Winnyを狙ったワーム・ウイルス情報 Part33

ﾆｭｲﾙｽだと餌がこねーじゃん

ウイルス作者がここ観てこ踊りしてます

暗号化はPeSpinかと思ったが手軽にはunpackできんな
VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見

>>954
> 暗号化はPeSpinかと思ったが手軽にはunpackできんな
> VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
> 無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見

ぜんぜんわからん

>>910
微妙な煽りだけど縦読みね

最近、厨が増えて解析人は生暖かく見守ってるんだろ。
PeSpinみたいなぐぐったらすぐ見つかるネタを、わざわざわからん
なんてここで言うなよ。
ttp://pespin.w.interia.pl/

>>943
taskmen.exeってない？あれば俺も踏んだ。途中で諦めてシステムリストアした。

(一般コミック・雑誌) [ジャンプ] [2005-12] DEATH NOTE page58.ExE

これ踏むとC:\windows\system32\ctｆmon.exe作成されてアップロードいじられて
ウイルス散布者になれるよ。このファイルは本物もある。
俺が見つけた偽物は4355KB。

踏んでからタスクマネージャが起動しない。修復方法知ってたら教えて。
起動しようとしてもなにも起こらない。

確かにVPCでログ見たほうが早そうだね。
あーと、期待してる方もいるようだが、
明日〆切りの漏れに何をしろと……すまん。

新種ってexe動かなくさせるやつと壁紙かえるだけの2種類？
もっとある？

ハンタのがexe動かないやつで、
デスノ「２択」のが壁紙かえるだけ？
デスノ「胸中」のは？

>>961
「2択の」方は壁紙変えるだけでなく、ウイルス踏んだときのデスクトップのスクショが撮られて
マイピクチャの中にあった。
まあ自分が調べた限りそれがUPされてるわけでは無さそうだったけど・・・。

二択　じゃなく「胸中」だったｽﾏｿ

>>962
俺もほぼ同じだがマイドキュメントの中にできてた。気持ちわるくなったから
削除した。

>>963
漏れも「胸中」踏んだんだけど、壁紙変えるのと、デスクトップスクショ、
それに、>>884で書いてあるUpdate Tmpフォルダがあったので
とりあえず削除。それで様子見るしかないかな・・・
｡･ﾟ･(ﾉ∀`)･ﾟ･｡ｶﾞﾝｶﾞﾛｳｾﾞ

オレは二択の方。
SSはデスクトップに出来てた。
それ以外は何も無い様子。現在はシステムの復元して様子を見ている状態。
なんか出てきそうでこあいよ。

↑の人さ、system32の下にunlha32.dllてのができてないか？

>>967
ウィルスに感染してないけど、system32の下にUNLHA32.DLLはあるよ

>>968
うん、正規のUNLHA32.DLLは無害だしどうでもいいよ

>>967
ある・・・更新日時がｳｲﾙｽにかかった日時・・
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>970
それも削除しておいて

以下、ですの解析者用メモ

「二択」
Winrarアイコン
OEP=00001268, VB6

「胸中」
Windowsフォルダアイコン
ASPack2.12
OEP=001450, VB6
UNICODEで"USERNAME" "のデスクトップ.bmp", "まだ懲りないの？.bmp",
"\UpdateTmp\","system32\Unlha32.dll"等のテキストを確認可

「偽装解除」
MSDOSアプリケーションアイコン
PESpin 0.3x - 0.4x -> cyberbob(?未確認)
OEP=(?未確認)

>>971
レスサンクス。削除しますた。

次スレよろ
↓

Winnyを狙ったワーム・ニュイルス情報 Part34
http://tmp4.2ch.net/test/read.cgi/download/1108905276/

デスノートン　の「胸中」
てあたりしだい落として
アンチソフト（トレンド、ノートン）オンラインスキャンなども
したけど、検索にかからないね。新種だわ、ブル））

帰られてしまうデスクトップの壁紙って具体的にどんなのになってるの
絵とか字？具体的に教えて、

>>498

>>975
「胸中」のリソースとして含まれるのは、
BMP壁紙：縦書きの文字”晒されたっていいじゃない　泥棒だもの　ぬるぽ”（白地に黒）”ぬ”(赤) 1024x768
アイコン：フォルダの絵(偽装用)、UNLHA.DLLの文字（ニセUNLHA32.DLL用）、白地に黒の時計の絵

>>974
乙です

>>975にもあるけど

各種onlinescan10ヶとNODの結果(Avastとかもやりたいけどインストめんどいのでパス)
デスノ .bat　　mcafee
デスノ 胸中　なし
HHのやつ　　　mcafee,NODアドバンスドヒューリスティック

まあジョークソフトも含まれてるだろうから検出できなくてもしょうがないのかな…

検出できなくて当たり前
できたらラッキー

ぐらいの考え方じゃないとP2Pなんてやってらんない

>>980
勇敢というよりはただの低スキルのバカだな

えーと……
俺宛に言ってるのか？

俺はノートン先生とかを過信すんなって言いたかっただけなんだが。
先生に限らずアンチウイルスソフト全般についてだけど。
何か変なこと言った？

スーパーハカーがあらわれた！

アイアイ

ぬゑぽ

　　　　　　　　　 ＿
　　　　　　ミ　∠＿）
　　　　　　　　　/
　　　　　　　　 /　　　＼＼
　ｳｲｰﾝ　　Γ/了 　 　 |　|
　　ｳｲｰﾝ　 |.＠|　　　　|　|　ｶﾞｯｶﾞｯｶﾞｯ
　　　　　　　| / | . 　 　 人
　　　　　　　|/　|　　　 < 　>_Λ∩　>>985
　　　　　 ＿/　 | ／／. Ｖ｀Д´）/
　 　 　　（＿フ彡 　 　 　 　 　 /

┌─────────────────────────────────────────────────
│985 □ あぼ〜ん □ あぼ〜ん □ あぼ〜ん □
└─────────────────────────────────────────────────

こっち埋めんの？

埋めたければ埋めればいい

>>958
私もそのファイルを踏んでしまってタスクが起動しない＋スタートから終了出来なくなってしまいました。
でsystem32にあるtaskmgr.exeを見たところ色々と変なところがあったので、
他のXPのタスクマネージャーの実行ファイルを見たところファイルの大きさが違いました。10k位と100k位の差
で、その感染していないXPからtaskmgr.exeのファイルをコピーしてsystem32に貼り付けたところ、
ファイルを変えられ、又、10kバイト程度のファイルになってしまいました。
的当に何回か連打して貼り付けたら普段のファイルの容量より大きくなった時があったけどそのまま無視して貼り付けて、放置したところ、
書き換えが起こらなくなりました。

その後、Ctrl+Alt+Deleteボタンを押すと以前の様にタスクマネージャーが表示されるようになりました。


【環境】
XP taskmgr.exeを一応読み取り専用に変えたが効果は不明（書き換えられたから）


もしかしたら、書き換え側でバグが発生しただけかも知れないので何ともいえないですが、とりあえず出来たので(ﾟдﾟ)ｳﾏｰ
ものすごく厨な直し方かも知れないけど一応書きました。
他に良い直し方があったらヾ(ﾟдﾟ;) ｽｯ､ｽﾏｿ
スタート→終了はどうやって直せばいいんだろう＿|￣|○

うｍ

>>990
>>732してクリーンインスコ

　 　 　 ＼∧＿ﾍ　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣
　,,､,､,,,　/ ＼〇ノゝ∩ ＜　1000とり合戦いくぞｺﾞﾙｧ!!　　　　　　　,,､,､,,,
　　　　/三√ ﾟДﾟ)　/　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿　　,,､,､,,,
　　 　　/三/| ﾟＵﾟ|＼　　　　　　,,､,､,,,　　　　　　　　　　　　　　　　　　　　　　　,,､,､,,,
　,,､,､,,,Ｕ （:::::::::::）　　,,､,､,,,　　　　　　　　　まだ早えよ〜ܷܵܶ
　　 　 　//三/|三|＼　　　　　　　　　　　　　　ﾀﾘｰ
　　　　　　∪　 ∪　　　　　（＼＿／）ﾀﾘｰ　　　　ﾀﾘｰ 　　1000ってなんだよ〜
　　　　　　　　　　　　　　　　（　　´Д） 　　猫でし　 ﾀﾘｰ
　　　　　　　　　　　　　　　　/ 　　つ 　（＼＿／）　　　（＼＿／）ノ⌒ヽ､
　　　　　　　　　　　　　　　（_（＿＿つ⊂(´Д｀⊂⌒｀つ（´Д｀　）＿人＿_） ))

994

995

996

7

8

999!!!

1000！

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。