【警報】Winnyを狙ったワーム・ウイルス情報 Part14
898 :[名無し]さん(bin+cue).rar:04/03/30 23:20 ID:7nrEjqHG
またこの話か
899 :[名無し]さん(bin+cue).rar:04/03/30 23:28 ID:644a3WWl
どんだけ偽装しても、最終的には拡張子で動作が決まるわけでしょ?
1)exeファイルのアイコンは偽装できる。
2)拡張子に関連付けされてるアプリケーションがバッファオーバーフロー等を
起こさない限りは.aviで感染させるのは不可能。
3)実行ファイルを直接呼び出せる形式(.lnk、.html、.folder等)からの感染も
ありえるが、そのファイル自体が実行されているわけではない。
ってことでいいのかな?
1)exeファイルのアイコンは偽装できる。
2)拡張子に関連付けされてるアプリケーションがバッファオーバーフロー等を
起こさない限りは.aviで感染させるのは不可能。
3)実行ファイルを直接呼び出せる形式(.lnk、.html、.folder等)からの感染も
ありえるが、そのファイル自体が実行されているわけではない。
ってことでいいのかな?
900 :[名無し]さん(bin+cue).rar:04/03/30 23:53 ID:7SADGuSt
>>899
ということでいいんじゃない?
どう考えてもバッファオーバーフローを衝く以外に
データファイルから任意のバイナリーを実行させるのは無理でしょ。
>>880 >>891 は出来ると言っているが、具体的なことは何も示していないし。
何度も言いますが、もし他の方法があるのなら、俺の不見識を認めます。
だから、ヒントだけでも良いので説明してください。お願いします。
ということでいいんじゃない?
どう考えてもバッファオーバーフローを衝く以外に
データファイルから任意のバイナリーを実行させるのは無理でしょ。
>>880 >>891 は出来ると言っているが、具体的なことは何も示していないし。
何度も言いますが、もし他の方法があるのなら、俺の不見識を認めます。
だから、ヒントだけでも良いので説明してください。お願いします。
901 :[名無し]さん(bin+cue).rar:04/03/31 00:28 ID:t4tUH3E7
/ / ̄ ̄ヽ
|∩| ◎ ◎|
||L.| ム | / お前ら!
ヽ ヽ_ ∀/ < ここはネタスレです。
-===='='=====−
())》||| Å |||》
// i...|| //||ヘヽ. ||\\
// |.. ||. // || ヘヽ|| \\
Oニ .ヽ||/ || ヽ|| 0ノ
\ヽ ||======= || //
\ヘ ヘ( ⌒())(0) ()ヘ//
< \=====/ >
//\/ \/
// \\
0)⌒) 0)⌒)
\\ //
\\ //
( ((二0 ( ((二0
[二二エ] [エ二二]
|∩| ◎ ◎|
||L.| ム | / お前ら!
ヽ ヽ_ ∀/ < ここはネタスレです。
-===='='=====−
())》||| Å |||》
// i...|| //||ヘヽ. ||\\
// |.. ||. // || ヘヽ|| \\
Oニ .ヽ||/ || ヽ|| 0ノ
\ヽ ||======= || //
\ヘ ヘ( ⌒())(0) ()ヘ//
< \=====/ >
//\/ \/
// \\
0)⌒) 0)⌒)
\\ //
\\ //
( ((二0 ( ((二0
[二二エ] [エ二二]
902 :[名無し]さん(bin+cue).rar:04/03/31 01:52 ID:E+sK05WX
.folderを開いてしまった。削除しようとしたら〜.exeが使用中って出たんで、ヤバイと思い
すぐリセットしてアクセスランプつきっぱなしだったんで、
タスクからSVCHOST.EXEを停止(何個かあったが1つだけ大文字のあったんでそれを停止してみた)
それでシステムの復元で何日か前のに戻した。
それからノートン2002(定義3/28)でスキャンしたけど感染なし。
regedit.exeも無事みたいだし、Upfolder.txtもなし。
これって大丈夫なんでしょうか?
すぐリセットしてアクセスランプつきっぱなしだったんで、
タスクからSVCHOST.EXEを停止(何個かあったが1つだけ大文字のあったんでそれを停止してみた)
それでシステムの復元で何日か前のに戻した。
それからノートン2002(定義3/28)でスキャンしたけど感染なし。
regedit.exeも無事みたいだし、Upfolder.txtもなし。
これって大丈夫なんでしょうか?
903 :[名無し]さん(bin+cue).rar:04/03/31 01:59 ID:FakNvNtu
>>902
(・∀・)コンニチワ!!!
(・∀・)コンニチワ!!!
904 :[名無し]さん(bin+cue).rar:04/03/31 02:24 ID:CBKq4vCp
>>879
漏れは>>880じゃないがブラウザで開くとメールを送信させるタイプのgifは昔見た事が有る。
今でも有ったら画像の確認にブラウザ使ってる香具師は結構踏んでるだろうな。
埋め込み画像が違法に成るまで、となった直後ぐらいまではそんな物がweb上にゴロゴロしてたよ、
当時の環境のネスケで開くと確実にOS毎フリーズする画像とかね、懐かしいと思う香具師居るんじゃね?
漏れは>>880じゃないがブラウザで開くとメールを送信させるタイプのgifは昔見た事が有る。
今でも有ったら画像の確認にブラウザ使ってる香具師は結構踏んでるだろうな。
埋め込み画像が違法に成るまで、となった直後ぐらいまではそんな物がweb上にゴロゴロしてたよ、
当時の環境のネスケで開くと確実にOS毎フリーズする画像とかね、懐かしいと思う香具師居るんじゃね?
905 :[名無し]さん(bin+cue).rar:04/03/31 02:32 ID:mEshJyvm
>>902
今の状態で大丈夫だとは言い切れないな
時限式のウイルスが潜んでいるかも知れないし
暫くは様子を見てXPならSP2がリリースされた再に
OSを再インストールしてみるのも良いかもね
理想的な再インストールはHDD全初期化の後、
再インストールが好ましい
今の状態で大丈夫だとは言い切れないな
時限式のウイルスが潜んでいるかも知れないし
暫くは様子を見てXPならSP2がリリースされた再に
OSを再インストールしてみるのも良いかもね
理想的な再インストールはHDD全初期化の後、
再インストールが好ましい
906 :[名無し]さん(bin+cue).rar:04/03/31 02:38 ID:sx2XPeLv
>>904
それもブラウザの脆弱性を付いたものじゃん。
それもブラウザの脆弱性を付いたものじゃん。
907 :[名無し]さん(bin+cue).rar:04/03/31 03:15 ID:CBKq4vCp
>>906
そだねー、が藻前は大丈夫でも>>879見た初心者は思考停止して踏むだろ?
「漏れは大丈夫」とか言いながらファイルの関連付け切ってなかったり、先頭情報見ずに「脆弱なアプリ」に突っ込んでる香具師多いんじゃね?
実行中に他のファイル探しにいく形式のもヤバイだろね、フラッシュとかストリーミング再生用のファイルとかナー、
ヘッドフォン付けてじっくり見てた所為でHDDの異音に気付かず鑑賞終わった頃には (・∀・)コンニチワ!!! なんてな(ワラ
そだねー、が藻前は大丈夫でも>>879見た初心者は思考停止して踏むだろ?
「漏れは大丈夫」とか言いながらファイルの関連付け切ってなかったり、先頭情報見ずに「脆弱なアプリ」に突っ込んでる香具師多いんじゃね?
実行中に他のファイル探しにいく形式のもヤバイだろね、フラッシュとかストリーミング再生用のファイルとかナー、
ヘッドフォン付けてじっくり見てた所為でHDDの異音に気付かず鑑賞終わった頃には (・∀・)コンニチワ!!! なんてな(ワラ
908 :[名無し]さん(bin+cue).rar:04/03/31 06:43 ID:nMuL27M+
自分の尻も拭けない奴はnyやらないほうがいいよ。
事故責任って言葉知ってますか?
事故責任って言葉知ってますか?
909 :[名無し]さん(bin+cue).rar:04/03/31 06:44 ID:xTjLWRJ3
それはひょっとしてギャグで(ry
910 :[名無し]さん(bin+cue).rar:04/03/31 07:02 ID:nMuL27M+
911 :[名無し]さん(bin+cue).rar:04/03/31 08:55 ID:lAGNt9is
プログラム的な事は良く解らんけどコンニチワのレベル的に879に対する880のような書き込みや
lzhを解凍したら〜、jpgを開いたら〜の大部分は感染して尚*.lzh 〜 .exeのようなアイコン偽装に
気が付いてないだけの奴なんじゃないかと思う。
lzhを解凍したら〜、jpgを開いたら〜の大部分は感染して尚*.lzh 〜 .exeのようなアイコン偽装に
気が付いてないだけの奴なんじゃないかと思う。
912 :[名無し]さん(bin+cue).rar:04/03/31 09:15 ID:NeJkKcod
そんなことを言ったら、なんだって「脆弱性」で片付けられるよ。
片付けても意味無いんだがなぁ。
便利と危険は紙一重というだ。
片付けても意味無いんだがなぁ。
便利と危険は紙一重というだ。
913 :[名無し]さん(bin+cue).rar:04/03/31 09:18 ID:MnnlyLPd
>>912は農民。
914 :[名無し]さん(bin+cue).rar:04/03/31 09:21 ID:xTjLWRJ3
お百姓さんを馬鹿にすっでねぇぞ
バチさあたるぞバチさ
さぁさ今日も仕事すっぺか
バチさあたるぞバチさ
さぁさ今日も仕事すっぺか
915 :[名無し]さん(bin+cue).rar:04/03/31 10:57 ID:xFmjWCHE
>>914
は小作人
は小作人
916 :[名無し]さん(bin+cue).rar:04/03/31 11:29 ID:lUbO9jZw
cueとかbatとか入ったファイルをデーモンでマウントしたら、
なんか挙動がおかしい感じがして、再起動かけたら
C,Dドライブが全部駄目になってました。
結局、クリーンインストールするはめになりましたが
ウイルススキャンにも反応せず、ウイルスだったのかどうかも分かりませんでした。
このような症状になったかた、いらっしゃらないでしょうか?
なんか挙動がおかしい感じがして、再起動かけたら
C,Dドライブが全部駄目になってました。
結局、クリーンインストールするはめになりましたが
ウイルススキャンにも反応せず、ウイルスだったのかどうかも分かりませんでした。
このような症状になったかた、いらっしゃらないでしょうか?
917 :[名無し]さん(bin+cue).rar:04/03/31 11:38 ID:rkKI9hmj
過去ログを全部見なさい
918 :[名無し]さん(bin+cue).rar:04/03/31 15:36 ID:GGY8M4AP
Autorunも切れないヴァカは逝ってよしっつー事で(・∀・)
919 :[名無し]さん(bin+cue).rar:04/03/31 16:31 ID:sE3HI/GD
920 :[名無し]さん(bin+cue).rar:04/03/31 16:49 ID:LB/t8UTc
>>890
> っていうか本当に.exeを
> 拡張子.aviで見た目も.avi のファイルに偽装できるの?
> それがマジだとしたらずっと極窓で確認し続けなければならない
それは簡単。拡張子を.exeから.aviに変更すればいいだけのはなし。
当たり前だけど、見た目は完璧なaviファイルになる。でも極窓で確認したらexeだってわかっちゃうけどね。
ただ、それをダブルクリックしても、プレイヤーから「無効なファイル型式です」って怒られるだけで
実際にexeが実行されてしまうわけではないから大丈夫。
しかし、それは拡張子だけでファイルの取り扱い方法を決定してくれているから。
そのうちおせっかいにも
「なんだ、拡張子はaviだけど中身はexeじゃん。じゃあ、実行してあげないといけないね!」
なんてことをエクスプローラがやってくれるようになっちゃうととんでもないことに。。。
> っていうか本当に.exeを
> 拡張子.aviで見た目も.avi のファイルに偽装できるの?
> それがマジだとしたらずっと極窓で確認し続けなければならない
それは簡単。拡張子を.exeから.aviに変更すればいいだけのはなし。
当たり前だけど、見た目は完璧なaviファイルになる。でも極窓で確認したらexeだってわかっちゃうけどね。
ただ、それをダブルクリックしても、プレイヤーから「無効なファイル型式です」って怒られるだけで
実際にexeが実行されてしまうわけではないから大丈夫。
しかし、それは拡張子だけでファイルの取り扱い方法を決定してくれているから。
そのうちおせっかいにも
「なんだ、拡張子はaviだけど中身はexeじゃん。じゃあ、実行してあげないといけないね!」
なんてことをエクスプローラがやってくれるようになっちゃうととんでもないことに。。。
921 :[名無し]さん(bin+cue).rar:04/03/31 17:15 ID:LB/t8UTc
>>919
キンタマの亜種ですか。
4/4とか5/5にACCSに個人情報を送信するのね。
ということで今度の日曜日はちょっと注意。
感染するとWin.iniに
[hoge]
hugo=<Winnyのインストールフォルダ>
って書き込むらしいですわよ、奥様!
キンタマの亜種ですか。
4/4とか5/5にACCSに個人情報を送信するのね。
ということで今度の日曜日はちょっと注意。
感染するとWin.iniに
[hoge]
hugo=<Winnyのインストールフォルダ>
って書き込むらしいですわよ、奥様!
922 :[名無し]さん(bin+cue).rar:04/03/31 18:11 ID:6ZQgvnCW
ほげ
923 :[名無し]さん(bin+cue).rar:04/03/31 21:01 ID:bV5GX1WL
>>921
4月4日、5月5日、6月6日〜〜〜〜〜12月12日、って具合に毎月送るのよ。
4月4日、5月5日、6月6日〜〜〜〜〜12月12日、って具合に毎月送るのよ。
924 :[名無し]さん(bin+cue).rar:04/03/31 21:39 ID:l6UBRORz
whiter一度くらったんだけど
めちゃめちゃ痛いなぁ。
ディレクトリつくっといても
名前変えられてたら効果ないみたいだし
データベースで安全かどうかチェックしてからDLするしかないのかぁ
めちゃめちゃ痛いなぁ。
ディレクトリつくっといても
名前変えられてたら効果ないみたいだし
データベースで安全かどうかチェックしてからDLするしかないのかぁ
925 :[名無し]さん(bin+cue).rar:04/03/31 22:14 ID:az9EN82q
>>924
タダでものが手に入るんだからある程度のリスクを覚悟、最大限の予防、対策をしる。
タダでものが手に入るんだからある程度のリスクを覚悟、最大限の予防、対策をしる。
926 :[名無し]さん(bin+cue).rar:04/03/31 22:49 ID:xFmjWCHE
>>924
Virtual PCつかえと何度言えば(ry
Virtual PCつかえと何度言えば(ry
927 :[名無し]さん(bin+cue).rar:04/03/31 23:39 ID:G4/R8oxr
>>926
ハッシュきぼ(ry
ハッシュきぼ(ry
928 :[名無し]さん(bin+cue).rar:04/04/01 00:08 ID:t8prqZjF
929 :[名無し]さん(bin+cue).rar:04/04/01 00:57 ID:7WIdSAir
PCを再起動してWinnyを立ち上げるたびに中身が、
[BBS]
Path=D:\Winny2\Down
のUpFolder.txtが作られるんだけど、
Antinnyの亜種か何かに感染してるのかな?
Upフォルダは作られないし、ノートン先生も感染してないって言うし、
win.iniにぬるぽもないし、レジストリも問題なさそうなんだけど。
UpFolder.txtを毎回削除しないとDownフォルダが
公開フォルダに指定されてしまうので困ってる。。。
同じ症状になった人います?
[BBS]
Path=D:\Winny2\Down
のUpFolder.txtが作られるんだけど、
Antinnyの亜種か何かに感染してるのかな?
Upフォルダは作られないし、ノートン先生も感染してないって言うし、
win.iniにぬるぽもないし、レジストリも問題なさそうなんだけど。
UpFolder.txtを毎回削除しないとDownフォルダが
公開フォルダに指定されてしまうので困ってる。。。
同じ症状になった人います?
930 :[名無し]さん(bin+cue).rar:04/04/01 01:04 ID:KtybYLmN
>>929
51 :名無しさん@4周年 :04/04/01 00:00 ID:GbBlzM1+
http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
システムの日付が 4 月以降で、かつ、月と日の数値が同一の場合、http:/ /www.accsjp.or.jp にアクセスし、個人情報を送信しようとします。
51 :名無しさん@4周年 :04/04/01 00:00 ID:GbBlzM1+
http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
システムの日付が 4 月以降で、かつ、月と日の数値が同一の場合、http:/ /www.accsjp.or.jp にアクセスし、個人情報を送信しようとします。
931 :名無し]さん(bin+cue).rar:04/04/01 01:44 ID:FF/E/mmu
たったいまwhiterに感染した・・・。
もうすぐシステムダウンかも・・・
最悪だ・・・
アイコンが消えていく
もうすぐシステムダウンかも・・・
最悪だ・・・
アイコンが消えていく
932 :[名無し]さん(bin+cue).rar:04/04/01 01:47 ID:ih4MmA0A
電源を切れよ。
933 :[名無し]さん(bin+cue).rar:04/04/01 01:48 ID:7WIdSAir
934 :[名無し]さん(bin+cue).rar:04/04/01 02:09 ID:KtybYLmN
>>931
エープリルフール乙
エープリルフール乙
935 :[名無し]さん(bin+cue).rar:04/04/01 02:33 ID:Plq58ILy
936 :[名無し]さん(bin+cue).rar:04/04/01 03:08 ID:7WIdSAir
>>935
うはっ、見れない・・・。
しかもNAVのLiveUpdataもできなくなってる。これはMydoom?
でも目ぼしいウイルスはいろいろ調べても当てはまらないんだけどなぁ。
ノートンでも検出されないし(定義ファイルは一昨日に更新)
うはっ、見れない・・・。
しかもNAVのLiveUpdataもできなくなってる。これはMydoom?
でも目ぼしいウイルスはいろいろ調べても当てはまらないんだけどなぁ。
ノートンでも検出されないし(定義ファイルは一昨日に更新)
937 :[名無し]さん(bin+cue).rar:04/04/01 03:20 ID:7WIdSAir
トレンドマイクロのオンラインスキャンもできず。
プロセスを見てみたらsvchost.exeが4つもあるんだが、これは怪しいかな?
クリーンインスコしようにも怖くてバックアップできない・・・。
プロセスを見てみたらsvchost.exeが4つもあるんだが、これは怪しいかな?
クリーンインスコしようにも怖くてバックアップできない・・・。
938 :[名無し]さん(bin+cue).rar:04/04/01 03:55 ID:/ejHTPWL
俺もそれよくあるんだが…普通なんじゃ?
exe踏んでしもた…そのファイルが消せなかったんで
きんたまと全消しのウィルス確認した後再起動して、消しマスタ
レジストリにある windouw\sistem32\ezSP_Px exeって平気なものですか?
きんたまはレジストリ開けたし、平気と過程してますが…??
exe踏んでしもた…そのファイルが消せなかったんで
きんたまと全消しのウィルス確認した後再起動して、消しマスタ
レジストリにある windouw\sistem32\ezSP_Px exeって平気なものですか?
きんたまはレジストリ開けたし、平気と過程してますが…??
939 :[名無し]さん(bin+cue).rar:04/04/01 04:07 ID:oPqZWAk8
俺のローカルPCなんか5つあるけどなあ…一応プロセスのリンク先は全部本物のexeだった
だんだん自分も不安になてきた。
svchost.exe NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
>>938
http://www.google.co.jp/search?q=cache:r6vceV0vPEwJ:higaitaisaku.web.infoseek.co.jp/iru.html+ezSP_Px+exe&hl=ja&lr=lang_ja&ie=UTF-8&inlang=ja
これかな?
だんだん自分も不安になてきた。
svchost.exe NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
svchost.exe NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
>>938
http://www.google.co.jp/search?q=cache:r6vceV0vPEwJ:higaitaisaku.web.infoseek.co.jp/iru.html+ezSP_Px+exe&hl=ja&lr=lang_ja&ie=UTF-8&inlang=ja
これかな?
940 :[名無し]さん(bin+cue).rar:04/04/01 04:12 ID:/ejHTPWL
>>939
サンキュウ、、ウィルスじゃないのね…
俺が踏んだのなんだろ……
exe押しちゃって、フリーズみたいに待機になったから速攻タスクで調べたけど
なんもなくて、、とりあえずnyとかかたっぱしから消したんだけど…
コエー初めて踏んだよ……1.26Mくらいだった…
フロはいろうと思ってたのに…
誰かぼすけて
サンキュウ、、ウィルスじゃないのね…
俺が踏んだのなんだろ……
exe押しちゃって、フリーズみたいに待機になったから速攻タスクで調べたけど
なんもなくて、、とりあえずnyとかかたっぱしから消したんだけど…
コエー初めて踏んだよ……1.26Mくらいだった…
フロはいろうと思ってたのに…
誰かぼすけて
941 :[名無し]さん(bin+cue).rar:04/04/01 04:20 ID:38ls7Jl8
それが潜んでたファイルやexeのサイズやCRC晒したら
キンタマウイルス関連の収集家が誰かしってるかも。
キンタマウイルス関連の収集家が誰かしってるかも。
942 :[名無し]さん(bin+cue).rar:04/04/01 05:01 ID:/ejHTPWL
たぶんキンタマじゃないんだよな〜、ちょうど一緒に落とした物の中にキンタマはいってて
ノートン先生が助けてくださったからな
あーマンドクセ…もういいや…欝だ…(ry
ノートン先生が助けてくださったからな
あーマンドクセ…もういいや…欝だ…(ry
943 :[名無し]さん(bin+cue).rar:04/04/01 06:34 ID:/ejHTPWL
わかったぜ!
Folder
空欄 exe のコンボのようだぜ!
さぁ!どうすれば良いのであろうか!?
Folder
空欄 exe のコンボのようだぜ!
さぁ!どうすれば良いのであろうか!?
944 :[名無し]さん(bin+cue).rar:04/04/01 06:47 ID:V2WbCTdh
945 :[名無し]さん(bin+cue).rar:04/04/01 06:55 ID:SMrYpDqY
946 :[名無し]さん(bin+cue).rar:04/04/01 07:33 ID:C7fROPHn
新種かなぁ?
ものすごく眠くなって、今まで落としてきたファイルが走馬燈のように脳裏を駆けめぐってる
なんか眠いからこの辺
ものすごく眠くなって、今まで落としてきたファイルが走馬燈のように脳裏を駆けめぐってる
なんか眠いからこの辺
947 :[名無し]さん(bin+cue).rar:
結局のところキンタマ感染しててもwinny削除すればOKなの?