★060225同人板AntiLoスクリプト荒らし報告スレ

同人板爆撃ウイルス検証状況。
いまのところここまでわかっているようです。
http://comic6.2ch.net/test/read.cgi/doujin/1140974901/より。

162 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 15:11:16 ID:FyWv97xb
>>145
ほぼ確定しました。

(一般コミック・雑誌) [ジャンプ] [2006-13] ONE PIECE 401.zip
6zlZhsWVlG 6,285,249 c0f87010f9825ff8c62b85e3cf9019ee

内に含まれている one peace401 .scr がウイルス本体です。
勿論、他にもこのウイルスを混ぜたものが流れているかもしれません。注意。

以下、one peace401 .scr が発したPOSTの抜粋。
POST /test/bbs.cgi HTTP/1.1..Accept-Language: ja
,en,*..Accept: */*..Accept-Encoding: gzip,deflat
e..Content-Type: application/x-www-form-urlencod
ed..User-Agent: Mozilla/5.0 (Windows; U; Windows
NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5.
.Cookie: PON=softbankxxxxxxxxxxxx.bbtec.net; exp
ires=Friday, 01-Jan-2010 00:00:00 GMT; path=/, H
AP=1219206; expires=Friday, 01-Jan-2010 00:00:00
GMT; path=/..Referer: http://comic6.2ch.net/tes
t/read.cgi/doujin/1128103867/l50..Accept-Charset
: *..Content-Length: 1586..Host: comic6.2ch.net.
...MESSAGE=%81%40%82%B1%2C%2C%82%F1++%82%C8++%8F
（以下、メッセージのエンコード済みデータが続く）

172 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 15:27:31 ID:FyWv97xb
パッと見、AntiLoとは内部構造が大幅に違うようです。

というのも、今回のはRubyで書かれている様なんですね。
（AntiLoはDelphiのWin32ネイティブでした）

インタプリタなので、解析しにくい事この上ないです。
投稿する文字、ターゲットとなるスレッドの特定も一筋縄にはいかない？かもです。


189 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 15:43:46 ID:FyWv97xb
>>176
同一犯の可能性ありですねー。
ウイルスにRubyって、あんまり聞かない話ですし。

>>177>>178
Winny2にて流れておりました。

追加情報です。似たようなファイルを落として確認しましたが、
やはりRubyで書かれた亜種が複数ある模様。なぜか動作しないものも。

196 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 15:52:47 ID:FyWv97xb
仮想マシン内で挙動を|дﾟ)ｶﾝｻﾂしますので、
私のIDでウイルス書き込みがあるかもしれません。

ご理解とご協力をお願い申し上げます。


296 名前：ウイルス蔓延中！要感染確認＠自ｼ台スレ 投稿日：2006/02/27(月) 18:22:05 ID:Z2oAQgiJ
>>281
hitしてますた。ﾏｼﾞ確定すな
ttp://comic6.2ch.net/test/read.cgi/doujin/1136769756/818
【323信者続けて】脳内ちゃん様劇場【パク絵師追放】
818 ：ウイルス蔓延中！要感染確認＠自ｼ台スレ[]：2006/02/27(月) 15:55:42 ID:FyWv97xb
消 えろニー,,ト,
ｒｙ


223 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 16:21:27 ID:FyWv97xb
パケットを見る限り、一度の動作につき

1. ttp://zonutan.hacca.jp/bbsmenu2.html
　から同人板のアドレスを取得
2. 同人板のsubject.txtを取得→ターゲットスレを選定（現在はロジック不明）
3. 荒らし書き込み×4件前後

を行う模様。

あと、Symantecに該当ウイルスを提出・通報しておきました。

281 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 18:10:47 ID:FyWv97xb
速報。

ターゲットとなりうるスレッド
------------------------------------------------------------------------
なぞ ちもち 池上 シ也 ｼ也 茜 AMR 逝上 ちまき るなりあ nagomiko 亜星
にう 葉山カイト 友香子 妃川美波 トレ ﾄﾚ パク ﾊﾟｸ 検証 自治 じち ｼﾞﾁ ぢち
ﾁﾞﾁ 討論 引越 ny 盗 不正 痛 晒 厨 嫌 ちもち るなりあ 写 模 真似 マネ
------------------------------------------------------------------------
これらを含むとアウトの悪寒


331 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 18:44:42 ID:FyWv97xb
プロセスメモリエディタからRubyソースを摘出。ほぼ丸裸状態でつヽ(´ー`)ﾉ

・SETTING.TXTを読んでます
　・名無し名が設定されていなければ'名無しさん＠どーでもいいことだが。'
　　になり、設定されていればその名前になります
・ターゲットスレを"トレ"だけで試した跡があります（デバッグ用？）
・ネトゲサロンにテスト書き込みを行った形跡があります。
　bbskey=1082053502　メ欄=sage　本文=て
　これに合致する書き込みがあれば、犯人が書き込んだ可能性が高いです。
・詐称するUAのレパートリーは160種類を超えます。
　基本は　"Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5"　の模様。
・ごみ箱にwinny.exeを捨ててあると、それをスタートアップに登録しようと試みます（失敗？）
・レジストリにスタートアップを設定します。
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　driver32=<ウイルスのパス> -x
・書き込みルーチンが賢いです。
　ex) 〜sec書けません、とレスポンスが返ってきたらその通り待つようです。

339 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 18:51:41 ID:FyWv97xb
>>337
今だと、書き込まれる名前は"ウイルス蔓延中！要感染確認＠自ｼ台スレ"になります。
ここの処理は、やってる事がよく分かりませんです。
（名前を書かないと自動的にデフォになるのに）

2ch文化に詳しくない者の犯行を匂わせますねぇ。


353 名前：395 ◆veZNGgrqUc 投稿日：2006/02/27(月) 19:05:18 ID:FyWv97xb
>>316
AntiLo Killerでは、このウイルスを検出できません。ご注意ください。

>>341
いまのところ、動いているプロセスを止めて、
レジストリを掃除するだけでOKと思われます。

>>342>>345
該当部分のソース
#print get_samba24('comic6', 'doujin')
#print kakikomu('game10', 'mmosaloon', '1082053502', '', 'sage', 'て')
を見ると、やはりこの書き込みは…


345 名前：ウイルス蔓延中！要感染確認＠自ｼ台スレ 投稿日：2006/02/27(月) 18:58:22 ID:w+VGeWDu
>>331
ネトゲサロン見てみました

[test] 書き込みテスト 専用スレッド 1 [ﾃｽﾄ]
http://game10.2ch.net/test/read.cgi/mmosaloon/1082053502/236
236 名前：ネトゲ廃人＠名無し[sage] 投稿日：2006/02/20(月) 15:33:54 ID:???
て

抽出してみましたが本文＝て は2レス、うちメル欄sageはこれのみです

395 ◆veZNGgrqUc氏の解析レス

>>162　確定
>>172　ウイルスはRubyで書かれている
>>189　亜種が複数ある模様
>>196
>>223　動作について
>>281　ターゲットになりうるスレッドについて
>>331　ウイルスの行動について
>>339　犯人は2ch文化に詳しくない人？
>>353　ネトゲサロンの書き込みが犯人の可能性？

続報があればまた報告します。

：【緊急事態発生】 自ｼ台スレッド５【ｳｲﾙｽﾃﾗﾔﾊﾞｽ】
http://comic6.2ch.net/test/read.cgi/doujin/1140974901/

537 ： ◆dummy0N5Bk ：2006/02/27(月) 22:04:20 ID:FHJ2Xzb0
>>331 >>342 >>353

その書き込みが犯人である可能性って、どれくらいなんですかね？

573 ：395 ◆veZNGgrqUc ：2006/02/27(月) 22:42:19 ID:FyWv97xb
みなさん本当にいいお方だ｡･ﾟ･(ﾉ∀`)･ﾟ･｡

>>537>>561
非常に高いと思います。が、100%と言えないのが悔しいところ。
というのも
　・犯人がそのコードを実行しないで
　・偶然、他人が同じ条件の書き込みを行った
ケースが考えられる為です。

九州のイベント情報　Part15
http://sports2.2ch.net/test/read.cgi/comiket/1136851278/820

ただの便乗ですかね？

635 名前：ウイルス蔓延中！要感染確認＠自ｼ台スレ 投稿日：2006/02/27(月) 23:21:33 ID:f/nLTpSz
ソース読んで見たけど、これゾヌ2用にコッパたんが作ってる板一覧ファイルの
同人板のところのURLを弄ってもらうだけでとまるがな(´･ω･`)
もちろん亜種が出たらまた始まるけどな(´･ω･`)

なんなの、この厨房ソースコード



だそうです。

北陸イベント総合スレッド　３
http://comic6.2ch.net/test/read.cgi/doujin/1127051714/

>>329
325のヤバ目ワードに含まれていないので「？」となっていたのですが、
「イベント」が共通してますね。

１．前準備
感染ファイルは拡張子（*.exeや.scrなど）を隠していると非常に見つけにくいです。
パソコンの初期設定では拡張子を隠す設定にしてあることが多いので、
下のサイトさんを参照の上、拡張子を表示させてください。
http://www.cdwavmp3.com/dl/extention/ext_hyouji.html

２．感染確認方法はwikiにある通り。

３．駆除方法
　　　
　　　駆除方法は個人の責任に基づいて行ってください。
　　　レジストリの修正などの作業による不具合が発生しても対応いたしかねます。
　　　ですが、ちゃんと順序どおりに駆除すればトラブルはそんなに起こらないと思います。


　1.　ウイルスの停止

　　　タスクマネージャーを起動させます。
　　　WindowsXPの場合、ツールバーの空いたところで右クリックし『タスクマネージャ』を選択するか、
　　　Ctrl＋Alt＋Delキーを押すことで起動します。

　　　感染確認方法で見つけたウイルス名を探します。
　　　それを選択してプロセスの終了を実行して下さい。

　２．レジストリを修正
　　　（※レジストリの修正は個人の責任に基づいて行ってください）

　　　レジストリエディタを起動させます。
　　　起動するには、[スタート]→[ファイル名を指定して実行]から『regedit』と入力し[OK]を選択します。

　　　修正を行う前に、レジストリのバックアップを取ります。
　　　レジストリエディタ左側の画面で一番上に表示されている [マイ コンピュータ]を選択します。
　　　次に[レジストリ]メニューをクリックし、[レジストリ ファイルの書き出し]を選択します。
　　　（注意: Windows XP をご使用の場合は、[ファイル] - [エクスポート] の順に選択してください。）

　　　・Windows 95/98/NT の場合は、保存する場所を [デスクトップ] に変更します。
　　　・Windows Me/2000/XP の場合 は、ウィンドウ左側に表示されているデスクトップアイコンをクリックします。

　　　次にファイル名ボックスに任意のファイル名を入力します。
　　　（ファイル名は「regback」とか適当で構いませんが、つけたファイル名を覚えておいてください）
　　　書き出し範囲が [すべて] に設定されていることを確認し、[保存] をクリックします。
　　　この操作で、デスクトップ上にバックアップファイルが作成されます。

　　　バックアップを取り終わったら、次のキーを調べます。

　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　driver32=<ウイルスのパス> -x

　　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　driver32=<ウイルスのパス> -x

　　　上記の場所にあやしいウイルスのパスが書かれたキーが見つかったら、
　　　必ず<ウイルスのパス>の部分をメモに控えておいてください。
　　　（後でウィルスを本体を削除する時に使います。）
　　　
　　　それからこのキーを削除します。（削除はキーを選択-右クリック-削除でOK）

　３．ウイルス本体を削除

　　　２でメモをしておいた<ウィルスのパス>にしたがってフォルダを開き、
　　　ウィルス本体を削除してください。

　４．駆除できたかどうかの確認

　　　PCを再起動後、もう一度感染確認方法を試してください。
　　　PCの動作が正常であれば、保存しておいたレジストリのバックアップファイルを完全削除（ごみ箱からも）してください。
　　　（レジストリファイルは決してダブルクリックしないでください。復活してしまいます）

　　　これで当面は大丈夫ですが、まだ完全ではありません。
　　　各ウイルスベンダーから正式な対応が公表されるまでは、Wikiをチェックし続けてください。


参考サイト

　　　ハマーの出張所　　　
　　　http://www.geocities.jp/dkstr_hamar/index.html
　　　レジストリのバックアップについて
　　　http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953?OpenDocument&src=sec_doc_jp

５．感染してしまった方へ

ウイルスファイルの詳細を調査しています。

・ウイルス拾った場所
・ウイルスのファイル名
・ウイルスの挙動（プロセス名、キーは存在したかどうかなど）
・駆除後の結果

を調査の上、

荒らしはスルー
http://comic6.2ch.net/test/read.cgi/doujin/1140863905/
に書き込んでください。
ご協力お願い致します。

395 ◆veZNGgrqUc氏によりAntiLo Killerがverアップし
今回のウイルスの現行ver(2/27 23:00頃）までの確認＋駆除ができるようになったようです。

AntiLo Killerはこちらでダウンロードできます↓

AntiLoまとめサイト
http://security.s182.xrea.com/

取り急ぎご報告まで…

>>328 の続き

615 ：ウイルス蔓延中！要感染確認＠自ｼ台スレ ：2006/02/27(月) 23:09:58 ID:f/nLTpSz
>>573
ほぼ間違いなく100%だべよ
そのコメントアウトしてある処理は、わざわざ別な人を犯人に見せかけるための罠で、
どこかの誰かが395さんより以前に解析して書き込む（あるいは偶然同じ書き込みをする）なんてあるかいな

たとえ一文字といえども、コメントアウトされている処理が1度も実行されなかったって言う方が無理があるがな(´･ω･`)
その書き込み掘れないのかな？

>>322-337
自治スレでやれ

いちいちコピペ貼るな、リンクだけ貼れば充分だろ。

ポイントだけ貼ってあるのかと思ったが、>>328とか>>337はいらないかもな。

ほっしゅ

保守

　

　

age

　

>>339
そうかも

保守

age