【速報】遠隔操作ウイルスのURLが嫌儲民によって特定される? ★3
16 :番組の途中ですがアフィサイトへの転載は禁止です:
「ウイルスが仕込まれたツールソフトの内容」がメディアによって違う理由
犯人はソフトウェア板のスレ、『気軽に「こんなソフトありませんか?」』
の回答者として、ウイルスを配布
代行スレを経由してる理由は、犯人がTorを利用しており2chへはほとんど書けないため、規制のないシベリア板へ依頼
・タイマーの奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/400
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1343022716/274
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/404
・exif の奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1346324982/177
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1347182980/350
本レス:http://logsoku.com/thread/anago.2ch.net/software/1346324982/209
・クリップボードの奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/826
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1345093475/941
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/836
・テキストエディタ
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/934
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1346068297/184
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/952
代行じゃない?・952がなりすまし?:http://logsoku.com/thread/anago.2ch.net/software/1341460675/940
犯人はソフトウェア板のスレ、『気軽に「こんなソフトありませんか?」』
の回答者として、ウイルスを配布
代行スレを経由してる理由は、犯人がTorを利用しており2chへはほとんど書けないため、規制のないシベリア板へ依頼
・タイマーの奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/400
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1343022716/274
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/404
・exif の奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1346324982/177
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1347182980/350
本レス:http://logsoku.com/thread/anago.2ch.net/software/1346324982/209
・クリップボードの奴
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/826
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1345093475/941
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/836
・テキストエディタ
質問者:http://logsoku.com/thread/anago.2ch.net/software/1341460675/934
代行元:http://logsoku.com/thread/toro.2ch.net/siberia/1346068297/184
本レス:http://logsoku.com/thread/anago.2ch.net/software/1341460675/952
代行じゃない?・952がなりすまし?:http://logsoku.com/thread/anago.2ch.net/software/1341460675/940
|
|
|
17 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 11:33:19.46 ID:S66sTrgj0
シマンテックによる説明
Backdoor.Rabasheeta Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99&tabid=2
Discovered: October 9, 2012
Type: Trojan
Infection Length: 49,664 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
When the Trojan is executed, it creates the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "[PATH TO TROJAN]"
The Trojan then opens a back door on the compromised computer by connecting to the following legitimate website:
http://jbbs.livedoor.jp/
It then receives commands from the remote attacker, which are encoded by BASE64 and encrypted by Rijndael, and allows the attacker to perform the following actions:
Uses its own Web browser to access specific sites determined by the attacker with GET and POST requests
Take screenshots of its own Web browser
Take screenshots of the desktop
Log keystrokes and mouse clicks
Create a list of the file system
Upload files to its own server
Download and execute files from a remote location
Create new processes
Delete itself
Update itself
It uploads files to the following URL:
[http://]sysdeck.boxhost.me/upld[REMOVED]
Backdoor.Rabasheeta Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-101004-0445-99&tabid=2
Discovered: October 9, 2012
Type: Trojan
Infection Length: 49,664 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Server 2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
When the Trojan is executed, it creates the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"iesys" = "[PATH TO TROJAN]"
The Trojan then opens a back door on the compromised computer by connecting to the following legitimate website:
http://jbbs.livedoor.jp/
It then receives commands from the remote attacker, which are encoded by BASE64 and encrypted by Rijndael, and allows the attacker to perform the following actions:
Uses its own Web browser to access specific sites determined by the attacker with GET and POST requests
Take screenshots of its own Web browser
Take screenshots of the desktop
Log keystrokes and mouse clicks
Create a list of the file system
Upload files to its own server
Download and execute files from a remote location
Create new processes
Delete itself
Update itself
It uploads files to the following URL:
[http://]sysdeck.boxhost.me/upld[REMOVED]
18 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 11:37:01.97 ID:S66sTrgj0
トレンドマイクロによる説明
BKDR_SYSIE.A | 危険度: 低 | トレンドマイクロ:セキュリティデータベース
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
マルウェアは、以下のコンポーネントファイルを作成します。
・{malware path}\cfg.dat - malware's configuration file
マルウェアは、以下のWebサイトにファイルをアップロードします。
・http://{BLOCKED}k.{BLOCKED}t.me/upld.php
マルウェアは、以下の電子掲示板システム(BBS)にアクセスし、不正リモートユーザからのコマンドを送受信します。
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/<スレッドのID>/
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/
掲示板のカテゴリ、BBSのID、およびマルウェアが利用するURLは、環境設定ファイル "cfg.dat" のコンテンツによって決まります。
マルウェアが実行するコマンドは以下のとおりです。
スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する
BKDR_SYSIE.A | 危険度: 低 | トレンドマイクロ:セキュリティデータベース
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_SYSIE.A
マルウェアは、以下のコンポーネントファイルを作成します。
・{malware path}\cfg.dat - malware's configuration file
マルウェアは、以下のWebサイトにファイルをアップロードします。
・http://{BLOCKED}k.{BLOCKED}t.me/upld.php
マルウェアは、以下の電子掲示板システム(BBS)にアクセスし、不正リモートユーザからのコマンドを送受信します。
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/<スレッドのID>/
・http://<省略>s.<省略>or.jp/bbs/<省略>.cgi/<掲示板のカテゴリ>/<BBSのID>/
掲示板のカテゴリ、BBSのID、およびマルウェアが利用するURLは、環境設定ファイル "cfg.dat" のコンテンツによって決まります。
マルウェアが実行するコマンドは以下のとおりです。
スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する
19 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 11:42:46.99 ID:Nf+0ZoJj0
つまりシマンテックとトレンドマイクロの情報を足して2で割るとこうなるわけか
ttp://sysdeck.boxhost.me/upld.php
ttp://sysdeck.boxhost.me/upld.php
20 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:00:14.62 ID:lrlsvCQb0
>>7
声出してワロタw
声出してワロタw
21 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:20:20.61 ID:S66sTrgj0
今回犯人がやったことはこんなところかな
Tor経由でDropBoxにウイルスをアップロード
Tor経由でソフトウェア板のソフト質問スレの回答者に成り済まして、ウイルスURLを書き込むようシベリア板に代行依頼
代行者が質問スレにウイルスのURLを投稿
質問者がウイルスをダウンロードし実行
ここでウイルスはキー入力及びマウス操作の情報を記録し、
スクリーンショットやファイル、フォルダのリストを取得
秘密裏にアップローダへ情報を送信する
また、犯人の命令を受け付けられるように定期的にしらばらのとあるスレの内容をダウンロード
犯人はTor経由でしたらばへ命令コマンドを投稿
ウイルスはしたらばから命令を自動ダウンロードし実行
犯人は犯行予告が済んだら、したらばにウイルス自身の削除命令を投稿
代行スレを経由している理由
2chにおいてTorの出口となるIPアドレスがほとんど規制されているため、規制が無いシベリア板の代行スレを利用
回避する方法はあるが、おそらく犯人は知らなかったのではないか
Tor経由でDropBoxにウイルスをアップロード
Tor経由でソフトウェア板のソフト質問スレの回答者に成り済まして、ウイルスURLを書き込むようシベリア板に代行依頼
代行者が質問スレにウイルスのURLを投稿
質問者がウイルスをダウンロードし実行
ここでウイルスはキー入力及びマウス操作の情報を記録し、
スクリーンショットやファイル、フォルダのリストを取得
秘密裏にアップローダへ情報を送信する
また、犯人の命令を受け付けられるように定期的にしらばらのとあるスレの内容をダウンロード
犯人はTor経由でしたらばへ命令コマンドを投稿
ウイルスはしたらばから命令を自動ダウンロードし実行
犯人は犯行予告が済んだら、したらばにウイルス自身の削除命令を投稿
代行スレを経由している理由
2chにおいてTorの出口となるIPアドレスがほとんど規制されているため、規制が無いシベリア板の代行スレを利用
回避する方法はあるが、おそらく犯人は知らなかったのではないか
22 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:22:23.95 ID:ohSIMcQA0
まだこのスレやんのかよ…昨日の夜さんざんやったじゃないか(激怒)
23 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:52:05.63 ID:z5RBw90FP
>>3
確かに知りたい。
確かに知りたい。
24 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:52:54.60 ID:It0W9oha0
よくウイルスを認めて釈放したもんだ
メンツにかけても握り潰すかと思ってたよ
ハメられたと主張しても統失乙で済ませる社会だし
メンツにかけても握り潰すかと思ってたよ
ハメられたと主張しても統失乙で済ませる社会だし
25 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 12:55:31.69 ID:vRl8FfGT0
26 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 13:00:08.66 ID:4NjDjbjF0
自白っていうか、警察が勝手に調書作ってそれに署名させてるだけだぞ
「わ…私がやりました…」とかホントに言ってると思ってんのかよ
「わ…私がやりました…」とかホントに言ってると思ってんのかよ
27 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 13:30:38.36 ID:5LOzYUh/0
そうなんだよな
あまりにも情報格差が広がりすぎて、何かとハメられてることは当事者しかわからないことが多いよな
あまりにも情報格差が広がりすぎて、何かとハメられてることは当事者しかわからないことが多いよな
28 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 14:01:53.60 ID:AIFLgpaL0
29 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 16:36:49.68 ID:JiK6MjdD0
DLしたやつ何人くらいいるんだろうか・・
30 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 16:40:30.47 ID:ve/022Fh0
お前ら「警察より先に感染ルートが2chだと特定してやった!俺らスゲー!」
一般人「2chがウィルスをバラ撒いたのか。やはりあそこはゴミだな」
一般人「2chがウィルスをバラ撒いたのか。やはりあそこはゴミだな」
31 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 16:41:57.57 ID:4Cjruj8a0
しかし犯人もくだらねーことするなあ
他人のPC遠隔操作できるったらやることはエロ画像・動画漁りだろ
犯罪に使ってバレて対策させてどうすんだ
他人のPC遠隔操作できるったらやることはエロ画像・動画漁りだろ
犯罪に使ってバレて対策させてどうすんだ
32 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 16:48:28.89 ID:FVB++mTw0
>>30
2ch経由で感染って報道が出たほうが先だろ
2ch経由で感染って報道が出たほうが先だろ
33 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 16:59:14.61 ID:uyZfBTPY0
34 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 18:43:56.03 ID:67iHxlS10
>>1
前スレは?
前スレは?
35 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 18:47:24.53 ID:X3Iso9Ea0
>>21
自演してる辺り静岡のかっぺっぽいな
自演してる辺り静岡のかっぺっぽいな
36 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 18:52:22.28 ID:9rc6lYcE0
svchost.exeって名前で全く別のフォルダに展開して実行するウィルスもあるからね。
感染PC見たけど、自分が見た限りログインユーザー権限でsvchost.exeが実行されてた。
実行ユーザーがSYSTEM、LOCAL SERVICE、NETWORK SERVICEあたりなら恐らくWindwosのシステムファイルだけどね
亜種とかもあるかもしれないから、svchostがログインユーザーで動いてなければ必ず安心というわけでもないけど
感染PC見たけど、自分が見た限りログインユーザー権限でsvchost.exeが実行されてた。
実行ユーザーがSYSTEM、LOCAL SERVICE、NETWORK SERVICEあたりなら恐らくWindwosのシステムファイルだけどね
亜種とかもあるかもしれないから、svchostがログインユーザーで動いてなければ必ず安心というわけでもないけど
37 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 20:02:08.04 ID:XVIOoa6D0
>>17
これ日本語版もあった
これ日本語版もあった
38 :番組の途中ですがアフィサイトへの転載は禁止です:2012/10/11(木) 20:03:20.95 ID:yeUoRN/G0
39 :番組の途中ですがアフィサイトへの転載は禁止です:
>>7
これおまえらの自演だろw
これおまえらの自演だろw