【警報】Winnyを狙ったワーム・ウイルス情報 Part14 またこの話か
899 :
[名無し]さん(bin+cue).rar :04/03/30 23:28 ID:644a3WWl
どんだけ偽装しても、最終的には拡張子で動作が決まるわけでしょ? 1)exeファイルのアイコンは偽装できる。 2)拡張子に関連付けされてるアプリケーションがバッファオーバーフロー等を 起こさない限りは.aviで感染させるのは不可能。 3)実行ファイルを直接呼び出せる形式(.lnk、.html、.folder等)からの感染も ありえるが、そのファイル自体が実行されているわけではない。 ってことでいいのかな?
>>899 ということでいいんじゃない?
どう考えてもバッファオーバーフローを衝く以外に
データファイルから任意のバイナリーを実行させるのは無理でしょ。
>>880 >>891 は出来ると言っているが、具体的なことは何も示していないし。
何度も言いますが、もし他の方法があるのなら、俺の不見識を認めます。
だから、ヒントだけでも良いので説明してください。お願いします。
/ / ̄ ̄ヽ |∩| ◎ ◎| ||L.| ム | / お前ら! ヽ ヽ_ ∀/ < ここはネタスレです。 -===='='=====− ())》||| Å |||》 // i...|| //||ヘヽ. ||\\ // |.. ||. // || ヘヽ|| \\ Oニ .ヽ||/ || ヽ|| 0ノ \ヽ ||======= || // \ヘ ヘ( ⌒())(0) ()ヘ// < \=====/ > //\/ \/ // \\ 0)⌒) 0)⌒) \\ // \\ // ( ((二0 ( ((二0 [二二エ] [エ二二]
.folderを開いてしまった。削除しようとしたら〜.exeが使用中って出たんで、ヤバイと思い すぐリセットしてアクセスランプつきっぱなしだったんで、 タスクからSVCHOST.EXEを停止(何個かあったが1つだけ大文字のあったんでそれを停止してみた) それでシステムの復元で何日か前のに戻した。 それからノートン2002(定義3/28)でスキャンしたけど感染なし。 regedit.exeも無事みたいだし、Upfolder.txtもなし。 これって大丈夫なんでしょうか?
>>879 漏れは
>>880 じゃないがブラウザで開くとメールを送信させるタイプのgifは昔見た事が有る。
今でも有ったら画像の確認にブラウザ使ってる香具師は結構踏んでるだろうな。
埋め込み画像が違法に成るまで、となった直後ぐらいまではそんな物がweb上にゴロゴロしてたよ、
当時の環境のネスケで開くと確実にOS毎フリーズする画像とかね、懐かしいと思う香具師居るんじゃね?
>>902 今の状態で大丈夫だとは言い切れないな
時限式のウイルスが潜んでいるかも知れないし
暫くは様子を見てXPならSP2がリリースされた再に
OSを再インストールしてみるのも良いかもね
理想的な再インストールはHDD全初期化の後、
再インストールが好ましい
>>904 それもブラウザの脆弱性を付いたものじゃん。
>>906 そだねー、が藻前は大丈夫でも
>>879 見た初心者は思考停止して踏むだろ?
「漏れは大丈夫」とか言いながらファイルの関連付け切ってなかったり、先頭情報見ずに「脆弱なアプリ」に突っ込んでる香具師多いんじゃね?
実行中に他のファイル探しにいく形式のもヤバイだろね、フラッシュとかストリーミング再生用のファイルとかナー、
ヘッドフォン付けてじっくり見てた所為でHDDの異音に気付かず鑑賞終わった頃には (・∀・)コンニチワ!!! なんてな(ワラ
自分の尻も拭けない奴はnyやらないほうがいいよ。 事故責任って言葉知ってますか?
それはひょっとしてギャグで(ry
>>909 AAが欲すい。
酒気帯びで一発でした。
プログラム的な事は良く解らんけどコンニチワのレベル的に879に対する880のような書き込みや lzhを解凍したら〜、jpgを開いたら〜の大部分は感染して尚*.lzh 〜 .exeのようなアイコン偽装に 気が付いてないだけの奴なんじゃないかと思う。
そんなことを言ったら、なんだって「脆弱性」で片付けられるよ。 片付けても意味無いんだがなぁ。 便利と危険は紙一重というだ。
お百姓さんを馬鹿にすっでねぇぞ バチさあたるぞバチさ さぁさ今日も仕事すっぺか
cueとかbatとか入ったファイルをデーモンでマウントしたら、 なんか挙動がおかしい感じがして、再起動かけたら C,Dドライブが全部駄目になってました。 結局、クリーンインストールするはめになりましたが ウイルススキャンにも反応せず、ウイルスだったのかどうかも分かりませんでした。 このような症状になったかた、いらっしゃらないでしょうか?
過去ログを全部見なさい
Autorunも切れないヴァカは逝ってよしっつー事で(・∀・)
>>890 > っていうか本当に.exeを
> 拡張子.aviで見た目も.avi のファイルに偽装できるの?
> それがマジだとしたらずっと極窓で確認し続けなければならない
それは簡単。拡張子を.exeから.aviに変更すればいいだけのはなし。
当たり前だけど、見た目は完璧なaviファイルになる。でも極窓で確認したらexeだってわかっちゃうけどね。
ただ、それをダブルクリックしても、プレイヤーから「無効なファイル型式です」って怒られるだけで
実際にexeが実行されてしまうわけではないから大丈夫。
しかし、それは拡張子だけでファイルの取り扱い方法を決定してくれているから。
そのうちおせっかいにも
「なんだ、拡張子はaviだけど中身はexeじゃん。じゃあ、実行してあげないといけないね!」
なんてことをエクスプローラがやってくれるようになっちゃうととんでもないことに。。。
>>919 キンタマの亜種ですか。
4/4とか5/5にACCSに個人情報を送信するのね。
ということで今度の日曜日はちょっと注意。
感染するとWin.iniに
[hoge]
hugo=<Winnyのインストールフォルダ>
って書き込むらしいですわよ、奥様!
ほげ
923 :
[名無し]さん(bin+cue).rar :04/03/31 21:01 ID:bV5GX1WL
>>921 4月4日、5月5日、6月6日〜〜〜〜〜12月12日、って具合に毎月送るのよ。
whiter一度くらったんだけど めちゃめちゃ痛いなぁ。 ディレクトリつくっといても 名前変えられてたら効果ないみたいだし データベースで安全かどうかチェックしてからDLするしかないのかぁ
>>924 タダでものが手に入るんだからある程度のリスクを覚悟、最大限の予防、対策をしる。
>>924 Virtual PCつかえと何度言えば(ry
PCを再起動してWinnyを立ち上げるたびに中身が、 [BBS] Path=D:\Winny2\Down のUpFolder.txtが作られるんだけど、 Antinnyの亜種か何かに感染してるのかな? Upフォルダは作られないし、ノートン先生も感染してないって言うし、 win.iniにぬるぽもないし、レジストリも問題なさそうなんだけど。 UpFolder.txtを毎回削除しないとDownフォルダが 公開フォルダに指定されてしまうので困ってる。。。 同じ症状になった人います?
たったいまwhiterに感染した・・・。 もうすぐシステムダウンかも・・・ 最悪だ・・・ アイコンが消えていく
電源を切れよ。
>>930 それも調べたんだけど違うっぽい。
よくわからないし不安だからクリーンインスコするかな・・・。
>>935 うはっ、見れない・・・。
しかもNAVのLiveUpdataもできなくなってる。これはMydoom?
でも目ぼしいウイルスはいろいろ調べても当てはまらないんだけどなぁ。
ノートンでも検出されないし(定義ファイルは一昨日に更新)
トレンドマイクロのオンラインスキャンもできず。 プロセスを見てみたらsvchost.exeが4つもあるんだが、これは怪しいかな? クリーンインスコしようにも怖くてバックアップできない・・・。
938 :
[名無し]さん(bin+cue).rar :04/04/01 03:55 ID:/ejHTPWL
俺もそれよくあるんだが…普通なんじゃ? exe踏んでしもた…そのファイルが消せなかったんで きんたまと全消しのウィルス確認した後再起動して、消しマスタ レジストリにある windouw\sistem32\ezSP_Px exeって平気なものですか? きんたまはレジストリ開けたし、平気と過程してますが…??
940 :
[名無し]さん(bin+cue).rar :04/04/01 04:12 ID:/ejHTPWL
>>939 サンキュウ、、ウィルスじゃないのね…
俺が踏んだのなんだろ……
exe押しちゃって、フリーズみたいに待機になったから速攻タスクで調べたけど
なんもなくて、、とりあえずnyとかかたっぱしから消したんだけど…
コエー初めて踏んだよ……1.26Mくらいだった…
フロはいろうと思ってたのに…
誰かぼすけて
それが潜んでたファイルやexeのサイズやCRC晒したら キンタマウイルス関連の収集家が誰かしってるかも。
たぶんキンタマじゃないんだよな〜、ちょうど一緒に落とした物の中にキンタマはいってて ノートン先生が助けてくださったからな あーマンドクセ…もういいや…欝だ…(ry
943 :
[名無し]さん(bin+cue).rar :04/04/01 06:34 ID:/ejHTPWL
わかったぜ! Folder 空欄 exe のコンボのようだぜ! さぁ!どうすれば良いのであろうか!?
>>940 PxEngineを積んだライティングソフトなんかをインストール
してないか?
私もRecordNowDX入れてからezSP_Px exeは常駐している。
946 :
[名無し]さん(bin+cue).rar :04/04/01 07:33 ID:C7fROPHn
新種かなぁ? ものすごく眠くなって、今まで落としてきたファイルが走馬燈のように脳裏を駆けめぐってる なんか眠いからこの辺
947 :
[名無し]さん(bin+cue).rar :
04/04/01 07:51 ID:Ig0V5Dp3 結局のところキンタマ感染しててもwinny削除すればOKなの?