Winnyを狙ったワーム・ニュイルス情報 Part64

魂→必中→ひらめき→サンアタック
熱血→必中→ひらめき→ストナーサンシャイン
魂→集中→ハイパーオーラ斬り
熱血→必中→ひらめき→ムーンアタック
魂→ひらめき→スターライトブレイカー
魂→必中→幸運→ウィルスバスター

これくらいやらないと勝てない

・拡張子表示
・落としたファイルはまずスキャン
・zipは解凍前にwinrarで中身チェック
・exeを踏むときは白装束

基本は徹底しなきゃいかんな･･･

・Winnyを使わない
↑これ忘れてるよ！！

ttp://www.imgup.org/iup460713.jpg

ﾜﾛﾀ

8:58
　　＿＿＿＿＿＿＿＿＿
　（ 情報流出を防ぐには ）
　　￣￣￣￣￣￣￣￣￣
　＿＿＿＿＿＿＿＿＿＿
│ウィニーを使わない　　│
　￣￣￣￣￣￣￣￣￣￣
　＿＿＿＿＿＿＿＿＿＿
│パソコンを2台持ち　　 │
│2台とも海に捨てる　　 │
　￣￣￣￣￣￣￣￣￣￣　

そんな話もあったなぁ

ハルヒウィルス-Mk2踏んじまった。マウスの調子が悪くて、シングルクリックのつもりがダブルクリックに・・・

長門の例の画像が表示されたらすぐにタスクマネージャ→起動したファイル名のプロセスを落としてとまったぽい。
起動場所はnyのdownフォルダ

被害は、down、cache含むそのnyのフォルダ内のファイルほぼ全てと、C:\Program Files内の一部が長門画像に置き換わった
画像は.GIFと.BmPの2種類あった。
置き換わった画像名は、「元のファイル名　　　　　.GIF」とか「元のファイル名　　　　　.BmP」
他のプロセスによってロックされているファイルは、ファイル名だけ上記のように変化していたが、ファイル自体は例の画像になっていなかった。
ファイルサイズもまちまちなので、確認はしていないが元のファイルのままかもしれない。

C:\FL.txt
C:\LOGOS.txt
C:\AMAZON.jpg
C:\AMIGO.jpg
という4つのファイルが生成されていたのを確認
スクリーンショットや情報流出のファイルは確認できなかったが、作成しなかったのか送信後削除したのかは不明。

C:\FL.txt
置き換えた例の画像が絶対パスでリストされている「C:\nyfolder\down\ファイル色々.avi .GIF」て感じでずらずらと。

C:\LOGOS.txt
nyのdownフォルダとnyのフォルダが絶対パスでリストされている、といっても2個
cacheとかがないのが謎

C:\AMAZON.jpg
いわゆる例の画像。なぜかjpg。1.09 MB (1,152,054 バイト)でかい。たぶんexe起動時に見せるようかも。

C:\AMIGO.jpg
いわゆる例の画像。これもjpg。281 KB (288,054 バイト)小さい。jpgだがサイズ的にファイル置き換え用。

行数制限回避のため改行減らしたから、読みづらくても泣かない。

>>362
落としたファイル、ハッシュ、使用アンチウイルスぐらい書いていってくれ

HDDが激安なんだからトゥルーイメージで外付けに
バックアップなりクローンHDDを作っておくほうがいいよ。
俺はそうしておいたから復旧早かった。
年賀状ソフトやプライベートｊｐｇ、エクセルファイルも外付けに保存する体制にするべき。
ルーターは有線でキーボードの横に設置して通信を常に監視するようにする。
アンチウイルスをブロックする奴もあるのでアンチウイルスソフトはあまり信用しない。
テンプレにあるように
ダウンロードしない体制
踏まない体制
踏んでも被害最小の体制
の３段階の体制を作ることだと反省したよ。

PCの電源を落としておけば絶対に感染しないよ

↑でも固定IPと氏名住所晒されたりとかしたらそんな事しても意味ないよな....(山田)

　＿＿＿＿＿＿＿＿＿＿＿
│パソコンを2台持ち　　 　　│
│1台はウィニー専用にする│
　￣￣￣￣￣￣￣￣￣￣￣　

それをいっちゃおしまいよ。

　＿＿＿＿＿＿＿＿＿＿＿
│パソコンを2台持ち　　 　　│
│２台ともウィニー専用にする│
　￣￣￣￣￣￣￣￣￣￣￣　

ttp://www.rupan.net/uploader/download/1189608501.JPG

>>370
あいかわらず汚いデスクトップだな

ほんとくだらないウィルスだな＞mk2

山田とか谷口とかの方がくだらんだろ！
情報晒してただ楽しんでるだけだし

>>363
落としたファイルはすでに駆除されたよ
ハッシュはny関連ファイルがexeも含めて全て例の画像にされちゃったから分からない。

アンチウィルスは以下な感じ。ちなみに全部オンラインスキャン。
ノートン：検出
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-061914-4127-99

トレンドマイクロ：検出せず

BitDefender：検出せず

ESET：検出
variant of Win32/Haradong trojan(* ページ見つからず)

Kaspersky：検出せず

重いなぁと思ってタスクマネージャーを開いたら〜e5.0001ってタスクがあるんだけど大丈夫なのだろうか？
ググった所Civ4やバトルフィールド２では同じような症状が出るらしいんだが…

オイラもMk2踏んでしまった。
タスクマネージャーでMk2を止めて、再起動したら、また活動開始・・・
画像が出て、アラート音が絶えず鳴りっぱなし・・・

システム復元で何日か前の状態に戻すと、いちお止まった。
ＣドライブにＳＳが3枚ぐらいフォルダーに収めてあった・・・
Program Filesの中はＳＯＳファイルに変換されてる・・・・ｏｒｚ
（書き換えられたファイルは１３００を超える・・・）
最初にｔｘｔファイルから重点的に書き換えていくような感じだ・・・

バスター２００６は無反応（笑）

再インスト始めないと・・・

踏んだファイルのハッシュが消えてもファイル名ぐらいは分かるだろ

MK2の画像の左下に出てる番号は何？

ハルヒmk�U　踏　み　ま　し　た
なのはの最新話avi　GOMアイコンだったから油断したわ
反射的に電源落としたしそれなりの防衛策もしてたから
どうでもいい動画が数個消えただけですんだけど

とりあえずクリインスコ中

ハルヒ報告してるのって原田臭い

【使用OS】
WindowsXP
【感染方法】
拡張子が.folderに変更されたHTMLから
【症状】
PCを起動すると、｢iexplorer.exe｣が起動して、
何分かごとにデスクトップのスクリーンショットが撮られてしまいます。(バグザロック ユーザー名.bmpまたはzip)
その他の症状は、まだ見つかってません。
【これまでにとった措置】
タスクマネージャのプロセスで「iexplorer.exe」を終了。
「iexplorer.exe」を削除。　レジストリエディタの「iexplorer.exe」を削除。
CD/DVDドライブのAutorunを切。　システムの復元を無効。
そしてPCを再起動すると、「iexplorer.exe」が復活。
マカフィーのオンラインスキャン、トレンドマイクロのWinny悪用ウイルス専用駆除ツールでは、ウイルス発見出来ず。

駆除方法が分かる方いましたら、教えて下さい。　お願いします。

さいいんすこ

>>381
再インストールが確実だが、Kasperskyなら検出可能かもしれん。
ハルヒウィルスMk2を探すときKasperskyで「.folder」を検出した気がする。
「.folder」のほうは感染前だけどな。

バグザロックの亜種なあ・・・。
.folderに新しい脆弱性なんかあったっけか。

とりあえず古い対処法
http://www.google.co.jp/search?q=site%3Awww.trendmicro.co.jp+TROJ_KAKKEYS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Winlogon
○Shell = "EXPLORER.EXE"
×Shell = "C:\:.exe -s explorere.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
○AlternateShell = "CMD.EXE"
×AlternateShell = "C:\:.exe -s cmd.exe"

>>382
データをバックアップする環境が無いので、再インストールは・・・

>>383
Kasperskyのオンラインスキャンを試してみましたが、検出されませんでした。

>>384
「C:\:.exe -s explorere.exe」と「C:\:.exe -s explorere.exe」も削除したら「iexplorer.exe」が復活しなくなりました！
ありがとうございます！

お答えして下さった皆さん、ありがとうございました！

この前スパイダーマン３とダイハード4.0おとしてみた。
.aviを確認してスキャンかけて再生してみたら、どっちも1G以上のサイズなのに
すっげー短いAVでした。これって映像以外になんかやばいものが入ってたりするのかな？
気になって仕方ない。とくにPCに不具合はでてないんですけど･･･

（´・ω・）

俺も昔もふもふぼん太くんに偽ファイルつかまされたことあったな

ただの偽ファイルってことでOKですか？

>>389
隅々まで見れば載ってる
http://myhome.cururu.jp/dreamtkds/blog

>>390
誤爆？
なんかすごいブログだけど

>>389
二重拡張子じゃなきゃ大丈夫じゃないか？
なんか最近ただのaviでも感染するとかいう話聞くけど
それならもっと被害者出てると思うし

おめぇら信心がたりねぇんだよ

>>393
犬作によろしくおつたえください

うるせぇ
信ずるものは統一教会だ

>>390
信心がたらず分かりませんでした。
>>392
二重拡張子ではなかったと思います。単にホンモノっぽくみせるために
サイズを大きくしてただけですかね･･･

ｍｋ�Uより谷口のほうが怖いよ

>>396
どうしても気になるんなら再インストール
ウィルススキャンかけて何も検出されなかったんなら
とりあえずシステムの復元で動画踏む前のレジストリに戻しておけばいいのでは？
てかハッシュ検索とかして信用できそうな奴落とせばいいと思うんだが
あとできればハッシュ晒してくれ

無圧縮のaviじゃないのか?
真空波動研で調べてみたのか?

無圧縮aviなら数秒・数分でも恐ろしいサイズでご提供

谷口ツマンネw

これを実行すると夢が叶うよ.scr

ttp://zip.2chan.net/11/src/1189520829553.jpg.scr

>403
GJｗｗ　俺涙目wwww

初めてウイルス踏んだけどトロイで良かった
ノートン先生が防いでくれたんだけどトロイって色々削除しちゃう系のものだよね？
暴露系かよくわからないからすぐに回線ひきちぎったけど
スキャンで出てこなけりゃ安全だよね？

そうだな

↑おい何か勘違いしてねぇか？
無反応で安全って.....。
あとトロイも削除しちゃうだけでなく色々暴露もするぞww

ttp://zip.2chan.net/11/src/1189520829553.jpg　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.scr

>>407
サンクス
早速OS再インストールしてくる
暴露されるの怖いからネットも切断しちゃって
色々調べられなくて困ってたんだよね
さすがにネットに繋げなければ流出は防げるでしょ

>>405
おま、トロイは不正プログラムだ
何でも出来るんだよ

てかスキャンして出てこなくてもノートンが対応してなかったらどうすんの
まぁ上のアドレスを踏んだだけなら別に大丈夫だが

>>408
ブラクラ注意

>>379
＞ GOMアイコンだったから油断した

これってどうなんだろうか？
使用者の関連付けに合わせて偽装するアイコンを変えるとかってできるんだろうか？

＞aviファイルでWMPのアイコンだったから、何も考えずに踏んだ…

>>412
そんなことせんでも、アイコン変えて数種類流すだけの話。
拡張子を見ない魚類がhitする。

>>414
GOM使用者なのにWMPのアイコンのハルヒmk�Uを踏んだ私は、一体何類なのでしょうか？

winnyをおつかいの皆様へ.src

踏んだ奴はレス番号の数だけ腕立て伏せな

>>415
黒い山葡萄原人

穴があればなんでもかんでも入れたがる奴と
リンクがあればなんでもかんでも踏みたがる奴が多すぎるｗ

>>398
今の所不具合は出てないんですが、システムの復元しときます。
あとハッシュは控えてませんでした。ありがとうございました。
>>399
真空波動研でチェックしませんでした。危機感が欠如してますね･･･
>>400
無圧縮だと数分程度でも、1Ｇ位になるもんなんですね。知りませんでした。

アドバイスありがとうございました。

はやく２台体制確立せい。
専用機持つともう恐いものは何もないぞ。
ウイルスだって平気で踏めるｗ
わずか３万円ぐらいで安心買えるぞ。

３万で変える紋なんですか？

ペン４の１．６ギガぐらいのメーカー品をヤフオクの落札価格見て見ろ。
ソフマップでもモニターなんか古い１５インチ３０００円、
ハードオフなんかキーボードやマウスなんか１００円。
自作なら本体２マンぐらいのゴロゴロしてる。

>>423
わお！！調べてみます
ありがとです＞＜

でも固定IPと住所氏名送信されたら意味無いんだけどねー
専用機も

住所氏名って・・・
何のための専用機だよ

>>425
ny、share専用機に個人情報を書く馬鹿

>>425
おまえが美少女だったら評価に値する
男ならただの馬鹿

多分パンツにも名前書いてるぞ

修学旅行で風呂場に忘れて大恥掻いちゃうタイプか

木下の〜
穿いてるパンツ
山下の〜

[system653.exe]の削除の仕方教えてください。起動のたびに[きんもーっ☆] というフォルダが勝手に作成されています。

つ強制削除ツール←検索

>>432
>>33

Win32:Antinny-A [Wrm]　というウィルスが発見されました　とAvastとAd-Wareで出るのですが、
ググって見ても日本語の検索結果がなく、詳細がわからないのですが、これはやはり危険なウィルスなのでしょうか？

落としたのはエロとか映画ではなく、普通の動画で拡張子はaviでアイコンも普通になっており、exeなどが
ついてないのですが、削除したほうがいいでしょうか？

SS見せて

はっしゅ

>>435
極窓

ハッシュはe66bad061298ce90f75bf28a8d63b3d9です。ちなみにオンラインスキャンでは
何も見つかりませんでした。

その動画は再生したのか？
してないなら問題ない

３件しかヒットして

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

やれやれ。

お開きお開き

ﾜﾛﾀｗｗｗ

引越しのバイトでもしたほうが良いな

動画は結局再生していないですが、ウィルスは本当にはいっているのでしょうか？

１〜４まで全てにウィルスがある　とでるのですが・・

>.avi.lzh
こんなのどう見ても怪しいだろーがw

まさかと思うが、拡張子を非表示にしてるとかじゃないよな？

そんな希ガス

　　　　　　　　 , -‐ ､, -─-- ､.,_
　　　　　　　 ,.i　（:::）!　　　　　　 ｀ヽ,. -､
　　　　　　 ./　ゝ-‐'　　　　　_____　 !. （::）　
　　　　　_,./__,,. -‐ ''"´￣￣｀"'' .､｀ヽ,ｰ:'
　　,. ''"´　/´　/　;'　　;' ;'　!　 /!　 ;｀ヽ,ヽ､
　　'.､　　.;'　　 ',　i 　 ﾊ＼/|／ !　ﾉ!　,!ヽ,. ヽ.
　　　 ｀Y　　　 i Vﾚ'7´;' ,ﾊ　　　ﾚ'_」ソﾉ., ', 　 ';
　　　_ノ　　 　 i ,ﾊ　i.　'､_ｿ 　　　;',ﾊY.ノ　i　　 i 　　くせーんだよおまえらｗぼこぼこにしてやんよｗ
　　　｀.>' 　　　（__⊂⊃　 　　 　 '､ｿﾉ!イﾚ'　 ノ　　ﾊﾞﾊﾞﾊﾞﾊﾞﾊﾞﾊﾞﾊﾞﾊﾞﾊﾞ
　　 ∠._ 　　ﾉ　 |　|､　　　 ､_,､_, 　⊂!_）‐''"´
　　　　　レ'´ヽ､ !　iｿ＞,､.,,_　 _,,. イ　|ヽ.＿　）￣＝＿ ￣＿￣）
　　　　　　　　 'ｧ|　 !＞;｀ヽ､「､,ハ.|　 !ﾍ）　　--＿- ― ＝￣　￣`:,
　　　　　　 　 /　! 　!､::ヽ､.,___ﾉヽ. !　 |_,-''￣　　＝　＿＿――＝'
　　　　　　　,:'　　｀ヽ! ';::::::::ヽ::｀'; 'レﾍ!""　　　＿-―　￣＝＿　　）
　　　　　　 /　_,,. -‐rｧ-､:::::::::::::::::　　__,,, ＿―　￣＿＝＿　　`　））
　　　　　　;' ｧ'´　　 i,/￣｀ヽ;::::::::::|　　―＝　＿　）￣＝＿）　　 ＿）
　　　　　　!　　　　 | !_____,r'::::::::::::|＝　＿　）＿　＿ ）＝　　＿）
　　　　　　｀ヽ.　 　 「!::::::::!|--‐-┤　　　　　　　　＝　＿）
　　　　　　　 ,.ﾍ　　 ',ゝ､ノ/:::::i:::::::＼　　　
　　　　　　／:::/｀'';ｰ--‐'/::::::::!::,o-oヽ.
　　　　　く:::::::/:::::/ ,.-r'::::::::::::::;::'ﾆﾆヽ::;ゝ

ごめんくさい

新種/亜種 (屮ﾟДﾟ)屮 ｶﾓｰﾝ

AVIウイルスくるかな　むりかな

　　　.avi
　　　　　　　　　　　　　　　　　　　.exe
　　　　　　　　　　　　　　　　　






　　　　　　　　　　　　　　　　　　　　　　.mpg