Winny経由で広まるトロイの木馬「Nullporce」登場！

ファイルを実行しなくても感染するタイプのAntinny系トロイの木馬、「Nullporce」の亜種が登場した。

Nullporceについては、現時点ではトレンドマイクロが「TROJ_NULLPORCE.A」として対応を開始している。
だが、これは今年4月に登録されているものなので、ここで言うNullporceはどうやら亜種のようだ。

Nullporceは、ユーザーが実行しなくても感染するというのには訳がある。
このファイルは、ユーザーが意図せずとも起動してしまうのだ。
その仕組みに使われているのが、先月末ごろに話題になった「圧縮ファイルの脆弱性」というヤツだ。

一言で説明すると、このトロイの木馬は圧縮ファイルの中に以下のような感じで含まれている。

..\..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\NULLPORCE.EXE
（この「NULLPORCE.EXE」は実際には別ファイル名だが、実行ファイル形式だ）
もしもファイル展開のテンポラリがC:ドライブで、かつルートから6階層より浅い作業フォルダを使っている場合、
7月末までに公開されていたたいていのアーカイバは、このファイル名を忠実に再現しようとする。その結果は、

\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\NULLPORCE.EXE
という形で展開される。つまり、Windows XPでは起動時に必ず実行されるフォルダにトロイの木馬本体が送り込まれるのだ。
これが「実行しなくても感染」のカラクリである。

実行のアイディアとしてはなかなかよくできていて、実装も容易なので、早速こうした亜種が登場したというわけだろう。
2ちゃんねるのログを見るとやはり、7月末にはこの形式のファイルが登場している形跡が見受けられた。

オリジナル（？）のNullporceは、どうもWinnyとは関係なく、時限作動式の爆弾（ドライブ内のファイル消去）を行うだけである。
だが、Winnyを通じて現在放流されつつある亜種は、なかなかオチャメな動作をしてくれるようだ。被害者の弁によると、

「マシンを再起動したらいきなり『かっとばせ　ヌルポーズ』というダイヤログが開き、そこに表示されたメッセージは

http://image.itmedia.co.jp/enterprise/articles/0408/12/zu05.jpg

で、バックには『ねらい撃ち』のメロディが流れる。
そしてデスクトップアイコンがすべて消えた……ヤラレタと思いましたよ」。
http://www.itmedia.co.jp/enterprise/articles/0408/12/news038_2.html
（記事一部引用）

>>1　ｶﾞｯ

２げｔ

以下ヌルポ＆ガッ禁止
　　↓

変なところで改行があり読みにくかったです。

ぬるぽ

ｶﾞｯ

画像ファイル、もう未練よ。

うわあｗ

このスレの半分が例のレスで埋まる伊予柑

ぬるぽ？

またお前らか

ぬるぽ

>>11
ｶﾞｯ

作者は2ちゃんねらー

感染した「被験者」はそれなりにスキルがあったので、
このダイヤログの「OK」ボタンを押すのはマズイと判断。
CTRL+ALT+DELを使ってタスクマネージャーを起動し、
怪しいプロセスをともかく終了（とともに「ねらい撃ち」も止まった）させた。
次にファイラで感染源と思しきファイルを探した
（と言っても、「オートラン」だと目星が付いていたので、自分とall Usersのところを見るだけ）ところ、
案の定、怪しげなexeファイルがオートランフォルダに入っていたので、これも消去した。
http://image.itmedia.co.jp/enterprise/articles/0408/12/zu08.jpg
このソフトがAntinny系だと評判にも関わる。
ということでレジストリ周りも怪しいのだが、これらはすべてシステムの復元で回復したそうだ。
この作業によって「デスクトップも以前の内容に復活するだろう」と思ったそうだが、実際には、
「作業を終了して、ヤレヤレと思ってマイドキュメントを見ると、作った覚えのないフォルダができている」……。
http://image.itmedia.co.jp/enterprise/articles/0408/12/zu09.jpg
「デスクトップのファイルを消さずに『遺失物保管庫』に移動するとは、
相当キツイシャレの効いた作者だと思いましたよ」と、件の被害者は語っている。

嫌なかんじのレジストリファイルがあるので確認したところ、スクリーンセーバーもこの通り変更されていた……
http://image.itmedia.co.jp/enterprise/articles/0408/12/zu10.jpg

jpgの直リンク張っても見れないと思うんだけど。

ぬるぽ？

弊社では、読者の皆さまにより快適で有用なサービス提供を目指しておりますが、
一部のサイトからの度重なる大量画像直接リンクにより、表示が遅い、つながりにくいといった、
通常サービスの著しい低下を招くに至り、
限られたリソース環境下での対策として、2004年2月24日より、
サイト外からの誘導による画像のダウンロードに制限を設け、
通常閲覧速度の回復を実施させていただいております。

何卒、事情ご賢察のうえ、ご了承いただきますようお願い申し上げます。

また、ご使用になられる環境・ソフトウェアにより、
参照元（リファラー）を遮断されている場合は、画像を表示できないことがあります。


ありゃりゃ。。

　　　　　　　　　 ＿
　　　　　　ミ　∠＿）
　　　　　　　　　/
　　　　　　　　 /　　　＼＼
　ｳｲｰﾝ　　Γ/了　　　 |　|
　　ｳｲｰﾝ　 |.＠|　　　　|　|　ｶﾞｯｶﾞｯｶﾞｯ
　　　　　　　| / |　　　　人
　　　　　　　|/　|　　　 < 　>_Λ∩
　　　　　 ＿/　 |　／／.Ｖ｀Д´）/
　　　　　（＿フ彡　　　　　　　 /　←>>18

いかほ

ぬるぽーす

7段層目にダウンロードフォルダを作っていた自分は勝ち組？

　　ぬるぽ　ぬるぽ　オートラン♪
　　ヌルポ　ヌルポ　AutoRun♪
　　ぬるぽ　ぬるぽ　オートラン♪
　　おまえが踏まなきゃ誰が踏む♪
　　　＿＿＿＿＿
　　　|　　OK　　　|
　　　￣￣￣￣￣

衝撃のダイヤログ

ぬる



　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ぴょ

DLフォルダがDドライブだから関係なさそう、
と、思ったけど念のためスタートアップにダミーのnullporce.exeを作っておいた。
これで上書き確認されるから安心。

>>26
実際のexeファイルは名前が違うから無駄なはず

VIPからきましたが、この板はヒドイですね。

>>27
やっぱり？

VIPから来ました。

　　　　　　／/
　　　　／　.人
　　　 / 　（＿_） ﾊﾟｶ
　　　/ ∩(＿___）　　　あ、ぽこたんインしたお！
　　 /　.|（ ・∀・）＿
　　/／ |　　　ヽ／
　　"￣￣￣"∪

VIPからきちゃったみたいです

どもＶＩＰな僕です

　　　 　 .＿＿＿＿＿＿＿＿＿
　　　 　 |　　　　　　　　　　　　　|
　　＼　 |　　● 　ヽー/　 ●　　|　 ／　呼んだ？
　　　 ＼|　　　　　　∨　　　　　 |／

vipから来ました(・∀・) ﾇﾙﾎﾟ

ドドパ！ドドパ！不意hふｒｗｈふぃえｗじゅｆｇｓｄｈｋｊうぇｈどぇう


we are　we　are　Viper！

作者は野球やってたのかな？

>>1
何このウィルス名ふざけてるの？

ぬるぽの意味がﾜｶﾗﾝから、ぬるぽがっのやりとりがいつも不毛に見える

　ﾎﾜﾀｧ　（　・∀・）　　人　ｶﾞｯ
　　　　 　（⊃ 　.(⌒).< 　>_∧∩
　　　　　　(__ノ⌒￣　 Ｖ｀Д´）/
　　　　彡　　　　　　　　　　　/ ←>>39

VIPから着ました

お前が踏まなきゃ誰が踏む

ってかファイルに危害は加えないのね

わかれば大した事は無いね。
気をつければ問題ないと…

お前が打たなきゃ誰が打つ

対策ソフトはガッて名前になるのかな

　　ぬるぽ　ぬるぽ　オートラン♪
　　ヌルポ　ヌルポ　AutoRun♪
　　ぬるぽ　ぬるぽ　オートラン♪
　　おまえが踏まなきゃ誰が踏む♪
　　　＿＿＿＿＿
　　　|　　　ｶﾞｯ　　|
　　　￣￣￣￣￣

こうした方がボタン押す人増えるんじゃない？

まだやってるバカいるのか

　　　＿＿＿＿＿＿＿
　　　|ﾀｲﾐﾝｸﾞよく押せ!|
　　　￣￣￣￣￣￣￣
このほうが押してもらえそう

ぬるぬるぽ

>>49
ﾜﾗﾀ

ぬるぽーす？

昔と違って、今は引っかかる人も極僅かなんじゃないかな。
人口も減ってるだろうし。

こういうことがあるから、スタートアップフォルダはリードオンリーにしてしまいましょう。
回避策はいくらでもあるから、これでも完全ではないが多少は防御になる。
自分でなにかソフトをインストするときだけ戻してやれば良い。

┌────────────────┐
│かっとばせ　ヌルポーズ 　　　　　　　×│
├────────────────┤
│（　i　）　ぬるぽ　ぬるぽ　オートラン♪. │
│　、|´ 　　ヌルポ　ヌルポ　AutoRun♪　│
│　　　　　ぬるぽ　ぬるぽ　オートラン♪ │
│　　　　おまえが踏まなきゃ誰が踏む♪│
│　　　　　　　　＿＿＿＿＿　　　　　　　　 │
│　　　　　　　　|　　OK　　　|　　　　　　　　│
│　　　　　　　　￣￣￣￣￣　　　　　　　 　│
└────────────────┘

┌─────────────────┐
│かっとばせ　ヌルポース. 　　　　　　 　　×│
├─────────────────┤
│（　i　）　ぬるぽ　ぬるぽ　オートラン♪. 　 │
│　、|´　　ヌルポ　ヌルポ　AutoRun♪　 　 │
│　　　　　ぬるぽ　ぬるぽ　オートラン♪ 　 │
│　　　　　おまえが踏まなきゃ誰が踏む！ │
│　　　　　　　　＿＿＿＿＿　　　　　　　　　 │
│　　　　　　　　|　　OK　　　| 　　　　　　　　　│
│　　　　　　　　￣￣￣￣￣　　　　　　　 　 　│
└─────────────────┘

ぬるぽでもガッ！されないスレはここですか？

　　　　　　　　　　　　　　　　　　　 　　　　　　　 //∧＿∧
　　　　　　　　　　　　　 　（⌒　　　　:（⌒ﾐ（ 　 //（・∀・#∩
　　　　　　　　　　　　　　 （⌒（⌒（:;;:( ﾄﾞｶﾞｯ!!///　ヽ、　 _,〈
　　　　　　　　　　　('⌒;ヾ　（⌒"/ lｉ| ｌ ｶﾞｯｶﾞｯ!:＼从从/　／'ﾐヽｶﾞｯ!
　　　　　　　　　　　 (⌒）y'⌒;ヾ从从（⌒〜∵；）´⌒｀（）(,;(´（´⌒;"'
　　　　　　　　　　　（´⌒ｰ-　　　;:#∧_；/// 彡(:::゜；｡(;;;)､⌒从;;ﾉ・`⌒）;
　　　　　　　　　(´;⌒（´⌒;;' ~ヽと;;;；。#;;､ミ,,:,,;;；ヽ/ﾉ:#｀""^ヾ⌒）);
　　　　　　　　　　　　￣￣(´⌒;,(´,　↑>>57　.　　.ﾞ'';"(´⌒;,(´,（´⌒;）

[email protected]
不当売買、児童ポルノ法違反をし、自身の思い込みで脅迫をしている身勝手悪質な人物。

自動ヌルポ砲違反のウィルスってわけか

caldixを使ってDLLを常に最新にしとけ
ttp://www.kmonos.net/lib/caldix.html

フォルダアイコンがうじゃうじゃ発生するやつにヤラれた事がある。
Antinny.Gだったかな。
送受信すると「○○（所属）の××（コンピュータ名）どｴ〜す」とか
勝手にメッセ送っちゃう。

これネタですか？
マジならネーミングがサイコですよ
記念ぬるぽ

ttp://www.matcha139.org/hiki/hiki.cgi?LHA%BD%F1%B8%CB%A4%CE%C0%C8%BC%E5%C0%AD
対応情報

　　　　　　　　　≦_￣＿￣─
　　＿　─　　　　　　　≦＿　　 ）
≦＿　　　　）　　　　　　　￣≡/　
　　≦＿　≡＼　　　　　 　／　
　 　 　　　　　　＼Γ 了／　　　　　　;:.バラ：;:.,:;;
　　　　　　　 　 　 |.＠|　　　　　　　　・;.．'・;.．・;.．'・;.．
　ｷｭｲｰﾝ･･･!　 ／|　 .| ＼　　"・;.．';ﾞ;・;.．'・;."・;.．';ﾞ;・;.．'・;.
　　　　.　 　 ／　 .| 　 | 　　＼ﾐ　￣─ ≧_｡;"・;.．';ﾞ;・;.．'・;.
　　　　　　 / ﾐ 　 .| 　 | 　　　（　 　　< 　>_Λ∩．'`　・;.．'・
　　　　 　 （　　 ￣ ≧_ ・;.．';ﾞ;・;.．'・;..Ｖ ﾟД。）/;;`..',,,'`;；,,.　　
　　　　 　 　 ─＿　 ＿≧∴ﾞ；：;:.,:;;∴ﾞ；：;∴ﾞ；：;:.,:;;
　　　　　　 　　 　￣　∴ﾞ；：;:.,:;;;バラ∴ﾞ；：;:.,:;;;
　　　　　　　　　　　　　;・;.．'・;.;｡;"・;.．';ﾞ;・;.．'・;.
自動殴打装置(改良型)
Seagate　Cheetah15K.3搭載
15000rpm/73GB/Ultra320SCSI/LVD/SCA2

>>62
いつの間にか殴打じゃなくて解体装置になってないか？ｗ

めるぽ

ぬるぽします。
ガッをお願いします

ぬるぽします。
ガッをお願いします

>>68-69
しょうがないな。
ｶｯ

ぬるぽします。
適当ではないガッをお願いします

Externinate those fuckin` NULPOES!!

<html><head><title>ぬるぽ</title></head><body>
<!--- html de nullpo --->
<a href="http://www.nullpo.com/"><nullpo>ぬるぽ</nullpo></a>
<a href="http://www.ga.com/"><nullpo>ｶﾞｯ</nullpo></a>
</body></html>

　　　　　　　　　　|　|　ｶﾞｶﾞｶﾞｶﾞｶﾞｯ　　　.人
　 （　・∀・）　　　|　|　　　　　　　人　　< 　>__Λ∩
　と　　　　）　 　 |　| 　　 人　　< 　>__Λ∩Д´）/
　　 Ｙ　/ノ　　　 .人 　　< 　>__Λ∩Д´）/　　 / ←>>67
　　　 /　） .人　< 　>__Λ ∩Д´）/　　 / ←>>68
　 ＿/し'　< 　>_Λ∩Д´）/　　 / ←>>69
　（＿フ彡　Ｖ｀Д´）/　　 / ←>>71
　　　　　　　　 　 　/ ←>>72

京都府警が制作依頼したのかねぇ？

なんだかしらんがEドライブにnyを置いている俺も感染するのか？

感染　感染　みな感染・・・

なかよく感染・・・もうだめぽ

>>76
前出の解説だと
感染はしても活動できないみたいな？
漏れはスタートアップ云々を試してみた。

今度からEXEに偽装して流そうかなぁ

怪しい圧縮ファイルは開くな！

スタートアップってどこにあるの？

つーか、ずっとヌルヌルホールの略だと思ってたわけだが。

nnnnnnnnnnnnぬるぽ

　　∧＿∧
　 （　・∀・）　　　|　|　ガッ
　と　　　　）　 　 |　|
　　 Ｙ　/ノ　　　 人
　　　 /　）　 　 < 　>__Λ∩
　 ＿/し'　／／. Ｖ｀Д´）/ >>83
　（＿フ彡　　　　　 　　/

ねるぽ

最近ｎｙで落としたマンガにこんなのがあったな
気付かずに最下層フォルダまで開いたけどなんもなかった

\\CON\CON

【台湾】台北の「高砂義勇兵」慰霊碑　来月までに存続結論【義援金】[08/06]
http://news17.2ch.net/test/read.cgi/news4plus/1091749683/l50

太平洋戦争に「日本兵」として出征した台湾先住民出身の「高砂義勇兵」
戦没者をまつる台北郊外の慰霊碑の存続をめぐり、慰霊碑に土地を提供した
観光会社打倒産に伴い、当初予定の七月未までに移転か現状維持かの結論
が得られなかった。関係者は「九月までに結論を出したいとしている。

　慰霊碑の建立委員で先住民タイヤル族の邸克平（民族名マカイ・リムイ）氏に
よると関係者は近く、「高砂義勇兵英霊慰霊碑を守る会」を財団法人格で設立する
方針。邸氏は「慰霊碑を移転せざるを得ない場合には、広く資金支援を求めたい」という。
　　　　◇
　産経新聞は台湾の「高砂義勇兵英霊慰霊碑」を守るための義援金を募ります。
一口千円で何口でもお受けします。
　【送り先】郵便振替で00100−2−463465、または銀行振込で「みずほ銀行」
東京中央支店110−5662608「高砂義勇兵英霊慰霊碑を守る会」まで。
電話（略）
義援金に免税措置は受けられません。

産経新聞朝刊より

関連スレ
【台湾】「高砂義勇兵」慰霊碑“撤去”の危機　敷地提供会社が日本人観光客激減で倒産[07/04]
http://news17.2ch.net/test/read.cgi/news4plus/1088886661/
極東板
ttp://tmp4.2ch.net/test/read.cgi/asia/1088912060/
台湾板
ttp://academy3.2ch.net/test/read.cgi/taiwan/1088935984/

なんてこった

なんか、トレンドマイクロのウイルスTOP10の１位が、
WORM_ANTINNY.Aになってるぞ。

Winnyで“ぬるぽ”ウイルスが流行の兆し〜シマンテック警告
http://headlines.yahoo.co.jp/hl?a=20040816-00000001-imp-sci

age

油揚げ甘カラく炊いて、葱たくさん入れてご飯にかける。
山椒たっぷりかけて食する。
きつねどんぶりの完成です。

もっと卑猥な名前とかだったら、どうなっていたんだろう

俺感染して何回もOK押してしまったんですけど
対処方法知りませんか？

>>95
HDDのあるドライブが例えばC：なら

Format C: /s/y
とコマンドプロンプトからいれる。

ＤＩＶＸを入れたらＧＳスタートＵＰってのが出来たのだが・・・・

調べてみたんですが、
音も流れないし、アイコンも消えない。
なんか一般に知られている奴とは違うような。。。

>>1-98 ガッ！

age

現職“ハッカー検事”が匿名ネットでＷｉｎｎｙ弁護団を挑発
ttp://espio.air-nifty.com/espio/2004/08/post.html

一応実況にスレ立ってるね。

検事がＷｉｎｎｙ弁護団を挑発
http://live14.2ch.net/test/read.cgi/liveplus/1093252163/

Nullpo

Gaxtu

いつのまにかν即にも立ってるじゃん。
つーかこれセキュリティmemoのスレとかでは先週あたりから騒がれてたんだね。しらんかった。
現職“ハッカー検事”が匿名ネットでＷｉｎｎｙ弁護団を挑発
http://news13.2ch.net/test/read.cgi/news/1093255822/