【速報】遠隔操作ウイルスのURLが嫌儲民によって特定される？ ★3

PC遠隔操作ウィルスは2ch経由で感染したことが判明
http://engawa.2ch.net/test/read.cgi/poverty/1349849362/844

844 名前：番組の途中ですがアフィサイトへの転載は禁止です：2012/10/10(水) 17:51:39.05 ID:oskbj27h0
>>789
つーかこっちだな
代行スレに依頼して書き込んでるけど、発信元がtorだしかなり怪しい
ファイル消えてるのが残念…

http://anago.2ch.net/test/read.cgi/software/1341460675/404

代行元
http://logsoku.com/thread/toro.2ch.net/siberia/1343022716/274

エスブイチョフトは消せばいいのか置いとけばいいのかどっちなんだよ？

何人がDLしたんだろうか？

また新聞週刊誌が2chを読んで記事にするのかな。
今回も2chの所為にしたくせに…

2ちゃんにダウンロード機能がついたと聞いて

ウィルス禁止法が施行されてる今URL貼るだけでアウトなのを理解してるんだろうか

これが原因らしいぞ
https://twitter.com/haruyadotnet/status/256024418038464513/photo/1/large

>>7
アホすぎわろたｗ

>>7
また2ｃｈのデマか

Torやら何やら使っててやってることは犯行予告というショボイことだけど、
（それでも被害者にしたら大変な事だけどさ・・・）
本当の目的はマジで何なの？

>>7
ワロタ

春吉 @haruyadotnet

svchost.exeコラがなんかえらい勢いでRTされてるけど、マジに受け取る人はいないと信じてる。あたし、日本を信じてるから
開く
返信 リツイート お気に入りに登録
12時間
春吉 @haruyadotnet

このコラ作った人間は日本を試してる
開く
返信 リツイート お気に入りに登録
12時間
春吉 @haruyadotnet

今タスクマネージャー見たら8個も動いてた…どうしよう…(無表情で) pic.twitter.com/zLWOfOcE
画像を表示する
返信 リツイート お気に入りに登録

今回の事件の検体（ウイルス）を持っている奴
下記サイトでどのくらいのアンチウイルスが対応しているか
教えてくれ
検査結果のURLも貼ることができるみたいだし

VirusTotal - Free Online Virus, Malware and URL Scanner
https://www.virustotal.com/

>>7
マジかよ
タスクマネージャにたくさんあったわ・・・
削除してくるわ・・・

>>10
これだけ大きな騒ぎになって、2chもテレビも騒いで、警察もおもいっきり釣られたんたぞ？

愉快犯であれば十分目的は達しただろう

svchostのコラは悪質すぎんだろ、間違いなく削除がしたやつがいる

「ウイルスが仕込まれたツールソフトの内容」がメディアによって違う理由
犯人はソフトウェア板のスレ、『気軽に「こんなソフトありませんか？｣』
の回答者として、ウイルスを配布
代行スレを経由してる理由は、犯人がTorを利用しており２ｃｈへはほとんど書けないため、規制のないシベリア板へ依頼

・タイマーの奴
質問者：http://logsoku.com/thread/anago.2ch.net/software/1341460675/400
代行元：http://logsoku.com/thread/toro.2ch.net/siberia/1343022716/274
本レス：http://logsoku.com/thread/anago.2ch.net/software/1341460675/404

・exif の奴
質問者：http://logsoku.com/thread/anago.2ch.net/software/1346324982/177
代行元：http://logsoku.com/thread/toro.2ch.net/siberia/1347182980/350
本レス：http://logsoku.com/thread/anago.2ch.net/software/1346324982/209

・クリップボードの奴
質問者：http://logsoku.com/thread/anago.2ch.net/software/1341460675/826
代行元：http://logsoku.com/thread/toro.2ch.net/siberia/1345093475/941
本レス：http://logsoku.com/thread/anago.2ch.net/software/1341460675/836

・テキストエディタ
質問者：http://logsoku.com/thread/anago.2ch.net/software/1341460675/934
代行元：http://logsoku.com/thread/toro.2ch.net/siberia/1346068297/184
本レス：http://logsoku.com/thread/anago.2ch.net/software/1341460675/952
代行じゃない？・952がなりすまし？：http://logsoku.com/thread/anago.2ch.net/software/1341460675/940

シマンテックによる説明

Backdoor.Rabasheeta　Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99&tabid=2
Discovered:　　October 9, 2012
Type:　　Trojan
Infection Length: 　　49,664 bytes
Systems Affected:　　Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

When the Trojan is executed, it creates the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "[PATH TO TROJAN]"

The Trojan then opens a back door on the compromised computer by connecting to the following legitimate website:
http://jbbs.livedoor.jp/

It then receives commands from the remote attacker, which are encoded by BASE64 and encrypted by Rijndael, and allows the attacker to perform the following actions:

　　Uses its own Web browser to access specific sites determined by the attacker with GET and POST requests
　　Take screenshots of its own Web browser
　　Take screenshots of the desktop
　　Log keystrokes and mouse clicks
　　Create a list of the file system
　　Upload files to its own server
　　Download and execute files from a remote location
　　Create new processes
　　Delete itself
　　Update itself

It uploads files to the following URL:
[http://]sysdeck.boxhost.me/upld[REMOVED]

トレンドマイクロによる説明

BKDR_SYSIE.A | 危険度： 低 | トレンドマイクロ：セキュリティデータベース
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
マルウェアは、以下のコンポーネントファイルを作成します。
　　・{malware path}\cfg.dat - malware's configuration file

マルウェアは、以下のWebサイトにファイルをアップロードします。
　　・http://{BLOCKED}k.{BLOCKED}t.me/upld.php

マルウェアは、以下の電子掲示板システム（BBS）にアクセスし、不正リモートユーザからのコマンドを送受信します。
　　・http://＜省略＞s.＜省略＞or.jp/bbs/＜省略＞.cgi/＜掲示板のカテゴリ＞/＜BBSのID＞/＜スレッドのID＞/
　　・http://＜省略＞s.＜省略＞or.jp/bbs/＜省略＞.cgi/＜掲示板のカテゴリ＞/＜BBSのID＞/

掲示板のカテゴリ、BBSのID、およびマルウェアが利用するURLは、環境設定ファイル "cfg.dat" のコンテンツによって決まります。

マルウェアが実行するコマンドは以下のとおりです。
スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する

つまりシマンテックとトレンドマイクロの情報を足して２で割るとこうなるわけか
ttp://sysdeck.boxhost.me/upld.php

>>7
声出してワロタw

今回犯人がやったことはこんなところかな

Tor経由でDropBoxにウイルスをアップロード
Tor経由でソフトウェア板のソフト質問スレの回答者に成り済まして、ウイルスURLを書き込むようシベリア板に代行依頼
代行者が質問スレにウイルスのURLを投稿
質問者がウイルスをダウンロードし実行

ここでウイルスはキー入力及びマウス操作の情報を記録し、
スクリーンショットやファイル、フォルダのリストを取得
秘密裏にアップローダへ情報を送信する
また、犯人の命令を受け付けられるように定期的にしらばらのとあるスレの内容をダウンロード

犯人はTor経由でしたらばへ命令コマンドを投稿
ウイルスはしたらばから命令を自動ダウンロードし実行
犯人は犯行予告が済んだら、したらばにウイルス自身の削除命令を投稿


代行スレを経由している理由
2chにおいてTorの出口となるIPアドレスがほとんど規制されているため、規制が無いシベリア板の代行スレを利用
回避する方法はあるが、おそらく犯人は知らなかったのではないか

まだこのスレやんのかよ…昨日の夜さんざんやったじゃないか（激怒）

>>3
確かに知りたい。

よくウイルスを認めて釈放したもんだ
メンツにかけても握り潰すかと思ってたよ
ハメられたと主張しても統失乙で済ませる社会だし

>>24
一人は自白までしちゃってるのにな
自白したのに釈放って取調べに問題ありましたって言ってるようなもんじゃんね

自白っていうか、警察が勝手に調書作ってそれに署名させてるだけだぞ
「わ…私がやりました…」とかホントに言ってると思ってんのかよ

そうなんだよな
あまりにも情報格差が広がりすぎて、何かとハメられてることは当事者しかわからないことが多いよな

http://img.2chan.net/b/res/168428322.htm
相互リンク

DLしたやつ何人くらいいるんだろうか・・

お前ら「警察より先に感染ルートが2chだと特定してやった！俺らスゲー！」
一般人「2chがウィルスをバラ撒いたのか。やはりあそこはゴミだな」

しかし犯人もくだらねーことするなあ
他人のPC遠隔操作できるったらやることはエロ画像・動画漁りだろ
犯罪に使ってバレて対策させてどうすんだ

>>30
2ch経由で感染って報道が出たほうが先だろ

>>29
パソコン乗っ取り、感染源？のサイトに接続数十件
http://www.nikkei.com/article/DGXNASDG1100Y_R11C12A0CC0000/

>>1
前スレは?

>>21
自演してる辺り静岡のかっぺっぽいな

svchost.exeって名前で全く別のフォルダに展開して実行するウィルスもあるからね。
感染PC見たけど、自分が見た限りログインユーザー権限でsvchost.exeが実行されてた。

実行ユーザーがSYSTEM、LOCAL SERVICE、NETWORK SERVICEあたりなら恐らくWindwosのシステムファイルだけどね
亜種とかもあるかもしれないから、svchostがログインユーザーで動いてなければ必ず安心というわけでもないけど

>>17
これ日本語版もあった

>>1
前スレ
【速報】遠隔操作ウイルスのURLが嫌儲民によって特定される ★2
ttp://engawa.2ch.net/test/read.cgi/poverty/1349871557/

>>7
これおまえらの自演だろw