winny使用者はキンタマウイルスに注意

winnyを起動し、[キンタマ]　で検索すると大変なことになっています。
キンタマウイルスに感染した際にwinnyネットワークにアップされるファイル
・ デスクトップ画面キャプJPEG画像　ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日].jpg
　 (キャプは一日一回の模様)
・ 圧縮ファイル　　　　　　 ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日](ファイル詰め合わせ).zip ( or .lzh )
　 そのユーザのデスクトップにあるファイルすべての圧縮ファイル、キンタマウイルスが含まれている場合もあり?

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればＯＫ

●予防方法●
不用意に .exeファイルを実行しない。

●自分が感染していた場合の対処方法●
一度winny上に流れたファイルはもう止められません。祈りましょう。

winnyを起動し、[キンタマ]　で検索すると大変なことになっています。
キンタマウイルスに感染した際にwinnyネットワークにアップされるファイル
・ デスクトップ画面キャプJPEG画像　ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日].jpg
　 (キャプは一日一回の模様)
・ 圧縮ファイル　　　　　　 ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日](ファイル詰め合わせ).zip ( or .lzh )
　 そのユーザのデスクトップにあるファイルすべての圧縮ファイル、キンタマウイルスが含まれている場合もあり?

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればＯＫ

●予防方法●
不用意に .exeファイルを実行しない。

●自分が感染していた場合の対処方法●
一度winny上に流れたファイルはもう止められません。祈りましょう。

こんなもんに感染してる犯罪者は放置していいよ。

これが本当ならパソのアカウントを本名で使ってる奴は悲惨だな。

本当もなにも流れまくってんじゃんｗ

会社で使ってる人が結構いて、デスクトップ上に置いていたであろう
仕事関係のファイルがny上に流れてるよ・・・

ウイルスソフトでディスクチェックしてるとこの
スクリーンショットは悲しすぎる・・・

>>5
まじか。最近はny使ってなかったらシランカッタ。
俺の友人もいるかもしれないなぁ。

>>6
くは。それはかなりまずいな。うちの会社パソのアカウント
強制的に本名で作らなきゃだから、嵌まってる人けっこういるかもしれん。
というかそういう場合って。。。うわぁかわいそうだなぁ。
責任取らされるんだろうなぁ。

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生3
http://ex4.2ch.net/test/read.cgi/siberia/1079365440/l50

だから　みえているかと　って何だよ
初心者迷わすような書き方するんじゃね　池沼どもが

>>10
俺もおもた。見えるよ余裕で。

祭り中
【TBS】砂の器のVTR編集NY愛用か？【キンタマウィルス】
http://ex4.2ch.net/test/read.cgi/siberia/1079372150/l50

パターンファイル817詳細
http://inet.trendmicro.co.jp/ptninfo/817.htm

解析されてます
【AM9:00】キンタマウィルス part4？【第二波？】
http://tmp2.2ch.net/test/read.cgi/download/1079384794/

【AM9:00】キンタマウィルス part4？【第二波？】
http://tmp2.2ch.net/test/read.cgi/download/1079384794/
WinnyでPC使用者名とデスクトップを晒す新種のワームが発生8
http://ex4.2ch.net/test/read.cgi/siberia/1079387090/
【なおなおの】砂の器のVTR編集NY愛用か？【キンタマ】
http://ex4.2ch.net/test/read.cgi/siberia/1079385010/

ﾜﾗﾀ

底引きしてるけどトラップも多々あるので注意。
html開くとexe発動するやつとか↓
<object CLASSID='CLSID:00000000-0000-0000-0000-FFF085324649' CODEBASE='お読みください.files/TRAP.exe'></object>

★★対応策

無視条件→リスト編集にコレをコピペしたらよろし。
　　　　　　　　　　　　　↓　　　　
[キンタマ] 俺のデスクトップ,,0,0,,0,1,1

で、リスト再読み込みで取り合えずこのウイルスが上げるファイルをnyネットワークから
排除OK(多分職人や鬼共有たちは当たり前にこの設定をするから、DOMはやらないと目的の
ファイルが落ち辛くなることが予想されます)

後は以下を実行してワクチンが出来るまで待つ。
●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればＯＫ

●予防方法●
不用意に .exeファイルを実行しない。

ま、セキュリティの基本である、ネットに繋いだまま個人情報をPC上で取り扱わない。
を日頃から守っている用心深い私のような人間は別に感染しても無問題。

以上。

ﾀﾞｳｿ板へ(・∀・)ｶｴﾚ!

>>17-18
Good jobs!!

ﾌｼﾞの実況で意味不明なﾃﾞｽｸﾄｯﾌﾟが晒されてたのがこれか・・・

ウイルスの作者は広めるためにWinnyをずっと起動していたはずだな。
キンタマをキーワードにして。

トレンドマイクロのウイルス感染状況によると
ANTINNY.A（キンタマじゃなくてぬるぽの方）が
2月中旬から急激に低下し、3/13以降はほぼ 0 になってるんだけど
なんでだろう？

ひょっとするとキンタマ（またはその試作）にはぬるぽを駆除する機能があったりして

IT用語辞典に「キンタマワーム」の項目が追加される日も近いな
http://e-words.jp/w/E381ACE3828BE381BDE383AFE383BCE383A0.html

>>24
すげー！始めて知ったよ！

来年はバスター買います。

初代Antinnyはノートン先生の対応が早かったよ。
バスターは遅かった。

>>24
これ読むだけでも笑っちゃうのに、今度はキンタマですかｗ

トレンドマイクロはWORM_ANTINNY.Bきたみたい
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B

このウィルスによるダメージ影響って、コンテンツによるものより
精神的なものの方が大きそうだな

WORM_ANTINNY.Bはキンタマじゃないって説がダウソ板でよく出るんだが・・

>>31

Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される
〜拡張子を隠している場合もあるので、怪しいファイルには注意が必要
http://internet.watch.impress.co.jp/cda/news/2004/03/16/2448.html

↑その情報が出た後の話

>>31
トレンドマイクロの英語版の情報だけでは何とも言えないね。
Antinny.Aだって英語版には本当に簡単な情報しかなくて、日本語版で初めて
詳細な情報が得られる。
Antinny.Bも日本語情報が公開されればいろいろわかってくると思うよ。

724 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 14:13 ID:HCbzfa/u
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T

トレンドマイクロのWORM_ANTINNY.Bは、
Winnyのshareフォルダを探すプログラム自体をWORM_ANTINNY.Bとして検出する模様。

おそらく今回のキンタマにもそれが使用されていて、その他のプログラム
(スクリーンショット・圧縮ファイル・メール作成、自動起動登録など)と同時に感染してその効果を発揮するのではないかと思われ。

爆笑

シマンテックの反応が出てくるようになると一気に認知されるようになるよ、ぬるぽの時が
そうだった。

恥ずかしい・・・
http://tmp2.2ch.net/test/read.cgi/download/1079414850/

ttp://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37341
これってキンタマか・・・？
ワイルドってなんだか良いな。

【警報】Winnyを狙ったワーム・ウイルス情報 Part10
http://tmp2.2ch.net/test/read.cgi/download/1078207953/

>>27
いや、バスターの方が早かっただろ？
ニュー速で無視されまくったけど
ノートン先生きたーーー！！の書き込みが始まる数時間前には
対応してたよ。マジで。サイトに情報載るのは遅かったけど

>>41
いや、シマンテックがANTINNYを命名した記憶がある。
トレンド、マカフィーは対応遅かったとおもうが。

>>41
そうなのか。ありがとう。
バスターが日本製のワームやウイルスに強いというのはあながち間違っては
いないのかもしれないね。

こちとら12000のキンタマクラスタと

２ちゃんねるがついてるんだから

負けてらんないのよ〜！！
　　　　　　 ／　.:.:.　／￣　　＼　　_,,,,-‐'''"　　　＼, へ、
　　　　　／　.:.:／ /＼.:.:　　　　／　　　　　　　　　　　　ヽ
　　　　 /.:.:.:,‐'"　〈.:.:.:.:＼.:.:.: ／.:.:___,,,,-‐ __.:.:_,,,,-‐.:.:　　　`､,,_
　　　_,,,-''"　　　　|＼.:.:.`''／_..-'／,,-‐''"∠..,,,,,,／_,,,,-‐　　__ ヽ、
--‐''　　　　　 　　|,ｨ'⌒ﾞヽiｲ´　/／ , "￣`ヽi!　/／/　.:　　ヽ､`ヽ､
　　　　　　.:.　　　〈　(~<　ﾚ　　'´　 '　..,,_（'ｯ ﾞi!/'´ /／|.:.:　　　＼
　　　_,,,-''.:.　　　.:.:.＼ `　　　　　　　 ,,､､´゜､､､　__,,,,.../　::|.:.:|.:.:　|
--‐''.:.:.:.:/::　　.:.:.:.:./´`T　　　　　　　　　　　　,,_(ｯ,ﾉ /.:.: / :/|.:　/
.:.:.:.:.:.:／.:.:.:.:.:./:::／　 　 　 　 　 　 ／~⌒ヽ、-／ﾞ／/| :/|/　|／　　　从___人／（____
---‐-､____,､-‐<　　　 　 　 　　　/⌒ﾞヽ　 ヽ>　 / |/ |/　＿＿)`-ｰ-'
;;;;;;;;;;;;;;;;;;;;;;;;;;;ヾ、'､　　　　 　　　/‐-､_　〉 ／　, '　　　　　>
;;;;;;;;;;;;;;;;;,,,,-‐'''"＼＼＿＿＼ 　 `ヽ-､;_／ ,,-''　　　　　　＼
￣￣^i;;;;;;;;;;`-;;;;;;;)　＼ﾉ::::´`ヽ､　　　,, - "ヽ、　　　　　　 　）あんたたちなんかにぃ〜（ｔｂｓ
::::::::::::::|;;;;;;;;;;;;;;;∠-‐'''"`-､:.:.:.:.: `''''".:.:.:.:.:.　　'､　　　　　 ∠
::::::::::::::::＼;;;;;;;;;／::::＼|;;;|;;;ヽ、:.:.:.:.:.:.:∧.:.:.:.:.:.　',　　　　　　 〕
＼::::::::::::::::|;;;;;/::::::::::::/;;;/;;;;;;;;|.:.:.:.:.:. /　|.:.:|＼:　i　　　　　／
:::::＼:::::::::::`‐'::::::::::::/;;;/;;;;;;;;;/.:.:.:.:／　/／　 |: /　　　　　￣￣）／W⌒＼(~~∨⌒ヽ

ﾌﾟ

キンタマは何で検知できるの？

>46
ウィルスバスターでなら検知できるみたい

脳�dまだみたいね

>>47
別物らしいよ。キンタマとは。

>>48
>>39

この時期、学生はやること無くてnyやってるんじゃねーの?
とっとと全員感染しちまいやがれって思うわ。

まだANTINNYと名前がついてないときにwinfaqとかで質問してた奴がいたような

会社からNy出来ちゃうのか？普通は社内串で弾かれるだろ。

ﾀﾞｳｿ住民によるキンタマ解析簡単なまとめページ
http://www.geocities.jp/kim_virus/LkxqLp9Q.html

情報が錯綜してますな。

・感染されたらregedit.exeがnotpad.exeで上書きされる。
（regedit.exeを起動したらメモ帳が起動する）。

・各exeファイルはそのアイコンの本来の動作も同時に行うので気づかない人も多い。
たとえばjpgのアイコンのexeを起動すると本当に画像が表示され、同時にウイルスのプログラムも実行される

>>54
そう。そこなんだよね。
早くどこかのウイルス対策ベンダーに詳細を明らかにして欲しい。
ニュー速の住人はネタを楽しむだけで全く情報源にならんし、ダウソ板はそもそも行きたくないし。

セキュ板に行くしかないのでは、バカが結構いるけど。

>>56
メール送信する、バックドアが仕込まれている、システム復元が無効化、
jpgを開いただけでアウト、とかなんとか言っちゃってるしね・・・。

>>56
（・∀・）ｺﾝﾆﾁﾊ!!

>>58
デフラグも消滅したとか・・・

もうわけわからん。

>>59
（・∀・）ｺﾝﾆﾁﾊ!!

自己成長しているらしい

暫定纏めサイト
http://myui.s53.xrea.com/kin/index.html

Winnyウィルス（通称キンタマ）リンク集
http://www.geocities.jp/kim_virus/

簡易まとめサイト
http://www12.ocn.ne.jp/~niyaniya/

ﾉｰﾄﾝもひそかにAntinnyBに対応した罠

unlha32が入ってる

電話番号・メアドリスト・カード番号・パスワード等 （略） .exeてやつ
踏んじゃったよ

でも136KBしかないし、キンタマ症状出ないし、これはあれですか、
一種の精神的ブラクラなんですか？

>>66
偽造

>>67
てことは感染してないってことでFA？

念のためノートンとかでスキャンしてみそ

>>69
はい、やってみます(´･ω･｀)

【有料無料】アンチウイルスソフトPart2【問わず】
http://pc2.2ch.net/test/read.cgi/software/1060661400/646-648

646 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/03/16 03:10 ID:lEIr8Myn
やれやれ、厨房やアンチNODは直ぐに釣りだと騒ぐ。
検出力・軽さ・スキャン速度の全てが高性能なソフトであることは立証済みだ。
バランスを考えてNOD32を選択することに疑問の予知は無いだろうよ。
それとPFWは無くてもルータで不要なポートを閉めて置けばまず安全だ。
それでも更に厳重にするなら、ＳｐｙｂｏtをPestPatorolに換えれば良いだろう。
PFWが必要ならフリーので良かろう。

647 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/03/16 04:15 ID:FVHgMOs0
録音ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!!
録音◆Rb.XJ8VXowは超粘着質、電波を撒き散らすｲﾀｰｲ香具師ですので
無視してください > ALL

648 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/03/16 07:17 ID:efAWTLRC
>>646
おまいは今直ぐnyを止めろと・・・・
http://page.freett.com/zxe/img/mutu_04-03-16.jpg

ノートン、バスター以外で対応したソフツ教えてください。

デスクトップのショートカットは大丈夫？
たとえばアウトルックとか、Ｄドライブとか。

>>72
NAIはまだ反応無し
フリーウェア系は反応の速さを期待する方が無謀

>>71
676 名前： 名無しさん＠お腹いっぱい。 [sage] 投稿日： 04/03/16 14:01 ID:lEIr8Myn

>>648=647
レスと既得と新着が６４７になってますぜ（Ｗ

スレの流れをみると647-669は同一人物か？

sageも入れ忘れてるな

これはGJなウィルスですね

割れのなれの果て
じぎょう（←何故か変換できない）自得だな

CRC：E837、MD5：C399E5DD7999ED43EA705A36BDF026EA

http://up.isp.2ch.net/up/20fcae7a05d3.txt

駄目だね。
ニュー速にウイルスバスターで検出できないって書いても無視されるわw

トレンドマイクロのWORM_ANTINNY.Bやシマンテックのw32.hllw.antinny.eと
キンタマは別物なの？

>>81
どうも話を総合すると別物らしい。

キンタマウィルス2,chに貼ってあるところない？

>>83
ftp://nekoko.zive.net/upload/file2961.txt

>>82
やっぱ別物らしいのですか。

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.e.html
↑を読むとテキストファイルアイコンに偽装されたexe実行で感染とあるけど、
>>53読んだ感じでは
「HTMLに埋め込んで踏ませちゃうのはだれかが埋めたんではなくて こいつ自身が作る」
とあるし、スクリーンキャプチャや使用者名・組織名抜き出しなどに関して
一切ふれていないのでアレ？って思ってました。

確かに、落ちてくるファイルの中にはXPのテキストファイルのアイコンの実行ファイルはある。
他にもごみ箱のアイコンやフォルダのアイコンもある。
しかし、いずれもウイルスバスター2004では何も検出できていない。

を、ﾊﾞｲﾅﾘぢゃんｻﾝｸｽ!

84のファイル、79のMD5と一致したけどバスター2004無反応です。

>84
AVGだけど反応しなかったよ

おれは出遅れマカフィーだからわからんけどバスターやノートンの
ANTINNY.B、Eのパターンファイルでキンタマは検出できないぽ？

>>84を見たら割れ厨やエロい人から
アニオタ、洋邦音楽好きまでターゲットだな

nyで流れているやつネタやらねつ造やらが多くて
実際の活動内容を調べようにもめんどい状況だ。
本スレは個人情報晒しエロ祭の尾と観戦不安の質問ばっかだし

winny.Eはありえない
発見された日より前だけど

5d7b5aba2c3eaad4d2e4926fc33df8c3 - 651,264 - フォルダのアイコン - [キンタマ]~~.exe - ANTINNY.A
99354a3bb3b7c2ca6e323f911b4e48cc - 390,656 - テキストファイルのアイコン - [キンタマ]~~.exe - x
a570a6ecf590b7d45f836437c2b03bf5 - 594,944 - テキストファイルのアイコン - img/お得情報.exe - x

Antiny.Eだった

>91
Nortonクラック版なんてのもあるw

>84
ｺﾚ､何？
MSﾒｯｾ関係の値ﾚﾁﾞから引いてるみたいけど､､､､
つか､かなり楽しげなﾒｯｾ送ってくれるﾖｶｰﾝ？？
社内で仕事ｻﾎﾞって割れてるｼﾄは楽しみにしてたほうがｲｲﾈ!!
Delphi？

落としたファイルを調べてたら操作間違えてPariteに感染しちゃった。
ワームじゃなくてウイルスだからどんどん実行ファイルに感染を広げてビビった。
感染だけで何も悪さはしないけど、気持ち悪いから全部駆除した。

>>92
確かに実態が把握しにくい。
本当にそんなワームがあるのか？と疑いたくなるくらい、情報が溢れてる。

>>99
妙に高機能だよねw

70 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 23:16 ID:S/bPfHlG
注意！！！
トレンドの「ANTINNY.B」とシマンテックの「ANTINNY.E」は「キンタマ」ではありません。
公式の説明を読めば、「ぬるぽ」の亜種であることがわかります。
これは「キンタマ」の症状とは異なります。

壮大なネタに思えてきたが…。
実際の所はどうなん？

ああ、ﾀﾞｳ板では結構ﾃﾞｽ汗進んでるみたいでつね(w
つか、久々面白いﾓﾝ拾った！

ちょっと解析したけど、確かにメールやメッセンジャーと連携するらしき部分はある。
ここの発動も時限式っぽく、何月何日かに一斉に配信されるような気がする。
いつかは偽装のためか複雑に書かれてて正確には分からない。
内容は自分はWINNYユーザーだと暴露し、その後に所有ファイルの全部か一部かはよく分からんが羅列。
特定のアドレスはないっぽいので、メールソフトなどに登録されてる住所録に送るのかな。

ANTINNY.B
ANTINNY.E
キンタマ

同時多発ぬるぽか…

ダウソ板民の方がセキュ板よりも当てになるとはこれ如何に。

ttp://www.geocities.jp/kim_virus/LkxqLp9Q.html ←今回のワームについて、解説。

>>106
＞ダウソ板民の方がセキュ板よりも当てになる

必要に迫られてないって事を理解してない発言だな、ﾈﾄﾗｿ厨よ。

解析してみたけど様々な部分が時限式になってるようだから、
今後どんどん別な影響が出る可能性があるな
SS撮ってNY上にばらまくのやメールと連携するのは全体の２割程度しか使ってないな
あと８割分のよくわからん機能は今後順次発動するみたい

>>106
ﾏｧ､そりはｸﾗｯｶ職人さん日常的にﾃﾞｽ汗ｺﾞﾘｺﾞﾘ走らせてるからﾆｮ。
解析は得意でしょ。お任せしてﾏﾀｰﾘｳｫﾁ。
ｱｾﾝﾌﾞﾗ使いなｼﾄも中には居るだろうし。

ﾍﾀすりゃPC以上に深刻な社会的ﾀﾞﾒｰﾁﾞ感染PC使用者に与えるﾊﾂﾞだけど、
ﾋﾟｰﾎﾟ君はﾆﾔﾆﾔしてるだけなんだろﾆｮ。。。

>>104
曜日引っぱってるっぽいのは、何関係？？

つか、ｺﾋﾟﾍﾟ？？

サイズの小さいJPEGを取り込んだ亜種も数種類ある模様っす。
どうも、ミューティーションとかじゃなくって、何種類かを同時にばらまいているみたいだね。
もしくは、ツールキットのような物があって数人が同時に亜種を作成しているとか。

言っちゃ悪いがこんなに面白いウイルスは世界初じゃないか？

解析スレはここ？

きんたまやぬるぽはny使っていない人は絶対大丈夫ですか？
にちゃんやってたぐらいですが、メモちょうみたいな（すぐ削除したから忘れた）
わけわかめなアイコンがデスクトップにできていたんですが

171 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/17 01:00 ID:AcHXadV+
SS撮られるタイマー部分解析しますた。
間違ってたらｽﾏｿOTL

プログラム実行時に、乱数(多分0〜99)を発生させる。
そして、その乱数×1416（秒）ごとにSSを撮る　となってた。
つまり、全然ランダムな間隔だということ。

0が出たらSS撮られないのかな…？

>>102
winnyでサイズの大きい圧縮形式のキンタマファイルを
落としてみればわかると思うよ。
どっかの誰かのデスクトップ上のファイル一式全部入ってるから・・

未確認情報

時限式で進化してるのか改造されてるのかわからんが
デスクトップ上のファイルに加え、マイドキュメントも流されるようになったらしい

こわっ

>>110
仲間内でｿｰｽ廻して、ｲﾛｲﾛしてるんかな。。ﾂｰﾙｷｯﾄつかDelphi？
ｺﾑﾊﾟｲﾙ済んだら、それぞれでNYのUPﾌｫﾙﾀﾞに放り込んで拡散さしてるんかな。
若しくは動作条件把握したうえで自爆？
短時間で亜種ばら撒き情報錯綜させ、且つｵﾘﾁﾞﾅﾙﾌｧｲﾙの出自眩ますのは、やり方上手いﾆｮ

何にしろ、ｶﾅｰﾘ本気で動かないと作者特定難しいﾆｮ
NYの特性を逆子に取ってﾙ
ｴｹﾞﾂﾅｲけろ、、、興味深いﾈﾀだﾆｮ！

　

>>117
borlandのライブラリには一切依存してないけど、delphiでborlandライブラリ非依存exeなんて作れる？

確かできるんじゃなかった？exeの容量がめちゃデカくなるけど。

http://pc2.2ch.net/test/read.cgi/tech/1009080085/
このスレが参考になるかも

>>119
ｳｰﾝ､､何なんでつかね....
ﾀﾏｰにｳｲﾙｽﾊﾞｲﾅﾘ、ﾃﾞｽ汗でﾂﾗﾂﾗ眺めてるぐらいなんで。。

とりあえず、悲鳴の部分については Windowsの設定を変えて音声最大にして鳴らす、という
ことだけ分かった。

メインとなるルーチン(0044afd4)から呼ばれているのまでは追ったけど発現条件はまだ。
とりあえずメインルーチン解析から進めてみる。

>>119
作れるとも。GUI含まないんならサイズもそう大きくならない。

GetKeyboardTypeが中に入ってますが
まさかキーロガーみたいなことはしませんよね？

なんか機能満載ウイルスですね。

ﾀﾞｳｿ板はDL報告厨だらけで情報持ち寄ってた人らが
いなくなってしまった…。

被害に遭うのはﾀﾞｳｿ厨だからいい気味だね

>>125
インポートはしてるけど呼び出してるところは見つからない…

>123
検索用に捨てハンｷﾎﾞﾝ

>128
ニュー速のきんたまUP祭りでの感染みたいに
メールで個人情報発射の亜種とか出て
二次災害が広がりそうな気も。

>>128
ただ、ﾀﾞｳﾝ厨のせいで個人情報流された
赤の他人もいるというのがなぁ…。

適当にトリップつけときます。
別の向きから眺めてみたところ、クリップボードデータ取得してるとこがあったので追ってみた。
0042ab08に、0044afd4並に大きなルーチンが置かれてて、そこから呼ばれてた。
完全に推測だけど時限式で切り替わる部分か？

>>132
感染者の数が多いように言われて、実際は重複とネタが多いらしいけど、
その中で本人or他人の個人情報暴露（なおなお除く）が酷かったのって
そんなにあったの？

精神に強烈なダメージを与えるウイルスだな・・・。

>>129
0x0040680cあたりからモロに

>>134
今の所そんなにひどいのは無いと思うが、会社のPCで感染に気付いてない場合は
今後ヤバイSSが出る可能性は大いにある。

よくわからんのだが、
●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと

この「みえているかと」ってのは、見えてれば感染してるって事なの？

>>138
それ日本語おかしいんだよな…。
今テンプレだいぶ変わってるのでは？

>134
ヤフオクのID+取引相手の住所氏名くらいかな。
あと会社の見積書とかのExcel,Word。

# こんだけ機能が多いとｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙで調査できない昇進モノの自分

すまんくだらん質問してもいいかい?>all
俺昔Nyやっていたんだけどぉ
ある時更生してきっぱり止めたんだよ。
それでこの騒動知って、ダウんんロードはしないけど
実際に感染者がいるのか調べたいからnyやってみようと思うんだけど
どうやったら感染しないで安全に他人のキンタマだけ見れるの?
もしくは感染したとしてもデスクトップに対したものおいてなかったら
安全?

ニュー速＋では2GB以上をデスクトップに置いてる人は
詰め合わせされない、とか言われていたけど
本当なんだろうか？

あと、なんかマイドキュメントまで流れはじめたとか言ってるし…。
ｳｲﾙｽ進化してる？

>>142
マイドキュメントまで流れたというのは本当かい?
だとしたら手だすの止めとこうかな。
でも俺の大学にnyやってるやついっぱいいるから
すんげー確かめたい。しかもアカウントは学生番号で作んないと
いけないから学内の人間だったらすぐに本人特定できるw

感染に気付いてないWinny使用者Aと普通のネット利用者Bが居て、
私信やネットオークションなどでBが自分の個人情報を記載した
メールをAに送信し、Aがこのメールを開きBの個人情報部分を
偶然キャプされWinnyで流されるなんて事も・・・

>>142
キンタマ漁りの２次感染者だが、
UPフォルダに報告にないようなzipやlzhができてた。
中身や名前はHD内（Downフォルダ？）から適当にとったっぽい。
当然のようにキンタマウィルス本体も一緒に圧縮されてたよ。
マイドキュメントからは出てないが、どうなることやら。
件のPCはスタンドアロンにして暫く放置しますが(´･ω･`)

>>141
これだいじょぶらしい。

463 名前：番組の途中ですが名無しです[] 投稿日：04/03/17(水) 00:53 ID:emT8fjj6
[kintama] オレのdesktop 380枚(nao11枚含む)詰め合わせ.zip
ff7116928acf0375fd82955947a8e1ea
これ落としても平気かな？

>141
クラスタを
[キンタマ] 俺のデスクトップ .jpg

NGワードを
.zip .lzh .rar .exe

．．．これでも危険なのだが。

> デスクトップに対したものおいてなかったら安全?

時限で何かあるかもしれない >142
気をつけるべし

2GB越えをZIPにするのかの謎をしりたいな。
あえて感染する人でデスクトップに
そんな大きい物置いてる人はいないか…？

名前マチガットタ。。。
おお!>>145
パソコン1台以上持ってる人はいいなぁ。
俺も他人のキンタマ漁りがしたぃ。

ノートンの中の人レポート待ちで放棄気味。圧倒的に知識が足りない。
知識付けて出直します。

767 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/17 03:28 ID:bj4qpa3G
おーい
感染者だけどオンボードサウンド殺された
エロ見ようと思ったら音でねぇし(システム音はする)調べたらデバイス無しになってた
何があるかまだ未知数だなぁ

ワロタ
ttp://page.freett.com/zxe/img/akie_04-03-11.jpg

さっきから落ちてくるファイルの傾向が変わった。.JPGが大文字のやつが多く流れてくる。
故意に流しているのか、時間が来たのかは不明。亜種かも
[キンタマ] 俺のデスクトップ xxx(3桁の数字) [04-03-17].JPG

>>151
ダウソ板でやってくれ…。

>>152
放流主が亜種の目印に大文字にしてたら嫌すぎる…

これウイルス対策ソフトでたらどうなるんだろうな。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

勝手に登録削除してくれんの？

１３日以降は繋いでないんだけど、これが出回ったのって
それ以降だよね？？危なかった・・・

>>156
いや、２月終わりとかいってなかった？？

>>156
出回ったのは結構前らしいよ。
アップし始めたのが最近みたい？

>>156
最初？の感染者は2月末だったはず

>>156
2月下旬のSSがあったとさ

感染はともかく、最初のUPっていつ頃だったんだろう？

>>157-160
おつ

マジで・・・・？うわあああ怖えよおおおお

http://www.geocities.jp/kim_virus/LkxqLp9Q.html
今のところキンタマについてわかっていること。
俺はこれ解析した本人だけど、メールは送ってないかもしれない。
でも送ってるかもしれない。
Antiny.BだのEだの言う前に、16bitCRC E837であることを確認しよう。
Name CRC Bytes
------- ---- -------
000.exe E837 376,832

こんな時間に何で祭になってんだ?
自演して楽しいか?

ただ、別バージョンも出回ってるらしいけど

exeのタイムスタンプを見ると Sat Jun 20 07:22:17 1992
全然当てにならない。

2/14のバレンタインデーに散布開始
時限爆弾がじわじわ作動、キャプ、zip詰めOK
3/14のホワイトデーに一斉放出

だったら涙でるなあ

>>156
2月下旬から出回ってるっぽい。

>>164
おお！神ｷﾀｰ

しかし検索かけてみると
eoとか375ＫＢ付近のサイズだから心臓に悪いな

>>167
こんな感じでタイムスタンプ捏造機能がある模様。
よくあるウイルスだとこれをフラグにして発病とかの判定に使ってるぽいが
こいつのは不明。
CODE:00442CCC sub_442CCC proc near ; CODE XREF: sub_448CDC+89p
CODE:00442CCC
CODE:00442CCC LastWriteTime = FILETIME ptr -10h
CODE:00442CCC CreationTime = FILETIME ptr -8
CODE:00442CCC arg_0 = dword ptr 8
CODE:00442CCC arg_4 = dword ptr 0Ch
CODE:00442CCC
CODE:00442CCC push ebp
CODE:00442CCD mov ebp, esp
CODE:00442CCF add esp, 0FFFFFFF0h
CODE:00442CD2 push ebx
CODE:00442CD3 mov edx, 1
CODE:00442CD8 call sub_407F10

CODE:00442CDD mov ebx, eax
CODE:00442CDF cmp ebx, 0FFFFFFFFh
CODE:00442CE2 jz short loc_442D17
CODE:00442CE4 push [ebp+arg_4]
CODE:00442CE7 push [ebp+arg_0]
CODE:00442CEA lea eax, [ebp+CreationTime]
CODE:00442CED call sub_442C80
CODE:00442CF2 push [ebp+arg_4]
CODE:00442CF5 push [ebp+arg_0]
CODE:00442CF8 lea eax, [ebp+LastWriteTime]
CODE:00442CFB call sub_442C80
CODE:00442D00 lea eax, [ebp+LastWriteTime]
CODE:00442D03 push eax ; lpLastWriteTime
CODE:00442D04 push 0 ; lpLastAccessTime
CODE:00442D06 lea eax, [ebp+CreationTime]
CODE:00442D09 push eax ; lpCreationTime
CODE:00442D0A push ebx ; hFile
CODE:00442D0B call SetFileTime

どなたかSoftICE持っててかつ実験用隔離マシンある人
さらなる解析よろしく。
一台しかないんで怖すぎてデバッガで解析できんｗ

dispeでばらして眺めてみたけどよくわからん、とdispeのせいにしてみる。

隔離実験機さえあればフリーのW32Dasmでもいけるかもだよ。

>>176
http://www.google.co.jp/search?q=cache:YJKSbQSW5GgJ:www.up-cat.net/contents/links.htm+W32Dasm&hl=ja&lr=lang_ja&ie=UTF-8

これって最悪、Winnyユーザの感染PCにバックドア開けて、
IISのFTPフォルダなんかをUPフォルダに設定して、
そこに非Winnyユーザの感染者のSSファイルを送り込む様な
亜種とか出てこないのかね？

したら強烈だねぇ。

解析乙であります

wingrooveのロジックボム解析とかteam iCE VS 某クラッカー とか
久しぶりに思い出したよ

インターネットwatchの
ANNTINY.B=キンタマは
豪快な空振り記事？？

>>158
15日以前から感染報告はあったよ。
祭りに発展したのはﾀﾞｳｿ板の連中が面白がってﾀﾞｳｿし始めて
詰め合わせの中身のヤバさに気付いてから。

>>177
うお、あれってフリーじゃなかったんか…

祭りが始まってから山のようにデスクトップ画像が
うｐされてきたけど
ホントにその中に一つもキンタマに
感染するjpgはなかったのだろうかと
不安になってくるな・・・・

そもそもjpgで感染するかどうかもまだ情報が錯綜してるっぽいし

>>177
あ、おもいだした。
たしかレジストしなくても機能制限一切無しってやつか。
そういうのってフリーと思いこんじゃうんだよなぁ…

>>183
自分は16日の15時頃から200以上落としたけど、偽装したものも、ウィルスも無かった。
だけどさすがにもうでまわってそうだよね。

>>180
だったら、下手するとニュー速やダウソ板から
（タイマーあるらしいから）時差でかなりの被害出るんじゃない。
スキャンして安心してる書き込み多かったし…。

>>183
原理的にはバッファーオーバーフローなどを用いて感染しうるけど、
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/1999-11-12.irfan.txt
こういう技術も持ってる奴ならそもそもjpgなんぞにする以前に
nyの隣のノードをクラックして伝染していくようなワームにした方が
もっとすごいはず。

「キンタマ」で自分のパソ内検索して出てこなかったら感染してないって事じゃないの？
いつキンタマってつけられてるんだろな。

>>188
感染と発病が同時だとは限らない。
っつーか普通同時の奴なんて無い。
キンタマ作る以前に自分自身を広める期間が必ずあるはず。

>>189
ちょっと言葉が足りなかったな。
自分の画像が晒されてないか心配なヤシは「キンタマ」検索かけてみれば
それが分かるんじゃないかと思ったんだけどな。

感染してても「キンタマ」でひっかからなければ、まだ晒されていないんじゃないかと。

>>189
>>145の症状みたいなのが自分を広める行動だろうな。
WinnyのUPフォルダチェックを最優先にすべきかね

>>190
そうそう、ぶっちゃけ、メール発射が確認されてない現状では
感染の有無はともかく晒されてるのが一番怖い
感染してても晒されてなければイイと思ってるヤシ多いと思う

晒しの有無を確認する方法を確定してホスィ

929 名前： 番組の途中ですが名無しです [sage] 投稿日： 04/03/17 01:43 ID:mol5JCjT
>>837
重要 機密 内部 個人 履歴 経歴 名簿 レポート 注意 提出 論文 大学 会社 顧客 仕事 secret

面白い文字列が並んでる。

936 名前： 番組の途中ですが名無しです [sage] 投稿日： 04/03/17 01:45 ID:DIOfxtIc
>>929
該当するファイル名を取ってくるってっか

こりゃひでえな

メール等や作業中などの、
個人が特定されるような場面のSSが
出回るのも怖いだろうなあ…。

まあ今のところ感染しててもwinｎｙ起動させなきゃ広まらないんだから
疑いのある人はやらないことなんじゃないの？
写真やフォルダはできてもそこでｽﾄｯﾌﾟできるんだから。

てかSSに関してはもうｎｙやらなければいい話なんじゃないの？

何気に血飛沫や悲鳴が嫌だったりする
いつかわかってれば楽しく見れるんだが

>>195
＞感染しててもwinｎｙ起動させなきゃ広まらない

と確定してればな。
やってもないのに巻き添えとか、既にそういう亜種が出てるかも…
で、不安。

自分自身を以下のような.htmlにして本体を踏ませるつもりらしい。
CODE:00448E44 aReadme db 'readme',0 ; DATA XREF: DATA:0044E768o
CODE:00448E4B align 4
CODE:00448E4C aReadmeIndexInd db 0FFh,0FFh,0FFh,0FFh,6,0,0,0,'Readme',0,0,0FFh,0FFh,0FFh,0FFh,5
CODE:00448E4C ; DATA XREF: DATA:0044E76Co
CODE:00448E4C ; DATA:0044E770o ...
CODE:00448E4C db 0,0,0,'Index',0,0,0,0FFh,0FFh,0FFh,0FFh,5,0,0,0,'index',0,0,0
CODE:00448E4C db 0FFh,0FFh,0FFh,0FFh,0Eh,0,0,0,'お読みください',0,0,0FFh,0FFh,0FFh
CODE:00448E4C db 0FFh,16h,0,0,0,'はじめにお読みください',0,0,0FFh,0FFh,0FFh,0FFh
CODE:00448E4C db 0Ch,0,0,0,'サポート情報',0,0,0,0,0FFh,0FFh,0FFh,0FFh,0Ch,0,0,0
CODE:00448E4C db 'シリアル番号',0,0,0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'シリアル',0
CODE:00448E4C db 0,0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'お得情報',0,0,0,0,0FFh,0FFh
CODE:00448E4C db 0FFh,0FFh,8,0,0,0,'特典情報',0,0,0,0,0FFh,0FFh,0FFh,0FFh,0Ah
CODE:00448E4C db 0,0,0,'歌詞カード',0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'使用方法',0
CODE:00448E4C db 0,0,0,0FFh,0FFh,0FFh,0FFh,0Ah
CODE:00448E4C db 0,0,0,'マニュアル',0,0,0FFh,0FFh,0FFh,0FFh,10h,0,0,0,'インス・
CODE:00448E4C db 'gール方法',0,0,0,0
CODE:00448F78

>>199
凶悪だ…

>>193
それは見あたらないなぁ…
なんでだろ？

>>199
そのHTMLは感染語（発症後？）どこに作られるの？

とりあえず、「.folder」に偽装していることがあるという話は本当なのだろうか?

初心者が自分のセキュリティを簡単に向上させられるよう、
鑑定スレではこんなファイルが出回っていたんだが、所詮は鑑定スレでだけか。

ttp://www.zatsudan.org/x/up/gazou/img/1063046526013.zip

>>203
あ、.folderはホント。
感染したら出来てた('A｀)

24時間前に
ファイル詰め合わせ.lzhのhtml開いて
キンタマ(E837)踏んじゃったので
役に立たないと思うけど一応報告しときます。

実行した時に
「圧縮(Zip形式)フォルダは無効であるか、または壊れています」
というダイアログが表示された。
regedit.exeがnotpad.exeに上書きされる事は無かった。
Upfolder.txtも異常なし。SS、ファイル詰め合わせも今の所うｐされてないようです。
ﾚｼﾞｽﾄﾘのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

に名前xxx データC:\Program Files\xxx\xxx.exe
が追加されてた。
xxxの部分はPowerFTPだったりMessengerだったり
色々変わるようです。とりあえず二種類確認。
指定のexeはE837のｺﾋﾟｰでした。
とりあえず踏んじゃった時に↑のを削除したので
そのまま再起動したら発動してたのかも？

OSはWindows2000です。

>>202
ウイルス本体とそのHTMLを詰め込んだ圧縮ファイルを
多分新しくウイルスが作ったアップフォルダに置くんだと思われる。
そのときのファイル名は約６９０種類あることが判明してるし、
サイズも当然それに見合った偽装をしてると考えた方がいいので
一見わからん。

>>203
そいつは怖いね。
WinRARで開いたら真性のフォルダにはCRCなどでるはずもないのに
そいつのにはでる。

サイバーポリスに掲載されないかなあ

詳細表示にしてファイルサイズがでちまう奴は
例えフォルダアイコンを見てもそれがニセだと見抜けないとダメ。

ここでｎｙに手書きで検索入力してるＳＳ来たらnaoに次ぐ神認定なんだが…

>>205
を踏まえたうえで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にデータ末尾が.exeのファイルがあったんだけど
その所在を調べて、過去にインストールしたサウンドカードのアイコン
（作成日時もインスコした時のもの）だったんだけど
これは平気？.exeだったからってキンタマと決め付けるのは早計？

>>211

とりあえずCRCをチェックしたら？
>>164

>>212
低脳なのでどうしたらよいか・・・・

教えて君ｽﾏｿ・・・

>>212
ソフトはなんでもいいけど、この辺で
ttp://www.vector.co.jp/soft/win95/util/se274053.html
これは起動して調べたいファイルをドラッグ＆ドロップ。

CRC16がE837だったらアタリかも。

藻まいらとりあえず regedit 実行してみそ

>>215
ファイル名.exe の後に4081とでますた・・・

>>216
ふつーに開きますた

>>216
regeditがnotepadになるのはぬるぽ。
キンタマはそういう症状が出ない。
両方入手して逆汗したから間違いない。

>>218
じゃ駄丈夫だね

スマソ
大丈夫だね、でした

>>219
そーなの？
じゃあその情報も誤報として出回ってるっぽいんだが・・・
情報錯綜し過ぎ○|￣|＿

>>219
ん〜？
バスターでぬるぽ検出せんかったよ

ところで>>215さん
漏れの4081ってのは大丈夫サインですか

>>217
とりあえずそのファイルはキンタマではない

>>219
俺はキンタマでなったっぽい。
ぬるぽも一緒に引いてるかとかは解らないけど。

>>225
でもぬるぽは検出されるハズ

あ、あと漏れはぬるぽ感染したことあるけどregeditは正常ですたよ

>>219
つーことは、>>84はぬるぽって事？
これ実行したらレジストリエディタがメモ帳になったんだが。

regedit.exe上書きしちゃうんだよね
消しても消しても生成されるのは正直ビビったけど、ぬるぽなのか

>>225
キンタマファイルにぬるぽが入ってるのがいくつか出回ってて、
最初は俺もそれ手に入れた。
そこら辺が錯綜の原因だと思われ。

でもその状況になってもバスターで検出されなかったのは何故だろう？

>>224
>>225＝215です。
ここIDでないんだね(´･ω･`)


ん〜・・・ぬるぽは未検出。
キンタマは感染時はRegeditなど起動できたけど、
再起動したらNotePadになったよ。

>>228
え！？うそ！？
txtファイルでなら俺も開いちゃったよ
exeに変換して開いたりしたんじゃないの？？

>230 >231
昨日VBが対応したぬるぽの亜種(B)が入っていたりして。

Windowsディレクトリにあるregedit.exeのアイコンがノートパッドになってて
そのファイルを消しても消しても復活する状態だったよ
正直怖かった・・・

>>180にも書いてあるけど
ANNTINY.B=キンタマって
記事の誤報だけならともかく
トレンドマイクロとかもそう思ってるんじゃないだろうな・・・

>>233
.exeにリネームしてVirtualPCで実行した。
txtなら多分大丈夫。

>>228さん回答おながいします・・・
もしtxtを開けて感染するなら漏れもだめぽ・・・・
漏れは開けたときは文字化けしたメモ帳が開いたけど
regeditは正常です

>>237
亀れすになっちまった。スマソ
ちなみに>>235＝237？

>>239
228=237

>>239
いんや漏れじゃないよ

>>240>>241
レストンクスコ

ＶＢもノートンも現実はまだ対応してないってことか？

まさか>>236のようなことはないよな
ハハハハは・・・・ハ・・・

再起動したらregeditはnotepadになたね

>>245
最新パターンにしてウィルス検索してみて

ペイント開いて
貼り付けを実行できるかできないかで、感染のしてるか判断できない？

>>247
詳細キボン

>>248
キンタマがクリップボード通してSS取得してるなら、ペイントで貼り付けすれば
（SS取られたあとなら）確認できるんじゃないか？て話ぽいね

>>247
そうか、キャプしてるんだから当然操作時の
画面がクリボーに入ってるはずだもんな
良い発想だ

>>249
そうです。解説サンクス

>>247
この方法いいね。誰にでもわかるし。
試しみて欲しい

とゆーかここは対策スレなんだから少しは自重すれ
感染して不安なのはわかるがな

キンタマの基本動作だからな。これまでのregeditとかでは別のウイルスの可能性も考えられるから。

XPなら駆除できるけどな

>>245
検索してみた？

regedit書き換えられたのはもとにもどせないんですか？

>>257
できる

>>250
クリップボード拡張ソフトで、画像の履歴も取得できるソフトがあるんだから･･･

感染した香具師全員が使ってないor気づかないって可能性も高いのだけどな。

>>258
やり方教えてください。それとあげちゃってすいません。

>>260
ヒント>>255

あんたﾀﾞｳｿ板でも聞いてただろ
まあ、いいけどな

>>261
150あたりから読み直してみたけど、わかりません・・・

六時にSS取られたけど
貼り付けはできなかたよ

>>262
１.まず regedit 実行・・・どうなった？
２.次に ペイント開いてクリップボードから貼り付け・・・どうなった？

>>263
なぬ！できなかったとな！？
手強いな

>>263
できないかー。じゃあどうゆう経路でSS撮ってるんだろうか

これ作った奴かなり頭の回転よさそうだな。
俺程度じゃ無理ぽ。

>>264
1.ノートパッドが開いた。
2.貼り付けるものがなかった。

regeditは多分復旧できました・・・別PCからregedit.exeとsystem32の中のregedt32exeひっぱってきて上書きしたんだけど
これでレジストリエディタは起動したから、regeditだけは復旧できたのかな・・・

なんでDCを直接いじってるのにクリップボード経由だと思うの？

予想アーキテクチャ

クリボーに保存　→　JPEG変換　→　クリボー消去　→　ハッシュ化　→　JPEG消去

>>268
もっかいやってみ regedit

>>268
２はどうも無駄っぽいね

>>268
アンチウィルスソフトはなに使ってる？

とりあえず感染した場合は
再起動せずにレジストリのスタートアップ掃除でOK?

1つ聞きたいんだが
regedit.exeをregeditaa.exe
てな別名にして実行したらちゃんと機能するの?

タイムマシーンがあるじゃないか！

regeditは直接起動してもファイル名を指定して実行でも正常に起動するようになった。
再起動したらどうなるか試してみたいけど、今トレンドのオンラインスキャンしてるから大分あとになりそう・・・
普段つかってるアンチウィルスソフトはノートンです。

2000やXPはサービスに登録されるので
そっちも掃除しとかないとダメよ

>>277
ベンダーはどうも >>236 って勘違いしてるらしいからしばらく当てにならないと思う
WindowsXPなら >>276 機能がある

はじめてXPに感謝した瞬間

regeditがnotepadになるのはぬるぽだと言われてるけど
CRC：E837、MD5：C399E5DD7999ED43EA705A36BDF026EA

↑のexeファイルでも実行後再起動かけるとregeditがnotepadに置き換わるっス

確認したその他の症状は
・tempにユーザー名.txt作成
・winnyフォルダにReadMeFilesフォルダ作成
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exe登録
・C:\Program Files\xxx\xxx.exeのCRC値はE837

[隔離機で検証]

>>219
が正しいとすれば
キンタマを実行すると環境もしくはなんらかの条件によって
ぬるぽが呼び出されるのかね

327 名前： [名無し]さん(bin+cue).rar [sage] 投稿日： 04/03/17 06:48 ID:3q3T2VML
BAT.RedDw@mm
W32.Eggroll
W32.HLLW.RedDw@mm
W32.Lespaul@mm
W32.Orko
W32.Welchia.gen

今回のノートンの更新で追加された6個。
まだ対応してないっぽい。

さっきからシステムファイルが見えるようにフォルダオプションのチェック入れて
あちこち見てるんだけど、デスクトップにAlbumArtっていうのとFolderって名前のちっちゃいjpg
が見える・・・
作成日時は半年以上前なんだが・・・削除しようとするとシステムファイルだと言われる
jpgのシステムファイル・・・これっていったい何でしょう？

るせーばーか

なんか…そうとう凝ったウイルス？

>>283
あなたの
しようしている
おぺ
れーてぃんぐしすて
むはなにで
す
か？

>>286
教えるわけにはいかない。

>>283
Debian GNU/Linux sid ですが何か?

>>288
です
く
とっっぷ
かんきょう
は
なに
です
か？

ダウソ板にここのリンク貼られてから
変なの湧いてきた
このスレもうだめぽ。

>>286
XPです

みんな心配で寝れなかったのか？どのスレも凄い勢いだなー

>>291
おめ

暫定版削除方法
-準備-
　ＮＹを止める
　ﾌｫﾙﾀﾞｵﾌﾟｼｮﾝで”全てのﾌｧｲﾙとﾌｫﾙﾀﾞを表示”にﾁｪｯｸ。
　”保護されたｵﾍﾟﾚｰﾃｨﾝｸﾞｼｽﾃﾑﾌｧｲﾙを表示しない”のﾁｪｯｸをはずす
　全てのﾌｫﾙﾀﾞに適用を押す
-削除-
・ＮＹのUpfolder.txtを見てﾞに[キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh(.zip.exeなど)
・"Ｃ:\Documents and Settings\ユーザー名\Local Settings\Temp"の"ユーザー名.txt"
・Upfolder.txtと書いてある登録したことのないフォルダを消去

-376,832ﾊﾞｲﾄのファイルを探す-
↓のソフトなどでCRC16がE837か確認（ﾌｫﾙﾀﾞｱｲｺﾝやjpgｱｲｺﾝのexeが多い）
ttp://www.vector.co.jp/soft/win95/util/se274053.html
・regeditがﾒﾓ帳になっている人はwindowsのCDからregedit.ex_を探しregedit.exeにﾘﾈｰﾑして上書き
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　を見て、書いてあるパスにエクスプローラーで行ってみる。
　該当したらﾌｧｲﾙとﾚｼﾞｽﾄﾘを削除
・ファイルの検索で376,832ﾊﾞｲﾄのファイルを探し該当したらﾌｧｲﾙを削除

・再起動
・regeditが起動出来たらとりあえずOK
・ＮＹのキンタマﾌｧｲﾙ(ｷｬｯｼｭ)を全て消去

これでいい？
もう眠くてだめぽ・・・

http://tmp2.2ch.net/test/read.cgi/download/1079449665/231

>>286
vmわれかなにか
つ
かって
でびあん
とどう
じに
きどうしてる
です
か？

>>291
>>296

>>281
IDA Proで解析した限りでは、キンタマの方にはregeditだのnotepadだのが出てこないんだよね。
一方最初に入手したぬるぽにはそういう文字列が入ってる。ara-keyとかも入ってた。
これはキンタマの方は開始アドレスからあらゆる分岐をたどってもそういうregeditだの
notepadだののデータに静的にはアクセスするロジックがないってことを意味してる。
ディスアセンブラレベルで出てこないのにその症状が出ているとなると、
・ぬるぽと同梱されていて両方発動するようになってる
・実はキンタマにぬるぽが内蔵されていてはき出す
とかかも。

実際、キンタマのファイルの中にはなぜかぬるぽが入ってることがそれなりの頻度で有る。
誰かが意志で入れたにしては数がちょっと多いような…

わけわからん

>>296
それを教える事によって私の大事なパーソナルコンピューター≠マイコンが
恐ろしいネットヴィールスに感染してしまった場合
君は責任をとれるのか？
とれるのか？

いま再起動かけて来てdocuments adnd settings のadmin（ユーザー名のとこね）フォルダの
temp除いたら

~offfilt
{b87c7（以下数字と小文字羅列）}
{3dcf97（以下数字と小文字羅列）}

って三つのフォルダが出来てた
ちなみに全ファイル可視状態にしてもどれも中身は空
作成日時は昨日から今朝にかけてだった

ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙしてるんだがついにやっちまったのか！？

>>300
とれるけどとらない

私がollyでみているやつ
ＣＲＣが既出ですでにいろいろ解析情報が
でている000.exeのなかにはregedit.exeが
あるし、notepad.exeもある。
もちろん、キンタマ　俺のデスクトップ　といった
文字もあるよ。

>>302
ほらみろ所詮無意味な改行を繰り返し文字の大半をひらがなで綴るような
キンタマ以下の小市民には所詮解決は無理だということだ
おとなしく有識者の解析を待ちたまえ

Name CRC Bytes
--------------------------- ---- -------
[キンタマ] ウイルス本体.exe E837 376,832
----------------------------------------
1 Files / 376,832 Bytes


ノートン反応したよ

>>33
それはぬるぽが弄られたのではないか？
もしくはすでにキンタマの亜種、変種があらわれいるということなのか？

私がollyでみているやつ
ＣＲＣが既出ですでにいろいろ解析情報が
でている000.exeのなかにはregedit.exeが
あるし、notepad.exeもある。
もちろん、キンタマ　俺のデスクトップ　といった
文字もある。ついでに、ごていねいにも
ぬるぽ　NULLUPO　といった文字列もある。

常駐してキンタマを切ってくれるアプリって無いものか・・・

>>304
こいつムカつく
ばーか
うんこもらして
ねろ

>>307
もしかすると亜種も>>309糞して寝なさいうんこ房、かなりの量出てきてしまっているのかね
まいった
なんらかの形でverを便宜上わけるか、みわける必要がありそうだね>>309馬鹿め

本当だ。ノートン対応したね。
検出名はW32.HTML.Antinny

>>310
言わんとしてる事はわかるけどとりあえずﾓﾁﾂｹ

>>310
ばかていうばかがばかだてせんせいがいってたもん
>>311とりあえず終息の方向に向かいそうだね
ばーか

こまったことに、こいつ、
Text strings referenced in 000:CODE, item 1136
ｱﾄﾞﾚｽ=0041FFF0
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.00420090
ﾃｷｽﾄ=ASCII "ZIP 形式書庫の解凍には UNZIP32.DLL または LMZIP32.DLL が必要です。"
なんてものをもっている。
たぶん、ウィルス自体の実行結果である表示であるのに、
これではあたかも解凍ソフトの出力結果のようにユーザは
解釈するだろう？それで、ウィルス感染の認識がされにくくなるんじゃないか。

ノートンで確認できる人は 16bit CRC値もよろ

>>315
>>84のファイル

>>314
それはどうもぬるぽの話のように見える
>>313回線切ってチンポ縛って壊死させてしまえ
確か.exeをフォルダに偽装しておいてクリックさせた後にそれを表示させるんじゃなかったか？
>>313糞春房の脳は蟲が湧いているんだね

>>307
アドレスどこら辺？

>>316

>>84 = >>88 = >>79
CRC：E837、MD5：C399E5DD7999ED43EA705A36BDF026EA

とりあえずキンタマ対応完了と見ていいのかな
なんかまだ祭りが終わった気がしないｗ

CRC E387

Text strings referenced in 000:CODE, item 3278
ｱﾄﾞﾚｽ=0044A67E
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.0044A73C
ﾃｷｽﾄ=ASCII "regedit.exe"

Text strings referenced in 000:CODE, item 3280
ｱﾄﾞﾚｽ=0044A6C6
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.0044A750
ﾃｷｽﾄ=ASCII "regedt32.exe"

Text strings referenced in 000:CODE, item 3286
ｱﾄﾞﾚｽ=0044A7FC
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.0044A8B0
ﾃｷｽﾄ=ASCII "notepad.exe"

Text strings referenced in 000:CODE, item 3295
ｱﾄﾞﾚｽ=0044AB30
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.0044AC34
ﾃｷｽﾄ=ASCII "NULLPO"

Name CRC Bytes
--------------------------- ---- -------
[キンタマ] ウイルス本体.exe E837 376,832
----------------------------------------
1 Files / 376,832 Bytes

1個目
形状
XPのフォルダーアイコン

320はCRC：E837　の間違いね。

CODE:0044AC34 aNullpo db 'NULLPO',0 ; DATA XREF: sub_44AACC+64o
これは確認できるんだけどなぁ…
ていうかこれの位置もちがくないか？？？

なんでだ？？？

煽る気は無いのであまり言明はしないが…

CRC：E837　ついでに。

Text strings referenced in 000:CODE, item 3259
ｱﾄﾞﾚｽ=0044A284
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV EAX,000.0044A4E8
ﾃｷｽﾄ=ASCII "[キンタマ] 俺のデスクトップ %s [%s]"

Text strings referenced in 000:CODE, item 3263
ｱﾄﾞﾚｽ=0044A3C3
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=MOV ECX,000.0044A558
ﾃｷｽﾄ=ASCII "(ファイル詰め合わせ)"

自分でサンプルを集めるかメッセでやりとりする方が早いぞ
まあスレを消費してやっても一向に悪いとは思わないが
見る奴がみたら非常に効率が悪いというか、何なレスが多い気がするので

あったあった！！
CODE:0044A8B0 aNotepad_exeReg db 'notepad.exe',0,0FFh,0FFh,0FFh,0FFh,0Bh,0,0,0,'regedit.exe',0
CODE:0044A8B0 ; DATA XREF: sub_44A760+9Co
CODE:0044A8B0 ; sub_44A760+BCo
CODE:0044A8B0 db 0FFh,0FFh,0FFh,0FFh,0Ch,0,0,0,'regedt32.exe',0,0,0,0

IDAの野郎DWORDと取り違えてやがった…
VC++製のだとこんなことはしないんだがな…

＞CODE:0044AC34 aNullpo db 'NULLPO',0 ; DATA XREF: sub_44AACC+64o
これは確認できるんだけどなぁ…
ていうかこれの位置もちがくないか？？？

いや。あなたはＩＤＡをつかっているでしょう？
私はいまollydbgをつかっていて、それだとね、
あなたの示したアドレスにもNULLPOあるよ。Text strings referenced in 000:CODE, item 3298
ｱﾄﾞﾚｽ=0044AC34
ﾃﾞｨｽｱｾﾝﾌﾞﾙ=ASCII "NULLPO",0

だから、解析中のファイルは同じだと思う。ただ、ＩＤＡでの解析結果表示方式が
こちらのollyとは違うって話で。

晒しageをするまでもなく酷い有様です

>>326
2ｃｈらしくない正論でつね

感染した香具師はーおとなしくしろ、解析してくれる人の邪魔をするなっつーの。
ニュー速でもダウン板ででも聞いてこいってば。

せっかく拾ったアプリの使い道がやっとわかったような気がして嬉しくてたまらないんだろ？
放って置いてやれよ、みんなここから成長するんだ
貴様みたいな枯れたジジイの感覚で物を言うな

>>331
ノートンで対応したってよ
解析する行為自体に意味はあるがお前の書きこの意味がわからん

【写真集】(STUDIO LOUD IN SCHOOL) C+(266枚).exe [CRC:E837]
Norton AntiVirus Corporate Edition
ウイルス定義ファイルバージョン: 60316h
シーケンス番号: 28605
拡張バージョン番号: 3/16/2004 rev. 8
同じく検出です。
naoﾀﾝ詰め合わせで検出したので、自己増殖(の1パターン)は検出できるようになったね。

転送なんかで意図せずにキャッシュにたまったとしても、ファイル変換操作をしなければ
ダウンフォルダには現れない。さらにhtmlやexeなんかを実行しなければ感染しない。
よく考えたらそんなにビクビクせんでもいいんじゃ？

結局exeばっかか・・・・
ほんとこのウィルスに掛かった奴って初心者なんだな・・・
甘い考えでアングラ（というほどでは全く無いが）手を出したりするなっつーの。

>>325
それはダウンロード板で書けばいい事なんじゃないか
ここのレベルが低いと思うならマ板のどこかに行けばいいし

俺が心配してるのは、とばっちりだよ。
自分は踏んでない踏まないなんて、自己中レベル。
今後どんな亜種が出るかって可能性考えないのか？

確かにレベルは低いな
notepad感覚で使えるアプリの表示をコピペして知識の無さを露呈するようなコメントをつけて効率の悪さを競っているようにしか見えないからな

【そ】キンタマウイルスpart2柏原芳恵【せ？】
http://tmp2.2ch.net/test/read.cgi/download/1079468468/460

真偽は定かでないけど、ﾀﾞｳｿ板で時限装置発動を疑わせるカキコあり

>>338
おまえの思考ルーチンも自己中の亜種でしかないように見えるな

これは亜種？　ノートン反応無し

ttp://g81ghv.hp.infoseek.co.jp/cgi-bin/img/1.txt

Name CRC Bytes
-------------- ---- -------
おまけ画像.exe C3CA 837,632
---------------------------
Total 1 Files 837,632 Bytes

ダメだわ…厨だらけ。

>>342
おまけ画像じゃないか！やったな
極めてエロい写真とかが見られる可能性があるぞ
うらやましすぎていっしゅん自慢かと思ってしまったくらいだよ

>>338
そんなこと言ってたら何もできんだろ

>>336=>>339=>>341は中身が無いうえに情報価値も無い、バカの自白書き連ねてる
だけで全くの無意味なものだな。

>>345に同意！

>>344に同意！！

>>339
スレでのウィルス解析なんて趣味でやるもんでだと思うですよ

で、お前らの解析の結果ﾅﾆが分ったんですか？(ﾏｼﾞﾃﾞ

>>346=>>338
漏れもふくめて情報価値なんか全部ないだろｗ
ノートンが対応したってのはちょっと気にはなったけど

>>351

>>350
このウイルスは大変だ、と分かりました。
非常に有意義だったと思われます。

>>350
わかるわけないじゃん>>339と>>349の通りだよ
でもそれの何が悪い？
本を読んで感想を書いてるのと全く同じなだけだぞ？

とりあえずアーカイブ系（書籍・サントラ・ゲームなど）は落とさない。キンタマ、.exe、.jpgは無視＆削除。
現在できる対策としてはこれにつきる。

>>355
とりあえずnyをやめてみるのが一番お奨めなんじゃない？
やめねー奴は何言ってもやめないんだから

ｎｙ厨はﾀﾞｳｿ板篭ってろ

>>357
ｎｙ厨と同程度の奴しかいねーじゃん、このスレに限っては

エロは世界を救うと。

ガキが1行で吠えてても自分は何もせず邪魔してる時点でカーストの最下位だと
いうことくらいは自覚してるように、じゃなきゃ知ったかで罵倒せずに大人しく
回線切って首吊れ。

>>360
本当だ！大人だから２行なんですね！！

正直ｽﾏﾝﾃｯｸ

>>360
exe覗くツールでちょろっと中身見てわけわかんなくてやっとこ厨な感想つけてる奴しかいないじゃん
悔しかったらここの情報役にたててみせろよ

そうだな、360は解析結果を形で示すべきだ
２行以上で

スレタイにキンタマがはいっているのがいけないんじゃないのか
画数が

だれか２行以上でワクチンプログラム作れよ
改行しなきゃいいだけなんだけどさ

>>366
ｎｙのアインストーラーなら…

>>367
頼むから２行以上でレスしてくれ
笑いがとまらん

>>367
志村？
「うしろ〜！うしろ〜！」

>>366
君はカーストの底辺ですよ

>>366
馬鹿殿様のカツラなら…

>>370-371
頼む、マジで２行以上でレスつけてくれ
おまえらカーストの底辺だってぢかく(←なぜか変換できない)してるのか？

人大杉を大人杉(おとなすぎ)と読んでた馬鹿に通じるものがあるな。

>>373
ﾜﾛﾀ

おい
出勤時間
まだか？

ここはカーストの最下位か２行以上でワクチンを作るスレになりました
アインストーラーと馬鹿殿様のカツラは禁止です

ny厨が荒らしても無駄
早くアク禁にされてしまえ（ｗ

>>375
あ、やヴぁい
ありあと

いっぱいレスついてると思ったらただの煽りあいに終始してるね。
TrendMicroやSｙmantecからの情報は無し、と。

徹夜でインサイドWindowsNT第2版を読み、そのままズルズルと仕事へ…。

良書です。マジお勧め。


板違いスマソ

>>380
いやいや、見かけたらページめくってみるです
ｻﾝｸｽ

死ねよny厨

そうだよねｎｙ＝ＰＣって認識も一部で広がっているらしく
中学高校のクラスで「無料でエロビデオが見れるらしーぞ」などと噂になり
こぞってマジ厨房が２ちゃんに終結する
そして>>382のような無職引き篭もりの元来２ちゃんにいる厨房を刺激する

こんな状態は良くないと思います、nyなんてやらない奴が大半なんだ

>>382
ニュー即にもリンク貼られてるみたいだししばらくは諦めようよ

>>362
地味にﾜﾛﾀ

教えて！エロい人

winnyなんて一度もやってないけど、2chで張られてるような
被害者のSSとかjpgファイル覗いただけでも感染するの？

>>385
おまいみたいな初心者は感染する

とりあえず発見されてる機能
・デスクトップ撮影機能(一日一回？)
・自動ｎｙうｐ機能
・レジストリの改変
・メール送信
・メッセ等のパス抜き機能
・デスクトップに置いてるファイル2GBまで勝手に
　zipかlzhに圧縮してうｐ(2GB以上あっても2GBまでの分をうｐ)
・ファイル属性変更機能(upfolder.txtを読み取り属性にしても無駄。)
・血しぶき表示
・悲鳴WAV再生機能
・ぬるぽ　ガッAA表示

噂で言われている機能、本当なのか？
・マイドキュメントを勝手にzipかlzhに圧縮してうｐ
・時限性プログラムがある
・jpgから感染、時限性で発症
・重要文書っぽいタイトルのファイルを狙ってうｐ
・亜種も出回っている
・2chに書き込むとき強制fusianasanになる

実際のところは、デマや釣りのレスも多いだろけど。


http://tmp2.2ch.net/test/read.cgi/download/1079468468/
590 [名無し]さん(bin+cue).rar sage New! 04/03/17 09:11 ID:d9A8hjor
このウイルス新UPフォルダなんて作らないでもともとあるUPフォルダにファイル突っ込ませれば
もっと気づかれにくかっただろうな

594 [名無し]さん(bin+cue).rar New! 04/03/17 09:13 ID:ZuLFeC0s
>>590
それ次から採用するわ

>>387


＞＞・デスクトップに置いてるファイル2GBまで勝手に
　　　zipかlzhに圧縮してうｐ(2GB以上あっても2GBまでの分をうｐ)
これってまだ確定してないでしょ？

わざと踏んでみて面白い挙動をする事に気がつきました。
どうやらこれ（特典写真.jpg(中略).exe）は、Winny1とWinny2の両者が混在する場合、
【Winny2の方を優先する】ようです。
挙動はこんな感じかな？　まず、スタートアップを書き換え、自らを常駐させます。
それから、一度リセットした後の最初のスタートアップ時にRegeditを削除し、Notepadをリネームして置き換えます。
そしてTempフォルダにMy Documentの中身をランダムで圧縮し、

『いつもお世話になっております。』

で始まるテキストを作成。これをメール発射するかどうかまでは確認してません。
していたら痛いなあ（藁。まさに人柱だ。ルーチン自体はあるような感じなのですが。
でも、MyDocumentの中身（【一部】です！）を圧縮したファイルは最後のリストの中に入っていないのが謎。
どうもこれは、Downフォルダの中にあるファイルにウィルスを押し込めた結果を表示しているようです。

それと、Winny2のUpFolder.txtを書き換えて、自分自身のコピーも含めたファイルを新たに作ったフォルダに置きます。
ファイル名はランダムな組み合わせで、相当に凝った（というかいかにも普通にありそうな）ファイルを作成します。
ただ、このへんは割と適当なようで、ぶっ壊れた圧縮ファイルを作成したりすることもあるみたいですね。

ファイルのCRCは以下の通り。バスターでもノートンでも素通りしているようです。

16BitCRC : 57E0
32BitCRC : 250396EC
Size : 393216Byte

スタートアップに登録されたファイルを削除すれば、挙動は止みます。
何度かやってみましたが、上のような動作は以降は確認されていません。
少しは役に立つかな？

>>390
んん？マイドキュ？ﾃﾞｽｸﾄｯﾎﾟじゃなくて？

>>389
そうだった？ダウソ板だからあてにならなかったかなぁ。やっぱり。

>>391
どんどん悪質化してるという話だからな・・・。
まるでキンタマウィルスのスレを見てるかのようにね。

>>387
> ・マイドキュメントを勝手にzipかlzhに圧縮してうｐ
> ・重要文書っぽいタイトルのファイルを狙ってうｐ

あ。この２種類は動作を確認しました。

> ・2chに書き込むとき強制fusianasanになる

どうなんだろ？　何度かやってみたけど、今のところそうなっていないみたいだよ。

ああ、勝手にアップするファイルのファイル名の法則がやっとわかった。
Download.txtの中身【も】参照してつけるんだ、これ！
自分自身で生成するランダムな名前と既存のファイル名を使うとはね。なるほど、これは巧妙だな。

亜種まで出回ってるんか…キンタマ恐るべし。

>>392
その話題何回でても見解割れてたしねｗ

>>390さんの
＞TempフォルダにMy Documentの中身をランダムで圧縮し
ってのはどういうことだ？お世話になってますテキストはtemp
だけど圧縮ファイルはupフォルダに作られるんじゃないの？

>>393
download.txtは検索ワードが入ってるだけだと思うんだが

作った奴は相当の悪党か厨房かのどっちかだな。
特定重要文書を狙って晒す機能が本当なら個人情報だけでは済まなくなる。
不特定多数を狙ってるからネットテロみたいなもんだろ。

>>397
nyやっててexe踏むやつのどこが不特定多数なのか教えてほしい。

>>391
> んん？マイドキュ？ﾃﾞｽｸﾄｯﾎﾟじゃなくて？

そう、マイドキュメント。だから恐い。フォルダを潜って取ってきているよ、これ。
他のドライブに同名のフォルダがある場合も、そこまで行って取ってきている。
どうもショートカットやデスクトップからたどっているのではなく、名前で捜しているようだね。


>>395
> ってのはどういうことだ？お世話になってますテキストはtemp
> だけど圧縮ファイルはupフォルダに作られるんじゃないの？

うーん。もしかするとTempフォルダで生成した後にUpfolderに移動するのかもしれない。
さすがにウイルスを常駐させたままWinny2を動かすのは恐いので、これ以上は勘弁な！
もしかすると、OEとかのアドレス帳を参照してこのテキストファイルを撒くのかもしれない。

今のところは実際に撒いているかどうかまでは確認してませんが。弱くてすまん。


>>396
> download.txtは検索ワードが入ってるだけだと思うんだが

だから、その検索ワードからファイル名をコピーしているんだってば。
地引き網だけならどうかしらんけど、特定のファイルを指定した場合、ファイル名が残るだろ。
その名前だけコピーして、ウイルスが入った圧縮ファイル(または生の実行形式)を生成するんだよ。
つまり、[キンタマ]だけ避けていても【意味がない！】ということなんだ。

これから普通のファイルにも徐々に拡散していくだろうから、マジでWinnyが崩壊するぞ。

Winnyキラーになり得るかな。

>>399
しかしイタイファイルがデスクトップ内に多い漏れとしては
マイドキュ探られた方が怖くないなｗ

>>398
もしメール機能がマジだったとすれば作者はかなりやばい立場にたたされるとおもわれ。
しかも元祖キンタマスレの住人だと言うことはわかってるわけで、ひろゆこが協力したら終了かと。

>>399
＞マジでWinnyが崩壊するぞ

それでいいじゃん。
まあその時には部数が落ちて困ったﾈﾄﾗｿの中の人が、
また下らん事始めるだろうからイタチごっこは終わらんだろうが。

>>397
> 特定重要文書を狙って晒す機能が本当なら個人情報だけでは済まなくなる。

十数回起動して、今まで圧縮されたファイルの拡張子は、大体こんな所。

.doc .txt .xls .jpg .ppt

重要.123とか機密文書.jtd（一太郎）はいまんところスルーされている模様。
以上のことからファイル名というより、拡張子で選んでいると思われ。

各機能自体は今までに存在したウイルスの寄せ集めだけど、組み合わせが絶妙。
ウイルスを撒く場合、一番問題なのはどうやって撒くか、拡散させるかなんだけど、
このウイルスはP2Pの匿名性をうまく利用している。

>>403
> ＞マジでWinnyが崩壊するぞ
> それでいいじゃん。
> まあその時には部数が落ちて困ったﾈﾄﾗｿの中の人が、
> また下らん事始めるだろうからイタチごっこは終わらんだろうが。

この次はBittorrentでエロ動画ぶっこ抜き！ とか狙っているという話が。
「噂の新作も、超高速でダウンロード！」
とか。マジな話、この次にネタになりそうなのはこれくらいだからなー。

>>405
ネトラン厨はぜひひっかかってほしいよ、キンタマに。

>>399＝>>404さん？間違ってたらスマソ

ちゅーことは、2GB超えてるデスクトップを圧縮するときでも
それらの拡張子を優先的に選んで圧縮するから
ファイルサイズはうんと小さくてすむのかな？

てか、圧縮対象になった場所が２GBを超えてなくても
拡張子ではじかれて圧縮されないファイルもあったの？

漏れのPCしょぼいからBittorrentは重い ・ ・ ・

初歩的な質問でごめんな、

nyやってなかったらキンタマ感染しても何の影響も受けないのかな？？？

>>399
＞Downフォルダの中にあるファイルにウィルスを押し込めた
これって自分自身のコピーを「作成」するのとは別に
既存のファイルにとりつくってこと？だとしたらすげぇな・・・

>>409
メールがばら撒かれるかもしれない。
nyやってますって内容の。

っていう情報は出てるけど、実際にばらまかれた人がいるかどうかは不明。

>>409
nyでうｐされないからまぁ今のところ被害最小。

ノートンが完全対応するまでWinny起動自粛だな。

>>407
> >>399＝>>404さん？間違ってたらスマソ

その通りでそ。

> ちゅーことは、2GB超えてるデスクトップを圧縮するときでも
> それらの拡張子を優先的に選んで圧縮するから
> ファイルサイズはうんと小さくてすむのかな？

デスクトップを圧縮するのと、マイドキュを圧縮するのと両方あるみたいだね。
別々のキンタマなのか、それとも同じキンタマが両方の機能があるのかは、わからない。
漏れの手元にあるのは一種類だけなんで・・・・。

> てか、圧縮対象になった場所が２GBを超えてなくても
> 拡張子ではじかれて圧縮されないファイルもあったの？

実験した限りではね。デスクトップを圧縮した場合は拡張子は無差別に圧縮されみたいだけど。
マイドキュは別のドライブ（物理的にも別のドライブ）が２Ｇオーバーだったけど、その中からピックアップされた。
作者はWinnyの制限も知っているだろうから、あまりにサイズが大きくなるなら適当にカットする機能くらい入れててもおかしくない。
調べれば調べるほど、巧妙だなーと感心しちゃうな。誉めないけど。

>>413
なるほど・・・では最後にｗ
自分が晒されてるかの確認方法なんだけど
nyフォルダ外にup用フォルダ（bbs2とかね）が作られてることもあると思うんで
ny本体の検索で「upフォルダ内」タブをオンにして
zipやlzhで検索かけて状態が「upフォルダ内」のファイルが検出されなければOKか？
ny利用で晒す以上はここで隠れて流出させるのは無理だよね？

ｎｙ厨uｚe

>>409
>初歩的な質問でごめんな、
>nyやってなかったらキンタマ感染しても何の影響も受けないのかな？？？

メールで送信されている可能性は否定できない。現在、返信待ち中（藁のため、数日ﾏﾃ。
少なくとも、アウトルックに登録されている自分のメアドを取り込むのは確認済みですので。
でも、シグネーチャーは取り込んでいないようなのが謎。
マシン名の方なんだよな、これ。もしかするとネットワークを構築している場合はこうなるのか？


>>410
> ＞Downフォルダの中にあるファイルにウィルスを押し込めた
> これって自分自身のコピーを「作成」するのとは別に
> 既存のファイルにとりつくってこと？だとしたらすげぇな・・・

あい。既存のファイルに寄生しまつ。
じっくりとWinny2で流れているファイル一覧を見ていると、たまーに微妙にファイルサイズが違う同名ファイルがあんのね。
[アルバム] なんとかかんとか.exe
なんつー、露骨に怪しいのもあったりする。知らないでいる感染者は、かなりいるんじゃないか？

＞４１１、＞４１２

トンクス。
チョト安心したよ。
メルではファイルをばら撒かれることは無いんだったよね。

>>413
のキンタマはmy documentのみか・・・
そっちのほうがいいなｗ

>>414
nyをやめれ。それが一番安全だ。
真面目に答えると、それでいいんじゃない？
さすがにパケットモニターに流れるパケットを見てなんだかわかるような神ではないので、安全とは言い切れないけど。
リスクは自分で背負ってくれ。漏れから言えるのはこれだけだ。

>>416
あ、でも所詮exeなんだ・・・
つーことはせっかくのお宝ファイルが.exeになっちまうのか・・・○|￣|＿

>>416
Cache、UpじゃなくてDownならny上には流れないと思う。

ドライブが複数あって同じﾊﾞｰｼﾞｮﾝのNYがそれぞれにある場合
ドライブが若いのに感染するみたい

Upfolder.txtがない香具師は安全なのかな？

追記
既存のファイルに寄生してるか調べるには
ny各フォルダを（ファイル名）でなく（ファイルに含まれる語句）
で.exeがあるか調べればOK？
これなら圧縮ファイルでも中調べられるよな
間違ってたらイカンのでご教授願います

>>422
若いドライブに感染するってどういうこと？
ＣとＤにそれぞれnyが入ってたらCだけ感染ってこと？

感染はシステムにすると思うんだけど。
で、そいつの作ったファイルがうｐさせるnyが、
その若い方のドライブのnyになるってことかな？

ノートンが対応した模様。持ってる香具師は手動うｐだて汁！

>>420
悪い。言葉が足りなかった。
既存のファイルをUpfolderにコピーして自らを寄生して、拡散を狙うってコトね。
DownFolderのファイルは変化はない・・と思う。今のとこね。今後どうなるかわからないから。
タチ悪いのは、圧縮ファイルに寄生するのと、ウイルスを生のまんまで既存のファイル名にするのと２通りあんのね。
時限式で隠し機能が起動するかもしれないので、今日の情報が明日通用するとは限らない。

いやー、不謹慎だけどオラ、なんかワクワクしてきたぞ！

>>426
検出名はわかる？

>>428
ファイル共有ソフトを媒介に感染するウィルス「Antinny.B」の亜種を確認。（シマンテック）

>>428
ﾀﾞｳｿ板をROMしてただけだから不明。
漏れはｎｙやらないからなぁ。。。

>>422
それが事実ならダミー準備しておけば保険になるってことか？

>>428
検出名は何故か只のw32.hllw.antinny
でも昨日の夜の時点ではCRC16：E837のファイルからは何も検出されなかったんで、
対応したのは間違いないみたい。

>>429
Antinny.Bはキンタマとは違うと結論付けられたはずだけど。。。
それにウイルスバスター2004もAntinny.Bには対応しているけど、検出できないよ。

参考までに、シマンテックはAntinny.Eとかいうものの情報を2月に出してる。
Antinny.Bはトレンドマイクロが発見・命名したものみたいだ。

W32.HLLW.Antinny.E
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.e.html

WORM_ANTINNY.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T

>>430
そっか。ありがとう。

>>416
今時、outlook使う奴がいるのか・・・・。
ビジネス目的でなく家庭用にパソコン使ってる奴は
他のメーラーを入れないと。

>>432
それってぬるぽと同じということか。
まだ解析が完全に済んでないからとりあえず暫定措置としてぬるぽとして
検出するということなのかな。

しかしこの作者まだまだだな。
自己複製の度にCRCとか変わるようにすればいいのに。

>>413さんまだおられるかな？
マイドキュは２GBオーバーだったそうですが、それからピックアップ圧縮
されたファイルはいかほどのサイズでしたか？

なんでやられる心配をしなきゃならんのだ？アフォか

>>438
間接的被害者になりかねないしさ。しょうがないじゃん。

>>437
ほーい。健康的に引きこもってまーす（ｗ

んで、ピックアップされた圧縮ファイルは、どれも300K以下ですた。
ADSLや光なら一瞬でつな。
ファイル数は6〜10前後で、ウイルスも同梱されてまつ。
さすがに何十回も再起動しているとめんどくさくなってきたので、ドキュんタマ（仮名）の動作がこれで確定なのかは不明。
この程度のサイズならISDNでも落とせるので拡散も早いと見こんでいるのかな？

どうも、デスクトップ正調キンタマと、マイドキュを取るドキュんタマの２種類があるような予感。
ぬるぽの動作と似ているという点も、みんなを混乱させる目的があるものと思われます。
単に拡散を狙うなら、過去のウイルスと同じ動作をするのは感染に気づかれやすくなるだけで、意味がない。

>>440
マイドキュ型でもファイル名は「俺のデスクトップ」なのね？

[キンタマ] 俺のデスクトップ 金正日 (朝鮮民主主義人民共和国) [04-03-16].jpg

>>441
違う。これが正調キンタマ（デスクトップSS＆ファイルアップロード型）と異なる点。
もしかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。
自分で持っているファイル名データを適当に組み合わせたファイル名か、Dwonload.txtの中から選ぶみたい。

Downフォルダ内にあるファイルは、コピーした物にウイルスを寄生させるだけのようだけど、それだけかどうかはわかんない。
適当にファイルをぶっこんで試してみたけど、Downフォルダにあるファイル名と同じマイドキュ圧縮ファイルは生成されなかった。
環境を変えて試したわけではないので、これで確定とはいい切れん。
すまん。

>>434
いまだにOEとWORDとEXCELを強要される会社はいくらでもあるんだよ。
定期的にKLEZを送ってくるバカ会社とはいい加減手を切りたいんだけどな。

>>443
マイドキュ圧縮ファイルの名前に「マイドキュ」とか「デスクトップ」
って付かないんだったらウイルス拡散効果はあっても
晒し上げ効果はあんまりなくないか？ｗ

>>444
気づかずに個人的なファイルがばらまかれるのって、イヤじゃないか？
晒し上げ効果は無いけど、機密ファイルとか住所録とか流れたら痛いぞ。
実際、キンタマ詰め合わせの中には会社の書類やメーラーのメアドとパスワードなんかもあるそうだし。
目立たないけど、地味にイヤなやり方だよな。

そうだ。マイドキュだと、エロゲの fate/stay night のセーブデータなんかも入ってしまうな。
抜きどころチェック！　とかコメント入れていると死ぬほど痛いことになるぞ（ｗ

>>443
＞しかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。

これだったらまじでヤバイね。

>>445
うーん、それでも躍起になって祭りに乗ろうとしてる
ちゃねらに流れないとすれば気分はずいぶん楽じゃない？
ﾃﾞｽｸﾄｯﾎﾟとかﾏｲﾄﾞｷｭって名前じゃなければ偶然落とされるだけだよね？

>>443
会社だとそういうことが多いのは知ってる。
フリーソフトはダメでシェアのじゃないとだめとかね。

558 名前：[名無し]さん(bin+cue).rar[] 投稿日：04/03/17 12:24 ID:0tE7NfaT
>494
いや全然対応してないからマジで。
16bitCRC E837を検出できたヤツはいない。


そんなことよりStirlingで法則発見。
03 03 03 04 03 03 04 05 08 05 05 04 04 05 0A 07
拾ったjpgがキンタマ製→必ずパターンがある
拾ったjpgが非キンタマ製→ほとんどパターンがない

つまりこれだけは言える。
パターンがない奴は絶対にキンタマ製ではない。
パターンがある奴は、一部のものをのぞいてほぼキンタマ製。

その「一部のもの」は俺んとこでは三百四十六枚中の二枚で
しかなかった。

キンタマ２１
http://tmp2.2ch.net/test/read.cgi/download/1079487863/558

PC工房の某課長が商品発注してるメールのSS取られてたね。
実名と所属がモロだったから笑った。ｗｗ

ウィルスって最初の何名かは犠牲になるからねぇ
南無nao

いつもお世話になっております。
会社名 の ユーザ名 です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。


■お問い合わせ先
会社名
担　当: ユーザ名


■04年03月17日現在放流しているファイルのリスト：
AUTOEXEC.BAT
AUTOEXEC.CAM
boot.ini
bootfont.bin
CONFIG.SYS
csb.log
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys

697 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/17 12:53 ID:nNd0yfgN
16bitCRC E837がキンタマならこれはノートン最新で駆除できる。
最新ウイルス定義はLiveUpdateでは更新されないので手動で最新定義にする必要がある。
ttp://www.symantec.co.jp/region/jp/sarcj/download.html
Intelligent Updater:
ウイルス定義ファイル作成日: March 16
ウイルス定義ファイルリリース日: March 16
Norton AntiVirus Corporate Edition
ウイルス定義ファイルバージョン: 60316h
シーケンス番号: 28605
拡張バージョン番号: 3/16/2004 rev. 8
ウイルス対策済み数: 66156

ちなみにWinnyでは下記のファイル名で流れている。
[キンタマ] 俺のデスクトップ ウイルス本体　（ネットで稼ぐ情報、儲かる情報、その辺りが感染元）.zip.rar 176,087 80d4480db662b951bc014e325590496e

シマンテックは、ぬるぽウイルスと同じ種類のウイルスということで今のところウイルス名を同じにしている。
zip解凍エラーダイアログ（フェイク）が出るのはぬるぽウイルスで下記参照。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html

↓渦中の人

news：ニュース速報［スレッド削除］
http://qb2.2ch.net/test/read.cgi/saku/1077036838/l50

160 名前： なお 投稿日： 04/03/17 10:36 HOST:p55177-adsao12honb4-acca.tokyo.ocn.ne.jp
削除対象アドレス：
http://ex4.2ch.net/test/read.cgi/news/1079447754/

削除理由・詳細・その他：
氏名
161 名前： ◆DAIKOUEnIQ [sage] 投稿日： 04/03/17 11:12 HOST:catv111-010.lan-do.ne.jp
>>160
そんな削除理由無いですよ

ノートンは良いなぁ。一応検出できるもの。
バスターは遅い。。。＿|￣|○

>>443
俺（>>145）と一緒だな。これ多分増殖機能。
偽装したファイルをWinnyでばら撒くんじゃないか？

この後にSS取得機能が発動したよ。

ノートン最新版（3/16/2004）で駆除できる
16bitCRC E837タイプのキンタマもあるが、

キンタマ２１
http://tmp2.2ch.net/test/read.cgi/download/1079487863/697


駆除できないタイプもある。
16BitCRC : 57E0
32BitCRC : 250396EC
Size : 393216Byte

winny使用者はキンタマウイルスに注意
http://pc.2ch.net/test/read.cgi/sec/1079369336/390-

2chのそこらじゅうに.lzh貼ってあるんだけどキンタマと関係あるのかな？

関係ないだろ

中に入ってる文字を適当に抜き出してみました

Software\Borland\Locales
Software\Borland\Delphi\Locales
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
start logon autorun
(%d) explorer
UnZip32 解凍エラー 解凍できませんでした！
書庫ではないか、壊れています。
svchost spoolsv WINLOGON explorer System quickboot cfg config start login setup env loader autorun .exe
system.ini LastPath SciCalc
UpFolder.txt Path Up BBS BBS2 Down BBS CACHE Bbs2 BbsCache Cache2
.FolderSettings Readme.files System Volume Information
winny.ini DownFolderPath Option
winny.ini CacheFolderPath Option
シリアル シリアル集 Serial 最強シルアル集 Pandora シリアル集 Pandora これでなかったらあきらめろ
最新版 最新バージョン 更新済み アップデート 補強板 史上最強 写真集
ロリ写真集 ロリータ写真集 コスプレ写真集 個人撮影 コスプレ写真 ロリータ写真 コスプレ ロリ
月刊シリーズ40冊+3セット 欧州ティーン裏本詰め合わせ ロシア有料サイト Amature&TeenClub
〜略〜

　 ∧＿∧
　（　´∀｀）＜　ぬるぽ
　 （　・∀・）　　　|　|　ｶﾞｯ
　と　　　　）　 　 |　|
　　 Ｙ　/ノ　　　 人
　　　 /　）　 　 < 　>__Λ∩
　 ＿/し'　／／. Ｖ｀Д´）/ ←
　（＿フ彡　　　　　 　　/

Software\Microsoft\Windows NT\CurrentVersion RegisteredOwner RegisteredOrganization
Software\Microsoft\Internet Account Manager Default Mail Account
Software\Microsoft\Internet Account Manager\Accounts\ SMTP Email Address
Software\Microsoft\MSNMessenger User.NET Messenger Service
%s.txt %s[%s].txt

こんにちわ！%sの%sです(^_^)／
Winnyというとっても便利なツールをゲットしてしまいました。
インターネットに繋いでおくだけで色々なゲームやアプリがタダで手に入る優れものです。
なんと公開前の映画まで流れているんだからビックリです。
いつも落としてばかりでは悪いので、私もファイルを流してみますね。
誰か落としてくれるかな・・・(O_O)ﾄﾞｷﾄﾞｷ
まだまだWinny初心者ですがですが、これからもどんどんアップするので、
よろしくお願いします(^o^)/~~~
E-mail:
yy年mm月dd日
現在所持しているファイルのリスト：

%s の %s、%d歳。
去年まで金無し君だったけど、WinnyとWinMXで
二年でアプリ３５０ギガバイト貯めた。一度やってみなよ。
落とすだけ落としてアップせずに終了することもできるし、キーワードに「無修正」「動画」とか入れて
あとは放っておけば一晩でＨＤがエロムービーで一杯になる。
ソフトがほしけりゃネットで落とせばいいだけ。暇つぶしになる。
フォトショップとかＭＳオフィスとか色々あるのでマジでお勧め。
文句がある奴はここによこせや →

いつもお世話になっております。
%s の %s です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。
■お問い合わせ先
担　当:
E-mail:
現在放流しているファイルのリスト：

>>460
バイナリエディタで見たけど、誰かやってくれないかな〜って思ってた。
おつです。

winny崩壊させる方法として
一番有効なものを考えて実行させた
作者は頭の回転ｲｲ奴だな。

被害者の奴が騒いで訴訟騒ぎになって
ニュースで報道されれば
自ずとwinnyは消滅するだろうね。
んでもって、同じようなP2Pソフトなら
応用できるから。。。。

個人的にはもっとエグい展開きぼん。

こんなに簡単に*.exeをnyユーザが実行するなら
Windowsフォルダの中身消すとか少しプログラムできるやつなら楽につくれるしな。

>>465
それ系のウィルスなんか大昔からあるじゃん

ていうかこれが報道の表沙汰になったら、
NHKとかでも「キンタマウィルス」って報道されるの？

Whiterとか。

フグリウィルスとかにすると油断して気付かないかも

ノートンで駆除情報聞いてシステムの復帰機能（？）ってのオフにして
駆除もできたんだけど再起動したらまたUpfolder作られてた・・・
どういうことなんだよ・・・

あと、参考までにウィルス感染してたファイル2つあって1つはDivxの何かでもうひとつはわすれた

>>470
駆除できてないってことです

(´Д｀;)　　ｺﾞﾒﾝﾅｻｲｺﾞﾒﾝﾅｻｲ・・・
　　Ｖ ）
　　（（

この混乱に乗じて私怨を晴らしてる奴もいるんだろうなぁ。

感染者のほとんどがミイラ取りがミイラになってるんだよな。

こんなのにかかる奴はどう考えてもアホ。

>>474
2chに書き込んでる感染者はほとんどそうだと思われ。
おれもだけど・・・orz

正直今回は悪ノリして祭り参加しないで良かったと思うよ。

■ この事件の裏側の衝撃的な真相
■ ヤフー４６０万人データ流出事件の犯人は、
■ 池○大作Ｓ価学会の闇の謀略部隊だった
++++++++++++++++++++++++++++++++++++++++++++++++++
ソフトバンク恐喝　逮捕された創○学会員の凄腕の裏
++++++++++++++++++++++++++++++++++++++++++++++++++
布教活動や選挙活動に使用できるのでＹＢＢの名簿に目をつけた（日刊ゲンダイ）

http://ahiru.zive.net/joyful/img/914.jpg
http://ahiru.zive.net/joyful/img/916.jpg
http://ahiru.zive.net/joyful/img/900.jpg
http://ahiru.zive.net/joyful/img/923.jpg
http://ahiru.zive.net/joyful/img/924.jpg
http://ahiru.zive.net/joyful/img/925.jpg
http://ahiru.zive.net/joyful/img/926.jpg
http://ahiru.zive.net/joyful/img/927.jpg
http://www.jcp.or.jp/akahata/aik3/2004-03-01/15_01.html

(((( ；゜Д゜)))ガクガクブルブル((((

tempにny.exeってのがあるが。

うわさのウイルス crc E837 を3回起動してみた

ProgramFile\imagic\imagic_login.exe
\adaptek\adaptek_autorun.exe
\winny2\spoolsv.exe

これが/autorun,/logonで登録されたね。もちろんフォルダのアイコン。もっと試せばいろいろ変わるのかな…。

>>475
禿道。

このny.exeってタスク監視してると、ｎｙとは別行動してルータをちかちかさせてた奴だと思うんだが。
誰か欲しい？

504 名前：[名無し]さん(bin+cue).rar[] 投稿日：04/03/17 16:16 ID:1l5mT8Lx
[アルバム] (2004.02.25) LOVE PSYCHEDELICO - LOVE PSYCHEDELICO III.zip.mp3 fI8et2XZKQ 86,430,825 f8453f1a87d4c70f1ae23df7d82328e8

これにキンタマがくっ付いてた。参照量が5万超えてたから相当数落とされてるね。
ちなみにワームの作成日時は、2/24の18時頃になってる。

【警報】Winnyを狙ったワーム・ウイルス情報 Part12
http://tmp2.2ch.net/test/read.cgi/download/1079449665/504

作成日時なんかいくらでも偽装可能だろ。
俺が持ってるやつはタイムスタンプが1984年になってたぞ。

キンタマも死マンテックが一番対応早かったな。
やっぱりノートン最強ってことでよろしいか？

>>484
藁
まだENIACが現役だったころか?
いや、BASICかなと。

でバスターはまだなのか？

>>486
DOSだな。DOS。
みいその場合はBASICでいいけどな。

>>487
バスターはウイルスエンジンの方がたった今更新されたけど、
http://www.trendmicro.com/jp/support/engine/overview.htm#VSAPI%207.000
キンタマはむりぽ

やれやれ、バスターさんには失望したよ・・・

結局ノートンだけか・・・。eTrustもAVGもマダだよね？フリーで対応済みは無しか・・・。

>>491
国産ｿﾌﾄ限定のｳｲﾙｽに
海外ｿﾌﾄへ迅速な対応求めるのは無理ぽ

最初に対応したフリーAVソフトに乗り換え予定

バスター使い負け組か…＿|￣|○
ノートンに乗り換えるにも金がない

うぜーな。さっさと解析しろやクソ共

こうなりゃ自衛のためにとことん勉強するしかない！

所詮はバスター、時代遅れな名称だ
ウィルス・ジェノサイドのほうが強そうでｲｲ

ウィルス・デストロイヤー

334 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/17 17:28 ID:HlFuULKC
流れ早すぎ・・・・・

ttp://www36.tok2.com/home2/boboburajiru/xxx/data/bobo_20040317172414.bin.html

golden ball ウイルスで放流された jpg について
捏造 jpg も多いからそれを自動でより分ける perl スクリプトを作って見ました。

エディタで開いてフォルダを指定してから実行します。



・・・・しかし捏造ファイル思った以上に多いね。

猿並の脳みそしかもってない奴が引っかかるウイルス。
PC窓から投げたほうが懸命だぞ。

バスター、パターン側は817（一昨日リリース）で
対応になってるけどこれでは駄目なのかな。

>>491
つーか、俺のバスターは
昨夜、検出したんだが・・・。

シマンテックのオンラインスキャンでOK?
http://security.symantec.com/sscv6/home.asp?j=1&langid=jp&venid=sym&close_parent=true&plfid=23&pkj=MXHLORVWHFHMFNZMBBX

>>502
それってAntinny.Bじゃ・・・

>>503
オンラインスキャンはパッケージ版に比べ精度が良くないらしい。

SS見るとノートンやらバスターで検索してる香具師結構いるね。
オフラインにしてから検索すりゃいいのにあふぉだな

16 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 17:43 ID:2CYpXB43
・感染確認方法のうちの一個
※検証は当方の仮想マシン上で行いました

以下のフォルダに
"C:\Documents and Settings\ユーザー名\Local Settings\Temp"
"ユーザー名.txt"ってファイルが作成されてたらビンゴだよ

>>503
チェックしてみる。
ひっかかったらOK。
ディスク大きいからちょっと時間かかる。

バスターのファイルをウィルス扱いしたりしてｗ

ワールドワイドなウイルスは
バスターのほうが対応が早い。
でもWinnyみたいなマイナーな感染源のﾔﾂはノートンが早い。

PCの利用目的で、必要なやつを選べばいい。

今Eドライブ検索中。
キンタマexeがあるのはGドライブ・・・。
まだまだです・・・。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B
ウイルス最新定義

SSにnyでキンタマ底引きしてる香具師があってﾜﾛﾀ

Bとキンタマは違うと（略

>>501
817で対応したのははAntinnt.Bだよ。
キンタマとAntinny.Bは別物だよ。

ノートン落とせばいいじゃんｗ

×Antinnt.B
○Antinny.B

>>510
じゃあ、ny専用マシンはノートン先生入れりゃあいいんだな

>>510
ノー�dのサイトに書いてあるAntinnyの解析情報って、なんかヤケクソだよなｗ

http://www.symantec.co.jp/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37341
W32.HLLW.Antinny.E
情報無し

>>402
犯人が2chのスレにそのまま書き込むなんて危険を犯すかどうか怪しい
かなりウイルス自体凝った仕様になってるし

>>520
きんたまってワイルドな香具師だな・・・

>>402
ムリポ

おいおい、バスター検索してもなにもなかったのに
ノートンだとバンバン引っ掛かるぞ
バスターもう駄目歩・・・

ノートンのHLLWってどういう区分なの？

>>520
W32.HLLW.Antinny.E
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.e.html

(･∀･)ｺﾝﾆﾁﾊ!!!

>>524
バスターが駄目歩じゃなくて
Winny使ってるオマイが駄目歩。

>>525
ウイルス名の命名規則
http://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html

HLLW
高級言語で記述されたワーム。
（注意：この接頭辞はDOS形式の高級言語ワームに対してのみ使用されます。
ワームがWin32形式のファイルの場合、そのワームの名称には、W32.HLLWという接頭辞が付きます。）

>>528
(･∀･)ｺﾝﾆﾁﾊ!!!

>>528
じゃあ９んな

>>528
バスター信者あほか？

>>529
ありがとうです。ちょっと調べれば書いてることでしたね、すいません。

漏れバスター使ってるけど信者はマジでｷﾓｯ

なんとなくWINNYのアップフォルダに寄生する法則が見えてきた。

ドライブレターの若い順と、ディレクトリエントリで先頭から見ているみたいだな。
CとDドライブにWINNYがインスコされていればCの方を優先。
領域の先頭とケツの方にWINNYがあれば、先頭の方に寄生するらしい。
これはWINNY1と2に関係なく‥‥だと思う。
バージョン別にインスコされてたら、大概古いバージョンの方がディスクの先頭の方にあるだろ。
その場合は古いバージョンに寄生するみたいだな。デフラグかけたばあいはその限りじゃないが。
一見いい加減に見えるけど、着実に見つけれる方法だな。延々しこしこディスクをシークしてたら怪しまれるし。
あとは解析職人に任せるか。外から見た限りではここまでしかわからん。

他にも興味深い点はいくつかあるんだけれど、ウイルス作者のデバッグに貢献しかねないので、しばらく封印。

ANTIDOTEも結構信者居るね。なんか気持ち悪くて使ってないけど。

>>535
C:\にダミーのwinny.iniを置いてみればいいんでわ。

まだEドライブ検索中なんだけど

スキャンしたファイル: 31261
感染ファイル: 7

あれ？

おまい、普通に感染してないか？

え、でもあえてキンタマ.exe保存してスキャンしてるんでしょ？

あ、EじゃなくてGなのか？！
別物？

>>537
＞ディレクトリエントリで先頭から
念のため書いておくが、ファイル名順とは違うぞ？

>>542
Cに降りて最初のディレクトリエントリは.(C:\)でしょ

>>540
それはそうなんだけど、そこにたどりつく前に、
別のファイルが引っかかったようですｗ

昨日の夜、ウィルスバスターでチェックしたときは何も出なかったけどな〜

>544
げ、バスターまじでやばいのかな…。
俺もスキャンしてみよう…。

バスターのだめっぷりが白日の元に晒されるスレはここですね

フリーが多くなってくると、商用のやつは速さ命になってくるからなぁ…。
金取るならさっさとやれ馬鹿と言われても仕方ない。

バスターユーザー、ちょっと試してみたらどうだろ。
何か他の物を拾ってるだけかもしれないし。

ﾊﾞｽﾀｰで今朝のﾄﾞﾗｲﾌﾞﾁｪｯｸ問題なかったのに
うちも出てる＿|￣|○
感染ﾌｧｲﾙ2って････

>>546
全部終わるまで、詳細がわからないので、だめかどうかの判断はもうしばらくお待ちください。
関係ないのが引っかかってる可能性もあるので。

現在Fドライブ検索中。

おもしろいことになってまいりますた

何が掘り出されるのやら

ノートンのはどこで出来るの？

誤爆した…けどあんまりすれ違いでもないような＿|￣|○

バスターインスコしてあるPCで、ノートンのオンラインスキャンやっても大丈夫でつか
モジュール競合とかしない？

>>548
>>548
いや、だから、ウイルスバスター2004で、

CRC：E837、MD5：C399E5DD7999ED43EA705A36BDF026EA

の実行ファイルをいくらスキャンしても何も出てこないんだよ。

レスアンカーミス。

濃豚って2002でも検出してくれるのかな？
ウィルス定義は最新みたいだけど

>>555
思いっきりスキャン中なんですがｗ

一応、ｳｲﾙｽ感染者特有っぽいﾌｧｲﾙで
ﾏｼﾝ内検索かけてみたんだが、出てこなかった。
regidet.exeもtxtじゃないし････油断しすぎたか

だめだ、マジでひっかかった
バスター止めるべ・・・

>>543
ディレクトリエントリって、各ファイルの情報部分だったよーな気がするんだが･･･
漏れの勘違いか？勘違いだったら笑い倒してくれ。

535で言ってるのは、Cドライブの頭から物理的に順に読んでいって、
該当するファイル情報に引っかかったときに･･･ってことじゃあ。
これなら、あちこちシークして回ってカリカリいってバレることも無いし。

ｷﾝﾀﾏではなかったようでつ
Backdoor.Trojan
Macro.src
ですた。
Live2chのﾋﾞｭﾜｰで感染ﾌｧｲﾙ手に入れた模様

>>562
物理位置なんて普通のプログラムからは分からないよ

このスレ見てて人ごとだと思ってたけど、俺もｷｬﾝﾀﾏにやられてた…

>>565
変なexe開いて気づかないものなの？

M$のセキュリティーCD(無料)のおまけとして、濃豚先生がついてるぞ。
しかも90日間更新サービスが受けられる。シマンテックで落とせる体験版でも同じなのかな？

ガタガタブルブル震えている子羊共よ。震えている暇があったら試して見ろ。

おれは例のエラーダイアログが表示されたからすぐ気づいたけど

>>559
マジでつか。ありが�d
以前、ノートンAVのオンラインスキャンモジュール入れたまんま
バスターインスコしたら青画面になったことあったけど
改善したんだね。漏れも試してみるよ

>>563
バスター入れてるんですよね？
なぜ感染してるのですか
同じバスター使いとして不安です

ADSLだから逐次キャッシュ状態とかチェックできる。
光だと凄い勢いでキャッシュが増えていくからな。

>>566
いや、わかんなかった。
デスクトップの画像はあったけど、デスクトップのファイルつめあわせはなかったんだが…

html開くとexe発動する仕掛けもある ＞キンタマ

ﾊﾞｽﾀｰでﾉｰﾄﾝ先生が検出したﾌｫﾙﾀﾞを
さらに探してみたが、感染ファイルなしと出る。
さっき最新ｴﾝｼﾞﾝ入れたばかりなのになぜだろう

>>564
だから、物理位置情報やファイル名などを格納してるのがディレクトリエントリ
･･･だったと思うのだが。

なんか、自分の記憶に自信が持てなくなってきたな…ｸﾞｸﾞってみよ…

４年前のファイルからBackdoor.Trojanが検出された。
毎月ﾉｰﾄﾝ先生でスキャンかけてたのになぜ今頃になって・・

どーでもいいけど、Trojanってなんて読む？
トロイアン？

>>567
試用版は30日間限定だが、
＞ご注意
＞# ウィルスは日々増加しており、シマンテックでは毎週一回以上ウィルス定義ファイル(ワクチン)を更新しています。
＞トライアル版をインストール後必ず、ウィルス定義ファイルを更新してください。
とあるから更新は可能と思われ。

トロヤン

感染してるかどうかは、トレンドマイクロのオンラインウィルススキャンなんかを
して調べれば良いんでしょうか？

俺はノートン自体に感染してたよヽ(´ー｀)ノ

もうだめだこりゃ。どうにもならねーっす。
一応ノートンも削除したけどさ。

スキャン完了しました。

-----------------------------------------------------------------------------------------------------
109051 個のファイルをスキャンしたところ、 7 ハードディスク上のファイルが感染していました。

メモリ上でウィルスは見つかりませんでした。

コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。

シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。

E:\Program Files\Live2ch\log\news4.2ch.net\news\1063849945.dat は　VBS.LoveLetter.A に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\mnewsplus\1059303941.dat は　VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059858116.dat は　Macro.src に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059915757.dat は　Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1045474905.dat は　VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1058931280.dat は　Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1061464498.dat は　VBS.LoveLetter.A に感染しています。
-----------------------------------------------------------------------------------------------------
こんな感じ。
ウィルスは無かったです。

結局キンタマには対応できてないですね。

Winnyフォルダにreadmeが勝手に復活したんだけど・・・
それと、デスクトップのアイコンがおかしくなった。F5de直ったけど。
このreadmeはウィルスか・・・？

>>582
乙〜
ってやっぱだめなのね…

ノートン自体がANNTINYに犯されてた漏れは・・・
ってかキンタマではなくATINTINに犯されてたということで良いのか？
アティンティン！

意味のないコピペはやめろや！

キンタマ検出できねーんじゃ、今のところどっこいどっこいか？
でもバスター継続は、正直今後の展開次第では考える…＿|￣|○

とりあえずフォルダごとさくじょしますた

（・∀・）ｺﾝﾆﾁﾊ！

>>585
いみわかんねーー(ﾉ∀`)

>>589　(･∀･)ｺﾝﾆﾁﾊ!!!

>>587
とりあえず、手に入ったウイルスファイルをトレンドに送ったれ。
後ろめたいのかもしれんが、あっちも種類があるのをわかってないのかもしれないぞ。
正規ユーザーなら、どんと送ってやれ。

>>583
拡張子みてみ。

ソースコードを持ってるのは犯人だけで、犯人以外はそんなにはやく亜種を作るのは難しい
おそらく犯人は２ちゃんねるを見ながらいろんな亜種を作ってると思われ

ノートン解除→オンラインスキャン→(･∀･)ｺﾝﾆﾁﾊ!!!

とりあえずﾌｧｲﾙ削除でｵﾝﾗｲﾝかけてみましたが
今度は検出されず。
ﾊﾞｽﾀｰが検出しなかったのは不安だが
被害ナシだし、いいかな〜？w

>582
乙！
ｷﾝﾀﾏ検出はどこも未対応ってことですな。

>>592
いや、俺キンタマにはいまのところ多分未感染。
兆候もあちこちで出たノウハウで試したけど全然ないし。

他スレでノートンで駆除できたとか言ってる人もいたけど、
駆除できるのとできないのがあるのか、
Bとキンタマ混同してる人がBを駆除できて喜んでたのか、
その辺がよくわからない。

とりあえずうちのキンタマexeが引っかかるチェックが出るまでは、
感染の恐怖が続く・・・((；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

WindowsセキュリティアップデートCD付属のNorton AntiVirus 2004をインストールして
最新の定義ファイルでスキャンしてみた。

見事にW32.HLLW.Antinnyとして検出した。

ノートン凄いな。

増殖型なんだから駆除しても元を断たないと意味無いよ

http://page.freett.com/zxe/img/shu_04-03-14.jpg
痛すぎ

>>601
明らかに故意に流されたやつだな。重要なものが何一つ無い

>>598
ダウソ板で数種抱えてる人が
ノー�dだけがうち二つに反応した…とかいってたけど
どうなんだろう。

検出されたもの駆除＆ｎｙ削除でどうにかならんの？
メールでバキュンしちゃうの？

それから、さっきノートンで検出できた実行ファイルを昨夜トレンドマイクロに
解析依頼出そうとしたら、「評価版をお使いの方からの依頼は受付できません」と
言われて断られた。
やっぱ、サービスエディションのぷらら限定3ヶ月無料アップデート可能版でも評価版扱いなんだと思って
がっかりした。

とりあえずおいらが持ってる8種類はノートンさんはスルー
駆除できるのはBなんじゃないかなぁ・・

>>605
俺が代わりに提出…ってウイルス受け取りたくないしなぁ＿|￣|○

サイズ390k以下の.exe検索したらSystem Volume Informationにも
ﾌｫﾙﾀﾞｱｲｺﾝ.exeが・・・
と思ったら復元が水曜更新になってたからだった

>>606
ちなみに８種類のサイズ教えて

うちのキンタマ君は376,832 バイトです

>>607
俺が持っているのは>>84のファイルと同じものだよ。
拡張子がexeからtxtに変えてあるだけ。

書き忘れ。
>>84のファイルはまだFTPサーバにあるよ。

電話番号・メアドリスト・カード番号・パスワード等　　　　　　　　　　　　　.exe
　　　139.162　　　はテキストアイコンで

ゴミ箱　　　　　　　　　　　　.exe
　　　141.210　　　はゴミ箱アイコン

があるけどこれもキンタマだろうか？

メジャーなCRCの奴がないんだけど中のTEXTみると、これ全部キンタマ君だと思うんだけどな・・
size 　 　crc
376832 A1E7
393216 32BC
393216 74AE
594944 079D
472064 9987
548864 97FD
594944 079D
776192 BE28

バイナリエディタStirlingのBGREPで
8E 81 0B 01 02 19 00 FE 04 00 00 1A 01 00 00 00
で検索したらよいかも知れません。
うちのPCでは*.exeでは上のキンタマ君(候補？)しかかかりませんでした。

>>613
それは違った気がする・・

>>613
明らかにウィルス関係じゃん・・・・
気付いてよかったね。

>>614

http://www3.ca.com/threatinfo/collateral.aspx?CID=33514
ここから virus を送れば e-trust が対応するんじゃねえか

>>614

じゃ、>>613は何?

あ、>>613はぬるぽ?
ｱﾝﾁnyとかってﾔﾂかな?

>>613
それと同じ物を拾ったけど、どれも「ぬるぽ」ではなかったよ。

あ、ぬるぽ（Antinny.A）はファイルサイズが651,264バイトだから。

この2つはノートンではスルーなんですよ

キンタマ詰め合わせに入ってたやつなんですが

Winnyの実行ファイル削除したけど、Nortonとかまだ対応してないしOSｸｲｰﾝｲﾝｽｺしようかなぁ('A`)

>622
次はIEにDLLインジェクションしてnyを勝手に拾ってくる仕様にしてほしいねｗ

セキュ板とは思えないカキコばっかりだな。正直かなりひくよ。

htmlソースを利用して感染するってどういうこと？

>>625
htmlドキュメントを開くとワームの本体が実行されるようになってるんだよ。

>>626
そいつマルチだよ

ﾉｰﾄﾝｾﾝｾは自動upでーとじゃなくて手動アプデートね　よろしこ

>>627
マルチで何が悪い？分からないから聞いてるんだよ。ヴォケが。

http://www.symantec.com/region/jp/sarcj/download/jp/JP-N95.html

ノートンの手動アップデート。
ライブアップデートでは更新できないから注意。
ライブアップデートの最新は3月１５だけど、
これは3月16日。最新ってこと。

>>629

ﾊﾊﾊ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ｲｷﾃﾞｷﾈｰﾖ
　　　∧＿∧　　　／￣￣￣￣￣￣￣￣￣　ﾊﾗｲﾃ- 　　　　　　ｹﾞﾗｹﾞﾗ
.　　（　´∀｀）　＜　ヴォケがだってよ！！ ∧＿∧　　 　　　　〃´⌒ヽ　　　　　　　ﾓｳ ｶﾝﾍﾞﾝ
.　　（ つ ⊂ ）　　＼＿＿＿＿＿＿＿　　　（´∀｀ ,,）､　　　　　（　＿　；）　　　　　　　 ｼﾃｸﾀﾞｻｲ
　 　.）　 ）　） 　　○ 　 ∧＿∧ 　　　　　,, へ,, へ⊂）, 　　　＿（∨　∨　）＿　　　　　∧＿∧　○,
　　（_＿）＿）　⊂ ´⌒つ´∀｀)つ　　　　（＿（＿_）_丿　　　　　　し￣￣し　　　　　⊂（´∀｀⊂ ⌒ヽつ
　　　　　　　　　　ﾀｯﾃ ﾗﾚﾈｰﾖ
　　　　　　　　　　　ﾜﾊﾊﾊ


感染して必死だな(ﾜﾗ

ってかさ、winnyフォルダを一旦削除すればいいじゃん。

ふと思ったんだけど合法物をやり取りしてれば感染しなくねぇ？
いちおdown自体は違法ではないけどさ

>>631
そのAA、久しぶりに見たから思わずﾆﾔﾆﾔしちゃった。

なんでこんなところにダウン板の糞どもがいるんだ？

>>633
2chとかでブラクラのようにウイルスがｎｙの外に出て広がりはじめてるしなあ。
無差別メール発射機能とかが本当なら、ｎｙ持ってない人でも
感染したらしゃれにならんかも。

>>635

ﾊﾊﾊ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ｲｷﾃﾞｷﾈｰﾖ
　　　∧＿∧　　　／￣￣￣￣￣￣￣￣￣　ﾊﾗｲﾃ- 　　　　　　ｹﾞﾗｹﾞﾗ
.　　（　´∀｀）　＜　糞どもだってよ！！　 ∧＿∧　　 　　　　〃´⌒ヽ　　　　　　　ﾓｳ ｶﾝﾍﾞﾝ
.　　（ つ ⊂ ）　　＼＿＿＿＿＿＿＿　　　（´∀｀ ,,）､　　　　　（　＿　；）　　　　　　　 ｼﾃｸﾀﾞｻｲ
　 　.）　 ）　） 　　○ 　 ∧＿∧ 　　　　　,, へ,, へ⊂）, 　　　＿（∨　∨　）＿　　　　　∧＿∧　○,
　　（_＿）＿）　⊂ ´⌒つ´∀｀)つ　　　　（＿（＿_）_丿　　　　　　し￣￣し　　　　　⊂（´∀｀⊂ ⌒ヽつ
　　　　　　　　　　ﾀｯﾃ ﾗﾚﾈｰﾖ
　　　　　　　　　　　ﾜﾊﾊﾊ

乞食犯罪者がセキュ板に助けを求めて押し寄せてるんだよ。
ここがそいつらゴミ屑どもの隔離所。
適当に嘘教えとけば良し

おお手動か！全部検疫されたですよ。先生すごいな〜

>>635
無能な自称セキュ板住人さんに言われてもなｗ

>>631
感染したら必死になるだろ？当たり前のこと言うな。ヴォケが。

おお、ノートン捕まえはじめたのか。
いいなぁ…。

eTrustの定義更新をﾆﾔﾆﾔしながら眺めてる俺

ダウソ板の連中にとっちゃID出ない板は新鮮だろうな
まぁせいぜい必死に荒らしてくれや(w

ﾃｽ

いつからﾌｼｱﾅされなくなったんだろう

ｵﾏｲﾗ(･∀･)ｺﾝﾆﾁﾊ!!!

いい暇つぶしになるな。

でも会社や学校の個人特定されたりリアル晒された人はご愁傷様・・・・・・

>>647
(・∀・)ｺﾝﾆﾁﾜ!!　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe

>>649
(･∀･)ｺﾝﾆﾁﾊ!!Autoexec.bat

>>647
(･∀･)ｺﾝﾆﾁﾊ!! お得情報.html　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe

>>647
(・∀・)ｺﾝﾆﾁﾜ!!【AV】萩原舞主演無修正.mpg　　　　　　　　　　　　　　　　　　　　　　　　.exe

ほんとだ！
ノートンの試用版いれて、手動アップデートやったら、削除された！
ノートンの勝ち！

さて、また全チェックやっとくか・・・。

　　　　ω~ ω~ ω~ ω~　キンタマﾄﾞｿﾞｰ
　ω~ 　　　　ω~ ω~ ω~ ω~ ω~ ω~　　ズドドドドドドドド
　　 　 ヽ ）ﾉ　　　　 ω~ ω~ ω~ ω~ ω~ ω~
ω~ ⌒(ﾟдﾟ)ノ　ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~　ドドドド
　　　 /. （　ヽ ω~ ω~ ω~ ω~ ω~ ω~　ドドドドド　ドドド
　ω~~ 　　　　ω~ ω~ ω~ ω~~
　　　　 ω~ ω~ ω~　ドドドド 　　

∀・)っω~
　　ｲﾀﾀﾞｷﾏｽﾀ

>>654
もう満腹


ゲプッ

試しに俺もノートンのオンラインスキャン試したら
ウィルス一つ見つかったよ(まだスキャン途中だが)
バスター酷いよ(> <)

>>654
　　　　　　　　　　　　　 /￣）
　　　　 ∩＿＿＿_∩.　|　 |　　　そんな攻撃は当らないクマー！
　　　　 | ノ　 　 　 　 ヽ.|　 |
　　　　/　　●　　　● ||　 |　　　　　　ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
　　　　|　　　　( _●_) .ミ　 |
　　　 彡､. 　 　 |∪|　　 　 |
ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
　　　　　/　 ,へ　　　　　　 ￣￣｀ヽ
　 　 　 /　 /　　＼　 　 t──┐　 |
　　　 （__／　　　　 > 　　）.　 　|　　|＿
　　　　 　 　 　 　 /　 ／　　　（＿＿＿）
　　　　　　 　 　 （　　＼
　　　　　　 　 　 　＼＿_）

>>657
漏れはギコナビのDATファイルが何故かひっかかっただけだターヨ

http://no.m78.com/up/data/u028631.jpg
外出だったらすいません。物手にいれたんで開いて見てたんだけど、
上のJPEGのあたり、ここで圧縮かけてると思うんだわ。
でも作者が１から圧縮ソフト作るなんて手間かけんと思うんで、
これってなんかの圧縮ソフトから引っ張ってきたのでは、と推理してます。
こっから作者に近づけないかな無理ですねすいません。
おいらのきんたまも少しさらされてる、はずかしー。
ってのをニュー速とﾀﾞｳｿに書いたが無視された

http://no.m78.com/up/data/u028634.jpg
http://no.m78.com/up/data/u028636.jpg
偽装ファイル
この命名から嗜好読めないかしら。
http://no.m78.com/up/data/u028637.jpg
ぬるぽのAA
どっかでBMPが、って聞いたが本体には入ってるのかな？
俺は実行ファイルだけげとなんで。

テキストエディタで何やってんの？

ライブアップデート後、この先にある16日版（最新）を導入すればOK
ちなみに、アップデートファイルは

ファイル名
作成日
更新日
サイズ

20040316-008-i32.exe
FTP Download
3月 16日 2004
3月 16日 2004
4.55 MB

これ

ウィルス定義ファイルのダウンロード
http://www.symantec.com/region/jp/sarcj/defs.download.html

だって自宅のPCエディタすらはいってないんだもん。
WZもさっき慌てて入れた。

>659
漏れはLive2chのdatだった
ｽﾚはﾊﾞｽﾀｰPart15
ﾛｸﾞ破棄したら感染ﾌｧｲﾙは消えた

システムの復元を無効にするに設定して、ノートンで発見、駆除はできたんだが
再起動したら同じ動作（Regedit書き換え、Upfolder.txt作成）するのだが現時点
では完全な駆除は不可能ってことなのか？

何で２ちゃんブラウザのログファイルがウィルス扱いされるのかも気になってきた・・・

>>666
むしろシステム復元してみたらどうだい？

2ちゃんねるのログからウイルスが（ryという方は、

http://pc.2ch.net/test/read.cgi/sec/1078999652/3

を読んでね。

結論：ノートン先生の仕様です。

>>668
一応両方ためした。あと、1回目でノートンで削除されたものは、2回目以降では検出されなかった。
検出されないのにウィルス感染しているようです・・・

結果出ました
最終的に感染ファイルが7個まで増えてビビリましたが
皆さんと同じように全てかちゅ〜しゃのdatでした
バスターごめん。

ウイルスコード貼ってあったんだろ

てか厨臭い

>>661
ぬるぽガッAAもBMPも入ってるよ。手元にあるやつで確認した。

(+ω+)　　　(・∀・ )ｺﾝﾆﾁﾊ!

ダウソ板の植民地か
ここは？

乙！
ﾉｰﾄﾝ先生にもお茶目な面があるんだなｗ
ﾊﾞｽﾀｰでも平気なんだな、ﾖｶﾀｰﾖ･ﾟ･(ノД`)･ﾟ･

9152バイトの赤い服着た眼鏡の男がこっち見てる画像は、
捏造jpgじゃなくてキンタマ作なの?

キンタマ解析スレに戻そう。

めがね男はantiny

>>677
あれは昔からある捏造画像。

>>667
ウイルスバスターは反応しないけど、
ログにウイルスのコードの一部(文字列)が貼り付けてあると
ノートンはウイルスと勘違いして検出しちゃうんだよ。

ニュース系の板で自分に都合が悪いｽﾚを潰すために在日ﾁｮｿや工作員？が
ラブレターウイルスの一部を貼り付けることが多いです。

【効能】
・ウイルス貼り付け→ノートンが反応する→2chﾌﾞﾗｳｻﾞの不具合発生(リロード不能等)
・ノートンをoffにしないとdatファイルを移動出来なくなる
・naoﾀﾝみたいな人がやると効果大

>>666
キンタマ？

おれは自力で駆除したけど、
１．うpふぉるだ.txtを削除
２．readme.filesふぉるだを削除（うpふぉるだ.txtでうｐふぉるだに指定されてる）
３．レジストリのあやしいのを発見、その値を削除、その値に書かれてるファイルを確認
４．そのファイルはシステムが実行中なので削除できないので、再起動
　　レジストリからは消したので、次回起動時は実行されない
５．実行されてないから、そのままそのファイルを削除

こんな感じ。

　　　　　　　　　　　　　　　　　　　　　　_二__　　 ＿_
　　　　　　　　　　　　 　　　　　,-‐ｰ''"´､:::::::,-'"´:::::::::｀‐､
　　　　　　 ,､-‐ｰ-''"´｀‐､　　 /::-‐ｰ､:::::ヽ/:::::::::::::::::::::::::::ヽ　　　　
　　　 ,､-'´::::::::ミ／:::::::::::::::::>'´:::::::::::::::＼:/⌒｀`‐:::::::::::::::::::::',　　　
　　／／,-''"´｀`:::::::::::::::::::/:::::::::::::ヽ::::::::ﾐ,-''"´｀` ‐::::::::::::::::::::|
　/:::/::/::::/::::ミ/:::::::::::::::::/:::::::::::::::::::ヽヽ::i::::,-''"´ヽ:::ヽ:::::ミ::::::l
./::::l::::（:::::l,-''"ヽ､::::::::::::::l::::::::,-‐ｰ-､::::::,-‐ｰ､;;;;;;;;ﾐ',:::::ヽ:三≡l
l:::::::l:/l"ヽ:＼.__　 ｀`‐-､::l::::/　　　　 ｀'　　　　　　　:l::::::l::::::::::::l
!:::::::l　l　 ｀‐､三三二=-ヽl::l　　　　　　　　　　　　　　l::ﾉ:::::::::,-
l::::::::l　l　　　 ｀‐-｀`＞._　 l:|　　　　　　　　　　　　　　ヽ:::::::/ ﾍ.'
.',:::::::ヽ_ヽ､　　 ,､-'´;;;;;;;ヽ'´:l　　　　　　　　　　　＿　　 ヽ::l くヽ l
　',:::::ヽヽ;;;;）-(;;;;;;;;;;;;;;;;;ノ　__l　　　　 ::　　 ,､-''";;;;;;;;;ヽ　 ﾚ　l ﾉ l
　 ｀‐､._;;;;‐､_　ヽ､___,､'´ 　ヽ;;;;;;;｀`‐-i-ｰ(;;;;;;;;;;;;;;;;;;;;;ノ 　 　 　 ﾉ　　オチンチンを高速でシゴくんだｯ
　　　 ',　　　　　丶　　　　　 ｀‐､;;;;;;;ﾉ　　ヽ､;;;;;;,､-'´　　　　　7l
　　　　ヽ　 ｀　'"　　　　　　　,',　　　　　　 ､　　　　　　　　l /;;;;'
　　　　　＼ -=ニ=ｰ　　　　／ ',　　 (　　　_ヽ　　　　　　 //;;;;;;;;;ヽ
　　そっか　＼｀ "´　　　／　　　',　　　　　　　　　　　　 /;;;;;;;;;;;;;;;;;;;ヽ
　　　　　　　丶.__,､-'´　　　 ,､-.',　-ﾆ=二ﾆ=ｰ　　　／;;;;;;;;;;;;;;;;;;;;;／＼
　　　　　　　　 l　　　　　　／,-''"´ヽ　｀ ﾆﾆ '´　　 ／;;;;;;;;;;;;;;;;;,､-'´;;;;;;;;;;ヽ
　 　 　 　 　　　l　　　　／／　　　 .ノ',　　　　　 ／;;;;;;;;;;;;;;;;;／;;;;;;;;;;;;;;;;;;;;;;;;;＼
　　　　　　　　　l　　／／　　,､-‐'´;;;;;; ｀‐--ｰ '´/;;;;;;;;;;;;;;／;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ

>>681
> ニュース系の板で自分に都合が悪いｽﾚを潰すた
他板とかで嫌韓愛国？とかの布教するのってとっても迷惑だよ。
頼むからそういうのはやめてね。

>>684
ネタだろ。そんなものに反応することはない。
なにせ、ここは2ちゃんねる。便所の落書きと言わしめたところだ。

嫌韓も嫌嫌韓も消えうせろ。うるせー

缶チューハイ飲んでまつ

naoまとめサイト
http://www.albinoblacksheep.com/flash/open.html

You are an idiot!

>>688-689

EXCITE翻訳
あなたは白痴です!

[キンタマ] 俺のデスクトップ ウイルス本体　（ネットで稼ぐ情報、儲かる情報、その辺りが感染元）.zip.rar
ファイルサイズ368 KB (376,832 バイト)をResHackerで観覧したらぬるぼの
アイコンが見えたがこれぬるぼの亜種かな？ぬるぼはファイルサイズ651,264 バイト だし。

しかし速くノートン対応してくれよ。

感染すると/autorunな重要ファイルっぽい捏造ウイルス本体がプログラムファイルに
一個だけできる。

これを消したらまず解決。あとはmsconfigでスタートアップに同じ
名前があるからそのままregeditでそのコマンドを削除。
たったこれだけで駆除できる。

日付が感染源と同じだからすぐわかるし。
その後ワザと感染してノートンでチェックしたら同じように駆除された。

なんかレベルが禿げしく低下してるな
簡単な質問はﾀﾞｳｿ行って聞いてくれ。ログが流れるのがｳｻﾞｲ

>>613
それキンタマだと思われるんだけど、ノートンの3/16のパターンファイルでも検出できないね。
亜種じゃないのかな

メモ帳しか開かないregeditって、どうすれば元に戻るのでしょうか？

65440, "August"
65441, "September"
65442, "October"
65443, "November"
65444, "December"
65445, "Sun"
65446, "Mon"
65447, "Tue"
65448, "Wed"
65449, "Thu"
65450, "Fri"
65451, "Sat"
65452, "Sunday"
65453, "Monday"
65454, "Tuesday"
65455, "Wednesday"

>>695
(･∀･)ｺﾝﾆﾁﾊ!!

>>693
どうもそれが目的っぽい気もしてきたね。
…つか、キンタマの作者（通称キンタマン）は
明らかに2chのスレを追って変種を放流してるだろこれは

解析してるスレが少ないうちに情報を混乱させてキモの解析を遅らせる目的もあるかと。

2chで解析することに意味があるとでも思ってるの？
ここで解析したって何の役に立つわけでもない、ただの自己満足。
役に立つのはAVベンダだけ。

幾つかのパートに分かれているよね。
実際のexe部分とjpg部分と。　jpg部分は１００ｋぐらい。
問題なのはキンタマはSS取って個人情報抜くだけじゃなくて、nyのトラフィックを
圧迫しているってことだよね。

亜種出現と流行の時間的関係はつかめるだろね。
ﾀｲｰﾌｫされた後と仮定しての話だから今の所の必要性や優先順位は低いけど。

それもそうだな。　トレンドマイケロとノートン先生が対応してくれるなら解析しても意味無いよな。

HDD内の個人情報抜いて外部にメールする機能が本当にあったら
nyから外へ漏れてるいま地獄絵図になりそうだなー。
海外にも広がったりして。

明らかにキンタマのファイルなのに全然反応せんぞ

バスターてキンタマに対応したの？

前のレスも読まないでレスするのはどこでも同じなんだな。

>>706
いや、>>702のレスみて気になったんだよ。
ノートンしか対応してないからバスター乗り換えるとかこのスレでも書かれたしね。

>>707
>>705かな？
バスターは対応していないよ。
ノートンも手動で入手できる最新定義ファイルでようやく検出できる程度。
しかも検出できない亜種もあるという話だし。
もうめちゃくちゃw

それでも今まで対応してきてるんだから、今回もお手並み拝見

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
ここにトレンドマイクロの値？が入っていた。
対応してんじゃないの？

解析することでシマンテック・トレンドが対応する前に
被害予防もできんべさ。

シマ・トレはなんらかの圧力を受けているに違いない！

な、なんだってー！？(ＡＡ略

naoのチャットログを見ながら友達とメッセで「こいつバカだな〜」とやりとりしてるのを
他人に見られているのを想像するとかなり恥ずかしい。
知らずに感染してるﾔｼは多いはず。人の振り見て何とやら・・・

ｎｙにキンタマ注意情報をタイトルにしたファイルを流した方がいいかもな。
検索にすぐに引っかかる単語を加えて。
まだ気づいてない奴多そう。

いやはやセキュ板の人達には初心者の相手をしていただいて申し訳ない(･∀･)ﾆﾔﾆﾔ
適当に相手して追い払ってあげてください(･∀･)ﾆﾔﾆﾔ

>>714
そのファイルにキンタマを寄生させて(ry

いよいよもってﾀﾞｳｿ板のスレだめぽ
もう純正jpg（......exeがないもの）踏んでもｺﾝﾆﾁﾊとか言ってるし見てらんない
ビューワーのバグついて感染するのも確定っぽく言われてるし

Q&Aテンプレの事を言ってるなら過去スレそのまんまのコピペだと思うから
変なところ修正よろ

2chのゴミだめのひとつだからな。まともな反応を望んじゃいけない。

＞もう純正jpg（......exeがないもの）踏んでもｺﾝﾆﾁﾊ（感染おめでとう）とか言ってるし見てらんない
＞ビューワーのバグついて感染するのも確定っぽく言われてるし

自分で言っといて確認になるけどこれってまだ未確認だよな？
しかもバグがあるビューアってフリーウェアのブラウザじゃなかったか

EXE実行できるビューワーで感染した人の警鐘書き込みがあったような
それの事なんだろうか？

>>721
そんなビューアあるのか・・・？
あるとしたら感染するだろうけど

少なくともＩＥやＸＰのビューアで拡張子が純正jpgを見るのは無問題では？

一時期、ショートカット書き換えと見せかけて関連付けを乗っ取る
コピペがあったけど、ということは、jpgを実行することも不可能ではないわけか。

すみませんちょっと伺いたいのですが、

C:\RECYCLER\S-1-5-21-2025429265-1078145449-1060284298-1000\Dc26.exe

に、ＡＮＮＴＩＮＹを検出しました。
これってどこにあるんでしょうか？
フォルダからだと見えないのですが、
レジストリ上から削除しろってことですか？

C:\RECYCLER
を全てのファイルをフォルダオプションで可視にした上で見るべし

純正jpgがどうなのかは俺もまだ未確認
ただ、jpg偽装exeがクリックすると画像表示するとかで
ビューワーで見た場合どう反映されるかが問題
>>724
ゴミ箱じゃね

>>724
ごみばこだとおもふ・・・

>>726
掲示板にうｐしたjpg
も危ないとか言われてんだけど
ＵＲＬがｊｐｇで終わってるのにjpg偽装exeなんてことはありますかね？

説明足りんね、ゴミ箱はユーザーごとに別れててｽﾏｿ
ユーザーごとにゴミ箱が別れてて
途中の数字はソレ

>>695
このスレだけでも最初からよめ、復帰方法のってる。

724です。やっぱりゴミ箱ですかね・・・ちょっともう一度覗いてみます。
すみません、ありがとうございました。

レジストリで同じ数字の場所は見つけました。
リサイクラーのフォルダを表示でやってみます。
みなさん、ありがとうございました。

●対策を知りたい場合は、自分の使っているPCのﾕｰｻﾞｰﾈｰﾑが必須です。必ず書いてください
↑こんなことテンプレに書いてるなんてひどいな＜ダウン板

>>728
掲示板に上がってるjpgは俺も数枚踏んでるけど感染確認はない
キンタマを見てるうちに感染した、という人も居るが
nyで落として一括で見ててどうにかしたと思われる
途中にexeが混ざってたのかどうかも不明

たぶん拡張子がjpgならば大丈夫とは思う

htmlやフォルダ偽装はともかく
Jpg以外に埋め込まれてる報告あったっけ？
aviやmpgとかzip書庫ファイルそのものとか

会社なんかでユーザー名がadministratorとかの場合もアップされますか？

MP3のウイルスって前になかったっけ。

>>717
（・∀・）ｺﾝﾆﾁﾜ!!

http://no.m78.com/up/data/u028783.jpg

>>736-737
（・∀・）ｺﾝﾆﾁﾜ!!

jpgは一応埋め込める事は可能だが、それなりの知識が必要で
簡単には出来ないだろうと言われてる
誰かがいつかやるとは思うが･･･
tu-kaこれがそうだったら一大事ですよ('A`；)

>>736
大丈夫。アップされるから安心汁

>>735
jpgの埋め込まれてる報告自体あったか？


zipとlzhについてはなんかeoとかﾗｻで解凍するだけで感染するとか言われてるんで
漏れも詳細が知りたい。解凍と同時に中のexe実行すんのか？

VMware(走らせているのはWin98)上でウイルス観戦中

コピーされたｷﾝﾀﾏ実行ファイルのある場所の下にあるディレクトリから
適当にファイルを取ってきてアーカイブしてる…

nyのﾌｫﾙﾀﾞ情報に変なのないし、ﾚｼﾞｽﾄﾘｴﾃﾞｨﾀも大丈夫だから心配ないかな？
ｷﾝﾀﾏに詳しい人教えてください。

>>739
切ないネ
　　　
　　　コミック雑誌なんてイラネ

なんか、本当に情報が錯綜しているよな。
Meだと感染しないとか、感染したらny切っても裏で稼働して時限式に
一気にばらまくとか・・・・・。誰かその辺まとめてやれないものかねえ。。。。
みてて、なんか底なしの殺伐感。

>>744
適当でしか？txtとかエクセル、docなんかをピックアップするって
報告あったけど

>>747
明らかに自分でもガセだと分かってるのに
触れ回ってるﾔｼってなにが楽しいんだろう・・・

>>726
おいおい。想像してみろ。普通のexeクリックしてみるだろ？
画像出てくるだろ。
そのexeビューアで見てみろ。画像出てくるか？

>>749
まさしくそのカキコこそが殺伐だよね。
マターリしましょう。

これかな？でもjpgに埋め込まれてるわけではないのか…？

450 ：[名無し]さん(bin+cue).rar ：04/03/17 15:24 ID:mSOnGyUO
ちなみに、〜.jpg　　　　.exeではなかったと思います。
ファイラーはまめなので、ファイル名前が長いと....をつけてくれる
ますよね。
そういった確認はしました。

極窓変換後は重ねて言いますが、.exeファイル。アイコンはXP標準GIFアイコン。
種類はアプリケーション。（ｶﾞｸﾌﾞﾙ）です。
ACDで画像表示が一瞬遅れたので、あちゃ〜と思い気づきました。
血しぶきはありませんでした。ｗ

464 ：[名無し]さん(bin+cue).rar ：04/03/17 15:33 ID:iW3rUizh
>>450
漫画の画像自体は遅れてもちゃんと表示されていたって事？

471 ：[名無し]さん(bin+cue).rar ：04/03/17 15:36 ID:mSOnGyUO
>>464
ばっちり表示されてました。

一昨日の祭りで、ちょっと遅れても表示された、という例を
チラ見したので（それは女の子の画像でしたが）
震えながら極窓かけてみたら、ビンゴ！…でした…涙。

473 ：[名無し]さん(bin+cue).rar ：04/03/17 15:39 ID:iW3rUizh
>>471
うわ、画像がちゃんと表示されるのなら
気がつかない人たくさんいそうだ…。

かなり適当な感じ。

何回か再起動しているとかなり広範囲に検索しにいっているような…
今はwindowsディレクトリの下にあるdllまでアーカイブしてる。
ほとんどファイルのないクリーンな環境なんでこうなるのかもしれないが。

>>752
そいつはただのうっかりバカ。
該当のファイルは正に〜.jpg　　　　.exeで後半省略されて.jpgで終っていたため
標準アイコンになっていた。

ふと思ったんだけど、これって例えばCドライブの中のプログラムフォルダ
にインストールした人が一番被害を被る？のかな？
例えば外付けHDにインストールした場合どんな挙動になるんだろ。
訳わからんくだらないカキコスマソ。

ファイル自体が無いとなんとも言えんな。
あせったのは間違いないだろうし。

新しい定義ファイルもそろそろ来るかな？

>>754
ホントだ。

>759 ：[名無し]さん(bin+cue).rar ：04/03/17 14:56 ID:8SKuaFLU
>>>756
>中にウイルス仕込まれてるゾ
>
>"BJniyorosiku_08_047.jpg .exe" とかってファイル名で

ttp://siokara.dnip.net/sio003/src/sp3409.lzh
某所じゃこれがキンタマ入りだとか言ってたけどね

>>757
そうそれ。
結局752の彼はワーム活動の症状自体出ていなかったし。

>758
頼むからとしあき
不安なのは解るが情けないカキコミしないでくれ…

>>758
ただのjpgじゃないのそれ

>>747
Meだとアイコンが違うので解るっていう話だと思った。
裏で稼動してばら撒くってのはメールの動作の事でしょう。
（感染したまま放置だと動くのか、あえて動かしていないのか
　凝りすぎて動作させられなかったのか被害は聞かないけど）

感染させまくったらこうなった。

ttp://cgi.io-websight.com/index2/uploarder/img/hare0226.jpg

ＸＰだと解凍して、jpgが入ってたら、デフォルトだとＶｉｅｗｅｒが読みにいって
サムネイルが表示されてしまうんですけど、これって危険はないんですか？

>>747
（・∀・）ｺﾝﾆﾁﾊ!!

>>760
まったくだな…キンタマスレでは女子あき点呼する
としあきもいて情けなかった

>>744
再起動するたびにアーカイブしにいくの？

漏れ最初ｷﾝﾀﾏが騒がれだしたときに
ろくに確認せずにnyフォルダ内のUpfolder.txtとupフォルダ消しちゃって
晒されたのか確認できなくなっちまったと思ったんだけど
もし感染してるなら

ﾃﾞｽｸﾄｯﾎﾟを圧縮したファイルを作成
↓
それをぶちこむupフォルダも作成
↓
nyに作ったupフォルダ登録

って挙動を何度upフォルダ消しても再起動するたび実行する？

>>753
FILEMONでアクセスログとって貼ってみて下さい。
こいつが呼び出してるファイル削除部を解析中です。
http://ranobe.com/up2/updata/up4981.jpg

>>750
i_viewの場合、そのEXE固有のｱｲｺﾝ画像表示される。

jpgアイコンexe、例えば、.JPG. exeだとしたら
少なくともXPとかのJPGｱｲｺﾝﾋﾞﾄﾏﾌﾟ表示されるはづ。
漏れの持ってるｷｬﾝﾀﾏ?
i_viewで見たけど、ﾌｫﾙﾀﾞｱｲｺﾝｻｲｽﾞ違いの３種類表示される。
何とも無いみたいだが気の性？？

偽装？埋め込み？？ﾂｶ････拡張子｡｡｡｡｡｡｡｡｡(´,_ゝ`)プッ
ﾌｼｱﾅﾄﾗﾌﾟはJPGにhtmlｿｰｽ埋め込みでつたが(ｗ　

>>769
意味が分からん。
アイコンの話なんぞ書いていないのだが。

ちなみにウイルスのcrcはいくつ？　>>744

>>764
だから予め解凍する前に内部が覗けるwinrarとか極窓とかそこら辺入れとけ。
んで怪しいファイルがあったら即ゴミ箱いき。

>>769
試しにi_viewで色々EXEみて見てみ
つかi_viewでのﾊﾅｼだから他のﾋﾞｭｰﾜどうなるかは知らない。

ノートンはアホ

VBS.LoveLetter.A
102個も出てきたけど
ぜんぶ2chブラウザのログ

偽装ウィルスじゃないか

>>767
感染の兆候がみられたらｎｙはフォルダごと削除して新しく導入しなおせ。
つか天麩羅ミロ

>>774
お前が一番アホなんだがな

>>773
ああ。意味が分かった。
でもあれってexe実行して表示してるわけじゃないでしょ。
問題ないっしょ。

自分のパソコン内を「キンタマ」で検索。
ペイントでコピーされた画像がないか調べる。

zipなどの圧縮ファイルを自パソで検索。

これだけでも随分自分がどうなってるかわかるんじゃないの？

>>778
NYを起動して、ネットに接続しないで”キンタマ”を検索。
これで、自分のPCユーザ名のファイルが出てきたらアウト
（自分でUPフォルダに入れたファイルは、真っ先に検索HITするから）

>>777
そ。
無問題。
でも、なんかそこはかとなくｳｴの方で色々心配してる人居る悪寒したから(ｗ
i_viewに特定ｺｰﾄﾞ埋め込みﾋﾞﾄﾏﾌﾟ画像ﾛｰﾄﾞする時ﾊﾞｸﾞでも有って、それ利用されるなら別だけど。

やっとユーザーサポートの奴がこの前退社した理由を理解したよ・・・・・

過労死か…
確かに一部のユーザーは色々とうるさそうだからなあ

女史も先生ももうだめぽでつか？

>>775
漏れの状況としては
reｇedit異常なし
アドミニスターのフォルダ内のTＥMPにユーザー名.exeなし
というとこまでは確認できてます



誰か>>762の見解いただけるとありがたいです

>>767の見解の間違いですた

フォルダアイコン開こうとしたら、エラーが出たﾔｼ居る？

>>768
Filemonって使ったことないけど、これでいいのかな？

ttp://syobon.zive.net/upload/src/up0124.txt.html

Win98(無印) + IE6SP1 on VMware
ドライブはC(HDD)とD(CD-ROM)
ウイルスファイル"c:\program files\btscan\btscan_config.exe"を
スタートアップから削除後、Win再起動。
その後Filemonを起動した上でウイルスを手動実行しますた。

ノートン全検索の途中です。

キンタマ詰め合せ圧縮ファイルからキンタマ君だけ削除されてしまいました。

今検索してるドライブ以降に別のキンタマ君がいることはまずないと思うので、
おれのPCにはキンタマ君はいなくなりました・・・。

いなくなるとちょっと淋しい・・・。

ノートンでもう完全解決できるの？

書き換えられたテキストとかどうなってるの？

>>786
それは感染したよ。
おれのもそれだったし。

>>788
おいおい、可哀相なことすんなよ。
キンタマブリーダーの風上にもおけない奴だな。

>>784
>>779
試した上で何も異常なければ大丈夫と思われ。心配しすぎ。
多分ダウソ板にいただろ。あそこは不安煽って楽しんでいる悪質な椰子も多いからな。

>>787
どうもありがとうございます。
何やってるか丸わかりですね…
そのまま数日ほっとくとＵＰするタイミングとか
わかるかと思います。

>>771
16bitCRC=E837
MD5=C399E5DD7999ED43EA705A36BDF026EA

まだGドライブには来ないと思って油断してたんだよ(;つД｀)

>>744さん
>>767について見解をいただけるとありがたいです

SS取った時のログが取れたみたいなのでついでにうｐ

ttp://syobon.zive.net/upload/src/up0125.txt.html

>>796
おまえ最悪な奴だな。

>>744 Thx
亜種だ何だで誰が何を解析してるのかわからんよ。

ノートンで駆除できないキンタマってのは
作者がバージョンアップさせてるの？

>>797
どこにうｐしてるかわからん。
直リンよろ

ｽﾏｿ　わかった

>>801
わからないってありえない気がするんだけど・・・。
一番上にリンクされてるのに・・・。

>>767
ウイルスファイルが実行される度にアーカイブしに行くらしい
>>763みたいにmsconfigでスタートアップから削除すれば
ウイルスを手動で実行しない限りアーカイブしなくなった。

逆に>>763を全てスタートアップに入れて起動すると
一度に起動したウイルスの個数×３個分のアーカイブができあがる。

今のところ確認した拡張子はlzh, zip,, exe(この場合はほとんどウイルスそのもの＜CRC=E837)
で、しばらくほっておくと[キンタマ] 俺のデスクトップ name 日付.jpgが同じディレクトリに出現する。

>>804
ふーん・・・それならupフォルダ消して
安心してるヤシはまったくの無駄ってわけか
>>767のような場合も
感染してればまたうｐされるんだな？

MXは平和でいいな

>>797
ものすごい貴重な情報ありがとうございました。
キンタマがGetDiskFreeSpaceExAをスクリーンショット保存時に
読んでることがわかりました。

>805
いい加減しつこい奴だな…
そんなに不安なら回線切って別マシンで繋げや
一週間もしたら収束するだろ

このスレにAVベンダ勤務の香具師いる？

会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません．
組織名がどのように登録してあるかはどうすればわかりますか？

キンタマデスクトップ画面専用のウプローダーとかないすか？

>>805
今試した限りでは、
スタートアップと該当ファイルを念入りに消せば大丈夫かも。

>>805
他人に質問する時にそんな横柄な
態度とられてもねぇ

キンタマ祭りになったの15日だったと思うんだけど、13日くらいにはもうすでにﾀﾞｳｿにスレ立ってたんだよね。
ベンダーに勤めてる奴が２ちゃんで情報収集するのかなって思ったんだけど

>>807
なんか役に立ったようでﾖｶﾀでつ。

吉沢さんいますか？(ﾌﾟｹﾞﾗｳｯﾋｮｰ

>>815
いや、これありがたいよ。まじで

言われるままに全て試してみて　昨日善と思ったけど
今日ノートン走らせたら３６個検出されたil||li _|￣|○ il||li

>>810
会社からｎｙやってる時点で（略

>>810 ：名無しさん＠お腹いっぱい。 ：04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません．
組織名がどのように登録してあるかはどうすればわかりますか？


会社名をさらされている人がいましたが、パソコンは支給されたものをそのまま使っているんです。
名前だけだったらいいですが、会社名までついたりすると困るんです．
ファイルはデスクトップには危ないようなものは置いてないんでいいんですが。

810 名前：名無しさん＠お腹いっぱい。 投稿日：04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません．
組織名がどのように登録してあるかはどうすればわかりますか？





.exe

>>810
>>78

つーか社会人だろ。ガキじゃあるまいし疑問に思ったらまずググれよ
キンタマとか関係ない基礎知識じゃん…

>>821はなんなんでしょうか？
これもういるすなんでしょうか？

私が>>820を書いてから9秒の間に.exeを書いています.

普通無理でしょう。私の文章を読んでから、.exeを書いて書き込むのは。
これもこのウイルスのせいなんですか？

>>824
みにっつ

>>824
悪質なつりだな。放置推奨>>ALL

結局何人やられたんだろう。

普通、組織名がどうのこうのより、感染してるかを気にするだろ。
感染については今までに散々書かれてるし。

>>825
みにっつってなんですか？

>>826
つりではないです。私はここ1年くらい２ちゃんには来てないんです。
友人から祭りの話を聞いて、怖くなってここにきたのです。

>>828
感染してるかどうかはわかりません。ただ、ぬるぽはありました。
winnyってのを試してみたかったのです。2ヶ月くらい前に初めて使いました。

前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればＯＫの前ってどういうこと？とにかくフォルダごと消して
新しくインストールすればいいってこと？

>>829
さすがだな。
５秒でレス付けるとは。

マイコンピューター右クリック→プロパティで組織名が出てこないんなら、
それは組織名が入力されてないんだろう。

はい、これで終了〜

>>829
9秒じゃなくて、9分

ｷﾝﾀﾏ玉玉玉玉玉二スレ目
http://tmp2.2ch.net/test/read.cgi/download/1079541565/

このスレの>>1に暫定まとめサイトのURLがのってるよ


>>826
スマンネ。答えてしまって
しかし個人的には、2chの釣りとかなんとかに嫌気がさしてる
だから、疑心暗鬼になるよりは、マジメに答える道をえらんだのさ
その結果、釣りでしたとコケにされてもかまわないよ

だってキンタマまだ解決してないし
ノイズをなるべく除外したいだろう？

>>833
優しいね

現段階で気づいたこと書いて寝まつ。ｶﾞｲｼｭﾂのことばっかりなようも気もするけど。
ｷﾝﾀﾏ本体はCRC=E837。間違ってそうな点があったら指摘よろ。

・ｷﾝﾀﾏに感染すると、UpFolder.txtがシステム属性で作られるor更新される
・新たにUPフォルダができる。これもシステム属性になることがある。
・ｷﾝﾀﾏ本体はHDDのどこかにコピーされる(漏れの仮想環境ではprogram files以下のサブディレクトリのどこか)
・ｷﾝﾀﾏを実行したときにアーカイブが作られる。
　その際かなり深くまで検索していく
　dll, jpg, png, doc, exe, txt, bmp, ｷﾝﾀﾏ本体がアーカイブされることは確認(xlsは仮想環境上にないので不明)
　この際のファイル名はランダム(ｷﾝﾀﾏに内蔵されているファイル名？)
　中身はHDD上のファイル、ｷﾝﾀﾏ本体、トラップのhtmlがランダムに入っている。
・しばらくすると俺のデスクトップ.jpgがアーカイブと同じ所にできる。
・(たぶん)感染すると環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

いろいろ試した結果のｷﾝﾀﾏ対策
・msconfigなどで怪しいスタートアップを削除＆該当ファイルを削除
・nyのフォルダを根こそぎ削除。特にcacheとUpFolder.txtに書いてあるフォルダは完全に消す
・(根本的には)nyを使わない

明日の朝まで仮想環境上でｷﾝﾀﾏ + Filemon走らせときまつ(現在仮想環境上の時計は10:00でつ)

ｵﾔｽﾐ
ﾉｼ

>>833-834

よっぱらってまして、すみません。そうでした。分ですね。
ごめんなさい。つりとかじゃなくて、単に私が酔っ払っていただけです.

>>833のとおりにしたら、もろに会社名が入ってました.
感染していたら、アウトです.
仕事追われるかも。
デスクトップにすごいもの置いていたんで.
デスクトップのフォルダのなかでもだめなんですよね。
オンラインサーチではシマンもバスタも大丈夫だったんですが（ぬるぽ削除後）

>>834
やさしいね。良く初心者のふりして親切に相談にのってあげた椰子を
釣ったとか釣りを勘違いした厨が多いんでつよ。

>>810
は感謝シル

>>838
感謝するでし。
有益情報は1/10以下という中でありがとうございました。
っていうか、実際は1/50以下でしょうね。

>>744氏
乙カレー

>>836
乙〜
仮想環境で飼うなんてわくわくｗ

＞環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

「環境変数で指定されたTEMPディレクトリ」ってことは
documents and settingsの管理者フォルダのTEMP以外にも
TＥMPと名前のつくフォルダ全てに[ユーザー名].txtファイルができる可能性があるってこと？

どなたかご教授お願い申し上げます

>>842
コマンドプロンプトでSETって打って、TEMP=の先に書いてあるのが
「環境変数で指定されたTEMPディレクトリ」ってことになるはず、そのままの意味で受け取れば。

>>843
いまやってみたら
管理者フォルダのTEMPがTEMP=の先に出ました

「そのままの意味で受け取れば」例のテキストはここに出来るってことでOKですかね

>>844
そういうことになるかと思われ。

「フォルダ」に見せかけ任意のファイルを実行
――Windows XPを狙う手口に警告
http://www.itmedia.co.jp/enterprise/0401/28/epn16.html

http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Trojan Dropper [Symantec]
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html　

Windows XP は、.folder 拡張子がついているとフォルダとして表示する
(.folder 拡張子のファイルにはフォルダアイコンを表示する)
ダブルクリック時にどのように処理するかは、動的に決定する
(中身が HTML のようなら HTML として処理する)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html
ことを利用し、

攻撃プログラムを作成し、BinHex 形式でエンコード
上記 BinHex を埋め込み、さらに、それを自動的にデコードするような
JavaScript を記述した HTML ファイルを用意
HTML ファイルの拡張子を .folder にHTMLファイルを zip で圧縮
としたのが、上記デモファイルであるように見える。
で、.zip を開いて、
さらにフォルダが含まれていると思ってダブルクリックすると……ドカン。
（Ｃ）セキュリティホールmemo

ファイル名: My Pics.folder
このファイルは次のウィルスに感染しています:
Trojan Dropper
デベロッパーノート
My Pics.folder is an infected container file of type ZIP.
My Pics.folder is non-repairable threat. NAV with the latest beta definition detects this.
Please delete this file and replace it if neccessary. Please follow the instruction at the end
of this email message to install the latest beta definitions.
This file is contained by My Pics.folder.
（Ｃ）2004 シマンテック・セキュリティ・レスポンス
（Ｐ）2004 シマンテック・セキュリティ・レスポンス

解析中の皆さん、乙です。
お茶ﾄﾞｿﾞｰ
(ﾟ∀ﾟ)ﾉ旦旦旦旦旦

（゜　∀゜　）

【黒か】同人サークル「AtaraxiA」にny疑惑【白か】
http://comic2.2ch.net/test/read.cgi/doujin/1079504947/l50

このスレでキンタマを利用して捏造が可能かどうかで議論しているのですが
セキュ板の方から見てどうでしょうか？

ファイル名に下線が入るようにしてるから踏みようがない。

>>695
システム復元でregeditは戻りますよ

svchost.exeがProgram files\DION\に。。。
CRC16で見たらE837だそうな。レジにもautorunで追加さてるＹＯ。
おまけに製作日時が1987年ってなってるし。。。。

こいつを消してしまえばいいわけですね、ｴﾗｲ人達。

ﾎﾝﾄ偽装してるよ、コイツ(´Д｀;)

>>854
制作日時はどうみるんですか？

２重カキコｽﾏｿ。
件のsvchost.exeは更新日時が1984年。
製作日時が3月16日05:19分、漏れが｢あーやっちまったﾖ！(･∀･;)｣と思った瞬間の時刻ですた。。。。

>>855
ふつーにプロパティで表示しましたよ(´Д｀)

まあ踏むことはないと思うけど、フォルダ偽装に備えて
フォルダアイコンを変えるというのが一番勉強になったよ。
さっそく変えてみたけど、ｺﾚ(・∀・)ｲｲﾖ!!

ttp://www.ix.sakura.ne.jp/~yoshi/icon/folico.htm

つーか、普段から詳細表示にしとけよ

いや、ファイラ使え。
キンタマ画像見てて思ったが、タブブラウザ使ってても、エクスプローラのままのやつ多すぎ。

えーとキンタマは起動すると停止するまでに一回しかｓｓ撮らないんでしょうか？
それとも起動中は定期的にｓｓを撮りまくるんでしょうか？

>860
ファイラーの存在自体をしらないのでは…。

>>861
いいからさっさとOS入れ直せよ

マイドキュメント、デスクトップ、メールなどの文書系も嫌だけど
ブックマークも漏れたら困るなあ…

>861
感染してみれば解るよ

>>843
GetTempPathAってのを呼んでるようなので環境変数読みに行きます。
CODE:0044B5C3 push eax ; lpBuffer
CODE:0044B5C4 push 260 ; nBufferLength
CODE:0044B5C9 call GetTempPathA

RunAsサービスつかって隔離しちゃえばいいのに。

感染はしてないし、したくないんですが(´Д｀;)
感染したっぽいサイトの検証の為に知りたいと思いまして・・・ごめんなさい。

>>867
>感染したっぽいサイト

？？？

ああ酔っ払ってる。
感染したと思われるサイト管理者が白か黒か検証してます。

あー同人板のアレか…。あんま持ち込まないで欲しい気もする。

>>861
定期的に撮る。
周期は乱数で決まるみたいだが。

>>871
ありがとうございます。
PCの稼働時間が長そうな絵描きが対称だったんで、
７日でssが10枚ちょいってのは少ないかどうか分りました。

>>390氏の言う
>16BitCRC : 57E0
>32BitCRC : 250396EC
>Size : 393216Byte
ってのは、ウイルス本体(E837)じゃなくて、ウイルス自身が作った複製の方だよね？

>873
16BitCRC : 57E0はわかりませんが、
naoの詰め合わせにあったhtmlからexe起動させる複製は
CRC:E387ですよ。

>>874
了解です。
57E0はなんなんでしょうね？
390氏の降臨を待ちますかね(´ー｀)ﾉ旦

システムヴォリュームインフォメーションってフォルダがあって
そこにウィルス700個くらい入ってたんですがあれはアウトですかね・・・・
復元機能offにして全部駆除しましたが・・・・。

ここにセキュ板を以前から見ていた人ってどのくらい居るんだろうか。
初心者とダウンロード板の人しか居ないように思えてきた。

今更ながら「お得情報.exe」の情報

ノートンで検出したお得情報.exeのプロパティ（NAVのＳＳ）
http://ahiru.zive.net/test/src/1079563200775.jpg

キンタマ詰め合わせに入っていたキンタマ(NAVのＳＳ)
http://ahiru.zive.net/test/src/1079563218216.jpg

>>876
にぎやかな牧場ですね

>>878
それ持ってるから解析してみたら、なんか進化してるぞ！！
というわけでCRCがCFB7だからキンタマCFB7と命名。
基本的にキンタマE837の機能を踏襲してるっぽいが、
自分自身をばらまくための偽装ファイル名が違ったり、
E837にはない以下の様なへんてこな文字列が入ってる。
CODE:0044F9EC mov edx, offset aSoftwareMicr_0 ; "Software\\Microsoft\\Internet Account Man"...
CODE:0044F9F1 mov eax, [ebp+var_8]
CODE:0044F9F4 call sub_44159C
CODE:0044F9F9 test al, al
CODE:0044F9FB jz short loc_44FA22
CODE:0044F9FD lea ecx, [ebp+var_3C]
CODE:0044FA00 mov dl, 1
CODE:0044FA02 mov eax, offset aM6nk44i8b7vgq8 ; "{m6nK44I8B-7vGQ8B-m7nGWhY5}"
CODE:0044FA07 call sub_443DF4
CODE:0044FA0C mov edx, [ebp+var_3C]
CODE:0044FA0F lea ecx, [ebp+var_C]
CODE:0044FA12 mov eax, [ebp+var_8]
CODE:0044FA15 call sub_441764
CODE:0044FA1A mov eax, [ebp+var_8]
CODE:0044FA1D call sub_441508

まとめると、キンタマCFB7にはSoftware\Microsoft\Internet Account Manager
をいじる付近で以下のへんてこな文字列をさわってる。
これの意味わかる人いる？
{m6nK44I8B-7vGQ8B-m7nGWhY5}
{azKoFffqY2-tIlBKBhMx-!j6!93IKtIzKLY2-zPFaFtf6hY2-ItBHzPFG9}
{aaItjjqMx-m6BNuMx-SVhG9}
{soPMorronJln4T-aDeresU8!b3ost9aDel1}
{jl4pij1Uh-ijJfj88jDUh-nIEI!h38Sp}

キンタマって、UPX圧縮されてるﾔｼとは違うよね？

>>882
少なくともキンタマE837とキンタマCFB7はUPXかかってない。

誰かシマンテックやトレンドマイクロに提出してるの？

>>884
正直なところ不明。

（・∀・）ｵﾊﾖｳ!!

大体６時間くらい放置したんだが
SS撮られた後はｷﾝﾀﾏ動いてないみたい。

9:48:59Btscan_c:FFE259BFCloseC:\WINNY2\UP\[キンタマ] 俺のデスクトップ 2CHER [04-03-17].JPGSUCCESSCLOSE_FINAL
9:48:59Btscan_c:FFE259BFFindOpenC:\WINDOWS\TEMP\2CHER.TXTSUCCESS2cher.txt
9:48:59Btscan_c:FFE259BFFindCloseC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
9:48:59Btscan_c:FFE259BFDeleteC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 358400 Length: 4096
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 362496 Length: 4096

と、こんな感じ。

解析依頼しなくても対策ベンダー間でサンプルを融通しあっていると聞いたことがある。

みんなウィルス大好きなのね。
楽しそうだな。

うぃるすうぃるすわーい

感染/非感染と流出/非流出の確実な判別方法がわかるとウレシイナァと言ってみる

IT Proにキンタマに関する情報が出ました。

Winnyで感染を広げる新種ウイルス出現，パソコン中のファイルを盗まれる恐れあり
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040317/141562/

記事によると、トレンドマイクロは検体の入手と解析を続行中とのことです。

ｽｸｼｮには触れないのね

今回バスター随分後手だな…。

Bとは違うって書かれてるとこは良かった

538 [名無し]さん(bin+cue).rar sage New! 04/03/18 03:34 ID:HuHGvPis
windows2000SP4で、手が滑ってexe実行して感染してしまった。
ウイルスバスター持ってないので手探りでいろいろやってみたところ、
駆除に成功したっぽいので報告。

キンタマが作るexeファイルはなぜかタイムスタンプが
1992年とか古い模様。winntフォルダ、program filesフォルダで
*.exeを検索して、タイムスタンプが飛びぬけて古いものをいくつか
削除した。

このことを行った結果、以下の変化が生じた。
・消しても消しても復活するwinnt\regedit.exe（50KBの、アイコンがnotepadのやつ）が
　復活しなくなった
・消しても消しても復活するdocuments and settings\local settings\temp\〜.txtが
　復活しなくなった
・ファイル名を指定して実行→regeditで、メモ帳が立ち上がるようになっていたのが
　regeditが元通り立ち上がるようになった

でも怖いので、一応明日まではLANケーブルは抜いた状態にしておくつもり。
このカキコはwinny入れてない代替機から。

>>896
自分で特徴を見抜いて対処できる人も居るんだよね。
凄いね。

あんらぼ使ってる人は検出試して欲しいな。
http://www.ahnlab.co.jp/news/view.asp?seq=461

＞とにかく，「少しでも怪しいファイルは開かない」ことに尽きる。
って締めてるけど、開いちゃったおれに言わせてもらうと、
あやしいって思わなかったから開いたってことなんだけど。
注意が足りなかったのは確かだけど。

一つ一つのファイルをしっかりチェックしてれば開かないと思うけど、
詰め合わせの中に本体も仕込まれてるっていうのを知らなかったから、
油断してたかも。
逆にWordファイルとかの方が開きにくかったし。

>>875
はい、390っす。
検体は、元のウイルス、複製共に同じ物でした。ついでにMD5も入れておきます。

CRC16 : 57E0
CRC32 : 250396EC
MD5 : 3b2240afc5c8d3b533ee7616fbae1e26
SIZE : 393216

恐らくこれは発病して配布する物に、自己の複製を忍ばせる方法で拡散した物と思われます。
感染するたびに変化していくポリモーフィック型だったら、ウイルス史に名前が残りますね。しかし、変化はしない模様。
それから、漏れの勘違いの訂正。

『 ドキュんタマ(3b2240afc5c8d3b533ee7616fbae1e26)は、Winny1/2を【選びません】 』

恐らく、どの亜種も同じでしょう。
まず、ディレクトリ情報を頭から参照して、最初に見つけたWinnyフォルダに寄生します（動作確定です）。
いろいろ弄ってみましたが、ドライブレターの若い順、ディレクトリ情報の先頭から検索しているようです。
一度見つけると、そこから先は検索しないようです。
ランダムで生成されるメアド入りのドキュメントは、そのUpフォルダの中のウイルス入り書庫に同梱されます。
リセット等のタイミングでTEMPに残ることもあるようです。生成タイミングは再起動後です。
もしかすると、タイマー動作との併用かもしれませんが、そこまでは確認してません。

あとは以前の報告を参照。他は、>>836の744氏の報告通りです。
なんとなく、大まかに分けるとドキュんタマと机タマの二種類があるような予感。

>>899
少しでも感染させたい作者が怪しいファイルにするわけがないだろうと。
少しでも見分けがつかないようなものにするだろうがと。

シマンテック　キタ━━━━━━（゜∀゜）━━━━━━━━！！



http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.ω.html


＞ 日本サイト更新日: 2004年3月18日 10:00
＞ W32.HLLW.Antinny.ω

＞発見日: 2004年3月17日 (米国時間)
＞最終更新日: 2004年3月18日 15:48 (米国時間)

＞W32.HLLW.Antinny.ω は、W32.HLLW.Antinny ワームの亜種です。このワームは、Winny ファイル共有ネットワークを介して拡散します。


＞亜種: W32.HLLW.Antinny
＞種別: ワーム
＞感染サイズ: 不定
＞影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
＞影響を受けないシステム: DOS, Linux, Microsoft IIS, OS/2, UNIX

やっぱノートンはすごいなあ

ﾜﾗ

>>902　（・Ａ・）ｲｸﾅｲ!!

キンタマ＋亜種自体のショック効果もさることながら
＞ W32.HLLW.Antinny.ωなんて名が付いたら
ネットウイルスとして末代までの語りぐさになるなあ。

E837ってさ感染しても再起動しなきゃ発病(UpFolder.txtとか[ユーザー名].txt作ったり)しなくない？
発病しちゃった人は関係ないけど

>>902
乙。更新きてたね

>>902 おいおいそれはぬるぼ追加とあるから
キンタマとは別だろ。

8. Win.iniファイルに次のセクションを追加します。
[ぬるぽ]
ぬるぽ=C:\Winny2\

これがキンタマの症状とは思えん。

何も知らないお子様ようこそ

つか、共有0なら問題無しだよな？
指定したアップフォルダに何も入れてないわけだが。

過去ログ嫁

各ベンダーの対応が遅い要因は
・解析に時間が掛かっている
・キンタマという馬鹿げた名前の為ウイルス名称をどうするか苦慮している
なんちゃって

キンタマの全種類を把握するのに手間取っているに100nao

>>913
早く対応するとワレザーに愛用されてしまう。

>>913
確かにキンタマをどう命名するのか気になるｗ
っていうか２ｃｈではキンタマで確定してるし、いまさら別の名前つけられても困るｗ

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html
>>910 に聞きたいが↑は

7 自分自身をLZH形式で圧縮したアーカイブを作成し、その後、.jpgファイルをUpフォルダに投下します

だけがキンタマと共通の症状であるが
これは例の9kバイトめがね男をJPGとして投下するヲ指して
ほかはすべて関係なく、そもそも最終更新日が

最終更新日: 2003年8月8日 12:49 (米国時間)
感染サイズ: 651,264 バイト

なんだからレス>>902がネタなんでしょ。

>>917
>>909が初代Antinnyについて何も知らない奴だって言いたかっただけだ

KINTAMA

>>917
>>902のネタにマジレスされても困る

ていうか自社のソフトが流れてるようなところでしか流れてないウイルスにすぐに対応するわけが…
有料ソフト作ってるとかろからすればsymantecは悪でウイルス作者バンザイ

winampの中に２つwinampのファイルがあったけど
これってもしかしてどっちかがキンタマ？

普段人少ないけどウイルス騒ぎの時は
全体的に、セキュリティ板盛り上がるのはなんか嬉しい。

>>922
日付があきらかに変な方

>>922
実行されてると、削除できないので削除してみて削除できない方はキンタマの可能性あり

それってwinampa.exeのことじゃ。

917です。>>918 そうですね。俺がスレの流れを読めてなかったのようです。
バスターを使ってますがこちらはまだ未対応。

>>922
33.0KBの方が２００３年１２月21日で、
946KBの方が２００４年２月１２日だったので判断に困ったので助言頂けますか？
ちなみに946KBの方はNullsoftと表示されています

>>928
33.0KBの方が２００３年１２月21日

どう考えてもこっちが怪しいだろ。

そういや、うちもC:\Program FilesやC:\WINDOWSの下にあるフォルダなどに
たまに●●(2).exeとかある…。alg(3).exeとか。
dllとかにも(2)や(3)ってついたのとか。
さがせる症状やシマンテックのオンラインスキャンでは
何もでなかったけど…。

>>926
すみません、そうでした
キンタマが怖くて焦っていました。
お騒がせしてすみませんでした

ノートンのオンラインでも検出出来るようになってますか？

>>928
>>926が言ってるのとは違うの？
同じフォルダに同じ名前のファイルって作れないから、ファイル名違うはずなんだけど。

次スレどうすんの？
立てなくてもﾀﾞｳｿの方に移ったほうがよさげだが

兆候無いけど再インスコするか…

174 ：[名無し]さん(bin+cue).rar ：04/03/18 13:22 ID:zS/U95k7
ｱﾌﾟﾘ、ｹﾞｰﾑ関係のﾌｧｲﾙは、よほど確証が無い限りﾀﾞｳｿ出来なくなっちゃったねぇ・・。
exe実行しないわけにはいかないもん。

いろんなｽﾚで情報が錯綜しているから訳ﾜｶﾒ。
漏れが辿った限りでは感染するとｽﾀｰﾄｱｯﾌﾟのﾚｼﾞいじって
自身を自動実行する様に登録するって事だったけど・・
これ、ｽﾀｰﾄｱｯﾌﾟ以外のﾚｼﾞいじられて潜伏されたら玉乱な。。。

ｿﾘﾃｨｱとかﾃﾞﾌｫでｲﾝｽｺされてる可能性が高くて、なおかつ
そんなに頻繁に立ち上げるものでもないｱﾌﾟﾘを発症のﾄﾘｶﾞｰにされてたら
今は感染していないつもりの人でも・・(´･ω･｀)

怖いこというなぁ

>>921
シェアウェアのシリアルや振込先などがキャプチャされると、作者側も
ちょっと困る。

企業からソースがキャプチャされて流出、なんてことになったら愉快だね

企業からソースがケチャップされて流出、なんてことになったらもっと愉快