w4d95.BFL8.vectant.ne.jp 4件 >>259 たぶん、実行後に検出する気がする Trojan.Kakkeys.D ができあがったときのやつ (v1〜v3) は zlib で圧縮されてた v4 は gzip で圧縮 v5 はまだしらん (落とす気もしない) >>337 ,339-340 焼きましたー ※sechttp605.sec.nifty.comは既に焼かれてました 続いてここまでですー -comic6- 218-228-150-190.eonet.ne.jp 36件 p3006-ipbf05funabasi.chiba.ocn.ne.jp 13件 p8069-ipad208akatuka.ibaraki.ocn.ne.jp 4件 176.62.244.43.ap.gmo-access.jp 4件 >>346 焼きましたー ※上2つは焼き済みでした お願いします。 comic6 2006/05/26(金) 20:02:40 〜 2006/05/26(金) 23:55:57 i225079.ppp.asahi-net.or.jp 61.125.225.79 p3153-ipad304osakakita.osaka.ocn.ne.jp 222.148.216.153 ppp8895.hakata04.bbiq.jp 58.3.21.5 共有 sechttp650.sec.nifty.com 202.248.88.196 >>349 すべて焼き済みでした >>350 焼きました >>353 仕様変更のおかげで全て止まったっぽい 某 v6以降とか 今後開発されるウィルスは突破可能っと・・・ お約束の 「あのウイルスが最後のウイルスとは 以下略」 報告して頂いた皆様 焼き部隊の皆様 その他多くの関係者の皆様、乙でしたー♪ >>363 スレ違いだしトロイならURLそのまま貼るな(#゚Д゚)ゴルァ!! 同人板再発みたいです… 自治スレが爆撃されている模様。 同人板を狙ったウイルス制作者と思われる人間がスクリプトでフシアナを踏みました。 http://comic6.2ch.net/test/read.cgi/doujin/1148135137/785 phoenix.aitai.ne.jp 対策御願いします >>366 その書き込みというかID:vsc/51asもウィルスじゃね? >366のID:vsc/51asもウィルス。 また、>954と>959のZV253111.ppp.dion.ne.jpは自分がfusianaに失敗しました。 削除規制を検討される方々にご迷惑かけてしまい、申し訳ございません。 それは困ったねぇ。 しかし、残念ながらスレ違いなんだ。 えーと、新種とおぼしきものの情報を整理した方がいいかなーと。 検体の方はまだ見つかってないんですよねー? 毎度の事ながら、ジャンプ系のファイルに入ってそうですがー。 そういうのダウンロードしてそうな方がいるところにも、注意喚起 とか捜索願を出した方がいいんでしょうかねー。 >>375 えーと、晒さなくてもいいですがー、 アンチウイルス系の会社への送付はされてるのかなーと。 そのあたりのチェックが必要だと思いますー。 メジャーなところだけでいいのかとかですねー。 >>376 ウィルスバスターオンラインスキャンでは、一個前のバージョンのウィルスと 同じウィルスとして検出されました。 シマンテックはSymantec Security Checkを行った後、もし検出されなければ Symantec Security Response Submission Appletでファイルを提出すればいいのかな >>377 念のため出来るだけ複数の会社に送付して下さいー。 ウイルスを検出する部分は、各社でどの部分チェックするか 違うはずなんですよねー。 だから1社で引っかかっても、他社で引っかからないかもしれない とゆー方が当たり前じゃないかなーと。 送るのが大変そうでしたらー、どこかにアップロードして何人かで 手分けして送付するって手もありますがー。どうしましょー? >365-369の同人板ウイルスの件。 (6/2〜同じスレからコピーする新型 http://life.45.kg/sec/m_cchaos.html ) とりあえず、既出の疑惑ファイル情報はこのあたりです。 http://tmp6.2ch.net/test/read.cgi/download/1146131363/350-351 http://tmp6.2ch.net/test/read.cgi/download/1146131363/378-386 6/3、下側の新種の作りかけ(?)をvirustotalでチェックしたところ、 Fortinet : ◎W32/Antinny.AU!worm (←これは5/30から検出可) Kaspersky : ◎Trojan-Spy.Ruby.Kakkeys.m 他はno virus found 同日、symantec:6/3に検体提出しました。 6/4に (一般コミック・雑誌) [マガジン] [サンデー] [2006-26] 一歩・スクラン・ネギま・結界・MAJOR・ハヤテの糞スキャン .exe に個別対応した定義ファイルを作成した(Trojan.Kakkeys.D.) との返答をもらいました。一般定義ファイルの対応はまだのようです。 自分は他には送っていません。(Trend Micro(en)は、timed outで送れませんでした) 完成品の捕獲情報は今のところ見当たりません。 焼きそばパン ★ さんが持っていらっしゃるのは、上記以降の完成品ですか? > virustotal 便利なサイトがあるものですねぇ、で、早速掛けてみました Ewido : Logger.Kakkeys.m Fortinet : suspicious 後は、no virus found ウイルスバスターオンラインスキャンでは WORM_ANTINY.AU として検出されます ttp://tmp6.2ch.net/test/read.cgi/download/1146159356/457 さっき連れてこられたこれが2番目のタイプです 見つけても、トレンドマイクロのオンラインの確認と内容確認しかしてないな… >>380 その自治爆撃が =begin〜=endでコメントアウトされてるのが2番目のタイプです 滝川Ver66にはいまのとこ2種類 >>383 のはバスターに引っかかってノートン無反応、検体送付済み。。。 でいいのかな とりあえず、Ver66 の手元にある一番目をシマンテックに 一番目と二番目をマカフィーに送っときます >>383 マカフィー対応 > 検体をお送りいただいてありがとうございます。 > > <解析結果> Kakkeys > > この検体は、最新のスキャンエンジン(4400)と添付しましたExtra.DATで検出・駆除が可能です。 > 正式なウイルス定義ファイルへは次回リリースの定義ファイルで反映される予定です。 > なお、事情により反映が遅れ、定義ファイルへの更新が次々回以降になる場合もございます。あらかじめご了承ください。 シマンテック タイムスタンプ2006年6月6日 20:45:00にて対応を確認。Trojan.Kakkeys.D ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe キングソフトは解析中 >>387 乙です〜 F-Secure対応 > 最新のパターンファイルで、"Trojan-Spy.Ruby.Kakkeys.n"として > 追加させていただきました。 Avast、返事待ち えっと、滝川ver66は今のとこ Trend Micro eTrust-InoculateIT Ewido 3.5 Fortinet Kaspersky NOD32v2 Symantec UNA F-Secure McAfee で対応済みなのかな # プロバのメアド送ろうとして、ウイルスチェックサービスに引っかかった orz >355 >355 >355 >355 >355 >355 >355 名無しの予言はあたった。 じゃあオレも予言する 20年以内にダウソ板を狙う真ウイルス搭乗!! >>383 ウイルスキラー対応 Trojan.Spy.Ruby.Kakkeys.a (18.30.22で対応とメール来たけど、未検出orz) 間違えた Trojan.Spy.Ruby.Kakkeys.aは >>379 の ttp://tmp6.2ch.net/test/read.cgi/download/1146131363/378 でした >>383 のは返信待ちです ウイルスバスターオンラインスキャンが>>383 を検出しなくなった。。。 ver66 自治爆撃するものコメントアウトされてるもの共に avira対応 > We found a new virus in the attachment you have sent us. > The signature will be integrated in one of our next updates. > The signature of the virus will be detected as TR.Spy.Ruby.Kakkeys.N.2 >>395 シマンテック >>387 タイムスタンプ2006年6月8日 22:10:24 にて対応を確認。 Trojan.Kakkeys.D マカフィーよりKakkeysの解析結果。 >>395 の前後の329・478は シマンテック Trojan Horse マカフィー W32/Antinny.worm.c.gen >>396 訂正 >>395 の478は シマンテック Trojan Horse マカフィー W32/Antinny.worm.c.gen 329はミスして消したんだったぁ。。。orz............ >>395 は VirusTotalにかけると eTrust Ewido Fortinet F-Prot Kaspersky NOD32v2 Symantec UNA VBA32 で検出してくれるもより んで、F-Secure対応 > 2006/06/08 15:52にリリースさせていただきました、"2006-06-08_01"の > パターンファイルで"Trojan-Spy.Ruby.Kakkeys.o"として追加させていただきました。 ウイルスバスターオンラインスキャンで検出できないけど 検体は送られているのかな? >>398 例のお二方に送りました。 #webメール側でブロックされているのかもしれません。。。 キングソフトはまだ返事がありません。 >>399 乙ですー Avira お返事待ち ( 分析中らすい Panda 検体送り先問い合わせ中 Avest 山羊さん ( 送ったけど返事がこないー バスターはv66が出たぐらいのときは検出してたんですよね exerb本体やwin32oleあたりを誤検出したのかしら 皆さん乙ですー 送付の方も結構大変ですよねー。 なかなか解析も大変みたいですねー。 >>402 2006/06/09 05:02(JST)時点で、 >eTrust-Vet 12.6.2248 06.08.2006 Win32/Kakkeys.J >Ewido 3.5 06.08.2006 Logger.Kakkeys.m >Fortinet 2.77.0.0 06.08.2006 suspicious >UNA 1.83 06.08.2006 Trojan.Spy.Ruby.Kakkeys >VBA32 3.11.0 06.08.2006 Trojan-Spy.Ruby.Kakkeys.n 他はno virus found symantec と trendmicro に送りました。 >>402 >>387 タイムスタンプ 2006年6月9日 13:42:36 にて対応を確認。 Trojan.Kakkeys.D 現時点ではマカフィー・キングソフトともに返信無し。 >>404 乙です〜 >>402 マカフィー返信ありました > <解析結果> > Kakkeys > > この検体は、最新のスキャンエンジン(4400)と添付しましたExtra.DATで検出 > 駆除が可能です。 > 正式なウイルス定義ファイルへは次回リリースの定義ファイルで反映される予定です。 > なお、事情により反映が遅れ、定義ファイルへの更新が次々回以降になる場合もございます。 > あらかじめご了承ください。 Ad-aware にも v66 v67 送ってみました ファイル antidojin670.rb ( >395 ) と ANTIDOJIN671.RB ( >402 ) を比較しています ***** antidojin670.rb 622: rescue 623: if body.match(/(書き込み.*確認)|(2ch_X:cookie)|(2ch_X:check)/) 624: @board.cookie = head['set-cookie'] 625: gachon = '' ***** ANTIDOJIN671.RB 622: rescue 623: print body if $DEBUG 624: if body.match(/(書き込み.*確認)|(2ch_X:cookie)|(2ch_X:check)/) 625: @board.cookie = head['set-cookie'] + ';hana=mogera' 626: gachon = '' ***** ***** antidojin670.rb 881: while moe.writable? 882: p moe 883: moe.write(*(messe.rnd)) ***** ANTIDOJIN671.RB 874: while moe.writable? 875: moe.write(*(messe.rnd)) ***** ***** antidojin670.rb 888: rescue 889: p TwoChannel::user_agent 890: raise $! if $DEBUG ***** ANTIDOJIN671.RB 880: rescue 881: raise $! if $DEBUG ***** ↓単語部分 ***** antidojin670.rb 833: #p board 834: tage = /痛|厨|潰|自傷|えろ|ういるす|うぃるす|盗|まね|真似|あんち|言動|げんどう|引越|あなうんす|ひっこし|でさ|でっさ|おかし|闇| 835: み|判定|検証|なぞ|嬉しくない|吐き|はきけ|嫌|女兼|きらい|好きだ|すきだ|晒|さら|\ 836: へたれ|乗っ取|のっとり|騙|ぱく|とれ|厨|子供|子連れ|こづれ|うへ|やめる|ちゅう|捏造|ねつぞ|いたい|大盛|ぶらっく|にう|土山|Ataraxi 837: |ny|うぃに|ういに|photoshop|不正|\ 838: ふぉとしょ|ふせい|ω@ηηУ|白玉|善哉|ちまき|きんたま|あふがにす|ちもち|赤松|あかまつ|曲芸|ほにほ|もこり|みなとあおい|かおるこ 839: 妃川|\ 840: 美波|彼方|[痛厨]|いたい|大盛|ぶらっく|にう|土山|AtaraxiA|ny|うぃに|ういに|photoshop|不正|ふぉとしょ|ふせい|ω@ηηУ|白玉|善哉 841: \ 842: ちまき|きんたま|あふがにす|ちもち|赤松|あかまつ|曲芸|ほにほ|もこり|みなとあおい|かおるこ|妃川|美波|彼方|[痛厨]|いたい|大盛|ぶら 843: チく|\ 844: にう|土山|AtaraxiA|ny|うぃに|ういに|photoshop|不正|ふぉとしょ|ふせい|ω@ηηУ|白玉|善哉|ちまき|きんたま|あふがにす|ちもち|赤 845: |\ 846: あかまつ|曲芸|ほにほ|もこり|みなとあおい|かおるこ|妃川|美波|彼方|桜\*桜|久馬|葉山|とーい|花珠|太陽菜舗|なるとき|ぱちこ|すずひと 847: 七福神|\ 848: こーすけ|たぬきち|ぷりぷり|さゆり|池上|し也|逝上|AMR|茜|いけがみ|あかね|je|じぇぷ|安藤|undo|○ちゃん|HappyBirthday|はっぴ|する ***** ANTIDOJIN671.RB 834: #p board 835: tage = /欺|痛|厨|潰|自傷|えろ|ういるす|うぃるす|盗|まね|真似|あんち|言動|げんどう|引越|あなうんす|ひっこし|でさ|でっさ|おかし| 836: |やみ|判定|検証|なぞ|嬉しくない|吐き|はきけ|嫌|女兼|きらい|好きだ|すきだ|晒|さら|\ 837: へたれ|乗っ取|のっとり|騙|ぱく|とれ|厨|子供|子連れ|こづれ|うへ|やめる|ちゅう|捏造|ねつぞ|いたい|大盛|ぶらっく|にう|土山|Ataraxi 838: |ny|うぃに|ういに|photoshop|不正|ふぉとしょ|ふせい|ω@ηηУ|白玉|善哉|\ 839: ちまき|きんたま|あふがにす|ちもち|赤松|あかまつ|曲芸|ほにほ|もこり|みなとあおい|かおるこ|妃川|美波|彼方|桜\*桜|久馬|葉山|とーい 840: 花珠|太陽菜舗|なるとき|ぱちこ|すずひと|七福神|\ 841: こーすけ|たぬきち|ぷりぷり|さゆり|池上|し也|逝上|AMR|茜|いけがみ|あかね|je|じぇぷ|安藤|undo|○ちゃん|HappyBirthday|はっぴ|する ***** BCNランキング セキュリティソフト売れ筋情報(06.5.1−5.7) http://bcnranking.jp/freepaper/12-00008355.html シマンテック トレンドマイクロ ソースネクスト マカフィー で9割超えてるのね この4社と窓の社で紹介されてる avast NOD32 キングソフト Ad-Aware あたりが送っといたほうがよいところなのかな? avast と ソースネクスト ウイルスセキュリティ の開発元 K7Computing にも、v66 v67 送ってみました ウイルスキラーの情報が少ないのでまとめました(爆撃停止してるのがほとんどだけど・・・) http://tmp6.2ch.net/test/read.cgi/download/1146131363/344 CRC:10D94D58 (D.C.II) はDropper.MultiDrp.ar (6/9) CRC:886717AD (まほすく・スカーレット) は不是病毒(ウイルスでない) (6/2) http://tmp6.2ch.net/test/read.cgi/download/1146131363/409 Trojan.Spy.Agent.arp (6/5) http://tmp6.2ch.net/test/read.cgi/download/1146131363/329 Trojan.KillProc.f (6/2) http://tmp6.2ch.net/test/read.cgi/download/1146131363/391 Worm.Antinny.bh (6/2) kakikomi 不是病毒→Trojan.Spy.Delf.aaa (6/2) http://tmp6.2ch.net/test/read.cgi/download/1146131363/65 CRC:A51A14FE,CRC:A881EC1A Hack.Flooder.Agent.l (5/15) ビックリ玉袋(バスターでTSPY_KUROFOO.A) (CRC:0368CFB2) Trojan.Spy.Agent.als (5/15) 人工無能++ Download@tmp6はTrojan.Agent.bpe (5/9) ニュース議論板はTrojan.Agent.bfl (04/12) イオナズンBOT keygen型はTrojan.Delf.ams (5/9) エロゲNoCD/NoDVDパッチ型はTrojan.Delf.akv (4/17) 小泉ウイルス Download@tmp6はHack.Flooder.delf.aa (4/18) 腐海ウイルス Download板バージョンTrojan.Agent.bhr (4/17) 同人板バージョンTrojan.Agent.bht (4/17) 不明 http://qb5.2ch.net/test/read.cgi/sec2chd/1140878994/828 Trojan.Agent.bhr (4/17) 山田オルタナティブ Backdoor.Agent.axt/Trojan.Proxy.Agent.nc/dropper.agent.bjz >>395 >>402 をRisingに送りました >>383 ,>>395 ともにキングソフト検証中のメールが来ました。 >>405 マカフィーから同様のメールが来ました。 >>410 レス番訂正 >>395 ,>>402 ともにキングソフト検証中のメールが来ました。 >>410-411 さらに訂正 >>395 にキングソフト検証中のメールが来ました。 別件のものと混同してしまいました。 スレ汚しすみません。。。 滝川v67 avira対応 > The signature of the virus will be detected as TR.Spy.RubyKakkeys.o. > The signature of the virus will be detected as TR.Spy.RubyKakkeys.o.2 >>395 先の478と、滝川v66 AVG対応 > SAMPLE.BIN (Win23.Antinny) > SAMPLE2.BIN and SAMPLE3.BIN (Trojan.Generic) v66 の二つ及びv67( >>395 ) Trend Micro対応 > sample01.exe (970,967Bytes) - will be detected as TSPY_KAKKEYS.AH > sample02.exe (970,938Bytes) - will be detected as TSPY_KAKKEYS.AH > sample03.exe (970,934Bytes) - will be detected as TSPY_KAKKEYS.AH >>413 補足 06/06/10 00:00:00 の段階ではパターンファイルに反映されて無いみたい お願いします。 comic6 2006/06/10(土) 〜22:19:31 61-23-155-146.rev.home.ne.jp 61.23.155.146 61-25-239-126.rev.home.ne.jp 61.25.239.126 210.210.242.200 210.210.242.200 123.36.30.125.dy.iij4u.or.jp 125.30.36.123 218-228-186-59.eonet.ne.jp 218.228.186.59 60-56-187-92.eonet.ne.jp 60.56.187.92 dhcp123-079.fureai-ch.ne.jp 202.222.123.79 FLH1Aak136.oit.mesh.ad.jp 60.237.244.136 FLH1Ahs175.tky.mesh.ad.jp 125.192.110.175 i125-202-154-226.s10.a018.ap.plala.or.jp 125.202.154.226 p1186-ipbf08akatuka.ibaraki.ocn.ne.jp 61.112.68.186 >416 はあたしです。 つづき。 pd3061c.tokynt01.ap.so-net.ne.jp 220.211.6.28 pdf60ad.tokynt01.ap.so-net.ne.jp 202.223.96.173 softbank218176224083.bbtec.net 218.176.224.83 softbank219024044133.bbtec.net 219.24.44.133 softbank219029186021.bbtec.net 219.29.186.21 softbank219205002200.bbtec.net 219.205.2.200 softbank220022208033.bbtec.net 220.22.208.33 softbank221055000019.bbtec.net 221.55.0.19 softbank221058098127.bbtec.net 221.58.98.127 zaq3d2e1477.zaq.ne.jp 61.46.20.119 zaq3dc07dfa.zaq.ne.jp 61.192.125.250 共有 family.e-catv.ne.jp 219.109.48.4 kiwi.aitai.ne.jp 211.1.193.102 >>416-417 お疲れさまです、教諭以外や着ました。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる