■ウィルス爆撃相談所&焼き処4【RockBBQ】
佐賀ウイルス(?)らしいっす、一応報告に参りました('A`)
感染すると、(現状確認しているものだけですが)スレタイに「佐賀」の含まれるν速のスレへ爆撃
同時に ttp://bull.s11.x-beat.com/ (アプロダ)宛に IE のお気に入りをテキストデータで POST する模様です
検体は取り逃しましたorz
あまりじっくり探せなかったのですが、以下のフシアナ爆撃を確認できました(まだまだあると思うです)
以上、よろしくお願いいたします('A`)
http://news20.2ch.net/test/read.cgi/news/1161347723/59
softbank218130082032.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161396780/548
59x87x178x204.ap59.ftth.ucom.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161404936/111
e150039.ppp.asahi-net.or.jp
http://news20.2ch.net/test/read.cgi/news/1161343377/437
p2087-ipbf35osakakita.osaka.ocn.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/430
softbank221067215143.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161347280/49
zaq3a55253d.zaq.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/441
p0966-ip01hodogaya.kanagawa.ocn.ne.jp
感染すると、(現状確認しているものだけですが)スレタイに「佐賀」の含まれるν速のスレへ爆撃
同時に ttp://bull.s11.x-beat.com/ (アプロダ)宛に IE のお気に入りをテキストデータで POST する模様です
検体は取り逃しましたorz
あまりじっくり探せなかったのですが、以下のフシアナ爆撃を確認できました(まだまだあると思うです)
以上、よろしくお願いいたします('A`)
http://news20.2ch.net/test/read.cgi/news/1161347723/59
softbank218130082032.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161396780/548
59x87x178x204.ap59.ftth.ucom.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161404936/111
e150039.ppp.asahi-net.or.jp
http://news20.2ch.net/test/read.cgi/news/1161343377/437
p2087-ipbf35osakakita.osaka.ocn.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/430
softbank221067215143.bbtec.net
http://news20.2ch.net/test/read.cgi/news/1161347280/49
zaq3a55253d.zaq.ne.jp
http://news20.2ch.net/test/read.cgi/news/1161379452/441
p0966-ip01hodogaya.kanagawa.ocn.ne.jp
|
|
|
858 :名無しの報告:2006/10/21(土) 20:53:10 ID:7z8efL9w0
859 :名無しの報告:2006/10/22(日) 00:05:36 ID:yhAP1xkG0
ウィルスバスターが反応するんで困るんですよー
860 :名無しの報告:2006/10/22(日) 03:01:31 ID:VLZ9Ba2C0
>857と別の佐賀ウイルスらしい
こっちはスレをランダムに選んで書き込んでるね
http://news20.2ch.net/test/read.cgi/news/1161452989/36
user166.clubs172.megax.ne.jp
こっちはスレをランダムに選んで書き込んでるね
http://news20.2ch.net/test/read.cgi/news/1161452989/36
user166.clubs172.megax.ne.jp
>>860 のタイプの佐賀ウイルス、検体確保しましたので各主要ベンダに提出します('A`)
提出先等は、追って報告に参ります
※ パッカー(UPX)かました状態で virustotal.com にてスキャンしたところ
DrWeb(BACKDOOR.Trojan)・Panda(Suspicious file) のみ「何か」を検出
フシアナ状況(一部ですが):
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
提出先等は、追って報告に参ります
※ パッカー(UPX)かました状態で virustotal.com にてスキャンしたところ
DrWeb(BACKDOOR.Trojan)・Panda(Suspicious file) のみ「何か」を検出
フシアナ状況(一部ですが):
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
回線を切ると佐賀ウイルスはエラーメッセージを出すそうで
Can't〜IP.
↑こんな感じで
Can't〜IP.
↑こんな感じで
863 :名無しの報告:2006/10/22(日) 11:44:56 ID:VLZ9Ba2C0
なるほど
以下のベンダに検体送付してきました('A`)ノ
Symantec
Grisoft(AVG)
Avast
ESET(NOD32)
Kaspersky Labs
BitDefender
F-secure
Avira
McAfee
-------
トレンドマイクロは送ってないっす……非ユーザーはメールやフォームで送れないんでしょか('A`;)
Symantec
Grisoft(AVG)
Avast
ESET(NOD32)
Kaspersky Labs
BitDefender
F-secure
Avira
McAfee
-------
トレンドマイクロは送ってないっす……非ユーザーはメールやフォームで送れないんでしょか('A`;)
>>864
461 名前:個人情報身と佐賀県[] 投稿日:2006/10/21(土) 23:28:10 ID:TUSYaYZ40
Kasperskyに送ったら、なんと無視されたそうですよ。
http://pc8.2ch.net/test/read.cgi/sec/1161255047/284
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321
461 名前:個人情報身と佐賀県[] 投稿日:2006/10/21(土) 23:28:10 ID:TUSYaYZ40
Kasperskyに送ったら、なんと無視されたそうですよ。
http://pc8.2ch.net/test/read.cgi/sec/1161255047/284
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321
一応 virustotal.com のスキャン結果うpしときます
ttp://www.imgup.org/iup277443.gif
>>865 マジすかカスペ('A`;)
あまり返答に期待しないでおきます……
ttp://www.imgup.org/iup277443.gif
>>865 マジすかカスペ('A`;)
あまり返答に期待しないでおきます……
>>861 検体置き場書いてもらえれば誰かが(ry
>>864 書き漏らした、Sophos にも送付済っす
>>865 なんと無視されますたorz
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321 と同じ内容で……
>>867 うpろだに置きましたんで、どなたかよろしくお願いします('A`;)
ttp://uploader.xebra.org/?id=aa1edcc
DL/解凍パス「infected」っす、13:45にはうpろだから消える設定にしてます
ちなみに 7zip にしてあります
>>865 なんと無視されますたorz
http://pc8.2ch.net/test/read.cgi/sec/1161255047/321 と同じ内容で……
>>867 うpろだに置きましたんで、どなたかよろしくお願いします('A`;)
ttp://uploader.xebra.org/?id=aa1edcc
DL/解凍パス「infected」っす、13:45にはうpろだから消える設定にしてます
ちなみに 7zip にしてあります
161 名前:あいたー[] 投稿日:2006/10/22(日) 12:49:59 ID:y134+LFf0
C:\WINDOWSに、りぼっさんアイコンのcsrss.exe
C:\WINDOWSに、りぼっさんアイコンのcsmss.exe
C:\WINDOWS\system32にりぼっさんアイコンのexplorer.exe
これを削除すればおkかな?
C:\WINDOWSに、りぼっさんアイコンのcsrss.exe
C:\WINDOWSに、りぼっさんアイコンのcsmss.exe
C:\WINDOWS\system32にりぼっさんアイコンのexplorer.exe
これを削除すればおkかな?
>>864
トレンドマイクロソフトは、たどり着くのめんどくさいけど
アメリカのページにフォームがあったりする
http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7
トレンドマイクロソフトは、たどり着くのめんどくさいけど
アメリカのページにフォームがあったりする
http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7
>869
レジストリはどうだろうね?
レジストリはどうだろうね?
↑実行するなよ
>>870
ありがとう、でも Product の中に何も選べるものがなくて、Next ボタンを押下できない('A`)
トレンドユーザの方、よろしくお願いします
カスペ宛に、もう一度ちゃんと調べれって送ってみたっす
ありがとう、でも Product の中に何も選べるものがなくて、Next ボタンを押下できない('A`)
トレンドユーザの方、よろしくお願いします
カスペ宛に、もう一度ちゃんと調べれって送ってみたっす
>>872 とれんどさんにぷれぜんとしますた。
Panda と Dr.Web 、念のため説明添えて検体を提出したです
あと、>>861 と重複しますが、現在確認できるフシアナ ID です
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=ctnF/6SA0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=U4kXXkIJ0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=Ubkildnq0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=HxHvs40p0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=jSIwDRXT0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=myjTxM0y0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=V+bqAxhl0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=dE0e8muz0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=uDu/+pgC0
あと、>>861 と重複しますが、現在確認できるフシアナ ID です
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=YSfmFWrh0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=xG6CJyA40
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=lP7LekPx0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=XmuG%2BALd0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=ctnF/6SA0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=U4kXXkIJ0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=Ubkildnq0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=HxHvs40p0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=jSIwDRXT0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=myjTxM0y0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=V+bqAxhl0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=dE0e8muz0
ttp://travel.mimizun.com:82/cgi/idsearch.pl?board=news&id=uDu/+pgC0
877 :从*^▽^)るぅりん☆6歳@ギコナビ ◆IAc6UigumM :2006/10/23(月) 12:19:45 ID:Mwv5fr2N0
某パスワードが違うとおこられる・・・
>>874
Product : - PC-cillin/Virus Buster 2006
Number of Users Affected : - 01 - 05
を選べばいい
>>871
どうせ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
か
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
かと
>>874
Product : - PC-cillin/Virus Buster 2006
Number of Users Affected : - 01 - 05
を選べばいい
>>871
どうせ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
か
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
かと
>877↓
やっぱりそこかな
やっぱりそこかな
880 :c⌒っミ `Д)っφ ◆CaKkuEV3EI :2006/10/23(月) 16:01:36 ID:WL53527X0
ベンダから返信きますた('A`)
・Sophos:Troj/Sufia-A (ttp://www.sophos.com/virusinfo/analyses/trojsufiaa.html)として対応
・Panda:Trj/NasanFusia.A (ttp://www.pandasoftware.com/virus_info/enc/overview.aspx?idvirus=134829)として対応
→※ 今はまだリンク切れです、掲載予定 URI のようです
・Dr.Web:「Doctor Web, Ltd. のウイルス研究所」にたらい回し中
・Avira:ブラウザからアップロードした検体が破損してたらしいので、再提出orz
あと、ESET(NOD32)は返事きてないですが、NODスレを見ると対応した模様っす
今後のベンダの対応状況について、分かり次第また参ります ノシ
・Sophos:Troj/Sufia-A (ttp://www.sophos.com/virusinfo/analyses/trojsufiaa.html)として対応
・Panda:Trj/NasanFusia.A (ttp://www.pandasoftware.com/virus_info/enc/overview.aspx?idvirus=134829)として対応
→※ 今はまだリンク切れです、掲載予定 URI のようです
・Dr.Web:「Doctor Web, Ltd. のウイルス研究所」にたらい回し中
・Avira:ブラウザからアップロードした検体が破損してたらしいので、再提出orz
あと、ESET(NOD32)は返事きてないですが、NODスレを見ると対応した模様っす
今後のベンダの対応状況について、分かり次第また参ります ノシ
882 :从*^▽^)るぅりん☆6歳@ギコナビ ◆IAc6UigumM :2006/10/23(月) 20:24:04 ID:Mwv5fr2N0
UPX 1.93 betaで、Unpack可能
どうも文字列が暗号化されてる (BASE64+α)
今回はリソースデータとして書き込まれてる
前回はプログラム内部だった
どうも文字列が暗号化されてる (BASE64+α)
今回はリソースデータとして書き込まれてる
前回はプログラム内部だった
ベンダから返信きますた('A`)その2
・F-Secure:「対応します」とだけ返事(We will add detection for this malware.)
・Avira:TR/Sufia.A. として対応
・AVG:「Trojan Horse として対応予定」との返事(will be detected by AVG Anti-virus as Trojan Horse.)
以上っす ノシ
・F-Secure:「対応します」とだけ返事(We will add detection for this malware.)
・Avira:TR/Sufia.A. として対応
・AVG:「Trojan Horse として対応予定」との返事(will be detected by AVG Anti-virus as Trojan Horse.)
以上っす ノシ