winny使用者はキンタマウイルスに注意

このエントリーをはてなブックマークに追加
>>407
> >>399>>404さん?間違ってたらスマソ

その通りでそ。

> ちゅーことは、2GB超えてるデスクトップを圧縮するときでも
> それらの拡張子を優先的に選んで圧縮するから
> ファイルサイズはうんと小さくてすむのかな?

デスクトップを圧縮するのと、マイドキュを圧縮するのと両方あるみたいだね。
別々のキンタマなのか、それとも同じキンタマが両方の機能があるのかは、わからない。
漏れの手元にあるのは一種類だけなんで・・・・。

> てか、圧縮対象になった場所が2GBを超えてなくても
> 拡張子ではじかれて圧縮されないファイルもあったの?

実験した限りではね。デスクトップを圧縮した場合は拡張子は無差別に圧縮されみたいだけど。
マイドキュは別のドライブ(物理的にも別のドライブ)が2Gオーバーだったけど、その中からピックアップされた。
作者はWinnyの制限も知っているだろうから、あまりにサイズが大きくなるなら適当にカットする機能くらい入れててもおかしくない。
調べれば調べるほど、巧妙だなーと感心しちゃうな。誉めないけど。
414名無しさん@お腹いっぱい。:04/03/17 10:41
>>413
なるほど・・・では最後にw
自分が晒されてるかの確認方法なんだけど
nyフォルダ外にup用フォルダ(bbs2とかね)が作られてることもあると思うんで
ny本体の検索で「upフォルダ内」タブをオンにして
zipやlzhで検索かけて状態が「upフォルダ内」のファイルが検出されなければOKか?
ny利用で晒す以上はここで隠れて流出させるのは無理だよね?
ny厨uze
>>409
>初歩的な質問でごめんな、
>nyやってなかったらキンタマ感染しても何の影響も受けないのかな???

メールで送信されている可能性は否定できない。現在、返信待ち中(藁のため、数日マテ。
少なくとも、アウトルックに登録されている自分のメアドを取り込むのは確認済みですので。
でも、シグネーチャーは取り込んでいないようなのが謎。
マシン名の方なんだよな、これ。もしかするとネットワークを構築している場合はこうなるのか?


>>410
> >Downフォルダの中にあるファイルにウィルスを押し込めた
> これって自分自身のコピーを「作成」するのとは別に
> 既存のファイルにとりつくってこと?だとしたらすげぇな・・・

あい。既存のファイルに寄生しまつ。
じっくりとWinny2で流れているファイル一覧を見ていると、たまーに微妙にファイルサイズが違う同名ファイルがあんのね。
[アルバム] なんとかかんとか.exe
なんつー、露骨に怪しいのもあったりする。知らないでいる感染者は、かなりいるんじゃないか?
>411、>412

トンクス。
チョト安心したよ。
メルではファイルをばら撒かれることは無いんだったよね。

418名無しさん@お腹いっぱい。:04/03/17 10:46
>>413
のキンタマはmy documentのみか・・・
そっちのほうがいいなw
>>414
nyをやめれ。それが一番安全だ。
真面目に答えると、それでいいんじゃない?
さすがにパケットモニターに流れるパケットを見てなんだかわかるような神ではないので、安全とは言い切れないけど。
リスクは自分で背負ってくれ。漏れから言えるのはこれだけだ。
420名無しさん@お腹いっぱい。:04/03/17 10:48
>>416
あ、でも所詮exeなんだ・・・
つーことはせっかくのお宝ファイルが.exeになっちまうのか・・・○| ̄|_
>>416
Cache、UpじゃなくてDownならny上には流れないと思う。
ドライブが複数あって同じバージョンのNYがそれぞれにある場合
ドライブが若いのに感染するみたい
Upfolder.txtがない香具師は安全なのかな?
424420:04/03/17 10:52
追記
既存のファイルに寄生してるか調べるには
ny各フォルダを(ファイル名)でなく(ファイルに含まれる語句)
で.exeがあるか調べればOK?
これなら圧縮ファイルでも中調べられるよな
間違ってたらイカンのでご教授願います
>>422
若いドライブに感染するってどういうこと?
CとDにそれぞれnyが入ってたらCだけ感染ってこと?

感染はシステムにすると思うんだけど。
で、そいつの作ったファイルがうpさせるnyが、
その若い方のドライブのnyになるってことかな?
ノートンが対応した模様。持ってる香具師は手動うpだて汁!
>>420
悪い。言葉が足りなかった。
既存のファイルをUpfolderにコピーして自らを寄生して、拡散を狙うってコトね。
DownFolderのファイルは変化はない・・と思う。今のとこね。今後どうなるかわからないから。
タチ悪いのは、圧縮ファイルに寄生するのと、ウイルスを生のまんまで既存のファイル名にするのと2通りあんのね。
時限式で隠し機能が起動するかもしれないので、今日の情報が明日通用するとは限らない。

いやー、不謹慎だけどオラ、なんかワクワクしてきたぞ!
>>426
検出名はわかる?
429名無しさん@お腹いっぱい。:04/03/17 11:04
>>428
ファイル共有ソフトを媒介に感染するウィルス「Antinny.B」の亜種を確認。(シマンテック)
430426:04/03/17 11:04
>>428
ダウソ板をROMしてただけだから不明。
漏れはnyやらないからなぁ。。。
>>422
それが事実ならダミー準備しておけば保険になるってことか?
>>428
検出名は何故か只のw32.hllw.antinny
でも昨日の夜の時点ではCRC16:E837のファイルからは何も検出されなかったんで、
対応したのは間違いないみたい。
433428:04/03/17 11:12
>>429
Antinny.Bはキンタマとは違うと結論付けられたはずだけど。。。
それにウイルスバスター2004もAntinny.Bには対応しているけど、検出できないよ。

参考までに、シマンテックはAntinny.Eとかいうものの情報を2月に出してる。
Antinny.Bはトレンドマイクロが発見・命名したものみたいだ。

W32.HLLW.Antinny.E
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.e.html

WORM_ANTINNY.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T

>>430
そっか。ありがとう。
>>416
今時、outlook使う奴がいるのか・・・・。
ビジネス目的でなく家庭用にパソコン使ってる奴は
他のメーラーを入れないと。
435428:04/03/17 11:14
>>432
それってぬるぽと同じということか。
まだ解析が完全に済んでないからとりあえず暫定措置としてぬるぽとして
検出するということなのかな。
436名無しさん@お腹いっぱい。:04/03/17 11:18
しかしこの作者まだまだだな。
自己複製の度にCRCとか変わるようにすればいいのに。
437名無しさん@お腹いっぱい。:04/03/17 11:23
>>413さんまだおられるかな?
マイドキュは2GBオーバーだったそうですが、それからピックアップ圧縮
されたファイルはいかほどのサイズでしたか?
なんでやられる心配をしなきゃならんのだ?アフォか
>>438
間接的被害者になりかねないしさ。しょうがないじゃん。
>>437
ほーい。健康的に引きこもってまーす(w

んで、ピックアップされた圧縮ファイルは、どれも300K以下ですた。
ADSLや光なら一瞬でつな。
ファイル数は6〜10前後で、ウイルスも同梱されてまつ。
さすがに何十回も再起動しているとめんどくさくなってきたので、ドキュんタマ(仮名)の動作がこれで確定なのかは不明。
この程度のサイズならISDNでも落とせるので拡散も早いと見こんでいるのかな?

どうも、デスクトップ正調キンタマと、マイドキュを取るドキュんタマの2種類があるような予感。
ぬるぽの動作と似ているという点も、みんなを混乱させる目的があるものと思われます。
単に拡散を狙うなら、過去のウイルスと同じ動作をするのは感染に気づかれやすくなるだけで、意味がない。
441名無しさん@お腹いっぱい。:04/03/17 11:37
>>440
マイドキュ型でもファイル名は「俺のデスクトップ」なのね?
[キンタマ] 俺のデスクトップ 金正日 (朝鮮民主主義人民共和国) [04-03-16].jpg
>>441
違う。これが正調キンタマ(デスクトップSS&ファイルアップロード型)と異なる点。
もしかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。
自分で持っているファイル名データを適当に組み合わせたファイル名か、Dwonload.txtの中から選ぶみたい。

Downフォルダ内にあるファイルは、コピーした物にウイルスを寄生させるだけのようだけど、それだけかどうかはわかんない。
適当にファイルをぶっこんで試してみたけど、Downフォルダにあるファイル名と同じマイドキュ圧縮ファイルは生成されなかった。
環境を変えて試したわけではないので、これで確定とはいい切れん。
すまん。

>>434
いまだにOEとWORDとEXCELを強要される会社はいくらでもあるんだよ。
定期的にKLEZを送ってくるバカ会社とはいい加減手を切りたいんだけどな。
444名無しさん@お腹いっぱい。:04/03/17 11:51
>>443
マイドキュ圧縮ファイルの名前に「マイドキュ」とか「デスクトップ」
って付かないんだったらウイルス拡散効果はあっても
晒し上げ効果はあんまりなくないか?w
>>444
気づかずに個人的なファイルがばらまかれるのって、イヤじゃないか?
晒し上げ効果は無いけど、機密ファイルとか住所録とか流れたら痛いぞ。
実際、キンタマ詰め合わせの中には会社の書類やメーラーのメアドとパスワードなんかもあるそうだし。
目立たないけど、地味にイヤなやり方だよな。

そうだ。マイドキュだと、エロゲの fate/stay night のセーブデータなんかも入ってしまうな。
抜きどころチェック! とかコメント入れていると死ぬほど痛いことになるぞ(w
446名無しさん@お腹いっぱい。:04/03/17 11:58
>>443
>しかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。

これだったらまじでヤバイね。
447444:04/03/17 12:05
>>445
うーん、それでも躍起になって祭りに乗ろうとしてる
ちゃねらに流れないとすれば気分はずいぶん楽じゃない?
デスクトッポとかマイドキュって名前じゃなければ偶然落とされるだけだよね?
>>443
会社だとそういうことが多いのは知ってる。
フリーソフトはダメでシェアのじゃないとだめとかね。
449名無しさん@お腹いっぱい。:04/03/17 12:26
558 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/17 12:24 ID:0tE7NfaT
>494
いや全然対応してないからマジで。
16bitCRC E837を検出できたヤツはいない。


そんなことよりStirlingで法則発見。
03 03 03 04 03 03 04 05 08 05 05 04 04 05 0A 07
拾ったjpgがキンタマ製→必ずパターンがある
拾ったjpgが非キンタマ製→ほとんどパターンがない

つまりこれだけは言える。
パターンがない奴は絶対にキンタマ製ではない。
パターンがある奴は、一部のものをのぞいてほぼキンタマ製。

その「一部のもの」は俺んとこでは三百四十六枚中の二枚で
しかなかった。

キンタマ21
http://tmp2.2ch.net/test/read.cgi/download/1079487863/558
450名無しさん@お腹いっぱい。:04/03/17 12:37
PC工房の某課長が商品発注してるメールのSS取られてたね。
実名と所属がモロだったから笑った。ww
ウィルスって最初の何名かは犠牲になるからねぇ
南無nao
いつもお世話になっております。
会社名 の ユーザ名 です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。


■お問い合わせ先
会社名
担 当: ユーザ名


■04年03月17日現在放流しているファイルのリスト:
AUTOEXEC.BAT
AUTOEXEC.CAM
boot.ini
bootfont.bin
CONFIG.SYS
csb.log
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
697 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 12:53 ID:nNd0yfgN
16bitCRC E837がキンタマならこれはノートン最新で駆除できる。
最新ウイルス定義はLiveUpdateでは更新されないので手動で最新定義にする必要がある。
ttp://www.symantec.co.jp/region/jp/sarcj/download.html
Intelligent Updater:
ウイルス定義ファイル作成日: March 16
ウイルス定義ファイルリリース日: March 16
Norton AntiVirus Corporate Edition
ウイルス定義ファイルバージョン: 60316h
シーケンス番号: 28605
拡張バージョン番号: 3/16/2004 rev. 8
ウイルス対策済み数: 66156

ちなみにWinnyでは下記のファイル名で流れている。
[キンタマ] 俺のデスクトップ ウイルス本体 (ネットで稼ぐ情報、儲かる情報、その辺りが感染元).zip.rar 176,087 80d4480db662b951bc014e325590496e

シマンテックは、ぬるぽウイルスと同じ種類のウイルスということで今のところウイルス名を同じにしている。
zip解凍エラーダイアログ(フェイク)が出るのはぬるぽウイルスで下記参照。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html
454名無しさん@お腹いっぱい。:04/03/17 13:11
↓渦中の人

news:ニュース速報[スレッド削除]
http://qb2.2ch.net/test/read.cgi/saku/1077036838/l50

160 名前: なお 投稿日: 04/03/17 10:36 HOST:p55177-adsao12honb4-acca.tokyo.ocn.ne.jp
削除対象アドレス:
http://ex4.2ch.net/test/read.cgi/news/1079447754/

削除理由・詳細・その他:
氏名
161 名前: ◆DAIKOUEnIQ [sage] 投稿日: 04/03/17 11:12 HOST:catv111-010.lan-do.ne.jp
>>160
そんな削除理由無いですよ
ノートンは良いなぁ。一応検出できるもの。
バスターは遅い。。。_| ̄|○
>>443
俺(>>145)と一緒だな。これ多分増殖機能。
偽装したファイルをWinnyでばら撒くんじゃないか?

この後にSS取得機能が発動したよ。
457名無しさん@お腹いっぱい。:04/03/17 13:20
ノートン最新版(3/16/2004)で駆除できる
16bitCRC E837タイプのキンタマもあるが、

キンタマ21
http://tmp2.2ch.net/test/read.cgi/download/1079487863/697


駆除できないタイプもある。
16BitCRC : 57E0
32BitCRC : 250396EC
Size : 393216Byte

winny使用者はキンタマウイルスに注意
http://pc.2ch.net/test/read.cgi/sec/1079369336/390-
2chのそこらじゅうに.lzh貼ってあるんだけどキンタマと関係あるのかな?
459名無しさん@お腹いっぱい。:04/03/17 13:39
関係ないだろ
中に入ってる文字を適当に抜き出してみました

Software\Borland\Locales
Software\Borland\Delphi\Locales
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
start logon autorun
(%d) explorer
UnZip32 解凍エラー 解凍できませんでした!
書庫ではないか、壊れています。
svchost spoolsv WINLOGON explorer System quickboot cfg config start login setup env loader autorun .exe
system.ini LastPath SciCalc
UpFolder.txt Path Up BBS BBS2 Down BBS CACHE Bbs2 BbsCache Cache2
.FolderSettings Readme.files System Volume Information
winny.ini DownFolderPath Option
winny.ini CacheFolderPath Option
シリアル シリアル集 Serial 最強シルアル集 Pandora シリアル集 Pandora これでなかったらあきらめろ
最新版 最新バージョン 更新済み アップデート 補強板 史上最強 写真集
ロリ写真集 ロリータ写真集 コスプレ写真集 個人撮影 コスプレ写真 ロリータ写真 コスプレ ロリ
月刊シリーズ40冊+3セット 欧州ティーン裏本詰め合わせ ロシア有料サイト Amature&TeenClub
〜略〜

  ∧_∧
 ( ´∀`)< ぬるぽ
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/ ←
 (_フ彡        /

Software\Microsoft\Windows NT\CurrentVersion RegisteredOwner RegisteredOrganization
Software\Microsoft\Internet Account Manager Default Mail Account
Software\Microsoft\Internet Account Manager\Accounts\ SMTP Email Address
Software\Microsoft\MSNMessenger User.NET Messenger Service
%s.txt %s[%s].txt

こんにちわ!%sの%sです(^_^)/
Winnyというとっても便利なツールをゲットしてしまいました。
インターネットに繋いでおくだけで色々なゲームやアプリがタダで手に入る優れものです。
なんと公開前の映画まで流れているんだからビックリです。
いつも落としてばかりでは悪いので、私もファイルを流してみますね。
誰か落としてくれるかな・・・(O_O)ドキドキ
まだまだWinny初心者ですがですが、これからもどんどんアップするので、
よろしくお願いします(^o^)/~~~
E-mail:
yy年mm月dd日
現在所持しているファイルのリスト:

%s の %s、%d歳。
去年まで金無し君だったけど、WinnyとWinMXで
二年でアプリ350ギガバイト貯めた。一度やってみなよ。
落とすだけ落としてアップせずに終了することもできるし、キーワードに「無修正」「動画」とか入れて
あとは放っておけば一晩でHDがエロムービーで一杯になる。
ソフトがほしけりゃネットで落とせばいいだけ。暇つぶしになる。
フォトショップとかMSオフィスとか色々あるのでマジでお勧め。
文句がある奴はここによこせや →

いつもお世話になっております。
%s の %s です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。
■お問い合わせ先
担 当:
E-mail:
現在放流しているファイルのリスト:
>>460
バイナリエディタで見たけど、誰かやってくれないかな〜って思ってた。
おつです。
464名無しさん@お腹いっぱい。:04/03/17 14:13
winny崩壊させる方法として
一番有効なものを考えて実行させた
作者は頭の回転イイ奴だな。

被害者の奴が騒いで訴訟騒ぎになって
ニュースで報道されれば
自ずとwinnyは消滅するだろうね。
んでもって、同じようなP2Pソフトなら
応用できるから。。。。

個人的にはもっとエグい展開きぼん。
465名無しさん@お腹いっぱい。:04/03/17 14:18
こんなに簡単に*.exeをnyユーザが実行するなら
Windowsフォルダの中身消すとか少しプログラムできるやつなら楽につくれるしな。
466名無しさん@お腹いっぱい。:04/03/17 14:22
>>465
それ系のウィルスなんか大昔からあるじゃん
467名無しさん@お腹いっぱい。:04/03/17 14:23
ていうかこれが報道の表沙汰になったら、
NHKとかでも「キンタマウィルス」って報道されるの?
Whiterとか。
フグリウィルスとかにすると油断して気付かないかも
ノートンで駆除情報聞いてシステムの復帰機能(?)ってのオフにして
駆除もできたんだけど再起動したらまたUpfolder作られてた・・・
どういうことなんだよ・・・

あと、参考までにウィルス感染してたファイル2つあって1つはDivxの何かでもうひとつはわすれた
>>470
駆除できてないってことです


(´Д`;)  ゴメンナサイゴメンナサイ・・・
  V )
  ((
473名無しさん@お腹いっぱい。:04/03/17 15:07
この混乱に乗じて私怨を晴らしてる奴もいるんだろうなぁ。
感染者のほとんどがミイラ取りがミイラになってるんだよな。

こんなのにかかる奴はどう考えてもアホ。
>>474
2chに書き込んでる感染者はほとんどそうだと思われ。
おれもだけど・・・orz
正直今回は悪ノリして祭り参加しないで良かったと思うよ。
478(((( ;゜Д゜)))ガクガクブルブル((((:04/03/17 15:38
■ この事件の裏側の衝撃的な真相
■ ヤフー460万人データ流出事件の犯人は、
■ 池○大作S価学会の闇の謀略部隊だった
++++++++++++++++++++++++++++++++++++++++++++++++++
ソフトバンク恐喝 逮捕された創○学会員の凄腕の裏
++++++++++++++++++++++++++++++++++++++++++++++++++
布教活動や選挙活動に使用できるのでYBBの名簿に目をつけた(日刊ゲンダイ)

http://ahiru.zive.net/joyful/img/914.jpg
http://ahiru.zive.net/joyful/img/916.jpg
http://ahiru.zive.net/joyful/img/900.jpg
http://ahiru.zive.net/joyful/img/923.jpg
http://ahiru.zive.net/joyful/img/924.jpg
http://ahiru.zive.net/joyful/img/925.jpg
http://ahiru.zive.net/joyful/img/926.jpg
http://ahiru.zive.net/joyful/img/927.jpg
http://www.jcp.or.jp/akahata/aik3/2004-03-01/15_01.html

(((( ;゜Д゜)))ガクガクブルブル((((
tempにny.exeってのがあるが。
うわさのウイルス crc E837 を3回起動してみた

ProgramFile\imagic\imagic_login.exe
\adaptek\adaptek_autorun.exe
\winny2\spoolsv.exe

これが/autorun,/logonで登録されたね。もちろんフォルダのアイコン。もっと試せばいろいろ変わるのかな…。
>>475
禿道。
このny.exeってタスク監視してると、nyとは別行動してルータをちかちかさせてた奴だと思うんだが。
誰か欲しい?
483名無しさん@お腹いっぱい。:04/03/17 16:19
504 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/17 16:16 ID:1l5mT8Lx
[アルバム] (2004.02.25) LOVE PSYCHEDELICO - LOVE PSYCHEDELICO III.zip.mp3 fI8et2XZKQ 86,430,825 f8453f1a87d4c70f1ae23df7d82328e8

これにキンタマがくっ付いてた。参照量が5万超えてたから相当数落とされてるね。
ちなみにワームの作成日時は、2/24の18時頃になってる。

【警報】Winnyを狙ったワーム・ウイルス情報 Part12
http://tmp2.2ch.net/test/read.cgi/download/1079449665/504
作成日時なんかいくらでも偽装可能だろ。
俺が持ってるやつはタイムスタンプが1984年になってたぞ。
485名無しさん@お腹いっぱい。:04/03/17 16:39
キンタマも死マンテックが一番対応早かったな。
やっぱりノートン最強ってことでよろしいか?
486名無しさん@お腹いっぱい。:04/03/17 16:40
>>484

まだENIACが現役だったころか?
いや、BASICかなと。
でバスターはまだなのか?
>>486
DOSだな。DOS。
みいその場合はBASICでいいけどな。
>>487
バスターはウイルスエンジンの方がたった今更新されたけど、
http://www.trendmicro.com/jp/support/engine/overview.htm#VSAPI%207.000
キンタマはむりぽ
やれやれ、バスターさんには失望したよ・・・
結局ノートンだけか・・・。eTrustもAVGもマダだよね?フリーで対応済みは無しか・・・。
>>491
国産ソフト限定のウイルスに
海外ソフトへ迅速な対応求めるのは無理ぽ
最初に対応したフリーAVソフトに乗り換え予定
バスター使い負け組か…_| ̄|○
ノートンに乗り換えるにも金がない
うぜーな。さっさと解析しろやクソ共
こうなりゃ自衛のためにとことん勉強するしかない!
所詮はバスター、時代遅れな名称だ
ウィルス・ジェノサイドのほうが強そうでイイ
ウィルス・デストロイヤー
334 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 17:28 ID:HlFuULKC
流れ早すぎ・・・・・

ttp://www36.tok2.com/home2/boboburajiru/xxx/data/bobo_20040317172414.bin.html

golden ball ウイルスで放流された jpg について
捏造 jpg も多いからそれを自動でより分ける perl スクリプトを作って見ました。

エディタで開いてフォルダを指定してから実行します。



・・・・しかし捏造ファイル思った以上に多いね。
猿並の脳みそしかもってない奴が引っかかるウイルス。
PC窓から投げたほうが懸命だぞ。
バスター、パターン側は817(一昨日リリース)で
対応になってるけどこれでは駄目なのかな。
502名無しさん@お腹いっぱい。:04/03/17 17:38
>>491
つーか、俺のバスターは
昨夜、検出したんだが・・・。
503名無しさん@お腹いっぱい。:04/03/17 17:39
504名無しさん@お腹いっぱい。:04/03/17 17:39
>>502
それってAntinny.Bじゃ・・・
505名無しさん@お腹いっぱい。:04/03/17 17:40
>>503
オンラインスキャンはパッケージ版に比べ精度が良くないらしい。
SS見るとノートンやらバスターで検索してる香具師結構いるね。
オフラインにしてから検索すりゃいいのにあふぉだな
16 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/16 17:43 ID:2CYpXB43
・感染確認方法のうちの一個
※検証は当方の仮想マシン上で行いました

以下のフォルダに
"C:\Documents and Settings\ユーザー名\Local Settings\Temp"
"ユーザー名.txt"ってファイルが作成されてたらビンゴだよ
>>503
チェックしてみる。
ひっかかったらOK。
ディスク大きいからちょっと時間かかる。
バスターのファイルをウィルス扱いしたりしてw
510名無しさん@お腹いっぱい。:04/03/17 17:48
ワールドワイドなウイルスは
バスターのほうが対応が早い。
でもWinnyみたいなマイナーな感染源のヤツはノートンが早い。

PCの利用目的で、必要なやつを選べばいい。
511508:04/03/17 17:49
今Eドライブ検索中。
キンタマexeがあるのはGドライブ・・・。
まだまだです・・・。
SSにnyでキンタマ底引きしてる香具師があってワロタ
Bとキンタマは違うと(略
>>501
817で対応したのははAntinnt.Bだよ。
キンタマとAntinny.Bは別物だよ。
ノートン落とせばいいじゃんw
517515:04/03/17 17:51
×Antinnt.B
○Antinny.B
>>510
じゃあ、ny専用マシンはノートン先生入れりゃあいいんだな
>>510
ノーdのサイトに書いてあるAntinnyの解析情報って、なんかヤケクソだよなw
>>402
犯人が2chのスレにそのまま書き込むなんて危険を犯すかどうか怪しい
かなりウイルス自体凝った仕様になってるし
>>520
きんたまってワイルドな香具師だな・・・
>>402
ムリポ
おいおい、バスター検索してもなにもなかったのに
ノートンだとバンバン引っ掛かるぞ
バスターもう駄目歩・・・
ノートンのHLLWってどういう区分なの?
(・∀・)コンニチハ!!!
>>524
バスターが駄目歩じゃなくて
Winny使ってるオマイが駄目歩。
>>525
ウイルス名の命名規則
http://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html

HLLW
高級言語で記述されたワーム。
(注意:この接頭辞はDOS形式の高級言語ワームに対してのみ使用されます。
ワームがWin32形式のファイルの場合、そのワームの名称には、W32.HLLWという接頭辞が付きます。)
>>528
(・∀・)コンニチハ!!!
>>528
じゃあ9んな
>>528
バスター信者あほか?
>>529
ありがとうです。ちょっと調べれば書いてることでしたね、すいません。
漏れバスター使ってるけど信者はマジでキモッ
なんとなくWINNYのアップフォルダに寄生する法則が見えてきた。

ドライブレターの若い順と、ディレクトリエントリで先頭から見ているみたいだな。
CとDドライブにWINNYがインスコされていればCの方を優先。
領域の先頭とケツの方にWINNYがあれば、先頭の方に寄生するらしい。
これはWINNY1と2に関係なく‥‥だと思う。
バージョン別にインスコされてたら、大概古いバージョンの方がディスクの先頭の方にあるだろ。
その場合は古いバージョンに寄生するみたいだな。デフラグかけたばあいはその限りじゃないが。
一見いい加減に見えるけど、着実に見つけれる方法だな。延々しこしこディスクをシークしてたら怪しまれるし。
あとは解析職人に任せるか。外から見た限りではここまでしかわからん。

他にも興味深い点はいくつかあるんだけれど、ウイルス作者のデバッグに貢献しかねないので、しばらく封印。
ANTIDOTEも結構信者居るね。なんか気持ち悪くて使ってないけど。
>>535
C:\にダミーのwinny.iniを置いてみればいいんでわ。
538508:04/03/17 18:15
まだEドライブ検索中なんだけど

スキャンしたファイル: 31261
感染ファイル: 7

あれ?
おまい、普通に感染してないか?
え、でもあえてキンタマ.exe保存してスキャンしてるんでしょ?
あ、EじゃなくてGなのか?!
別物?
>>537
>ディレクトリエントリで先頭から
念のため書いておくが、ファイル名順とは違うぞ?
>>542
Cに降りて最初のディレクトリエントリは.(C:\)でしょ
544508:04/03/17 18:20
>>540
それはそうなんだけど、そこにたどりつく前に、
別のファイルが引っかかったようですw

昨日の夜、ウィルスバスターでチェックしたときは何も出なかったけどな〜
>544
げ、バスターまじでやばいのかな…。
俺もスキャンしてみよう…。
バスターのだめっぷりが白日の元に晒されるスレはここですね
フリーが多くなってくると、商用のやつは速さ命になってくるからなぁ…。
金取るならさっさとやれ馬鹿と言われても仕方ない。
バスターユーザー、ちょっと試してみたらどうだろ。
何か他の物を拾ってるだけかもしれないし。
バスターで今朝のドライブチェック問題なかったのに
うちも出てる_| ̄|○
感染ファイル2って・・・・
550508:04/03/17 18:23
>>546
全部終わるまで、詳細がわからないので、だめかどうかの判断はもうしばらくお待ちください。
関係ないのが引っかかってる可能性もあるので。

現在Fドライブ検索中。
551名無しさん@お腹いっぱい。:04/03/17 18:24
おもしろいことになってまいりますた
552名無しさん@お腹いっぱい。:04/03/17 18:24
何が掘り出されるのやら
ノートンのはどこで出来るの?
誤爆した…けどあんまりすれ違いでもないような_| ̄|○
555名無しさん@お腹いっぱい。:04/03/17 18:26
バスターインスコしてあるPCで、ノートンのオンラインスキャンやっても大丈夫でつか
モジュール競合とかしない?
>>548
>>548
いや、だから、ウイルスバスター2004で、

CRC:E837、MD5:C399E5DD7999ED43EA705A36BDF026EA

の実行ファイルをいくらスキャンしても何も出てこないんだよ。
557556:04/03/17 18:27
レスアンカーミス。
濃豚って2002でも検出してくれるのかな?
ウィルス定義は最新みたいだけど
559508:04/03/17 18:27
>>555
思いっきりスキャン中なんですがw
560549:04/03/17 18:29
一応、ウイルス感染者特有っぽいファイルで
マシン内検索かけてみたんだが、出てこなかった。
regidet.exeもtxtじゃないし・・・・油断しすぎたか
だめだ、マジでひっかかった
バスター止めるべ・・・
>>543
ディレクトリエントリって、各ファイルの情報部分だったよーな気がするんだが・・・
漏れの勘違いか?勘違いだったら笑い倒してくれ。

535で言ってるのは、Cドライブの頭から物理的に順に読んでいって、
該当するファイル情報に引っかかったときに・・・ってことじゃあ。
これなら、あちこちシークして回ってカリカリいってバレることも無いし。
563549:04/03/17 18:32
キンタマではなかったようでつ
Backdoor.Trojan
Macro.src
ですた。
Live2chのビュワーで感染ファイル手に入れた模様
>>562
物理位置なんて普通のプログラムからは分からないよ
このスレ見てて人ごとだと思ってたけど、俺もキャンタマにやられてた…
>>565
変なexe開いて気づかないものなの?
M$のセキュリティーCD(無料)のおまけとして、濃豚先生がついてるぞ。
しかも90日間更新サービスが受けられる。シマンテックで落とせる体験版でも同じなのかな?

ガタガタブルブル震えている子羊共よ。震えている暇があったら試して見ろ。
568508:04/03/17 18:41
おれは例のエラーダイアログが表示されたからすぐ気づいたけど
>>559
マジでつか。ありがd
以前、ノートンAVのオンラインスキャンモジュール入れたまんま
バスターインスコしたら青画面になったことあったけど
改善したんだね。漏れも試してみるよ

>>563
バスター入れてるんですよね?
なぜ感染してるのですか
同じバスター使いとして不安です
ADSLだから逐次キャッシュ状態とかチェックできる。
光だと凄い勢いでキャッシュが増えていくからな。
>>566
いや、わかんなかった。
デスクトップの画像はあったけど、デスクトップのファイルつめあわせはなかったんだが…
572名無しさん@お腹いっぱい。:04/03/17 18:45
html開くとexe発動する仕掛けもある >キンタマ
573549:04/03/17 18:46
バスターでノートン先生が検出したフォルダを
さらに探してみたが、感染ファイルなしと出る。
さっき最新エンジン入れたばかりなのになぜだろう
574542=562:04/03/17 18:48
>>564
だから、物理位置情報やファイル名などを格納してるのがディレクトリエントリ
・・・だったと思うのだが。

なんか、自分の記憶に自信が持てなくなってきたな…ググってみよ…
4年前のファイルからBackdoor.Trojanが検出された。
毎月ノートン先生でスキャンかけてたのになぜ今頃になって・・
どーでもいいけど、Trojanってなんて読む?
トロイアン?
>>567
試用版は30日間限定だが、
>ご注意
># ウィルスは日々増加しており、シマンテックでは毎週一回以上ウィルス定義ファイル(ワクチン)を更新しています。
>トライアル版をインストール後必ず、ウィルス定義ファイルを更新してください。
とあるから更新は可能と思われ。
トロヤン
感染してるかどうかは、トレンドマイクロのオンラインウィルススキャンなんかを
して調べれば良いんでしょうか?
俺はノートン自体に感染してたよヽ(´ー`)ノ
もうだめだこりゃ。どうにもならねーっす。
一応ノートンも削除したけどさ。
582508:04/03/17 19:04
スキャン完了しました。

-----------------------------------------------------------------------------------------------------
109051 個のファイルをスキャンしたところ、 7 ハードディスク上のファイルが感染していました。

メモリ上でウィルスは見つかりませんでした。

コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。

シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。

E:\Program Files\Live2ch\log\news4.2ch.net\news\1063849945.dat は VBS.LoveLetter.A に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\mnewsplus\1059303941.dat は VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059858116.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059915757.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1045474905.dat は VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1058931280.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1061464498.dat は VBS.LoveLetter.A に感染しています。
-----------------------------------------------------------------------------------------------------
こんな感じ。
ウィルスは無かったです。

結局キンタマには対応できてないですね。
Winnyフォルダにreadmeが勝手に復活したんだけど・・・
それと、デスクトップのアイコンがおかしくなった。F5de直ったけど。
このreadmeはウィルスか・・・?
>>582
乙〜
ってやっぱだめなのね…
ノートン自体がANNTINYに犯されてた漏れは・・・
ってかキンタマではなくATINTINに犯されてたということで良いのか?
アティンティン!
意味のないコピペはやめろや!
キンタマ検出できねーんじゃ、今のところどっこいどっこいか?
でもバスター継続は、正直今後の展開次第では考える…_| ̄|○
とりあえずフォルダごとさくじょしますた
(・∀・)コンニチハ!
>>585
いみわかんねーー(ノ∀`)
>>589 (・∀・)コンニチハ!!!
>>587
とりあえず、手に入ったウイルスファイルをトレンドに送ったれ。
後ろめたいのかもしれんが、あっちも種類があるのをわかってないのかもしれないぞ。
正規ユーザーなら、どんと送ってやれ。
>>583
拡張子みてみ。
ソースコードを持ってるのは犯人だけで、犯人以外はそんなにはやく亜種を作るのは難しい
おそらく犯人は2ちゃんねるを見ながらいろんな亜種を作ってると思われ
ノートン解除→オンラインスキャン→(・∀・)コンニチハ!!!
596549:04/03/17 19:17
とりあえずファイル削除でオンラインかけてみましたが
今度は検出されず。
バスターが検出しなかったのは不安だが
被害ナシだし、いいかな〜?w

>582
乙!
キンタマ検出はどこも未対応ってことですな。
>>592
いや、俺キンタマにはいまのところ多分未感染。
兆候もあちこちで出たノウハウで試したけど全然ないし。

598508:04/03/17 19:19
他スレでノートンで駆除できたとか言ってる人もいたけど、
駆除できるのとできないのがあるのか、
Bとキンタマ混同してる人がBを駆除できて喜んでたのか、
その辺がよくわからない。

とりあえずうちのキンタマexeが引っかかるチェックが出るまでは、
感染の恐怖が続く・・・((;゚Д゚)ガクガクブルブル
599556:04/03/17 19:20
WindowsセキュリティアップデートCD付属のNorton AntiVirus 2004をインストールして
最新の定義ファイルでスキャンしてみた。

見事にW32.HLLW.Antinnyとして検出した。

ノートン凄いな。
増殖型なんだから駆除しても元を断たないと意味無いよ
601名無しさん@お腹いっぱい。:04/03/17 19:23
>>601
明らかに故意に流されたやつだな。重要なものが何一つ無い
>>598
ダウソ板で数種抱えてる人が
ノーdだけがうち二つに反応した…とかいってたけど
どうなんだろう。
検出されたもの駆除&ny削除でどうにかならんの?
メールでバキュンしちゃうの?
605556:04/03/17 19:28
それから、さっきノートンで検出できた実行ファイルを昨夜トレンドマイクロに
解析依頼出そうとしたら、「評価版をお使いの方からの依頼は受付できません」と
言われて断られた。
やっぱ、サービスエディションのぷらら限定3ヶ月無料アップデート可能版でも評価版扱いなんだと思って
がっかりした。
とりあえずおいらが持ってる8種類はノートンさんはスルー
駆除できるのはBなんじゃないかなぁ・・
>>605
俺が代わりに提出…ってウイルス受け取りたくないしなぁ_| ̄|○
サイズ390k以下の.exe検索したらSystem Volume Informationにも
フォルダアイコン.exeが・・・
と思ったら復元が水曜更新になってたからだった
>>606
ちなみに8種類のサイズ教えて
610508:04/03/17 19:38
うちのキンタマ君は376,832 バイトです
611556:04/03/17 19:40
>>607
俺が持っているのは>>84のファイルと同じものだよ。
拡張子がexeからtxtに変えてあるだけ。
612556:04/03/17 19:41
書き忘れ。
>>84のファイルはまだFTPサーバにあるよ。
電話番号・メアドリスト・カード番号・パスワード等             .exe
   139.162   はテキストアイコンで

ゴミ箱            .exe
   141.210   はゴミ箱アイコン

があるけどこれもキンタマだろうか?
614606:04/03/17 19:50
メジャーなCRCの奴がないんだけど中のTEXTみると、これ全部キンタマ君だと思うんだけどな・・
size    crc
376832 A1E7
393216 32BC
393216 74AE
594944 079D
472064 9987
548864 97FD
594944 079D
776192 BE28

バイナリエディタStirlingのBGREPで
8E 81 0B 01 02 19 00 FE 04 00 00 1A 01 00 00 00
で検索したらよいかも知れません。
うちのPCでは*.exeでは上のキンタマ君(候補?)しかかかりませんでした。

>>613
それは違った気がする・・
>>613
明らかにウィルス関係じゃん・・・・
気付いてよかったね。
616名無しさん@お腹いっぱい。:04/03/17 19:57
>>614

http://www3.ca.com/threatinfo/collateral.aspx?CID=33514
ここから virus を送れば e-trust が対応するんじゃねえか
617名無しさん@お腹いっぱい。:04/03/17 20:00
>>614

じゃ、>>613は何?
618名無しさん@お腹いっぱい。:04/03/17 20:02
あ、>>613はぬるぽ?
アンチnyとかってヤツかな?
>>613
それと同じ物を拾ったけど、どれも「ぬるぽ」ではなかったよ。
620619:04/03/17 20:09
あ、ぬるぽ(Antinny.A)はファイルサイズが651,264バイトだから。
621613:04/03/17 20:09
この2つはノートンではスルーなんですよ

キンタマ詰め合わせに入ってたやつなんですが
Winnyの実行ファイル削除したけど、Nortonとかまだ対応してないしOSクイーンインスコしようかなぁ('A`)
>622
次はIEにDLLインジェクションしてnyを勝手に拾ってくる仕様にしてほしいねw
セキュ板とは思えないカキコばっかりだな。正直かなりひくよ。
htmlソースを利用して感染するってどういうこと?
>>625
htmlドキュメントを開くとワームの本体が実行されるようになってるんだよ。
>>626
そいつマルチだよ
628名無しさん@お腹いっぱい。:04/03/17 20:26
ノートンセンセは自動upでーとじゃなくて手動アプデートね よろしこ
>>627
マルチで何が悪い?分からないから聞いてるんだよ。ヴォケが。
http://www.symantec.com/region/jp/sarcj/download/jp/JP-N95.html

ノートンの手動アップデート。
ライブアップデートでは更新できないから注意。
ライブアップデートの最新は3月15だけど、
これは3月16日。最新ってこと。
>>629

ハハハ                                  イキデキネーヨ
   ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ハライテ-       ゲラゲラ
.  ( ´∀`) < ヴォケがだってよ!! ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、     ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),    _(∨ ∨ )_     ∧_∧ ○,
  (__)_) ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ
           ワハハハ


感染して必死だな(ワラ
632名無しさん@お腹いっぱい。:04/03/17 20:32

ってかさ、winnyフォルダを一旦削除すればいいじゃん。

ふと思ったんだけど合法物をやり取りしてれば感染しなくねぇ?
いちおdown自体は違法ではないけどさ
>>631
そのAA、久しぶりに見たから思わずニヤニヤしちゃった。
なんでこんなところにダウン板の糞どもがいるんだ?
>>633
2chとかでブラクラのようにウイルスがnyの外に出て広がりはじめてるしなあ。
無差別メール発射機能とかが本当なら、ny持ってない人でも
感染したらしゃれにならんかも。
>>635

ハハハ                                  イキデキネーヨ
   ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ハライテ-       ゲラゲラ
.  ( ´∀`) < 糞どもだってよ!!  ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、     ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),    _(∨ ∨ )_     ∧_∧ ○,
  (__)_) ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ
           ワハハハ
638名無しさん@お腹いっぱい。:04/03/17 20:38
乞食犯罪者がセキュ板に助けを求めて押し寄せてるんだよ。
ここがそいつらゴミ屑どもの隔離所。
適当に嘘教えとけば良し
639606:04/03/17 20:38
おお手動か!全部検疫されたですよ。先生すごいな〜
640名無しさん@お腹いっぱい。:04/03/17 20:38

>>635
無能な自称セキュ板住人さんに言われてもなw
>>631
感染したら必死になるだろ?当たり前のこと言うな。ヴォケが。
おお、ノートン捕まえはじめたのか。
いいなぁ…。
eTrustの定義更新をニヤニヤしながら眺めてる俺
ダウソ板の連中にとっちゃID出ない板は新鮮だろうな
まぁせいぜい必死に荒らしてくれや(w
テス
いつからフシアナされなくなったんだろう
オマイラ(・∀・)コンニチハ!!!
648名無しさん@お腹いっぱい。:04/03/17 20:59
いい暇つぶしになるな。

でも会社や学校の個人特定されたりリアル晒された人はご愁傷様・・・・・・
>>647
(・∀・)コンニチワ!!                                             .exe
>>649
(・∀・)コンニチハ!!Autoexec.bat
651名無しさん@お腹いっぱい。:04/03/17 21:06
>>647
(・∀・)コンニチハ!! お得情報.html                             .exe
>>647
(・∀・)コンニチワ!!【AV】萩原舞主演無修正.mpg                        .exe
653508:04/03/17 21:09
ほんとだ!
ノートンの試用版いれて、手動アップデートやったら、削除された!
ノートンの勝ち!

さて、また全チェックやっとくか・・・。
    ω~ ω~ ω~ ω~ キンタマドゾー
 ω~     ω~ ω~ ω~ ω~ ω~ ω~  ズドドドドドドドド
     ヽ )ノ     ω~ ω~ ω~ ω~ ω~ ω~
ω~ ⌒(゚д゚)ノ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ドドドド
    /. ( ヽ ω~ ω~ ω~ ω~ ω~ ω~ ドドドドド ドドド
 ω~~     ω~ ω~ ω~ ω~~
     ω~ ω~ ω~ ドドドド   
∀・)っω~
  イタダキマスタ
656名無しさん@お腹いっぱい。:04/03/17 21:12
>>654
もう満腹


ゲプッ
試しに俺もノートンのオンラインスキャン試したら
ウィルス一つ見つかったよ(まだスキャン途中だが)
バスター酷いよ(> <)
>>654
              / ̄)
     ∩____∩. |  |   そんな攻撃は当らないクマー!
     | ノ        ヽ.|  |
    /  ●   ● ||  |      ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
    |    ( _●_) .ミ  |
    彡、.     |∪|     |
ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
     /  ,へ        ̄ ̄`ヽ
      /  /  \    t──┐  |
    (__/     >   ).   |  |_
             /  /   (___)
           (  \
            \__)
>>657
漏れはギコナビのDATファイルが何故かひっかかっただけだターヨ
660名無しさん@お腹いっぱい。:04/03/17 21:25
http://no.m78.com/up/data/u028631.jpg
外出だったらすいません。物手にいれたんで開いて見てたんだけど、
上のJPEGのあたり、ここで圧縮かけてると思うんだわ。
でも作者が1から圧縮ソフト作るなんて手間かけんと思うんで、
これってなんかの圧縮ソフトから引っ張ってきたのでは、と推理してます。
こっから作者に近づけないかな無理ですねすいません。
おいらのきんたまも少しさらされてる、はずかしー。
ってのをニュー速とダウソに書いたが無視された
661名無しさん@お腹いっぱい。:04/03/17 21:26
http://no.m78.com/up/data/u028634.jpg
http://no.m78.com/up/data/u028636.jpg
偽装ファイル
この命名から嗜好読めないかしら。
http://no.m78.com/up/data/u028637.jpg
ぬるぽのAA
どっかでBMPが、って聞いたが本体には入ってるのかな?
俺は実行ファイルだけげとなんで。
テキストエディタで何やってんの?
ライブアップデート後、この先にある16日版(最新)を導入すればOK
ちなみに、アップデートファイルは

ファイル名
作成日
更新日
サイズ

20040316-008-i32.exe
FTP Download
3月 16日 2004
3月 16日 2004
4.55 MB

これ

ウィルス定義ファイルのダウンロード
http://www.symantec.com/region/jp/sarcj/defs.download.html
664名無しさん@お腹いっぱい。:04/03/17 21:31
だって自宅のPCエディタすらはいってないんだもん。
WZもさっき慌てて入れた。
>659
漏れはLive2chのdatだった
スレはバスターPart15
ログ破棄したら感染ファイルは消えた
システムの復元を無効にするに設定して、ノートンで発見、駆除はできたんだが
再起動したら同じ動作(Regedit書き換え、Upfolder.txt作成)するのだが現時点
では完全な駆除は不可能ってことなのか?
何で2ちゃんブラウザのログファイルがウィルス扱いされるのかも気になってきた・・・
>>666
むしろシステム復元してみたらどうだい?
2ちゃんねるのログからウイルスが(ryという方は、

http://pc.2ch.net/test/read.cgi/sec/1078999652/3

を読んでね。

結論:ノートン先生の仕様です。
670666:04/03/17 21:38
>>668
一応両方ためした。あと、1回目でノートンで削除されたものは、2回目以降では検出されなかった。
検出されないのにウィルス感染しているようです・・・
671657:04/03/17 21:38
結果出ました
最終的に感染ファイルが7個まで増えてビビリましたが
皆さんと同じように全てかちゅ〜しゃのdatでした
バスターごめん。
672名無しさん@お腹いっぱい。:04/03/17 21:39
ウイルスコード貼ってあったんだろ

てか厨臭い
>>661
ぬるぽガッAAもBMPも入ってるよ。手元にあるやつで確認した。
(+ω+)   (・∀・ )コンニチハ!
ダウソ板の植民地か
ここは?
乙!
ノートン先生にもお茶目な面があるんだなw
バスターでも平気なんだな、ヨカターヨ・゚・(ノД`)・゚・
9152バイトの赤い服着た眼鏡の男がこっち見てる画像は、
捏造jpgじゃなくてキンタマ作なの?
キンタマ解析スレに戻そう。
めがね男はantiny
>>677
あれは昔からある捏造画像。
681名無しさん@お腹いっぱい。:04/03/17 21:44
>>667
ウイルスバスターは反応しないけど、
ログにウイルスのコードの一部(文字列)が貼り付けてあると
ノートンはウイルスと勘違いして検出しちゃうんだよ。

ニュース系の板で自分に都合が悪いスレを潰すために在日チョソや工作員?が
ラブレターウイルスの一部を貼り付けることが多いです。

【効能】
・ウイルス貼り付け→ノートンが反応する→2chブラウザの不具合発生(リロード不能等)
・ノートンをoffにしないとdatファイルを移動出来なくなる
・naoタンみたいな人がやると効果大
>>666
キンタマ?

おれは自力で駆除したけど、
1.うpふぉるだ.txtを削除
2.readme.filesふぉるだを削除(うpふぉるだ.txtでうpふぉるだに指定されてる)
3.レジストリのあやしいのを発見、その値を削除、その値に書かれてるファイルを確認
4.そのファイルはシステムが実行中なので削除できないので、再起動
  レジストリからは消したので、次回起動時は実行されない
5.実行されてないから、そのままそのファイルを削除

こんな感じ。
                      _二__   __
                  ,-‐ー''"´、:::::::,-'"´:::::::::`‐、
       ,、-‐ー-''"´`‐、   /::-‐ー、:::::ヽ/:::::::::::::::::::::::::::ヽ    
    ,、-'´::::::::ミ/:::::::::::::::::>'´:::::::::::::::\:/⌒``‐:::::::::::::::::::::',   
  //,-''"´``:::::::::::::::::::/:::::::::::::ヽ::::::::ミ,-''"´`` ‐::::::::::::::::::::|
 /:::/::/::::/::::ミ/:::::::::::::::::/:::::::::::::::::::ヽヽ::i::::,-''"´ヽ:::ヽ:::::ミ::::::l
./::::l::::(:::::l,-''"ヽ、::::::::::::::l::::::::,-‐ー-、::::::,-‐ー、;;;;;;;;ミ',:::::ヽ:三≡l
l:::::::l:/l"ヽ:\.__  ``‐-、::l::::/     `'       :l::::::l::::::::::::l
!:::::::l l  `‐、三三二=-ヽl::l              l::ノ:::::::::,-
l::::::::l l    `‐-``>._  l:|              ヽ:::::::/ ヘ.'
.',:::::::ヽ_ヽ、   ,、-'´;;;;;;;ヽ'´:l           _   ヽ::l くヽ l
 ',:::::ヽヽ;;;;)-(;;;;;;;;;;;;;;;;;ノ __l     ::   ,、-''";;;;;;;;;ヽ  レ l ノ l
  `‐、._;;;;‐、_ ヽ、___,、'´  ヽ;;;;;;;``‐-i-ー(;;;;;;;;;;;;;;;;;;;;;ノ       ノ  オチンチンを高速でシゴくんだッ
    ',     丶      `‐、;;;;;;;ノ  ヽ、;;;;;;,、-'´     7l
    ヽ  ` '"       ,',       、        l /;;;;'
     \ -=ニ=ー    / ',   (   _ヽ       //;;;;;;;;;ヽ
  そっか \` "´   /   ',             /;;;;;;;;;;;;;;;;;;;ヽ
       丶.__,、-'´    ,、-.', -ニ=二ニ=ー   /;;;;;;;;;;;;;;;;;;;;;/\
         l      /,-''"´ヽ ` ニニ '´   /;;;;;;;;;;;;;;;;;,、-'´;;;;;;;;;;ヽ
           l    //    .ノ',      /;;;;;;;;;;;;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;\
         l  //  ,、-‐'´;;;;;; `‐--ー '´/;;;;;;;;;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ
>>681
> ニュース系の板で自分に都合が悪いスレを潰すた
他板とかで嫌韓愛国?とかの布教するのってとっても迷惑だよ。
頼むからそういうのはやめてね。
>>684
ネタだろ。そんなものに反応することはない。
なにせ、ここは2ちゃんねる。便所の落書きと言わしめたところだ。
嫌韓も嫌嫌韓も消えうせろ。うるせー
缶チューハイ飲んでまつ
You are an idiot!
>>688-689

EXCITE翻訳
あなたは白痴です!
691名無しさん@お腹いっぱい。:04/03/17 22:13
[キンタマ] 俺のデスクトップ ウイルス本体 (ネットで稼ぐ情報、儲かる情報、その辺りが感染元).zip.rar
ファイルサイズ368 KB (376,832 バイト)をResHackerで観覧したらぬるぼの
アイコンが見えたがこれぬるぼの亜種かな?ぬるぼはファイルサイズ651,264 バイト だし。

しかし速くノートン対応してくれよ。
感染すると/autorunな重要ファイルっぽい捏造ウイルス本体がプログラムファイルに
一個だけできる。

これを消したらまず解決。あとはmsconfigでスタートアップに同じ
名前があるからそのままregeditでそのコマンドを削除。
たったこれだけで駆除できる。

日付が感染源と同じだからすぐわかるし。
その後ワザと感染してノートンでチェックしたら同じように駆除された。
693名無しさん@お腹いっぱい。:04/03/17 22:17
なんかレベルが禿げしく低下してるな
簡単な質問はダウソ行って聞いてくれ。ログが流れるのがウザイ
694名無しさん@お腹いっぱい。:04/03/17 22:30
>>613
それキンタマだと思われるんだけど、ノートンの3/16のパターンファイルでも検出できないね。
亜種じゃないのかな
メモ帳しか開かないregeditって、どうすれば元に戻るのでしょうか?
65440, "August"
65441, "September"
65442, "October"
65443, "November"
65444, "December"
65445, "Sun"
65446, "Mon"
65447, "Tue"
65448, "Wed"
65449, "Thu"
65450, "Fri"
65451, "Sat"
65452, "Sunday"
65453, "Monday"
65454, "Tuesday"
65455, "Wednesday"
>>695
(・∀・)コンニチハ!!
>>693
どうもそれが目的っぽい気もしてきたね。
…つか、キンタマの作者(通称キンタマン)は
明らかに2chのスレを追って変種を放流してるだろこれは

解析してるスレが少ないうちに情報を混乱させてキモの解析を遅らせる目的もあるかと。
2chで解析することに意味があるとでも思ってるの?
ここで解析したって何の役に立つわけでもない、ただの自己満足。
役に立つのはAVベンダだけ。
幾つかのパートに分かれているよね。
実際のexe部分とjpg部分と。 jpg部分は100kぐらい。
問題なのはキンタマはSS取って個人情報抜くだけじゃなくて、nyのトラフィックを
圧迫しているってことだよね。
亜種出現と流行の時間的関係はつかめるだろね。
タイーフォされた後と仮定しての話だから今の所の必要性や優先順位は低いけど。
それもそうだな。 トレンドマイケロとノートン先生が対応してくれるなら解析しても意味無いよな。
HDD内の個人情報抜いて外部にメールする機能が本当にあったら
nyから外へ漏れてるいま地獄絵図になりそうだなー。
海外にも広がったりして。
明らかにキンタマのファイルなのに全然反応せんぞ
705名無しさん@お腹いっぱい。:04/03/17 23:15
バスターてキンタマに対応したの?
前のレスも読まないでレスするのはどこでも同じなんだな。
707名無しさん@お腹いっぱい。:04/03/17 23:19
>>706
いや、>>702のレスみて気になったんだよ。
ノートンしか対応してないからバスター乗り換えるとかこのスレでも書かれたしね。
>>707
>>705かな?
バスターは対応していないよ。
ノートンも手動で入手できる最新定義ファイルでようやく検出できる程度。
しかも検出できない亜種もあるという話だし。
もうめちゃくちゃw
それでも今まで対応してきてるんだから、今回もお手並み拝見
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
ここにトレンドマイクロの値?が入っていた。
対応してんじゃないの?
解析することでシマンテック・トレンドが対応する前に
被害予防もできんべさ。
シマ・トレはなんらかの圧力を受けているに違いない!

な、なんだってー!?(AA略
naoのチャットログを見ながら友達とメッセで「こいつバカだな〜」とやりとりしてるのを
他人に見られているのを想像するとかなり恥ずかしい。
知らずに感染してるヤシは多いはず。人の振り見て何とやら・・・
nyにキンタマ注意情報をタイトルにしたファイルを流した方がいいかもな。
検索にすぐに引っかかる単語を加えて。
まだ気づいてない奴多そう。
715名無しさん@お腹いっぱい。:04/03/17 23:42
いやはやセキュ板の人達には初心者の相手をしていただいて申し訳ない(・∀・)ニヤニヤ
適当に相手して追い払ってあげてください(・∀・)ニヤニヤ
>>714
そのファイルにキンタマを寄生させて(ry
717名無しさん@お腹いっぱい。:04/03/17 23:50
いよいよもってダウソ板のスレだめぽ
もう純正jpg(......exeがないもの)踏んでもコンニチハとか言ってるし見てらんない
ビューワーのバグついて感染するのも確定っぽく言われてるし
Q&Aテンプレの事を言ってるなら過去スレそのまんまのコピペだと思うから
変なところ修正よろ
2chのゴミだめのひとつだからな。まともな反応を望んじゃいけない。
720717:04/03/17 23:57
>もう純正jpg(......exeがないもの)踏んでもコンニチハ(感染おめでとう)とか言ってるし見てらんない
>ビューワーのバグついて感染するのも確定っぽく言われてるし

自分で言っといて確認になるけどこれってまだ未確認だよな?
しかもバグがあるビューアってフリーウェアのブラウザじゃなかったか
EXE実行できるビューワーで感染した人の警鐘書き込みがあったような
それの事なんだろうか?
722名無しさん@お腹いっぱい。:04/03/18 00:01
>>721
そんなビューアあるのか・・・?
あるとしたら感染するだろうけど

少なくともIEやXPのビューアで拡張子が純正jpgを見るのは無問題では?
一時期、ショートカット書き換えと見せかけて関連付けを乗っ取る
コピペがあったけど、ということは、jpgを実行することも不可能ではないわけか。
すみませんちょっと伺いたいのですが、

C:\RECYCLER\S-1-5-21-2025429265-1078145449-1060284298-1000\Dc26.exe

に、ANNTINYを検出しました。
これってどこにあるんでしょうか?
フォルダからだと見えないのですが、
レジストリ上から削除しろってことですか?
725名無しさん@お腹いっぱい。:04/03/18 00:19
C:\RECYCLER
を全てのファイルをフォルダオプションで可視にした上で見るべし
純正jpgがどうなのかは俺もまだ未確認
ただ、jpg偽装exeがクリックすると画像表示するとかで
ビューワーで見た場合どう反映されるかが問題
>>724
ゴミ箱じゃね
>>724
ごみばこだとおもふ・・・
728名無しさん@お腹いっぱい。:04/03/18 00:23
>>726
掲示板にうpしたjpg
も危ないとか言われてんだけど
URLがjpgで終わってるのにjpg偽装exeなんてことはありますかね?
説明足りんね、ゴミ箱はユーザーごとに別れててスマソ
ユーザーごとにゴミ箱が別れてて
途中の数字はソレ
>>695
このスレだけでも最初からよめ、復帰方法のってる。
724です。やっぱりゴミ箱ですかね・・・ちょっともう一度覗いてみます。
すみません、ありがとうございました。
732724:04/03/18 00:26
レジストリで同じ数字の場所は見つけました。
リサイクラーのフォルダを表示でやってみます。
みなさん、ありがとうございました。
733名無しさん@お腹いっぱい。:04/03/18 00:29
●対策を知りたい場合は、自分の使っているPCのユーザーネームが必須です。必ず書いてください
↑こんなことテンプレに書いてるなんてひどいな<ダウン板
>>728
掲示板に上がってるjpgは俺も数枚踏んでるけど感染確認はない
キンタマを見てるうちに感染した、という人も居るが
nyで落として一括で見ててどうにかしたと思われる
途中にexeが混ざってたのかどうかも不明

たぶん拡張子がjpgならば大丈夫とは思う
htmlやフォルダ偽装はともかく
Jpg以外に埋め込まれてる報告あったっけ?
aviやmpgとかzip書庫ファイルそのものとか
736名無しさん@お腹いっぱい。:04/03/18 00:36
会社なんかでユーザー名がadministratorとかの場合もアップされますか?
MP3のウイルスって前になかったっけ。
>>717
(・∀・)コンニチワ!!
739名無しさん@お腹いっぱい。:04/03/18 00:38
>>736-737
(・∀・)コンニチワ!!
jpgは一応埋め込める事は可能だが、それなりの知識が必要で
簡単には出来ないだろうと言われてる
誰かがいつかやるとは思うが・・・
tu-kaこれがそうだったら一大事ですよ('A`;)
>>736
大丈夫。アップされるから安心汁
743名無しさん@お腹いっぱい。:04/03/18 00:40
>>735
jpgの埋め込まれてる報告自体あったか?


zipとlzhについてはなんかeoとかラサで解凍するだけで感染するとか言われてるんで
漏れも詳細が知りたい。解凍と同時に中のexe実行すんのか?
VMware(走らせているのはWin98)上でウイルス観戦中

コピーされたキンタマ実行ファイルのある場所の下にあるディレクトリから
適当にファイルを取ってきてアーカイブしてる…
nyのフォルダ情報に変なのないし、レジストリエディタも大丈夫だから心配ないかな?
キンタマに詳しい人教えてください。
>>739
切ないネ
   
   コミック雑誌なんてイラネ
なんか、本当に情報が錯綜しているよな。
Meだと感染しないとか、感染したらny切っても裏で稼働して時限式に
一気にばらまくとか・・・・・。誰かその辺まとめてやれないものかねえ。。。。
みてて、なんか底なしの殺伐感。
748名無しさん@お腹いっぱい。:04/03/18 00:42
>>744
適当でしか?txtとかエクセル、docなんかをピックアップするって
報告あったけど
749名無しさん@お腹いっぱい。:04/03/18 00:43
>>747
明らかに自分でもガセだと分かってるのに
触れ回ってるヤシってなにが楽しいんだろう・・・
750名無しさん@お腹いっぱい。:04/03/18 00:43
>>726
おいおい。想像してみろ。普通のexeクリックしてみるだろ?
画像出てくるだろ。
そのexeビューアで見てみろ。画像出てくるか?
>>749
まさしくそのカキコこそが殺伐だよね。
マターリしましょう。
これかな?でもjpgに埋め込まれてるわけではないのか…?

450 :[名無し]さん(bin+cue).rar :04/03/17 15:24 ID:mSOnGyUO
ちなみに、〜.jpg    .exeではなかったと思います。
ファイラーはまめなので、ファイル名前が長いと....をつけてくれる
ますよね。
そういった確認はしました。

極窓変換後は重ねて言いますが、.exeファイル。アイコンはXP標準GIFアイコン。
種類はアプリケーション。(ガクブル)です。
ACDで画像表示が一瞬遅れたので、あちゃ〜と思い気づきました。
血しぶきはありませんでした。w

464 :[名無し]さん(bin+cue).rar :04/03/17 15:33 ID:iW3rUizh
>>450
漫画の画像自体は遅れてもちゃんと表示されていたって事?

471 :[名無し]さん(bin+cue).rar :04/03/17 15:36 ID:mSOnGyUO
>>464
ばっちり表示されてました。

一昨日の祭りで、ちょっと遅れても表示された、という例を
チラ見したので(それは女の子の画像でしたが)
震えながら極窓かけてみたら、ビンゴ!…でした…涙。

473 :[名無し]さん(bin+cue).rar :04/03/17 15:39 ID:iW3rUizh
>>471
うわ、画像がちゃんと表示されるのなら
気がつかない人たくさんいそうだ…。
753744:04/03/18 00:51
かなり適当な感じ。

何回か再起動しているとかなり広範囲に検索しにいっているような…
今はwindowsディレクトリの下にあるdllまでアーカイブしてる。
ほとんどファイルのないクリーンな環境なんでこうなるのかもしれないが。
754名無しさん@お腹いっぱい。:04/03/18 00:52
>>752
そいつはただのうっかりバカ。
該当のファイルは正に〜.jpg    .exeで後半省略されて.jpgで終っていたため
標準アイコンになっていた。
ふと思ったんだけど、これって例えばCドライブの中のプログラムフォルダ
にインストールした人が一番被害を被る?のかな?
例えば外付けHDにインストールした場合どんな挙動になるんだろ。
訳わからんくだらないカキコスマソ。
ファイル自体が無いとなんとも言えんな。
あせったのは間違いないだろうし。

新しい定義ファイルもそろそろ来るかな?
>>754
ホントだ。

>759 :[名無し]さん(bin+cue).rar :04/03/17 14:56 ID:8SKuaFLU
>>>756
>中にウイルス仕込まれてるゾ
>
>"BJniyorosiku_08_047.jpg .exe" とかってファイル名で
ttp://siokara.dnip.net/sio003/src/sp3409.lzh
某所じゃこれがキンタマ入りだとか言ってたけどね
759名無しさん@お腹いっぱい。:04/03/18 00:59
>>757
そうそれ。
結局752の彼はワーム活動の症状自体出ていなかったし。
>758
頼むからとしあき
不安なのは解るが情けないカキコミしないでくれ…
761名無しさん@お腹いっぱい。:04/03/18 01:01
>>758
ただのjpgじゃないのそれ
>>747
Meだとアイコンが違うので解るっていう話だと思った。
裏で稼動してばら撒くってのはメールの動作の事でしょう。
(感染したまま放置だと動くのか、あえて動かしていないのか
 凝りすぎて動作させられなかったのか被害は聞かないけど)
感染させまくったらこうなった。

ttp://cgi.io-websight.com/index2/uploarder/img/hare0226.jpg
XPだと解凍して、jpgが入ってたら、デフォルトだとViewerが読みにいって
サムネイルが表示されてしまうんですけど、これって危険はないんですか?
>>747
(・∀・)コンニチハ!!
>>760
まったくだな…キンタマスレでは女子あき点呼する
としあきもいて情けなかった
767名無しさん@お腹いっぱい。:04/03/18 01:07
>>744
再起動するたびにアーカイブしにいくの?

漏れ最初キンタマが騒がれだしたときに
ろくに確認せずにnyフォルダ内のUpfolder.txtとupフォルダ消しちゃって
晒されたのか確認できなくなっちまったと思ったんだけど
もし感染してるなら

デスクトッポを圧縮したファイルを作成

それをぶちこむupフォルダも作成

nyに作ったupフォルダ登録

って挙動を何度upフォルダ消しても再起動するたび実行する?
768 ◆ty/LtglTgk :04/03/18 01:08
>>753
FILEMONでアクセスログとって貼ってみて下さい。
こいつが呼び出してるファイル削除部を解析中です。
http://ranobe.com/up2/updata/up4981.jpg
>>750
i_viewの場合、そのEXE固有のアイコン画像表示される。

jpgアイコンexe、例えば、.JPG. exeだとしたら
少なくともXPとかのJPGアイコンビトマプ表示されるはづ。
漏れの持ってるキャンタマ?
i_viewで見たけど、フォルダアイコンサイズ違いの3種類表示される。
何とも無いみたいだが気の性??

偽装?埋め込み??ツカ・・・・拡張子。。。。。。。。。(´,_ゝ`)プッ
フシアナトラプはJPGにhtmlソース埋め込みでつたが(w 
770750:04/03/18 01:12
>>769
意味が分からん。
アイコンの話なんぞ書いていないのだが。
ちなみにウイルスのcrcはいくつ? >>744
>>764
だから予め解凍する前に内部が覗けるwinrarとか極窓とかそこら辺入れとけ。
んで怪しいファイルがあったら即ゴミ箱いき。
>>769
試しにi_viewで色々EXEみて見てみ
つかi_viewでのハナシだから他のビューワどうなるかは知らない。
774名無しさん@お腹いっぱい。:04/03/18 01:18
ノートンはアホ

VBS.LoveLetter.A
102個も出てきたけど
ぜんぶ2chブラウザのログ

偽装ウィルスじゃないか
>>767
感染の兆候がみられたらnyはフォルダごと削除して新しく導入しなおせ。
つか天麩羅ミロ
776名無しさん@お腹いっぱい。:04/03/18 01:20
>>774
お前が一番アホなんだがな
777750:04/03/18 01:21
>>773
ああ。意味が分かった。
でもあれってexe実行して表示してるわけじゃないでしょ。
問題ないっしょ。
自分のパソコン内を「キンタマ」で検索。
ペイントでコピーされた画像がないか調べる。

zipなどの圧縮ファイルを自パソで検索。

これだけでも随分自分がどうなってるかわかるんじゃないの?
>>778
NYを起動して、ネットに接続しないで”キンタマ”を検索。
これで、自分のPCユーザ名のファイルが出てきたらアウト
(自分でUPフォルダに入れたファイルは、真っ先に検索HITするから)
780773:04/03/18 01:28
>>777
そ。
無問題。
でも、なんかそこはかとなくウエの方で色々心配してる人居る悪寒したから(w
i_viewに特定コード埋め込みビトマプ画像ロードする時バグでも有って、それ利用されるなら別だけど。
やっとユーザーサポートの奴がこの前退社した理由を理解したよ・・・・・
過労死か…
確かに一部のユーザーは色々とうるさそうだからなあ
女史も先生ももうだめぽでつか?
784767:04/03/18 01:33
>>775
漏れの状況としては
regedit異常なし
アドミニスターのフォルダ内のTEMPにユーザー名.exeなし
というとこまでは確認できてます



誰か>>762の見解いただけるとありがたいです


785767:04/03/18 01:33
>>767の見解の間違いですた
フォルダアイコン開こうとしたら、エラーが出たヤシ居る?
>>768
Filemonって使ったことないけど、これでいいのかな?

ttp://syobon.zive.net/upload/src/up0124.txt.html

Win98(無印) + IE6SP1 on VMware
ドライブはC(HDD)とD(CD-ROM)
ウイルスファイル"c:\program files\btscan\btscan_config.exe"を
スタートアップから削除後、Win再起動。
その後Filemonを起動した上でウイルスを手動実行しますた。
788508:04/03/18 01:38
ノートン全検索の途中です。

キンタマ詰め合せ圧縮ファイルからキンタマ君だけ削除されてしまいました。

今検索してるドライブ以降に別のキンタマ君がいることはまずないと思うので、
おれのPCにはキンタマ君はいなくなりました・・・。

いなくなるとちょっと淋しい・・・。
ノートンでもう完全解決できるの?

書き換えられたテキストとかどうなってるの?
790508:04/03/18 01:40
>>786
それは感染したよ。
おれのもそれだったし。
>>788
おいおい、可哀相なことすんなよ。
キンタマブリーダーの風上にもおけない奴だな。
>>784
>>779
試した上で何も異常なければ大丈夫と思われ。心配しすぎ。
多分ダウソ板にいただろ。あそこは不安煽って楽しんでいる悪質な椰子も多いからな。
793 ◆ty/LtglTgk :04/03/18 01:43
>>787
どうもありがとうございます。
何やってるか丸わかりですね…
そのまま数日ほっとくとUPするタイミングとか
わかるかと思います。
794744:04/03/18 01:43
>>771
16bitCRC=E837
MD5=C399E5DD7999ED43EA705A36BDF026EA
795508:04/03/18 01:43
まだGドライブには来ないと思って油断してたんだよ(;つД`)
796名無しさん@お腹いっぱい。:04/03/18 01:44
>>744さん
>>767について見解をいただけるとありがたいです
797744:04/03/18 01:45
SS取った時のログが取れたみたいなのでついでにうp

ttp://syobon.zive.net/upload/src/up0125.txt.html
>>796
おまえ最悪な奴だな。
>>744 Thx
亜種だ何だで誰が何を解析してるのかわからんよ。
ノートンで駆除できないキンタマってのは
作者がバージョンアップさせてるの?
801名無しさん@お腹いっぱい。:04/03/18 01:52
>>797
どこにうpしてるかわからん。
直リンよろ
802801:04/03/18 01:53
スマソ わかった
>>801
わからないってありえない気がするんだけど・・・。
一番上にリンクされてるのに・・・。
804744:04/03/18 01:57
>>767
ウイルスファイルが実行される度にアーカイブしに行くらしい
>>763みたいにmsconfigでスタートアップから削除すれば
ウイルスを手動で実行しない限りアーカイブしなくなった。

逆に>>763を全てスタートアップに入れて起動すると
一度に起動したウイルスの個数×3個分のアーカイブができあがる。

今のところ確認した拡張子はlzh, zip,, exe(この場合はほとんどウイルスそのもの<CRC=E837)
で、しばらくほっておくと[キンタマ] 俺のデスクトップ name 日付.jpgが同じディレクトリに出現する。
805名無しさん@お腹いっぱい。:04/03/18 02:00
>>804
ふーん・・・それならupフォルダ消して
安心してるヤシはまったくの無駄ってわけか
>>767のような場合も
感染してればまたうpされるんだな?
MXは平和でいいな
807 ◆ty/LtglTgk :04/03/18 02:02
>>797
ものすごい貴重な情報ありがとうございました。
キンタマがGetDiskFreeSpaceExAをスクリーンショット保存時に
読んでることがわかりました。
>805
いい加減しつこい奴だな…
そんなに不安なら回線切って別マシンで繋げや
一週間もしたら収束するだろ
809名無しさん@お腹いっぱい。:04/03/18 02:04
このスレにAVベンダ勤務の香具師いる?
810名無しさん@お腹いっぱい。:04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?
キンタマデスクトップ画面専用のウプローダーとかないすか?
812744:04/03/18 02:08
>>805
今試した限りでは、
スタートアップと該当ファイルを念入りに消せば大丈夫かも。
>>805
他人に質問する時にそんな横柄な
態度とられてもねぇ
814名無しさん@お腹いっぱい。:04/03/18 02:09
キンタマ祭りになったの15日だったと思うんだけど、13日くらいにはもうすでにダウソにスレ立ってたんだよね。
ベンダーに勤めてる奴が2ちゃんで情報収集するのかなって思ったんだけど
815744:04/03/18 02:12
>>807
なんか役に立ったようでヨカタでつ。
吉沢さんいますか?(プゲラウッヒョー
>>815
いや、これありがたいよ。まじで
言われるままに全て試してみて 昨日善と思ったけど
今日ノートン走らせたら36個検出されたil||li _| ̄|○ il||li
>>810
会社からnyやってる時点で(略
820810:04/03/18 02:17
>>810 :名無しさん@お腹いっぱい。 :04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?


会社名をさらされている人がいましたが、パソコンは支給されたものをそのまま使っているんです。
名前だけだったらいいですが、会社名までついたりすると困るんです.
ファイルはデスクトップには危ないようなものは置いてないんでいいんですが。
810 名前:名無しさん@お腹いっぱい。 投稿日:04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?





.exe
つーか社会人だろ。ガキじゃあるまいし疑問に思ったらまずググれよ
キンタマとか関係ない基礎知識じゃん…
824810:04/03/18 02:20
>>821はなんなんでしょうか?
これもういるすなんでしょうか?

私が>>820を書いてから9秒の間に.exeを書いています.

普通無理でしょう。私の文章を読んでから、.exeを書いて書き込むのは。
これもこのウイルスのせいなんですか?
>>824
みにっつ
>>824
悪質なつりだな。放置推奨>>ALL
結局何人やられたんだろう。

普通、組織名がどうのこうのより、感染してるかを気にするだろ。
感染については今までに散々書かれてるし。
829810:04/03/18 02:27
>>825
みにっつってなんですか?

>>826
つりではないです。私はここ1年くらい2ちゃんには来てないんです。
友人から祭りの話を聞いて、怖くなってここにきたのです。
830810:04/03/18 02:29
>>828
感染してるかどうかはわかりません。ただ、ぬるぽはありました。
winnyってのを試してみたかったのです。2ヶ月くらい前に初めて使いました。
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればOKの前ってどういうこと?とにかくフォルダごと消して
新しくインストールすればいいってこと?
>>829
さすがだな。
5秒でレス付けるとは。
マイコンピューター右クリック→プロパティで組織名が出てこないんなら、
それは組織名が入力されてないんだろう。

はい、これで終了〜
834825:04/03/18 02:36
>>829
9秒じゃなくて、9分

キンタマ玉玉玉玉玉二スレ目
http://tmp2.2ch.net/test/read.cgi/download/1079541565/

このスレの>>1に暫定まとめサイトのURLがのってるよ


>>826
スマンネ。答えてしまって
しかし個人的には、2chの釣りとかなんとかに嫌気がさしてる
だから、疑心暗鬼になるよりは、マジメに答える道をえらんだのさ
その結果、釣りでしたとコケにされてもかまわないよ

だってキンタマまだ解決してないし
ノイズをなるべく除外したいだろう?
>>833
優しいね
836744:04/03/18 02:55
現段階で気づいたこと書いて寝まつ。ガイシュツのことばっかりなようも気もするけど。
キンタマ本体はCRC=E837。間違ってそうな点があったら指摘よろ。

・キンタマに感染すると、UpFolder.txtがシステム属性で作られるor更新される
・新たにUPフォルダができる。これもシステム属性になることがある。
・キンタマ本体はHDDのどこかにコピーされる(漏れの仮想環境ではprogram files以下のサブディレクトリのどこか)
・キンタマを実行したときにアーカイブが作られる。
 その際かなり深くまで検索していく
 dll, jpg, png, doc, exe, txt, bmp, キンタマ本体がアーカイブされることは確認(xlsは仮想環境上にないので不明)
 この際のファイル名はランダム(キンタマに内蔵されているファイル名?)
 中身はHDD上のファイル、キンタマ本体、トラップのhtmlがランダムに入っている。
・しばらくすると俺のデスクトップ.jpgがアーカイブと同じ所にできる。
・(たぶん)感染すると環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

いろいろ試した結果のキンタマ対策
・msconfigなどで怪しいスタートアップを削除&該当ファイルを削除
・nyのフォルダを根こそぎ削除。特にcacheとUpFolder.txtに書いてあるフォルダは完全に消す
・(根本的には)nyを使わない

明日の朝まで仮想環境上でキンタマ + Filemon走らせときまつ(現在仮想環境上の時計は10:00でつ)

オヤスミ
ノシ
837810:04/03/18 02:55
>>833-834

よっぱらってまして、すみません。そうでした。分ですね。
ごめんなさい。つりとかじゃなくて、単に私が酔っ払っていただけです.

>>833のとおりにしたら、もろに会社名が入ってました.
感染していたら、アウトです.
仕事追われるかも。
デスクトップにすごいもの置いていたんで.
デスクトップのフォルダのなかでもだめなんですよね。
オンラインサーチではシマンもバスタも大丈夫だったんですが(ぬるぽ削除後)

>>834
やさしいね。良く初心者のふりして親切に相談にのってあげた椰子を
釣ったとか釣りを勘違いした厨が多いんでつよ。

>>810
は感謝シル
839810:04/03/18 03:01
>>838
感謝するでし。
有益情報は1/10以下という中でありがとうございました。
っていうか、実際は1/50以下でしょうね。
>>744
乙カレー
841 ◆ty/LtglTgk :04/03/18 03:04
>>836
乙〜
仮想環境で飼うなんてわくわくw
842名無しさん@お腹いっぱい。:04/03/18 03:13
>環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

「環境変数で指定されたTEMPディレクトリ」ってことは
documents and settingsの管理者フォルダのTEMP以外にも
TEMPと名前のつくフォルダ全てに[ユーザー名].txtファイルができる可能性があるってこと?

どなたかご教授お願い申し上げます
>>842
コマンドプロンプトでSETって打って、TEMP=の先に書いてあるのが
「環境変数で指定されたTEMPディレクトリ」ってことになるはず、そのままの意味で受け取れば。
844名無しさん@お腹いっぱい。:04/03/18 03:21
>>843
いまやってみたら
管理者フォルダのTEMPがTEMP=の先に出ました

「そのままの意味で受け取れば」例のテキストはここに出来るってことでOKですかね
>>844
そういうことになるかと思われ。
「フォルダ」に見せかけ任意のファイルを実行
――Windows XPを狙う手口に警告
http://www.itmedia.co.jp/enterprise/0401/28/epn16.html

http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Trojan Dropper [Symantec]
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html 
Windows XP は、.folder 拡張子がついているとフォルダとして表示する
(.folder 拡張子のファイルにはフォルダアイコンを表示する)
ダブルクリック時にどのように処理するかは、動的に決定する
(中身が HTML のようなら HTML として処理する)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html
ことを利用し、

攻撃プログラムを作成し、BinHex 形式でエンコード
上記 BinHex を埋め込み、さらに、それを自動的にデコードするような
JavaScript を記述した HTML ファイルを用意
HTML ファイルの拡張子を .folder にHTMLファイルを zip で圧縮
としたのが、上記デモファイルであるように見える。
で、.zip を開いて、
さらにフォルダが含まれていると思ってダブルクリックすると……ドカン。
(C)セキュリティホールmemo
ファイル名: My Pics.folder
このファイルは次のウィルスに感染しています:
Trojan Dropper
デベロッパーノート
My Pics.folder is an infected container file of type ZIP.
My Pics.folder is non-repairable threat. NAV with the latest beta definition detects this.
Please delete this file and replace it if neccessary. Please follow the instruction at the end
of this email message to install the latest beta definitions.
This file is contained by My Pics.folder.
(C)2004 シマンテック・セキュリティ・レスポンス
(P)2004 シマンテック・セキュリティ・レスポンス
解析中の皆さん、乙です。
お茶ドゾー
(゚∀゚)ノ旦旦旦旦旦
(゜ ∀゜ )
【黒か】同人サークル「AtaraxiA」にny疑惑【白か】
http://comic2.2ch.net/test/read.cgi/doujin/1079504947/l50

このスレでキンタマを利用して捏造が可能かどうかで議論しているのですが
セキュ板の方から見てどうでしょうか?
ファイル名に下線が入るようにしてるから踏みようがない。
>>695
システム復元でregeditは戻りますよ
svchost.exeがProgram files\DION\に。。。
CRC16で見たらE837だそうな。レジにもautorunで追加さてるYO。
おまけに製作日時が1987年ってなってるし。。。。

こいつを消してしまえばいいわけですね、エライ人達。

ホント偽装してるよ、コイツ(´Д`;)
855名無しさん@お腹いっぱい。:04/03/18 04:32
>>854
制作日時はどうみるんですか?
856854:04/03/18 04:36
2重カキコスマソ。
件のsvchost.exeは更新日時が1984年。
製作日時が3月16日05:19分、漏れが「あーやっちまったヨ!(・∀・;)」と思った瞬間の時刻ですた。。。。
857名無しさん@お腹いっぱい。:04/03/18 04:40
>>855
ふつーにプロパティで表示しましたよ(´Д`)
まあ踏むことはないと思うけど、フォルダ偽装に備えて
フォルダアイコンを変えるというのが一番勉強になったよ。
さっそく変えてみたけど、コレ(・∀・)イイヨ!!

ttp://www.ix.sakura.ne.jp/~yoshi/icon/folico.htm
859名無しさん@お腹いっぱい。:04/03/18 04:57
つーか、普段から詳細表示にしとけよ
いや、ファイラ使え。
キンタマ画像見てて思ったが、タブブラウザ使ってても、エクスプローラのままのやつ多すぎ。
えーとキンタマは起動すると停止するまでに一回しかss撮らないんでしょうか?
それとも起動中は定期的にssを撮りまくるんでしょうか?
>860
ファイラーの存在自体をしらないのでは…。
>>861
いいからさっさとOS入れ直せよ
マイドキュメント、デスクトップ、メールなどの文書系も嫌だけど
ブックマークも漏れたら困るなあ…

>861
感染してみれば解るよ
865 ◆ty/LtglTgk :04/03/18 05:22
>>843
GetTempPathAってのを呼んでるようなので環境変数読みに行きます。
CODE:0044B5C3 push eax ; lpBuffer
CODE:0044B5C4 push 260 ; nBufferLength
CODE:0044B5C9 call GetTempPathA
RunAsサービスつかって隔離しちゃえばいいのに。
867861:04/03/18 05:24
感染はしてないし、したくないんですが(´Д`;)
感染したっぽいサイトの検証の為に知りたいと思いまして・・・ごめんなさい。
>>867
>感染したっぽいサイト

???
ああ酔っ払ってる。
感染したと思われるサイト管理者が白か黒か検証してます。
あー同人板のアレか…。あんま持ち込まないで欲しい気もする。
>>861
定期的に撮る。
周期は乱数で決まるみたいだが。
>>871
ありがとうございます。
PCの稼働時間が長そうな絵描きが対称だったんで、
7日でssが10枚ちょいってのは少ないかどうか分りました。
>>390氏の言う
>16BitCRC : 57E0
>32BitCRC : 250396EC
>Size : 393216Byte
ってのは、ウイルス本体(E837)じゃなくて、ウイルス自身が作った複製の方だよね?

>873
16BitCRC : 57E0はわかりませんが、
naoの詰め合わせにあったhtmlからexe起動させる複製は
CRC:E387ですよ。
875873:04/03/18 06:55
>>874
了解です。
57E0はなんなんでしょうね?
390氏の降臨を待ちますかね(´ー`)ノ旦
876名無しさん@お腹いっぱい。:04/03/18 07:34
システムヴォリュームインフォメーションってフォルダがあって
そこにウィルス700個くらい入ってたんですがあれはアウトですかね・・・・
復元機能offにして全部駆除しましたが・・・・。
ここにセキュ板を以前から見ていた人ってどのくらい居るんだろうか。
初心者とダウンロード板の人しか居ないように思えてきた。
878名無しさん@お腹いっぱい。:04/03/18 07:52
今更ながら「お得情報.exe」の情報

ノートンで検出したお得情報.exeのプロパティ(NAVのSS)
http://ahiru.zive.net/test/src/1079563200775.jpg

キンタマ詰め合わせに入っていたキンタマ(NAVのSS)
http://ahiru.zive.net/test/src/1079563218216.jpg
879名無しさん@お腹いっぱい。:04/03/18 07:55
>>876
にぎやかな牧場ですね
880 ◆ty/LtglTgk :04/03/18 08:37
>>878
それ持ってるから解析してみたら、なんか進化してるぞ!!
というわけでCRCがCFB7だからキンタマCFB7と命名。
基本的にキンタマE837の機能を踏襲してるっぽいが、
自分自身をばらまくための偽装ファイル名が違ったり、
E837にはない以下の様なへんてこな文字列が入ってる。
CODE:0044F9EC mov edx, offset aSoftwareMicr_0 ; "Software\\Microsoft\\Internet Account Man"...
CODE:0044F9F1 mov eax, [ebp+var_8]
CODE:0044F9F4 call sub_44159C
CODE:0044F9F9 test al, al
CODE:0044F9FB jz short loc_44FA22
CODE:0044F9FD lea ecx, [ebp+var_3C]
CODE:0044FA00 mov dl, 1
CODE:0044FA02 mov eax, offset aM6nk44i8b7vgq8 ; "{m6nK44I8B-7vGQ8B-m7nGWhY5}"
CODE:0044FA07 call sub_443DF4
CODE:0044FA0C mov edx, [ebp+var_3C]
CODE:0044FA0F lea ecx, [ebp+var_C]
CODE:0044FA12 mov eax, [ebp+var_8]
CODE:0044FA15 call sub_441764
CODE:0044FA1A mov eax, [ebp+var_8]
CODE:0044FA1D call sub_441508
881 ◆ty/LtglTgk :04/03/18 08:39
まとめると、キンタマCFB7にはSoftware\Microsoft\Internet Account Manager
をいじる付近で以下のへんてこな文字列をさわってる。
これの意味わかる人いる?
{m6nK44I8B-7vGQ8B-m7nGWhY5}
{azKoFffqY2-tIlBKBhMx-!j6!93IKtIzKLY2-zPFaFtf6hY2-ItBHzPFG9}
{aaItjjqMx-m6BNuMx-SVhG9}
{soPMorronJln4T-aDeresU8!b3ost9aDel1}
{jl4pij1Uh-ijJfj88jDUh-nIEI!h38Sp}
キンタマって、UPX圧縮されてるヤシとは違うよね?
883 ◆ty/LtglTgk :04/03/18 09:06
>>882
少なくともキンタマE837とキンタマCFB7はUPXかかってない。
誰かシマンテックやトレンドマイクロに提出してるの?
885名無しさん@お腹いっぱい。:04/03/18 09:26
>>884
正直なところ不明。
886744:04/03/18 09:36
(・∀・)オハヨウ!!

大体6時間くらい放置したんだが
SS撮られた後はキンタマ動いてないみたい。

9:48:59Btscan_c:FFE259BFCloseC:\WINNY2\UP\[キンタマ] 俺のデスクトップ 2CHER [04-03-17].JPGSUCCESSCLOSE_FINAL
9:48:59Btscan_c:FFE259BFFindOpenC:\WINDOWS\TEMP\2CHER.TXTSUCCESS2cher.txt
9:48:59Btscan_c:FFE259BFFindCloseC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
9:48:59Btscan_c:FFE259BFDeleteC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 358400 Length: 4096
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 362496 Length: 4096

と、こんな感じ。
解析依頼しなくても対策ベンダー間でサンプルを融通しあっていると聞いたことがある。
みんなウィルス大好きなのね。
楽しそうだな。
889名無しさん@お腹いっぱい。:04/03/18 10:11
うぃるすうぃるすわーい
感染/非感染と流出/非流出の確実な判別方法がわかるとウレシイナァと言ってみる
891名無しさん@お腹いっぱい。:04/03/18 10:24
IT Proにキンタマに関する情報が出ました。

Winnyで感染を広げる新種ウイルス出現,パソコン中のファイルを盗まれる恐れあり
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040317/141562/
892891:04/03/18 10:25
記事によると、トレンドマイクロは検体の入手と解析を続行中とのことです。
スクショには触れないのね
今回バスター随分後手だな…。
Bとは違うって書かれてるとこは良かった
896有益情報コピペ:04/03/18 11:10
538 [名無し]さん(bin+cue).rar sage New! 04/03/18 03:34 ID:HuHGvPis
windows2000SP4で、手が滑ってexe実行して感染してしまった。
ウイルスバスター持ってないので手探りでいろいろやってみたところ、
駆除に成功したっぽいので報告。

キンタマが作るexeファイルはなぜかタイムスタンプが
1992年とか古い模様。winntフォルダ、program filesフォルダで
*.exeを検索して、タイムスタンプが飛びぬけて古いものをいくつか
削除した。

このことを行った結果、以下の変化が生じた。
・消しても消しても復活するwinnt\regedit.exe(50KBの、アイコンがnotepadのやつ)が
 復活しなくなった
・消しても消しても復活するdocuments and settings\local settings\temp\〜.txtが
 復活しなくなった
・ファイル名を指定して実行→regeditで、メモ帳が立ち上がるようになっていたのが
 regeditが元通り立ち上がるようになった

でも怖いので、一応明日まではLANケーブルは抜いた状態にしておくつもり。
このカキコはwinny入れてない代替機から。
>>896
自分で特徴を見抜いて対処できる人も居るんだよね。
凄いね。
あんらぼ使ってる人は検出試して欲しいな。
http://www.ahnlab.co.jp/news/view.asp?seq=461
>とにかく,「少しでも怪しいファイルは開かない」ことに尽きる。
って締めてるけど、開いちゃったおれに言わせてもらうと、
あやしいって思わなかったから開いたってことなんだけど。
注意が足りなかったのは確かだけど。

一つ一つのファイルをしっかりチェックしてれば開かないと思うけど、
詰め合わせの中に本体も仕込まれてるっていうのを知らなかったから、
油断してたかも。
逆にWordファイルとかの方が開きにくかったし。

>>875
はい、390っす。
検体は、元のウイルス、複製共に同じ物でした。ついでにMD5も入れておきます。

CRC16 : 57E0
CRC32 : 250396EC
MD5 : 3b2240afc5c8d3b533ee7616fbae1e26
SIZE : 393216

恐らくこれは発病して配布する物に、自己の複製を忍ばせる方法で拡散した物と思われます。
感染するたびに変化していくポリモーフィック型だったら、ウイルス史に名前が残りますね。しかし、変化はしない模様。
それから、漏れの勘違いの訂正。

『 ドキュんタマ(3b2240afc5c8d3b533ee7616fbae1e26)は、Winny1/2を【選びません】 』

恐らく、どの亜種も同じでしょう。
まず、ディレクトリ情報を頭から参照して、最初に見つけたWinnyフォルダに寄生します(動作確定です)。
いろいろ弄ってみましたが、ドライブレターの若い順、ディレクトリ情報の先頭から検索しているようです。
一度見つけると、そこから先は検索しないようです。
ランダムで生成されるメアド入りのドキュメントは、そのUpフォルダの中のウイルス入り書庫に同梱されます。
リセット等のタイミングでTEMPに残ることもあるようです。生成タイミングは再起動後です。
もしかすると、タイマー動作との併用かもしれませんが、そこまでは確認してません。

あとは以前の報告を参照。他は、>>836の744氏の報告通りです。
なんとなく、大まかに分けるとドキュんタマと机タマの二種類があるような予感。
>>899
少しでも感染させたい作者が怪しいファイルにするわけがないだろうと。
少しでも見分けがつかないようなものにするだろうがと。
シマンテック キタ━━━━━━(゜∀゜)━━━━━━━━!!



http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.ω.html


> 日本サイト更新日: 2004年3月18日 10:00
> W32.HLLW.Antinny.ω

>発見日: 2004年3月17日 (米国時間)
>最終更新日: 2004年3月18日 15:48 (米国時間)

>W32.HLLW.Antinny.ω は、W32.HLLW.Antinny ワームの亜種です。このワームは、Winny ファイル共有ネットワークを介して拡散します。


>亜種: W32.HLLW.Antinny
>種別: ワーム
>感染サイズ: 不定
>影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
>影響を受けないシステム: DOS, Linux, Microsoft IIS, OS/2, UNIX
やっぱノートンはすごいなあ
ワラ
>>902 (・A・)イクナイ!!
キンタマ+亜種自体のショック効果もさることながら
> W32.HLLW.Antinny.ωなんて名が付いたら
ネットウイルスとして末代までの語りぐさになるなあ。
E837ってさ感染しても再起動しなきゃ発病(UpFolder.txtとか[ユーザー名].txt作ったり)しなくない?
発病しちゃった人は関係ないけど
908名無しさん@お腹いっぱい。:04/03/18 12:55
>>902
乙。更新きてたね
>>902 おいおいそれはぬるぼ追加とあるから
キンタマとは別だろ。

8. Win.iniファイルに次のセクションを追加します。
[ぬるぽ]
ぬるぽ=C:\Winny2\

これがキンタマの症状とは思えん。
何も知らないお子様ようこそ
つか、共有0なら問題無しだよな?
指定したアップフォルダに何も入れてないわけだが。
過去ログ嫁
各ベンダーの対応が遅い要因は
・解析に時間が掛かっている
・キンタマという馬鹿げた名前の為ウイルス名称をどうするか苦慮している
なんちゃって
キンタマの全種類を把握するのに手間取っているに100nao
>>913
早く対応するとワレザーに愛用されてしまう。
>>913
確かにキンタマをどう命名するのか気になるw
っていうか2chではキンタマで確定してるし、いまさら別の名前つけられても困るw
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html
>>910 に聞きたいが↑は

7 自分自身をLZH形式で圧縮したアーカイブを作成し、その後、.jpgファイルをUpフォルダに投下します

だけがキンタマと共通の症状であるが
これは例の9kバイトめがね男をJPGとして投下するヲ指して
ほかはすべて関係なく、そもそも最終更新日が

最終更新日: 2003年8月8日 12:49 (米国時間)
感染サイズ: 651,264 バイト

なんだからレス>>902がネタなんでしょ。
>>917
>>909が初代Antinnyについて何も知らない奴だって言いたかっただけだ
KINTAMA
>>917
>>902のネタにマジレスされても困る
ていうか自社のソフトが流れてるようなところでしか流れてないウイルスにすぐに対応するわけが…
有料ソフト作ってるとかろからすればsymantecは悪でウイルス作者バンザイ
winampの中に2つwinampのファイルがあったけど
これってもしかしてどっちかがキンタマ?
923名無しさん@お腹いっぱい。:04/03/18 13:18
普段人少ないけどウイルス騒ぎの時は
全体的に、セキュリティ板盛り上がるのはなんか嬉しい。
>>922
日付があきらかに変な方
>>922
実行されてると、削除できないので削除してみて削除できない方はキンタマの可能性あり
それってwinampa.exeのことじゃ。
917です。>>918 そうですね。俺がスレの流れを読めてなかったのようです。
バスターを使ってますがこちらはまだ未対応。
>>922
33.0KBの方が2003年12月21日で、
946KBの方が2004年2月12日だったので判断に困ったので助言頂けますか?
ちなみに946KBの方はNullsoftと表示されています
>>928
33.0KBの方が2003年12月21日

どう考えてもこっちが怪しいだろ。
そういや、うちもC:\Program FilesやC:\WINDOWSの下にあるフォルダなどに
たまに●●(2).exeとかある…。alg(3).exeとか。
dllとかにも(2)や(3)ってついたのとか。
さがせる症状やシマンテックのオンラインスキャンでは
何もでなかったけど…。
>>926
すみません、そうでした
キンタマが怖くて焦っていました。
お騒がせしてすみませんでした
ノートンのオンラインでも検出出来るようになってますか?
>>928
>>926が言ってるのとは違うの?
同じフォルダに同じ名前のファイルって作れないから、ファイル名違うはずなんだけど。
次スレどうすんの?
立てなくてもダウソの方に移ったほうがよさげだが
兆候無いけど再インスコするか…
174 :[名無し]さん(bin+cue).rar :04/03/18 13:22 ID:zS/U95k7
アプリ、ゲーム関係のファイルは、よほど確証が無い限りダウソ出来なくなっちゃったねぇ・・。
exe実行しないわけにはいかないもん。

いろんなスレで情報が錯綜しているから訳ワカメ。
漏れが辿った限りでは感染するとスタートアップのレジいじって
自身を自動実行する様に登録するって事だったけど・・
これ、スタートアップ以外のレジいじられて潜伏されたら玉乱な。。。

ソリティアとかデフォでインスコされてる可能性が高くて、なおかつ
そんなに頻繁に立ち上げるものでもないアプリを発症のトリガーにされてたら
今は感染していないつもりの人でも・・(´・ω・`)

怖いこというなぁ
>>921
シェアウェアのシリアルや振込先などがキャプチャされると、作者側も
ちょっと困る。
企業からソースがキャプチャされて流出、なんてことになったら愉快だね
企業からソースがケチャップされて流出、なんてことになったらもっと愉快

>>930
システムの**(2).exeとかは、winアップデータとか
SP1あてたりとか、そういう事で出来る物だと思いこんでいたが
違ったら俺もアボンなんだけど(´・ω・`)
>>940
思い込みだと思われ
ウクライナからのウィルスみたいなもんで、普通は感染なんてしない
943名無しさん@お腹いっぱい。:04/03/18 14:13
>>917
お前なにも分かってないな。このスレ1から読んでこいよ一回
>>943 ハァ?では君がわかっていることを語りなさいよw
945名無しさん@お腹いっぱい。:04/03/18 14:51
かまってクンうざいな。黙ってスレ読んでこいよ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                   ここまで読んだ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
確認されているキンタマ それぞれ拡張子はexe

CRC16:E837  本体?デスクトップうp型?
CRC16:57E0  亜種?My Document うp型?
CRC16:CFB7  亜種?不明

キンタマの動作
     ↓ダウソ時、踏ませるための偽装
    ・自身を踏ませるためのhtmlファイルを作成。またその拡張子を.folderにすることでフォルダに偽装。
     アイコンを偽装して「xxx.jpg(長い空白).exe」をjpgファイルに偽装。

     ↓実行時
    ・「圧縮(Zip形式)フォルダは無効であるか、または壊れています」というダイアログ表示、実行されたことを隠す。
    ・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
      に名前xxx データC:\Program Files\xxx\xxx.exe登録、常駐する。xxxは共通。exeはキンタマのコピー。
     
     ↓発動は再起動後
    ・C:\Documents and Settings\ユーザー名\Local Settings\Temp にユーザー名.txtを作成。
    ・regedit.exeがnotepad.exeに書き換えられる。(キンタマがぬるぽを利用?)
    ・winnyフォルダ(場所は変化する?)にReadMeFilesフォルダ作成。nyのUpfolderに強制的に指定する。
    ・キンタマ実行時に、乱数(多分0〜99)を発生させる。そして、その乱数×1416(秒)ごとにSSを撮ってうp。
    ・デスクトップに置いてるファイル2GBまで勝手にzipかlzhに圧縮してうp。(2GB以上あっても2GBまでの分をうp)
    ・My Documentを検索、ピックアップして圧縮してうp。
    
     ↓トリガー不明
    ・ユーザー名でny使用者であると宣言する内容のメール送信(文面は三種)
    ・血しぶき表示
    ・悲鳴WAV再生機能
    ・ぬるぽ ガッAA表示

自己改造はしない模様。うpファイルに自己のコピーを忍ばせ拡散。亜種がまだある模様。
まとめるとこんな感じ?
>>947
なるほど、参考になる
949名無しさん@お腹いっぱい。:04/03/18 15:07
>>947
Good job!!
950930:04/03/18 15:18
>>940 >>941
マジ?!やばい、システムウォーカーのプロセスに出る
age.exeのフォルダにあるよ((((;゚Д゚))他のとこにもある
XPhomeSP1

alg(3).exe 2001年8月28日21:00:00 更新2001年8月28日21:00:00
40.0 KB (40,960 バイト) ディスク上のサイズ40.0 KB (40,960 バイト)
alg.exe 2003年8月28日12:42:43 更新2002年9月4日2:26:58
41.0 KB (41,984 バイト) ディスク上のサイズ44.0 KB (45,056 バイト)

キンタマなのかこれ?
upされてる圧縮ファイルの中の.exeや.htmlには気を付けていたが、
.folderについて知識がなかった(;´ー`)

解凍した中に.htmlやショードカットその他もろもろ・・・
*.folderってのがあって変更済みのフォルダアイコンだったのでダブルクリックしたところ、
フォルダが開いて中にXPデフォルトのフォルダアイコンで********.exeというのがありました。
これは明らかにアレだと思い*.folderごと削除しました。

.folderについて調べたところ・・・ヒイィィィィ;
というような現在です。


話がズレますが、
.folderにhtml型スクリプトを埋め込み.exe実行はIEのみのバグでしょうか?
バグ報告関連でIEに重大な危険が見つかったと書かれていますが、
mozilla等は大丈夫ということでしょうか?

再起動後、レジストリRUN・TEMP・upフォルタ等こまめにチェックしていますが
感染した様子はありません。


ウイルスの挙動として、危険スクリプトhtmlを*.folderに偽装するという事ですが、
キンタマ本体の*****.exeを*.folderの中に隠し、
危険スクリプトhtmlでそこにリンクする様な挙動は確認されていますか?


俺の****もコンニチハ!!されそうです((((;´ー`)))
952947:04/03/18 15:20
>>947
自己レス。メールの文面は一種だった。後二種は詰め合わせられるtxtの文面か。

orz
>>947
自分の経験上では
CFB7は>>878の奴だと
Temp にユーザー名.txtではなくて「お得情報.txt」が作成されてた。
あとDドライブでny起動させてたけどそこにReadMeFilesフォルダ作成も無し
Upfolder.txtも変化無し、Upfolder(元々空だったけど)も空のままだったよ。






248 :[名無し]さん(bin+cue).rar :04/03/18 15:10 ID:E0iaw+h6
>>230
ひっかかるのとひっかからないのがあるな。
HTMLのobjectタグから実行される亜種はひっかからんかった。(サブフォルダに本体が居るタイプ)
ちなみに「詰めあわせ」内によく居る

けどコイツ実行しても何も起こらん。
レジストリ書き換えてないし、本体もコピーされないし、時限式なのかもしれんが
本体即削除したから終わりかなっと。
256 :[名無し]さん(bin+cue).rar :04/03/18 15:30 ID:wrgJrXt+
検索引っ掛かるのはキンタマの中のぬらりぽんだけじゃね?

257 :[名無し]さん(bin+cue).rar :04/03/18 15:31 ID:lxF6Plf3
もどったらスキャン終わってた。
>>230
とりあえず825では検出されないですね。
@PBG4/WinXPHome

これ、ぬるぽ(reg書き換え)が入ってない奴に感染してる場合があるの?
955951:04/03/18 15:41
*.folderじゃなく*.filesってフォルダだった-uo


高速でしごいてきます                 ((((((((*´ー`)
956947:04/03/18 15:47
>>953
> Temp にユーザー名.txtではなくて「お得情報.txt」が作成されてた。

 Tempにtxt作成するときにもなんか法則あるのかな?過去ログ読み返してきまつ

> あとDドライブでny起動させてたけどそこにReadMeFilesフォルダ作成も無し
> Upfolder.txtも変化無し、Upfolder(元々空だったけど)も空のままだったよ。

 新たなうpフォルダは名前固定じゃないぽいですね。
 パソ本体再起動した後もUpfolder.txt変化なしでした?
957953:04/03/18 16:18
>>956
ちょっと席はずしてました。亀レススマソ。
>パソ本体再起動した後もUpfolder.txt変化なしでした?

初回の再起動時はアイドル状態になるまでかなりHDDが
かりかりなってましたけどやはり変化はありませんでした。
メーカー製のPCで120GのHDDがC:100G、D:5G位に
パーティション切ってあるからですかね。

ちなみにregedit.exeは無題.txtでビンゴでしたけどw
958名無しさん@お腹いっぱい。:04/03/18 16:22
スイマセン。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

をだれかもう少しわかりやすく説明してください。
959 :04/03/18 16:22
スイマセン。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

をだれかもう少しわかりやすく説明してください。
960 :04/03/18 16:23
二重カキコスイマセン。
>>959
ファイラーでWinnyフォルダを開いて、本来UPフォルダが存在する時にあるべき
Upfolder.txtが見えてるかどうか、あるいはWinny起動してフォルダ情報に
設定した事のないフォルダ名があるかどうか確認。
>>958
元々Up用フォルダを作っていた人は、それまであったUpfolder.txtが不可視に変更されてないか確認する。
Upfolder.txtが見えているなら、中身を見て登録した覚えのないUp用フォルダ名のパスがないか確認する。

963947:04/03/18 16:31
>>957
過去ログ読み返してたら、同じようにUpfolder.txt変化無しの人がいました。
いくつかの機能ごとにトリガーついてるんでしょうかね。
これ相当やらしいキンタマだな。
964名無しさん@お腹いっぱい。:04/03/18 16:40
感染したんですが(E837)、こんなことやってみてます

1.LANケーブルを引っこ抜く。スタンドアロンに。
2.ノートンを手動更新
3.ノートンでスキャン→キンタマ多数発見&消せないexe発見
4.消せないexeに該当するものを「プロセスの終了」で終了。
5.消せなかったexeが削除できるので削除。
6.もう一度ノートンでスキャン

で、今スキャン中。この後再起動していろいろ確認するつもりですが、
他に何かやるといいことorやってみて欲しいことありますか?
みんなで自分のチンコを自分でフェラするんだ。
そうすればキンタマさんもお怒りにならないぞ
>>964
format 脳コロン
亜種毎に挙動と変化が違っていたら
今ニュー速やDL板で大丈夫だったと言ってる人たちの中には
危ない人も多いんじゃないのかな…
>>967
(・∀・)コンニチハ!!
>>967
っていうか、引っかかる奴の方が天然記念物的な珍獣なわけだが・・・
まぁそうなんだろうけど、踏んだと騒いでる人DL板に
思うより居たからさ…
>>969
オマイモ(・∀・)コンニチハ!!
>>970
昔のダウソ板住人だったら絶対に踏まないはずなのにな
というか今いるのはダウソ住人じゃないけどね
踏まないと感染しないんだもんな。

とかいいつつ俺のこの書き込み直前のデスクトップ画像が晒されないとは言いきれず。
未知の亜種は怖いね。
だれかのスパムが飛んできてるしな、俺のメアド。
メール送信機能ってほんとに機能してるのかね
>>969
珍獣ですがなにか?
自力で駆除しましたがなにか?
(・∀・)コンニチハ!!
ANNTINYだた。(・∀・)サヨウナリ!!!
>>974
(・∀・)コンニチハ!!
踏まなきゃ感染しない。
踏むな!。
いじょ。
はっぱふみふみ
うちゃん
次スレは?
各社完全に対応するまでにはもっと時間かかりそうだよね。
DL板のウイルスだけど、ここもセキュリティ板だしどうしようなあ。
他のスレ(ウイルス対策ソフト関連は除く)にまではみ出してキンタマの話題を
やらなければウイルス(ワーム)だし、隔離スレとして次スレを立ててもいいと思う。
あの、間違えてhtm踏んだのですが、
ソースみたら
data/000.exeを呼び出してるっぽいのですが、htm以外一切何もありません。
もちろん、隠しフォルダ表示、システムファイル表示してます。

これは、感染していませんよね?
感染おめでとう
>>985(・∀・)コンニチハ!!!
>>985
(・∀・)ワイルド!!!
>>985
ω
990985:04/03/18 18:55
え?ほんとに?
だって本体がないんだよ?
(・∀・)ナインダトヨ!!!
亜種な予感
993985:04/03/18 18:56
ないっていうか、その、解凍したものにはhtmしかなかったんです
>>990 ドゾー( ・∀・)つ「本体」
995名無しさん@お腹いっぱい。:04/03/18 19:03
1000だったらnao本人に会いに行く
1000だったら俺の生睾丸晒す。
1000だったらキンタマに感染
次スレマダー?
もう感染していいよ
そうかい。
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。