【春雷】 イオナズン対策スレッド
【妄想】
ダウソ板で結構前に報告されているマルウェアがイオナズンゾンビクライアントかも
しれません。nyではNoCD/NoDVDパッチを騙って流されることの多い195KBほどのUPX圧縮
exeファイルで、実行するとWindowsのシステムファイルsmss.exeあるいはcsrss.exeの
フリをして常駐します(ただし、実行権限がSYSTEMではなくログオンユーザーになる)。
これに感染したPCは200秒のインターバルでニュー速VIPからsubject.txtを取得します。
バイナリ中の文字列などから類推するに、.datの取得や2ちゃんへの書き込みルーチンも
持っているようです。ホストや板の名前っぽい文字列は“ex14”、“news4vip”しか見あ
たらないのにニュー速VIPはどうやら爆撃されていません。怪しい。これらのほかに、
“Monazilla/1.00 (Jane2ch/0.1.12.2)”という文字列も見つかります。さらに怪しい。
ノートンさんはこのマルウェアを検出/検疫しますが、Trojan Horseに分類するだけで
動作の詳細を教えてくれません。う〜む、ますます怪しい。なんて書きながら、実はちゃ
んと解析できないのでこの程度の根拠をもとに疑っているだけです。
【妄想加速】
コイツに感染したPCはゾンビとして指令を待っている。指令はニュー速VIPへのカキコ
または新スレとして発令される。subject.txtがトリガーなら200秒以内に爆撃可能。これ
がイオナズン?
ニュー速VIPのsubject.txtをきっちり200秒ごとに持って行くホストと、イオナズンゾ
ンビホストの重複率が高ければアレです。もしそうであれば、イオナズン発動時のニュー
速VIPへのカキコ/スレ立ても調べていただけると、ゾンビへの指令方法が……グゥ。
はっ! 寝てた。夢だったのか。また夢の世界へ戻ります。お休みなさい。
ダウソ板で結構前に報告されているマルウェアがイオナズンゾンビクライアントかも
しれません。nyではNoCD/NoDVDパッチを騙って流されることの多い195KBほどのUPX圧縮
exeファイルで、実行するとWindowsのシステムファイルsmss.exeあるいはcsrss.exeの
フリをして常駐します(ただし、実行権限がSYSTEMではなくログオンユーザーになる)。
これに感染したPCは200秒のインターバルでニュー速VIPからsubject.txtを取得します。
バイナリ中の文字列などから類推するに、.datの取得や2ちゃんへの書き込みルーチンも
持っているようです。ホストや板の名前っぽい文字列は“ex14”、“news4vip”しか見あ
たらないのにニュー速VIPはどうやら爆撃されていません。怪しい。これらのほかに、
“Monazilla/1.00 (Jane2ch/0.1.12.2)”という文字列も見つかります。さらに怪しい。
ノートンさんはこのマルウェアを検出/検疫しますが、Trojan Horseに分類するだけで
動作の詳細を教えてくれません。う〜む、ますます怪しい。なんて書きながら、実はちゃ
んと解析できないのでこの程度の根拠をもとに疑っているだけです。
【妄想加速】
コイツに感染したPCはゾンビとして指令を待っている。指令はニュー速VIPへのカキコ
または新スレとして発令される。subject.txtがトリガーなら200秒以内に爆撃可能。これ
がイオナズン?
ニュー速VIPのsubject.txtをきっちり200秒ごとに持って行くホストと、イオナズンゾ
ンビホストの重複率が高ければアレです。もしそうであれば、イオナズン発動時のニュー
速VIPへのカキコ/スレ立ても調べていただけると、ゾンビへの指令方法が……グゥ。
はっ! 寝てた。夢だったのか。また夢の世界へ戻ります。お休みなさい。
|
|
|