P2Pを狙ったニャーム・ニュイルス解析班 Part53

このエントリーをはてなブックマークに追加
207[名無し]さん(bin+cue).rar
(一般コミック・雑誌) [ジャンプ] [2006-18] DEATH NOTE Page.103 「宣言」.zip 6,977,397 

をWinrarで中身を見ようとして誤って中のexeファイルをダブルクリックしてしまいました。
ノートン2005は反応せず、スキャンしてもウイルスは出ませんでした。
山田やキンタマスレも見ましたが違うみたいです。
どなたか情報お願いします。
208[名無し]さん(bin+cue).rar:2006/03/30(木) 13:39:49 ID:FKOP5v9P0
これをきっかけにほとんどのプロパイダで同様の規制が始まると読んでるんだろ
あと一部のP2P使用者がやめてもそれで回線が空けば
そっちのメリットの方がデカいと考えてるんだろ

P2P利用者はまだまだ少数派なんだし。
209[名無し]さん(bin+cue).rar:2006/03/30(木) 13:41:30 ID:FKOP5v9P0
>>207
お前みたいな違法にWinny使う奴のせいで規制される結果になった
自業自得。自己責任
自分の尻は自分で拭きましょう
210[名無し]さん(bin+cue).rar:2006/03/30(木) 13:43:24 ID:GW5KTTEn0
>>206
こういう考えに既に自分の願望が多分に含まれている事に気づかないのかな
211[名無し]さん(bin+cue).rar:2006/03/30(木) 13:48:22 ID:KKz/oT0Y0
>>207
とりあえずレジストリのRUNエントリとスタートアップフォルダを調べてみて
怪しい値やショートカットがないか調べる
怪しいものを発見したらそれをgoogle等で調べてみる
調べてみてそれがウィルスとかだったら削除

それと平行してタスクマネージャーを立ち上げて怪しいプロセスが無いか調べる
sys.exeやupdate.exeがあったら要注意だしsvchost.exeでsystem32以外の物も非常に怪しい
212[名無し]さん(bin+cue).rar:2006/03/30(木) 13:51:50 ID:cYg+oGWo0
ジブリアイコラゲームロリータ07個人情報詰め合わせサントラまんこanime素人.MAME処女膜06銭湯声優フェラHCG.exe
213[名無し]さん(bin+cue).rar:2006/03/30(木) 13:52:52 ID:FZA0RHVo0
>>207
.exeだけパス掛けてうpしてくれ
214[名無し]さん(bin+cue).rar:2006/03/30(木) 14:00:51 ID:/onie6Qf0
>>209
すいません、その通りです。駄目だったら諦めてクリーンインストールします。

>>211
ありがとうございます。スタートアップには怪しいものはありませんでした。
レジストリチェックしてみます。

>>213
ttp://whiteband.sakura.ne.jp/uploader/upload.html

のup1545.rarにアップしました。Passはsageです。お願いします。
215[名無し]さん(bin+cue).rar:2006/03/30(木) 14:02:00 ID:sTm3Hj700
いま同人板を爆撃中の奴
Search.txtかDownload.txtの中身を書き込んでるっぽいな
216[名無し]さん(bin+cue).rar:2006/03/30(木) 14:05:28 ID:7+kLJWeB0
>>214
一応VirusTotalの結果を張っとくね(意外にもAVGが頑張ってる)

This is a report processed by VirusTotal on 03/30/2006 at 07:05:06 (CET) after scanning the file "up1545.rar" file.

AntivirusVersionUpdateResult
AntiVir6.34.0.1403.29.2006no virus found
Avast4.6.695.003.29.2006no virus found
AVG38603.29.2006PSW.Generic.AGB
Avira6.34.0.5403.29.2006no virus found
BitDefender7.203.30.2006no virus found
CAT-QuickHeal8.0003.29.2006no virus found
ClamAVdevel-2006020203.29.2006no virus found
DrWeb4.3303.29.2006Trojan.PWS.Ruby
eTrust-InoculateIT23.71.11503.30.2006no virus found
eTrust-Vet12.4.214103.29.2006no virus found
Ewido3.503.29.2006no virus found
Fortinet2.71.0.003.30.2006suspicious
F-Prot3.16c03.28.2006no virus found
Ikarus0.2.59.003.29.2006no virus found
Kaspersky4.0.2.2403.30.2006no virus found
McAfee472903.29.2006no virus found
NOD32v21.146103.29.2006no virus found
Norman5.70.1003.29.2006no virus found
Panda9.0.0.403.29.2006no virus found
Sophos4.04.003.30.2006no virus found
Symantec8.003.30.2006no virus found
TheHacker5.9.7.12203.30.2006no virus found
UNA1.8303.23.2006Trojan.Spy.Win32.Kakkeys
VBA323.10.503.29.2006Trojan.PWS.Ruby
217[名無し]さん(bin+cue).rar:2006/03/30(木) 14:14:39 ID:dDmbgo8l0
>>214
UPX圧縮がかかってるみたいだから、バイナリエディタで開いただけ
じゃわからんかった。他のひと助言ぷりーず。
218[名無し]さん(bin+cue).rar:2006/03/30(木) 14:20:59 ID:c7MwuXoW0
>>214
ご丁寧にもUPX圧縮されてるね。
あまり詳しくないのでなんともいえないけど・・・。
爆撃型のウィルスではないっぽい。
Portとか8080の文字列があるところからみたら山田系かも。
これ以上はわからんです。間違ってたらスマソ。
もっと詳しい人、よろです。
219[名無し]さん(bin+cue).rar:2006/03/30(木) 14:36:09 ID:WfNezqnn0
UPXならすぐ解凍できるね
220[名無し]さん(bin+cue).rar:2006/03/30(木) 15:02:05 ID:c7MwuXoW0
>>218補足
Delphi製かな?Delphi詳しくないんでわからんけど。
何故か、foobarなる文字列がやけに多い。
HKEY_CURRENT_USER\Software\foo
HKEY_CURRENT_USER\Software\foo\bar
なるレジストリを生成?ちょっと微妙です。^^;
>>214
一応レジストリで上の2つがあったら消したほうが良いかも。

解析にもなってないですが、何かの参考になれば・・・。
間違ってたら痛いな。orz
221[名無し]さん(bin+cue).rar:2006/03/30(木) 15:03:21 ID:5w9zOsOC0
>>207
毎回思うんだけど中身確認する必要なくない?
そのまま漫画ミーヤに突っ込めば画像は見れるしEXE排除のツールもあるし・・・。
222207:2006/03/30(木) 15:14:43 ID:/onie6Qf0
みなさんありがとうございます。色々回ってみた結果山田オルタだったみたいです。
コマンドプロンプトnetstatでLocal Address8080確認しました。
よく確認しないで山田ではないと決め付けてしまい、皆さんにご迷惑おかけしました。
駆除サイトが落ちてしまっているようなのでクリーンインストールしようと思います。
ありがとうございました。危険なのでアップしたものも削除します。
223[名無し]さん(bin+cue).rar:2006/03/30(木) 15:54:13 ID:7uxWww0p0
ああん。落とし損ねた。

山田だとしたら新種かな?
224[名無し]さん(bin+cue).rar:2006/03/30(木) 16:13:03 ID:fcLSu0IC0
>>222
なんでそういう結論になったんだ?
これは山田でもオルタでもない。単なる掲示板爆撃型。
225[名無し]さん(bin+cue).rar:2006/03/30(木) 17:40:43 ID:fgNEwqE50
ttp://internet.watch.impress.co.jp/cda/news/2006/03/30/11447.html
KDDIの社員情報186人分などがWinnyネットワーク上に流出
226[名無し]さん(bin+cue).rar:2006/03/30(木) 17:54:17 ID:cBGwntSo0
いいかげん、みんなで晒せば怖くない報道あきた
227[名無し]さん(bin+cue).rar:2006/03/30(木) 18:05:34 ID:bok3OQtR0
>>218,220
ruby+Exerb製だよ。

>>222
8080番ポートを使ってるからといって山田とは断定できんよ。
sys.exeやupdate.exeみたいな怪しげなプロセスがそれらのポートで通信していることで初めて山田の疑いがある。
228207:2006/03/30(木) 18:10:34 ID:/onie6Qf0
>>224 >>227
8080portが使われてたので山田かと思いました。
確かにsys.exeもupdate.exeもありませんでした
229ひみつの文字列さん:2024/12/23(月) 09:44:58 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。