■ウィルス爆撃相談所&焼き処4【RockBBQ】
レス数が950を超えています。1000を超えると書き込みができなくなります。
ここはウィルス等を利用した爆撃等の相談所です。
ウィルス感染ホストの報告と焼き処を兼ねます。
解析もここで扱います。
#削除依頼は、削除整理板へお願いします。
#ここでは芋掘りは行いません。専用スレでどうぞ。
前スレ
■ウィルス爆撃相談所&焼き処3【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144848937/
【関連スレ】
【BBQ&BBM14本目】公開串登録所【ピンポイント規制】
http://qb5.2ch.net/test/read.cgi/sec2chd/1145893627/
bbs.cgi再開発プロジェクト7
http://qb5.2ch.net/test/read.cgi/operate/1130918407/ 回線を切ると佐賀ウイルスはエラーメッセージを出すそうで
Can't〜IP.
↑こんな感じで 以下のベンダに検体送付してきました('A`)ノ
Symantec
Grisoft(AVG)
Avast
ESET(NOD32)
Kaspersky Labs
BitDefender
F-secure
Avira
McAfee
-------
トレンドマイクロは送ってないっす……非ユーザーはメールやフォームで送れないんでしょか('A`;) 一応 virustotal.com のスキャン結果うpしときます
ttp://www.imgup.org/iup277443.gif
>>865 マジすかカスペ('A`;)
あまり返答に期待しないでおきます…… >>861 検体置き場書いてもらえれば誰かが(ry >>864 書き漏らした、Sophos にも送付済っす
>>865 なんと無視されますたorz
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321 と同じ内容で……
>>867 うpろだに置きましたんで、どなたかよろしくお願いします('A`;)
ttp://uploader.xebra.org/?id=aa1edcc
DL/解凍パス「infected」っす、13:45にはうpろだから消える設定にしてます
ちなみに 7zip にしてあります 161 名前:あいたー[] 投稿日:2006/10/22(日) 12:49:59 ID:y134+LFf0
C:\WINDOWSに、りぼっさんアイコンのcsrss.exe
C:\WINDOWSに、りぼっさんアイコンのcsmss.exe
C:\WINDOWS\system32にりぼっさんアイコンのexplorer.exe
これを削除すればおkかな? ttp://www.yourfilehost.com/media.php?cat=other&file=4373nyuusan.zip
検体送付用に再うp
>>870
ありがとう、でも Product の中に何も選べるものがなくて、Next ボタンを押演コできない('A`)
トレンドユーザの方、よろしくお願いします
カスペ宛に、もう一度ちゃんと調べれって送ってみたっす Panda と Dr.Web 、念のため説明添えて検体を提出したです
あと、>>861 と重複しますが、現在確認できるフシアナ ID です
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=ctnF/6SA0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=U4kXXkIJ0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=Ubkildnq0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=HxHvs40p0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=jSIwDRXT0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=myjTxM0y0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=V+bqAxhl0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=dE0e8muz0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=uDu/+pgC0
某パスワードが違うとおこられる・・・
>>874
Product : - PC-cillin/Virus Buster 2006
Number of Users Affected : - 01 - 05
を選べばいい
>>871
どうせ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
か
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
かと >>877
>>874 っす、ありがとう勉強になった('A`;)
もし解析等に必要ならば、検体お送りしますんで安価ください ベンダから返信きますた('A`)
・Sophos:Troj/Sufia-A (ttp://www.sophos.com/virusinfo/analyses/trojsufiaa.html)として対応
・Panda:Trj/NasanFusia.A (ttp://www.pandasoftware.com/virus_info/enc/overview.aspx?idvirus=134829)として対応
→※ 今はまだリンク切れです、掲載予定 URI のようです
・Dr.Web:「Doctor Web, Ltd. のウイルス研究所」にたらい回し中
・Avira:ブラウザからアップロードした検体が破損してたらしいので、再提出orz
あと、ESET(NOD32)は返事きてないですが、NODスレを見ると対応した模様っす
今後のベンダの対応状況について、分かり次第また参ります ノシ UPX 1.93 betaで、Unpack可能
どうも文字列が暗号化されてる (BASE64+α)
今回はリソースデータとして書き込まれてる
前回はプログラム内部だった ベンダから返信きますた('A`)その2
・F-Secure:「対応します」とだけ返事(We will add detection for this malware.)
・Avira:TR/Sufia.A. として対応
・AVG:「Trojan Horse として対応予定」との返事(will be detected by AVG Anti-virus as Trojan Horse.)
以上っす ノシ >>872
>>387で島対応を確認。
Trojan Horse. TrendMicro、検体調査結果来ました。
「不正なコードは存在しておらず、ウイルスではないことが確認できました。」
とのこと。ちなみに送ったEXEのハッシュは下のはず。
EXE SHA-1:8A91A1B495BA4A0A0214CA3FF7D82EA2F4AAEE1A とりあえず再スキャンしてみました('A`)ノ
各ベンダに提出したファイルですが、>>886 のものとは微妙に異なる気配っす
乳酸菌.exe→SHA-1:102a73b3647145e2c5222a7aee32585c039d4442
MD5:0fd01283dc1dd326fe008c9da2d9f78c / CRC32:22c5bf57
.■virustotal.com│Version │ Update │ Result
───────┴──────┴─────┴──────
AntiVir 7.2.0.34 10.27.2006 no virus found
Authentium 4.93.8 10.27.2006 W32/Trojan.JTD
Avast 4.7.892.0 10.27.2006 Win32:Delf-CBI
AVG 386 10.27.2006 Generic2.FJC
BitDefender 7.2 10.27.2006 Trojan.Sufia.A
CAT-QuickHeal 8.00 10.26.2006 no virus found
ClamAV devel-20060426 10.27.2006 no virus found
DrWeb 4.33 10.27.2006 Trojan.Tebich
eTrust-InoculateIT 23.73.38 10.27.2006 no virus found
eTrust-Vet 30.3.3162 10.27.2006 no virus found
Ewido 4.0 10.27.2006 Trojan.Delf.yd
Fortinet 2.82.0.0 10.27.2006 Sufia.A!tr
F-Prot 3.16f 10.27.2006 destructive program named W32/Trojan.JTD
F-Prot4 4.2.1.29 10.27.2006 W32/Trojan.JTD
Ikarus 0.2.65.0 10.27.2006 no virus found
━━━━━━━━━━━━━━━━━━━━━━━━━━━
■virusscan.jotti.org(virustotal.com との重複除く)
─────────────────────
ArcaVir Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Delf.yd
NOD32 Found Win32/Delf.YD
Norman Virus Control Found W32/Sufia.A
VirusBuster Found nothing
VBA32 Found Trojan.Win32.Delf.yd 俺が持ってる乳酸菌.exeはMD5が08898b97ac766e09c2ee2153e9371ee3なんだけど
微妙に違うのが出回ってるのか? 検体の方の手配はいつもありがとうございますー。
えーと、佐賀ウィルスはー、ホストが判るようでしたら
焼いてみますかねー。
どのくらいの勢いなんですかねー。 焼いても問題ないのでしたら手伝います。
書き込みランキングで爆撃が上位を占めているので勢いはあると思います。 >>886 >>882
>>872を送りました。
ハッシュは同じく
8A91A1B495BA4A0A0214CA3FF7D82EA2F4AAEE1A
です。 >>886 >>882
>>889と同じハッシュのものを送りました。
島はTrojan Horse. 現在見ることのできるスレに爆撃したIPを登録形式でまとめました。
あっちのスレに書いたので焼くときに参考にしてください。 佐賀荒笑.exe
md5 d5d1a6741fd90f559db9bf2f4d0f1cda
トレンドマイクロ対応しますた
TSPY_UPPOST.A つーかなんでこのスレのスレタイ ウィルス なの?
普通は ウイルス daro.
何か理由があるの?それとも>>1が無知なの? これにばっちり当てはまるのを初めて見た。
14:細かい部分のミスを指摘し相手を無知と認識させる TrendMicroから再度送付した検体についての結果が来ました。
パターン3.889.00からTROJ_SUFIA.A にて対応とのこと >>906
◆CaKkuEV3EIとの馴れ合いはよそでやんなさい >>908
お前のキャップは名無しを煽るためのものか?
下らん雑談をキャップでするな。
それにここは雑談スレじゃなかろう。 >>909
「作業の邪魔になるので、あなたも含めて、
このスレに関係のない書き込みはお控えくださいませ」
これで満足ですか?
ごきげんよう 誤爆するのを楽しみにしている野次馬にしか見えない(ぉ >>914
今回の七宝焼さんみたいな焼きキャップの使い方は許されるの? 次のウイルスは総当りでキャップを探すウイルスだなwww
危険極まりないwwww >>906
雑談申し訳ありませんが、佐賀ウィルスダウンロードして以降、
当方バスターですが自動で昨日PC起動したら、ウィルス検出&壁離されました。
確認、ご苦労様です。 お願いします。
comic6
2006/11/05(日) 14:47:10〜2006/11/06(月) 00:49:59
B122028.ppp.dion.ne.jp 210.230.122.28
h219-110-191-216.catv02.itscom.jp 219.110.191.216
p1210-ipad213funabasi.chiba.ocn.ne.jp 124.85.66.210
softbank219020112026.bbtec.net 219.20.112.26
焼きキャップは雑談や煽りに使ってよしという運営公式見解あり、と・・・メモメモ お願いします。
comic6 2006/11/11(土) 03:35:39〜10:39:56
B121102.ppp.dion.ne.jp 210.230.121.102
p4082-ipad502osakakita.osaka.ocn.ne.jp 125.200.229.82
softbank219020112005.bbtec.net 219.20.112.5 おねがいします。
comic6 2006/11/15(水) 21:56:23〜2006/11/16(木) 00:59:30まで
ZC146159.ppp.dion.ne.jp 221.119.146.159
p1184-ipad504marunouchi.tokyo.ocn.ne.jp 222.148.56.184
p1210-ipad213funabasi.chiba.ocn.ne.jp 124.85.66.210 沈んでるので緊急age
comic6において新手のウィルスと思われる攻撃が発生している
ようです。
新種のウィルスだと思われますが情報をご存じの方はこちらまで
お願いします。 >>937
comic6の9板上位スレをヲチしに行ったが
どこが爆撃箇所か解らなかった件について。 お願いします。
comic6 2006/11/18(土) 02:09:52まで
174.218.244.43.ap.yournet.ne.jp 43.244.218.174
ntsitm110044.sitm.nt.ftth.ppp.infoweb.ne.jp 220.147.122.44
ntsitm140197.sitm.nt.ftth.ppp.infoweb.ne.jp 58.0.108.197
ntsitm198136.sitm.nt.ftth.ppp.infoweb.ne.jp 58.1.122.136
ZC167136.ppp.dion.ne.jp 221.119.167.136
>>937-938 このスレとか怪しい感じすね('A`)
ウイルス ウィルス ウ.イ.ル.ス傘2
http://comic6.2ch.net/test/read.cgi/doujin/1151933438/
もう少し立つと↓に反映されるハズ……
ttp://search.mimizun.com:82/cgi/idsearch.pl?board=doujin&id=Mx4Meocq
カオスコピー同人ノウハウ[滝川x20 (スレ立て1型)]っぽいね ノートンでウィルススキャンしたら引っかかったので削除しました 携帯はピンポイントだから明らかに前科があるんだろw 122 [´・ω・`] cancer.aitai.ne.jp New! 2006/12/14(木) 21:47:58 ID:yVoriFGk0
>>121
cancer.aitai.ne.jpだけど書けないですよ。
ゲーハー板
123 名無しの報告 sage New! 2006/12/14(木) 21:49:50 ID:GYkXEf+i0
30分待て!
124 [´・ω・`] cancer.aitai.ne.jp sage New! 2006/12/14(木) 21:50:57 ID:yVoriFGk0
同じく 早く解いてくれ レス数が950を超えています。1000を超えると書き込みができなくなります。