Winnyを狙ったワーム・ニュイルス情報 Part36

このエントリーをはてなブックマークに追加
734[名無し]さん(bin+cue).rar
仁義キンタマ.exeをeXeScopeなどのリソースエディタで開いて、
リソースFILE>ST2をファイルに書き出す。そして、先ほど書き出
したファイルをスキャンすると、

先生:Trojan.Sientok
バスター:TROJ_UPBIT.A

として検出される。
使った仁義キンタマ本体はCRC32:BEC3828Bのみ。
本体は先生がAntinny.G、バスターがAntinny.ABとして検出した。
735[名無し]さん(bin+cue).rar:2005/04/05(火) 15:36:38 ID:+cmdL+lS0
他の亜種の仁義キンタマにも同じものが入ってると思う(未確認)。
736[名無し]さん(bin+cue).rar:2005/04/05(火) 18:23:02 ID:To61ENb00
>>734
仁義なきキンタマ x3
仁義あるキンタマ
仁義なき市原憲克 x2
前戯なき市原憲克

合計7種類とも同様です。

これらがすべてTrojan.Sientokとして動作するなら、仁義なきキンタマには
容赦なき攻撃性(wがあるということですな。
737[名無し]さん(bin+cue).rar:2005/04/05(火) 18:49:02 ID:Y/XfZW/70
何時になったら放流が止まるんだろう?

落としても、落としても、落ちてくる・・・
738[名無し]さん(bin+cue).rar:2005/04/05(火) 19:48:16 ID:tmHyPqjG0
antivir使ってるんだけど、新しいフォルダ.exeみたいな
2バイト文字のファイル名だと検出しない(仕様)。
パターンファイル自体は仁義本体&svchostに対応済なので、
ファイル名直せば反応する。市原本体は未対応。
739[名無し]さん(bin+cue).rar:2005/04/05(火) 22:21:00 ID:QN2om1fQ0
Trojan.Sientokは、単独で他のワームに寄生したりしないか?
手持ちのTrojan.Sientokは、295,936bytesの単体で、crc32はBE82BE73なんだが…
(↑どこから入手したか忘れたんだが、何かに混在してたexeだと思う)
740[名無し]さん(bin+cue).rar:2005/04/05(火) 23:47:56 ID:tmHyPqjG0
Trojan.Sientokのアタック実行部は、内蔵されているAGENT。
これを%System%\ms[ランダムな文字].exeに展開して実行する。
アタック先URLは次のような文字列で格納されている。
"616363736A702E6F722E6A70"
これをバイナリ→アスキー変換すると"accsjp.or.jp"となる。
741[名無し]さん(bin+cue).rar:2005/04/06(水) 00:36:50 ID:lvtPBKUP0
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sientok.html
>%System%\wbem\[長い空白が含まれる日本語].exe として自分自身をコピーします。

まとめサイトの確認方法と駆除に
http://nemoba.seesaa.net/article/2479117.html
>C:\WINDOWS\system32\wbem\     .exe
ってのがあるから

Trojan.Sientokは動いてる可能性高いね。