【警報】Winnyを狙ったワーム・ウイルス情報 Part9
使途が速いかカスパーが速いか勝負だな
ダメです! 侵食止まりません!
パターン青!使途です!
1年ぶりだな・・・
ああ・・・使途だ。
総員第一種戦闘配置!
('A`)お前ら楽しそうだな
気が付いたらTempフォルダにsvchost.exeがあった・・・
いつからあるのかわからないが・・・、怖い・・・!
俺も気が付いたらSystem32フォルダにsvchost.exeがあった・・・
いつからあるのかわからないが・・・、怖い・・・!
>>857 たぶん新種のアンチニーだと思われる。
ウイルスバスターもノートンも今のところ対策してない模様。
っていうか対策する気なしって気がする。俺 二週間くらい前から感染してる
けど今だUPdateなし。
たぶんwinny専用ウイルスなんで、違法ファイルやりとりしてるヤツらのこたー
しったこっちゃね!って事だと思われる。
888 :
[名無し]さん(bin+cue).rar:04/02/29 09:57 ID:uUoO8DTf
svchost.exeはnyのクラックバージョンにもれなくついてくるトロイです。
889 :
[名無し]さん(bin+cue).rar:04/02/29 09:58 ID:+xDjuXyd
n 人 人 n
(ヨ ) (_ ) (_ ) ( E)
/ | (__) (__) | ヽ
\人/( ・∀・ )/(・∀・ )ヽ/人
_n (_ )u / uu) (_ )
( l (__) ∧ / (__)
\ \ (・∀・ ) ( ・∀・ ) n
ヽ___ ̄ ̄ ) う ん こ !  ̄ \ ( E)
/ / フ /ヽ ヽ_//
890 :
ピエト炉 ◆pietroLvxc :04/02/29 10:50 ID:251xe54D
【ピエト炉系列板】
(炉 ̄∇ ̄)
___( っ )っ
| し (_) .|←マイルーム
| 【ダウソ】 . |
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| ∧∧ ∧_∧ .|
|(●´ー`)(,,゚Д゚)(; ´Д`) .|←リビング
| 【モ狼】【大受】【ラウンコ】|
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| /■\ ∧_∧ ∧_∧ ((( )))|
|( ・_ゝ・)( ゚_ゝ゚)( `_ゝ´)( ´_ゝ`).|←キッチン
| 【スロ】 【競馬】 【厨房】 【ν速】 |
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| ∧_∧ ∧_∧ ∧_∧ ∧_∧ [ ̄ ̄ ] |←風呂
| <ヽ`∀´>. ミ ゚_ゝ゚彡 ( ゚く_ ゚ ) (・∀・ ) ( ´∀`) .|
| 【最悪】 【半角】 【独男】 【ネトゲ】 【ゲーム】 |
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| 他板(トイレ) .|
. ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
. ,___,_
i___!_ ∧糞∧. (彡0ミ ) ∧_∧ /厨\
( ´_ゝ`) <ヽ`∀´> ( `Д´) ( ´ω` ) ( `ハ´)
【削除人】 【糞コテ】 【DQN】 【ヲタ】 【厨房】
↑↑↑↑ピエト炉に逆らう馬鹿ども↑↑↑↑
svchost.exeを騙ったワームか。
調べてみると、大文字だと感染の疑いがあるみたいだ。
小文字の場合は大丈夫ぽ?
>>891 大丈夫と言った瞬間に、小文字版を作る奴が出てくると思う。
893 :
[名無し]さん(bin+cue).rar:04/02/29 18:10 ID:N3i3ug9g
>>892 (((( ;゚Д゚)))ガクガクブルブル
894 :
[名無し]さん(bin+cue).rar:04/02/29 18:41 ID:kszJWahA
タスクでみると、svchost.exeが6個あるんですが皆さんもこんなものなのでしょうか?
漏れ0個・・・
5個
システム3
ネットワーク1
ローカル1
おいらは
システム2
ネットワーク1
ローカル1
ところで赤福の男って.jpg開かなきゃ大丈夫なの?
どんな画像か教えて?俺それみたかもしれん。
なんか開きはしなかったけど小さい画面でみたら変なお宅の画像だった。
誰かそのお宅の画像張って
勝手にUPフォルダが作られるようになったので、antinnyに感染したと思い
>>1にある対策をやろうとしたのですが、
nyのフォルダにupフォルダが見つからず
ProgramFilesを検索してもアイコンがフォルダなexeがなく
TempにNy.exeもなく
win.iniにぬるぽもありません
ウィルス・バスターにはひっかかりませんでした。
これってなんでしょうか。
>>902 私も同じで対策とったんだけど
どこにも見当たらないです。
904 :
902:04/03/01 00:27 ID:rrZ0nzE4
いま、も一度win.iniをよく見たら
win.iniの最後の2行に ぬるぽ ではなくて
[hoge]
hoge=C:Winny2\
とあったんですが、これが ぬるぽ にあたるんでしょうか。
>902
パターンファイルに登録されていなければ検知不可能
亜種の中にはノートンやバスターのパターンファイルに登録されてないモノもある
ってゆうか登録されていないモノの方が多い悪寒
亜種だから既知のモノとは活動パターンが違い打つ手無し
直したければHDDのフォーマットなんてこともある
1行目と2行目は矛盾していませんか?
>勝手にUPフォルダが作られるようになったので
>nyのフォルダにupフォルダが見つからず
どこにUPフォルダが作られたの?
>904
そうですね hoge なんてふざけた項目がある分けないし確実に亜種
過去にはぬるぽの変わりに 山崎渉 があたっとゆう報告例もありましたよ
ネタかもしれませんけど
ぬるぽの亜種でたね。
C言語でhogeってあったような希ガス。
でも亜種だろうね。おめでとう。
どのファイルで感染したかが気になるところ。
908 :
902:04/03/01 01:14 ID:rrZ0nzE4
>>905 nyを起動するとフォルダ情報に作ったおぼえのないUPフォルダが
C:\Winny2\Upとでるんですけど、エクスプローラからはみえないということです。
WinnyからそのUpフォルダをひらけるし、ウイルス・バスターでウイルス検索しても
C:\Winny2\Upを検索してるから存在してるんだろうけど、どこにあるのかわかりません。
症状としてはそのUpフォルダにファイルのコピーをupし、コピーした
ファイルに「晒し上げ」の文句と一緒に感染したパソコンの使用者名をくっつけます。
私はnyをはじめてまだ間がないので、キャッシュがほとんどなく、感染に気づき
>>1の対策では対処できなかった時に
nyごと削除したので、それがキャシュを消すのかどうかはわかりません。
いったいどのファイルにくっついてたのか、もちろんexeなどには気をつけていたのですが、
わかりません。
>>908 >C:\Winny2\Upとでるんですけど、エクスプローラからはみえない
MSDOSプロンプトを起動し、以下のように打ってみて。( > は打たなくて良い)
> C:
> CD Winny2
> DIR /AHS
910 :
909:04/03/01 01:18 ID:pgB6lqnw
ごめん修正
× CD Winny2
○ CD \Winny2
フォルダオプションの「すべてのファイルを表示する」でいいんじゃないの?
913 :
[名無し]さん(bin+cue).rar:04/03/01 02:09 ID:kfMJzVam
914 :
902:04/03/01 02:09 ID:rrZ0nzE4
いろいろありがとうございます。
明日、仕事なもので今日はもう寝ます。
なんとかならないかもう一度やってみるつもりですが、忙しいので
やるとしたら次の休みの時になりそうです。
Winnyのような事をはじめるんだから気をつけないとな、と思っていた矢先の
できごとでした。
みなさんもお気おつけください。
>>913 レジストリエディタで当該項目を自分で削除すればいいんですよ。
まさか「レジストリエディタって何?」ってこのスレで訊いたりはしませんよね?ね?
916 :
[名無し]さん(bin+cue).rar:04/03/01 02:15 ID:Q9SFeUGY
【安定】ウイルスバスター2004 Part14【安心】
http://pc.2ch.net/test/read.cgi/sec/1077518579/ 558 名無しさん@お腹いっぱい。 sage New! 04/03/01 01:19
msstkprp32.exeとmsisam.exeとか言うのが突然www.accs.or,jpにアクセスし始めたんだが
どうもPCが重いからタスクマネージャ見たらSystemとmswsockdrv.exeでCPU食いつぶしてるし
結局日付をずらしたら収まった
んで、ACCSのサイトいま落ちているもよう。
とりあえず上のプロセス殺さないとCPUが100%でなにも出来ん。
これはACCS攻撃ウィルスじゃないのか?3月1日0時から動き出したような感じ。
誰か同じ状態の人いますか?
917 :
[名無し]さん(bin+cue).rar:04/03/01 02:33 ID:kfMJzVam
>>915 正直聞きたいんですが。。。PCについては全然わかってないもので_| ̄|○
でも
>>22に載ってるやりかたで削除できました
レジストリについては自分で調べます。
いろいろとご迷惑おかけしました。
>916
時限式田代砲なのか?面白いウィルスだな。
>>916 なんで?accs.or.jpが攻撃されなきゃならんのだろう・・・
SCOやマイクソにアタックするウイルスあったね
_| ̄|○
俺が覚めてなかった
あー。。neとorのチガイか
漏れもメガ覚めてなかった_| ̄|○
よくドメインを見よう!
accs.or.jp と accsjp.or.jp じゃ、決定的に違うYO!