【警報】Winnyを狙ったワーム・ウイルス情報 Part26
613 :[名無し]さん(bin+cue).rar:04/09/23 00:15:03 ID:62NRg8JO
苺キンタマか
614 :[名無し]さん(bin+cue).rar:04/09/23 00:15:39 ID:IFT2b9V5
マルチプロセスだね(笑)
一個殺しただけじゃ排除できない。
基本的には
1)%system%\shellsystem.exeを作成する(自己複製)
2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にshellsystem.exeを追加
3)うpろだのクッキーを取得し、PrintScreenしてup用のデータを作る
4)レジストリからマシン名とユーザ名を取得
5)掲示板用のデータ作成
6)指定キーワードでマッチした掲示板上のスレッドにpost
って感じみたいね。感染してみたところ(笑)
一個殺しただけじゃ排除できない。
基本的には
1)%system%\shellsystem.exeを作成する(自己複製)
2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
にshellsystem.exeを追加
3)うpろだのクッキーを取得し、PrintScreenしてup用のデータを作る
4)レジストリからマシン名とユーザ名を取得
5)掲示板用のデータ作成
6)指定キーワードでマッチした掲示板上のスレッドにpost
って感じみたいね。感染してみたところ(笑)
615 :[名無し]さん(bin+cue).rar:04/09/23 00:16:48 ID:q17x7W8p
すげぇな…
ちょっと感心してしまった
ちょっと感心してしまった
616 :[名無し]さん(bin+cue).rar:04/09/23 00:18:30 ID:cDvdfQLH
村長…
617 :[名無し]さん(bin+cue).rar:04/09/23 00:20:28 ID:IFT2b9V5
>>590
ちなみに、これが2ちゃんの掲示板上へpostするときの条件。
ちなみに、これが2ちゃんの掲示板上へpostするときの条件。
618 :[名無し]さん(bin+cue).rar:04/09/23 00:20:43 ID:+TwoeBBt
気合入った作りだな
ただウィルスとしては何か間違ってる気がする
ただウィルスとしては何か間違ってる気がする
619 :[名無し]さん(bin+cue).rar:04/09/23 00:24:10 ID:yEjCkAsP
祭り会場どこ?
参加したい
参加したい
620 :[名無し]さん(bin+cue).rar:04/09/23 00:24:48 ID:iavrH4rm
XP限定?
621 :[名無し]さん(bin+cue).rar:04/09/23 00:26:02 ID:IFT2b9V5
98では試してないけど、2000でも感染する。
内部的には特にOSに依存しているように見えないよ。
内部的には特にOSに依存しているように見えないよ。
622 :[名無し]さん(bin+cue).rar:04/09/23 00:26:21 ID:62NRg8JO
>>619 ここらしいよ 【うpろだ】アップローダー案内所13【きんたま】
http://idol.bbspink.com/test/read.cgi/ascii2d/1095857518/
苺キンタ祭
http://idol.bbspink.com/test/read.cgi/ascii2d/1095857518/
苺キンタ祭
623 :[名無し]さん(bin+cue).rar:04/09/23 00:26:43 ID:Omvkoikg
624 :[名無し]さん(bin+cue).rar:04/09/23 00:26:52 ID:8EfG+J1e
jpgもヤヴァイらしいぞ!!!!
625 :[名無し]さん(bin+cue).rar:04/09/23 00:27:05 ID:IFT2b9V5
でも、プロセス殺せないって言い過ぎだね、祭りスレ。
プロセスツリーを殺せば両方死ぬよ。
プロセスツリーを殺せば両方死ぬよ。
626 :[名無し]さん(bin+cue).rar:04/09/23 00:28:03 ID:yEjCkAsP
>>622,623
thx
thx
627 :[名無し]さん(bin+cue).rar:04/09/23 00:29:09 ID:Q+leSqll
628 :[名無し]さん(bin+cue).rar:04/09/23 00:29:14 ID:neSmPO5T
晒されたjpg見てたら、メーラが勝手に起動したぞ、オイ
629 :[名無し]さん(bin+cue).rar:04/09/23 00:29:36 ID:mmGHQUsE
おいおまいら関祭りには参加しなかったのか?
630 :[名無し]さん(bin+cue).rar:04/09/23 00:31:11 ID:zW53Q5jb
>>629
してるよ。チャットだろ
してるよ。チャットだろ
631 :[名無し]さん(bin+cue).rar:04/09/23 00:32:10 ID:XTKk22G2
>>630
お前可愛いな
お前可愛いな
632 :[名無し]さん(bin+cue).rar:04/09/23 00:33:53 ID:WmXl7kiF
原口祭りの次は関祭りか
633 :[名無し]さん(bin+cue).rar:04/09/23 00:35:56 ID:IE8I1c5s
原口とか関って誰?
634 :[名無し]さん(bin+cue).rar:04/09/23 00:35:59 ID:mmGHQUsE
tesu
635 :[名無し]さん(bin+cue).rar:04/09/23 00:39:25 ID:sH8yfJe2
セーフモードで起動しなくても駆除できるよ。
使うものはコマンドプロンプトとレジストリエディタ。
1. 感染したらまず、コマンドプロンプトを開いてtasklistを実行
2. その中に以下のいずれかのファイル名があることを確認
(写真集) (ロリータ) 水原友里.exe
(写真集) (ロリータ) 相田香奈子.exe
コピー 〜 (写真集) (ロリータ) 河瀬菜美.exe
shellsystem.exe
3. あるのを確認したら下記のコマンドを入力
taskkill /f /im "ウイルスのファイル名" /t
4. 「成功」と出たら次は下記ウイルスファイルの削除を行う
%SystemRoot%\shellsystem.exe
解凍先にあるウイルスファイル
5. 削除が完了したらレジストリエディタ(regedit)を開いて
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
shellsystem.exe :='C:\Windows\shellsystem.exe'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
shellsystem.exe :='C:\Windows\shellsystem.exe'
を削除する
以上で完了かな。
使うものはコマンドプロンプトとレジストリエディタ。
1. 感染したらまず、コマンドプロンプトを開いてtasklistを実行
2. その中に以下のいずれかのファイル名があることを確認
(写真集) (ロリータ) 水原友里.exe
(写真集) (ロリータ) 相田香奈子.exe
コピー 〜 (写真集) (ロリータ) 河瀬菜美.exe
shellsystem.exe
3. あるのを確認したら下記のコマンドを入力
taskkill /f /im "ウイルスのファイル名" /t
4. 「成功」と出たら次は下記ウイルスファイルの削除を行う
%SystemRoot%\shellsystem.exe
解凍先にあるウイルスファイル
5. 削除が完了したらレジストリエディタ(regedit)を開いて
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
shellsystem.exe :='C:\Windows\shellsystem.exe'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
shellsystem.exe :='C:\Windows\shellsystem.exe'
を削除する
以上で完了かな。
636 :[名無し]さん(bin+cue).rar:04/09/23 00:39:27 ID:EpVCAi7y
感染能力ないんだろ?
637 :[名無し]さん(bin+cue).rar:04/09/23 00:39:46 ID:mmGHQUsE
てす
638 :[名無し]さん(bin+cue).rar:04/09/23 00:41:09 ID:62NRg8JO
>>627 ID変わってるけどdくす
SS見たいのは山々だけど、ろだが重くて見れんよ(´・ω・`)ショボーン
というかつい最近あった脆弱性を突いて、晒されたjpgを見ただけで感染したら
恐ろしいかも もともと感染しちゃった人は偽装exeを知らなかったんだね…
SS見たいのは山々だけど、ろだが重くて見れんよ(´・ω・`)ショボーン
というかつい最近あった脆弱性を突いて、晒されたjpgを見ただけで感染したら
恐ろしいかも もともと感染しちゃった人は偽装exeを知らなかったんだね…
639 :[名無し]さん(bin+cue).rar:04/09/23 00:42:44 ID:mmGHQUsE
ニュー速で規制されたorz
90秒ってなげーよ・・・
90秒ってなげーよ・・・
640 :[名無し]さん(bin+cue).rar:04/09/23 00:43:48 ID:Xufqlvin
えーと、nyはPCに入れてないんですが、感染してしまいました。
上で書かれた方法で徹底的に除去しましたが、再インストールの必要性はありますか?
上で書かれた方法で徹底的に除去しましたが、再インストールの必要性はありますか?
641 :感染でパニクってる者達へ:04/09/23 00:44:13 ID:ERKjq774
642 :[名無し]さん(bin+cue).rar:04/09/23 00:44:36 ID:avdWvEQz
>>640
人生を再インストー(ry
人生を再インストー(ry
643 :[名無し]さん(bin+cue).rar:04/09/23 00:45:00 ID:Rr2p3mqe
キンタマのやつ、システムの復元やったらウィンドゥズのトコにあったファイル消えたけど
これで大丈夫?
これで大丈夫?
644 :[名無し]さん(bin+cue).rar:04/09/23 00:45:19 ID:IFT2b9V5
vbsあたりで除去パッチ簡単に作れそうだね。
645 :[名無し]さん(bin+cue).rar:04/09/23 00:46:08 ID:Xufqlvin
646 :[名無し]さん(bin+cue).rar:04/09/23 00:46:11 ID:IE8I1c5s
>>643
ドゥイジョウブドゥス
ドゥイジョウブドゥス
647 :[名無し]さん(bin+cue).rar:04/09/23 00:46:36 ID:R1XdgUSO
こどもホタル祭りワロタ
648 :[名無し]さん(bin+cue).rar:04/09/23 00:47:05 ID:Rr2p3mqe
>>646
サンクス
サンクス
649 :[名無し]さん(bin+cue).rar:04/09/23 00:49:23 ID:4MBKm6hw
USBカメラでスクリーンショット機能はどうした?
650 :[名無し]さん(bin+cue).rar:04/09/23 00:49:45 ID:o5J4yEHm
>647
なにそれ?
なにそれ?
651 :[名無し]さん(bin+cue).rar:04/09/23 00:53:55 ID:ZTCe7RBf
>>635
tasklistってXPhomeだとなに?
tasklistってXPhomeだとなに?
652 :[名無し]さん(bin+cue).rar:04/09/23 00:55:00 ID:Q9B0LMRA
2ch側がUserAgentではじくようにするのが手っ取り早い?
653 :[名無し]さん(bin+cue).rar:04/09/23 00:57:19 ID:R1XdgUSO
654 :[名無し]さん(bin+cue).rar:04/09/23 00:58:51 ID:o5J4yEHm
>653
わかった。どうも。
わかった。どうも。
655 :[名無し]さん(bin+cue).rar:04/09/23 00:59:22 ID:cDvdfQLH
にしてもDelphiやらPerlやら、糞言語ばかりで作るな・・・ウィルス
656 :[名無し]さん(bin+cue).rar:04/09/23 01:05:43 ID:sH8yfJe2
657 :[名無し]さん(bin+cue).rar:04/09/23 01:06:19 ID:avdWvEQz
>>656
やっぱりpro限定だったか
やっぱりpro限定だったか
658 :[名無し]さん(bin+cue).rar:04/09/23 01:06:22 ID:+1rdgFwz
感染するやつは馬鹿
659 :[名無し]さん(bin+cue).rar:04/09/23 01:07:11 ID:IFT2b9V5
>>652
monadzillaのブラウザの何かに偽装してるんじゃないかと思うよ。
monadzillaのブラウザの何かに偽装してるんじゃないかと思うよ。
660 :[名無し]さん(bin+cue).rar:04/09/23 01:08:11 ID:cDvdfQLH
苺キンタマのUSER_AGENTはmonazilla.orgの資料室そのままでしたが。
661 :[名無し]さん(bin+cue).rar:04/09/23 01:08:22 ID:IFT2b9V5
taskkillあたりは、買ったOSのsupportディレクトリにあるsupporttoolsにあるんじゃないかと。
しかし久々にflashget使ったよw