P2Pを狙ったニャーム・ニュイルス解析班 Part53
(一般コミック・雑誌) [ジャンプ] [2006-18] DEATH NOTE Page.103 「宣言」.zip 6,977,397
をWinrarで中身を見ようとして誤って中のexeファイルをダブルクリックしてしまいました。
ノートン2005は反応せず、スキャンしてもウイルスは出ませんでした。
山田やキンタマスレも見ましたが違うみたいです。
どなたか情報お願いします。
これをきっかけにほとんどのプロパイダで同様の規制が始まると読んでるんだろ
あと一部のP2P使用者がやめてもそれで回線が空けば
そっちのメリットの方がデカいと考えてるんだろ
P2P利用者はまだまだ少数派なんだし。
>>207 お前みたいな違法にWinny使う奴のせいで規制される結果になった
自業自得。自己責任
自分の尻は自分で拭きましょう
>>206 こういう考えに既に自分の願望が多分に含まれている事に気づかないのかな
>>207 とりあえずレジストリのRUNエントリとスタートアップフォルダを調べてみて
怪しい値やショートカットがないか調べる
怪しいものを発見したらそれをgoogle等で調べてみる
調べてみてそれがウィルスとかだったら削除
それと平行してタスクマネージャーを立ち上げて怪しいプロセスが無いか調べる
sys.exeやupdate.exeがあったら要注意だしsvchost.exeでsystem32以外の物も非常に怪しい
ジブリアイコラゲームロリータ07個人情報詰め合わせサントラまんこanime素人.MAME処女膜06銭湯声優フェラHCG.exe
いま同人板を爆撃中の奴
Search.txtかDownload.txtの中身を書き込んでるっぽいな
>>214 一応VirusTotalの結果を張っとくね(意外にもAVGが頑張ってる)
This is a report processed by VirusTotal on 03/30/2006 at 07:05:06 (CET) after scanning the file "up1545.rar" file.
AntivirusVersionUpdateResult
AntiVir6.34.0.1403.29.2006no virus found
Avast4.6.695.003.29.2006no virus found
AVG38603.29.2006PSW.Generic.AGB
Avira6.34.0.5403.29.2006no virus found
BitDefender7.203.30.2006no virus found
CAT-QuickHeal8.0003.29.2006no virus found
ClamAVdevel-2006020203.29.2006no virus found
DrWeb4.3303.29.2006Trojan.PWS.Ruby
eTrust-InoculateIT23.71.11503.30.2006no virus found
eTrust-Vet12.4.214103.29.2006no virus found
Ewido3.503.29.2006no virus found
Fortinet2.71.0.003.30.2006suspicious
F-Prot3.16c03.28.2006no virus found
Ikarus0.2.59.003.29.2006no virus found
Kaspersky4.0.2.2403.30.2006no virus found
McAfee472903.29.2006no virus found
NOD32v21.146103.29.2006no virus found
Norman5.70.1003.29.2006no virus found
Panda9.0.0.403.29.2006no virus found
Sophos4.04.003.30.2006no virus found
Symantec8.003.30.2006no virus found
TheHacker5.9.7.12203.30.2006no virus found
UNA1.8303.23.2006Trojan.Spy.Win32.Kakkeys
VBA323.10.503.29.2006Trojan.PWS.Ruby
>>214 UPX圧縮がかかってるみたいだから、バイナリエディタで開いただけ
じゃわからんかった。他のひと助言ぷりーず。
>>214 ご丁寧にもUPX圧縮されてるね。
あまり詳しくないのでなんともいえないけど・・・。
爆撃型のウィルスではないっぽい。
Portとか8080の文字列があるところからみたら山田系かも。
これ以上はわからんです。間違ってたらスマソ。
もっと詳しい人、よろです。
UPXならすぐ解凍できるね
>>218補足
Delphi製かな?Delphi詳しくないんでわからんけど。
何故か、foobarなる文字列がやけに多い。
HKEY_CURRENT_USER\Software\foo
HKEY_CURRENT_USER\Software\foo\bar
なるレジストリを生成?ちょっと微妙です。^^;
>>214 一応レジストリで上の2つがあったら消したほうが良いかも。
解析にもなってないですが、何かの参考になれば・・・。
間違ってたら痛いな。orz
>>207 毎回思うんだけど中身確認する必要なくない?
そのまま漫画ミーヤに突っ込めば画像は見れるしEXE排除のツールもあるし・・・。
222 :
207:2006/03/30(木) 15:14:43 ID:/onie6Qf0
みなさんありがとうございます。色々回ってみた結果山田オルタだったみたいです。
コマンドプロンプトnetstatでLocal Address8080確認しました。
よく確認しないで山田ではないと決め付けてしまい、皆さんにご迷惑おかけしました。
駆除サイトが落ちてしまっているようなのでクリーンインストールしようと思います。
ありがとうございました。危険なのでアップしたものも削除します。
ああん。落とし損ねた。
山田だとしたら新種かな?
>>222 なんでそういう結論になったんだ?
これは山田でもオルタでもない。単なる掲示板爆撃型。
いいかげん、みんなで晒せば怖くない報道あきた
>>218,220
ruby+Exerb製だよ。
>>222 8080番ポートを使ってるからといって山田とは断定できんよ。
sys.exeやupdate.exeみたいな怪しげなプロセスがそれらのポートで通信していることで初めて山田の疑いがある。
228 :
207:2006/03/30(木) 18:10:34 ID:/onie6Qf0
>>224 >>227 8080portが使われてたので山田かと思いました。
確かにsys.exeもupdate.exeもありませんでした
229 :
ひみつの文字列さん:2024/12/23(月) 09:44:58 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。