Vocal Cancel 5.06【実はスパイウェア】 ３

やべえ(;´Д`)見なきゃよかったくせえ
LDAPプロトコルはよくわからんが少なくとも
directory.verisign.com
www.yahoo.com/search/people
ldap.infospace.com
ldapbiz.infospace.com
www.bigfoot.com
ldap.whowhere.com
ldap.switchboard.com
ldap.yahoo.com
に関するアクセス要求をするための下準備をしてる所までは確認できた
実際に要求したから知らん。
坂道をスケボーで突進するようなことはできんのですよヽ(´ー｀)ノチキン

なんかの情報をmultipartのbase64テキストに変換して持ってるを確認
送るんだろうな(;´Д`)

ああ(;´Д`)
実際に要求したから知らん→実際に要求したかは知らん
ですな。粗忽(´ー｀)

>>394-395
めかるさん、広田を検察に告発してくださいな。
神、神になるとき、あ・あ、それは今〜♪　

>>394
わー、、、

>>394
おいおい，verisign.com って何するつもりだよ！！！！！！

スパイウェアじゃないぞ。
個人情報の最適化ツールと呼べよ。

違法かと思ったが、相当する法律ないんじゃないか？
被害を算定して損害賠償くらいか・・・

恐喝

393は自分がバカなの自白してるのか

あとは探偵ファイルの出番だな。

こういう場合、違法なのかどうかという事よりも、そういう事をしたという事実と、そこから
憶測されるそいつの素性、性向、価値観、モラル等が重要だろう。

>>403
あー、あそこなら記事にしてくれるかもね

新個人情報最適化ツール

　　　　　　　　　　　　　　　　　　　　　　　, -==､_∠ﾆ _-￣　‐-､
　　　　　　　　　　　　　　　　　　　　　　　,. -‐/ 　 　 　 ＼￣　　ヽ、
　　　　　　　　 _　--――-　＿　　　　／　_ /　　 　 |　 　 ヽ　＼ 　ヽ
　　　　　　 ／　　　　　　　　　　｀ｰ ､/ｨ´/　 !　　　　ﾄ､　　　ヽ　 ヽ　∧
　　 　 　 /　　　　　　　　　　_ ィ ｽ::. ヽ /　 ∧ ﾄ､　　! ヽ ､__　l　!　∨　!
　 　 　 /　　　、　　　　, ｨ'_´,.ィ´　 ヽ:::.ヽ //,.乂=く　 ヽ ヽ￣7ヽl　! l l∧
　　　　{　:.　　 ヾ､-､／＿_,.ノ〉 　r ､_ｌ::::::!/ ′　ヽ ｀ｰ-｀ヽヽ/ j∧ l　!l　i
　　　 ∧ :::.　　.::::〉'` ＿_ ￣´　 　｀ ｰl::::!j　 ,,=＝ﾐ､　　　,z＝ミ、 l |//　|
　　　/ ∧:::: |.::::/ -r'てハ｀ 　 　 ,z=､ !/∧ ″　　　　,　　　　　 ﾞ jｨ∧ l l 古田さんは
.　　/ /　/＞!:::l 　´ !:っ'ｿ　　　　lし!　|,ｲﾍ| / / /　,. ‐- ｧ　/ / / ﾚｲ!ｲ/ 全世界的に
　 / ,'　 ,' ! ﾍヽ{　　 ´￣　　　　 ､ﾋﾘ　ﾚﾊ|!l　　　／-‐￣ 二ﾆヽ　/_ノ川 　ウイルス作者と
. /　　 　 ヽ 'ｰ　　/ / /　　　　　′//!ﾉ |/lヽ､/　　　　-―＝ くｲ l l ∧! 　認定・・・
/　　　　 　 ｀Tヽ＿　　　 ,〜 -‐ｧ　／　 　 ﾚ'/　　　　　-‐　, ‐´ｌ ,ｲ/ 　　
　　　　 　 .:::／　　　ヽ、 ｀ｰ‐ '´／　　　　　r'‐ ､　　,. -‐'´「/ﾊ/ﾚ/ 　　　
　　　　　.::/ /　　 　 　 ヽ‐-　´|　　　, ‐- /￣ヽヽ,ｲ 　 ,.-┴r‐ｒ,‐--　、
　　　　.:::/　!　　＿　　　 ヽ_:::::::l　　/　　/　　　 ヽ〉7　l ﾇ　/ //　 ／　ヽ
　　　 .:::i　　|　　　　￣￣　 ﾄ::::::!　/ !　/　　　 ／__ヽ∠　_/_//　/　　　　!
.:　　.:::::l　　 l　　　 　 　 　 　 ＼!/ /／　　　 / __/ /´rr'´__　ヽ/　　　　　l

まゆみ〜、本当のことを言っちゃ駄目よ〜。

>>394
ぐぐったよ。
directory.verisign.com
［関連］
http://internet.watch.impress.co.jp/www/article/970417/verisign.htm
暗号化メールに使用される。

以外はＥメールアドレスの調査？個人情報がそこまでしてほしいのか・・

●電子メールの調査
http://www.bigfoot.com/
http://people.yahoo.com/

●ＬＤＡＰへのアクセスについて説明は
http://www.justsystem.co.jp/shuriken/pro3/benri.html
メールアドレスや電話番号の検索が目的のようだ。

>>394
これって何がどうなの？
教えてえらい人！

>>409
LDAP　
読み方 ： エルダップ
フルスペル ： Lightweight Directory Access Protocol

インターネットやイントラネットなどのTCP/IPネットワークで、
ディレクトリデータベースにアクセスするためのプロトコル。
ディレクトリサービスとは、ネットワークを利用するユーザの
メールアドレスや環境に関する情報を管理するサービスの
ことで、ユーザ名からこれらの情報を検索することができる。
最近ではディレクトリサービスを単純なユーザ管理だけでなく、
プリンタなどのネットワーク上の共有資源の管理に応用する動
きも活発になっている。

>>408
すげー必死なんだな・・・

>>394
LDAP登場の説明
http://www.justsystem.co.jp/shuriken/pro3/shinrai.html#shinrai1
の説明のほうがわかりやすいかも・・

ヒロフのおかげで一つ賢くなれますた。

まさに、トロイのトロイたるものですね。
解析している人に感謝！

>>410
>>412
ありがとう。
ここまでするって単独で使うためなのかな
それにしても次から次に出てくるですね

恐ろしく粘着質の性格であることは確かだな
自分の才能の使い方を完全に間違えてる

ヒロフ＞電車男
まぁ俺はフレディvsジェイソン見たわけだが。

つーかさ(´ー｀)
LDAPにしてもユーザ名が必要なわけで、それはどこから持って来るんだろうなと
VCのレジストにユーザ名っているっけか？
勝手に抜いたんじゃないんかね
それでLDAP使って個人情報持って来るのは不正アクセスなんとちゃうかヽ(´ー｀)ノどうよ？

>>418
アドレス帳を抜いているわけだから
本人だけじゃなく、入っている人全部も検索されている可能性が・・・

なんでLDAP要求のロジックがこっち側にあるのよ？(´ー｀)
ユーザ名からなにから自分にメールで送ればすむ話なのにさ
その方が好き勝手できるしLDAPいじってるってバレなかろうに
これほど隠したがるのにわざわざ危ない橋を渡ってるわけで
つまりヒロフがこりゃ自分側でやったら不正アクセスくせえって
自覚してるってこっちゃないんかねヽ(´ー｀)ノいやまじで

俺ら踏み台にされてるのかもしらんよ
正規尻で発動したらアレだ、犯罪確定コースか？
いや一度尻間違えて送ってるんだっけ？やばくね？

読売も取り上げてるね
http://www.yomiuri.co.jp/net/itmedia/20050705nt03.htm

>>421
>>104
>>132

ってーか、もはや純粋な悪意の塊だな、このソフト。

キンタマのような悲惨なユーモアでもなければ、ブラスターのような研ぎ澄まされた攻撃性でもない。
あるのはただ保身と敵意と、他人の情報に対する蛭のような貪欲さだけ。

吐き気がするな。

めかる氏こぇーー。

ということはLDAPを利用しているマシーンで
ヒロフを起動すれば何かわかるってことですね。。
そういことでどなたか確認お願いしまーす。

>>424
TCPDUMPなどの通信キャプチャ・ソフトウェアを同時に使用すれば
通信の内容がつかめるかも。EtherealのほうがいいかWindows版あるし。
こっちのほうがわかりやすい。

>>418
え、じゃあ正規尻でもウパイウェアが起動するって事？

つーか、どれだけの人がコレを買って、
実際に使用してたのかを知りたい。

糞ースみたいな、「お客様の声」を載せ…
あ、もうサイトねーや。

http://pc8.2ch.net/test/read.cgi/software/1120655321/394-
詳しい解説希望。混乱してきたorz

>>427
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A&VSect=S
に感染者数が・・既出だけど。

vmware持ってるから割れ尻入れて試してみるか．
PFWはZoneAlarmのフリー版使ってるけどこれのログ機能は低いので，
SygateのPersonal Firewall使ってみる．
いまvmwareにw2kをクリーンインストールしてるところだから，ちょっと待ちな〜〜〜

>>428
発病については正確な結論は出てないけど
コーディングからすると起爆要因が複数あることが判明している。
（でいいのかな？）

>>429
地域別コンピュータ感染数　(2005/02/14より)
Asia 51
North America2
Africa 0
South America0
Europe 0
Australia and New Zealand 0
合　計 53

国別コンピュータ感染数
Japan 51
United States2

>>426
まだわかんねっす(´ー｀)
5.02の時点では時限爆弾入ってるけど導火線に火がつく条件を
詳しく追っかけてないのでして
不正尻入力時なのか最初に機能を使った時なのかがいまいち不明
5.05のはまだ見てない(;´Д`)

ネットワークケーブル抜いておけ

>>429
North America　2って・・・
海を渡っちゃったのかw

米在住日本人では？

>>435
向こうの日本人だろ

とりあえず筑波の対応が見ものだな

トレンドとの重複はあるかもしれないけど、
Symantec公表の49台も入れたほうがいいかも。

内訳はどーなんだろうな。
51が全部、「お客様」ってこたーないだろう。

入試業務が終わって８日（金）には
担当者の対応が可能になるらしいからね

>>428
なんで見つけたかというと(´ー｀)
InternetOpenUrlでhttp://www.vector.〜に繋ごうとしてる直前に
http://の文字列が入ってるあたりをアスキーダンプしたらなんか
そのホスト名がなんかのプロトコルの書式に埋め込まれて生テキストで並んでたわけです
実際にそこを読んでLDAP喋るコードを突き止めたわけではないんでアレですがヽ(´ー｀)ノ

ユーザ名でLDAPホストを叩くとメアドやらなんやらが吐かれるっつー
認識でいいんだろうか？よくわからんのですよっつーか初めて聞いた。
言えるのは暗号を解いたらLDAPホスト名が出てきましたよという点だけか(;´Д`)よわよわ

>>433
5.05でとりあえずVigilってソフトウェアを試用してみます。スキル無い奴は東奔西走してみます。。。

www.stb.tsukuba-ac.jp がダウンしてる。
>>199 で晒されたから止めたのか？と邪推。
いやでも純粋な利用者がいるんだろうから、単にメンテか何かだろうか。

メールを受信してみたんですが、ACDATA.bin,RDATA.bin,ABDATA.bin
の送信が成功するとリモートファイルをダウンしないみたいですね。

法的にどうとか言う人がいるけど、後は誰が告訴するかだと思う。
office氏と同じようなことやってるが、悪質さはこっちの作者の方がやばい。

>>442
LDAP URLを使う

http://www.ki.rim.or.jp/~kuro/OpenLDAP/LDAP-C09.html
http://www.ipa.go.jp/security/rfc/RFC2255JA.html
まあ、参考程度にどうぞ。

　ベクターが規約違反で告発して
トレンドマイクロの中の人なんかと協力して
裁判の中で実態解明

が一番早い希ガス（やるかどうか分からんが）

おまえら本気でやってるのか？
つまらない事ばっかりやっていて後で後悔する事になってもしらんぞ
感情的に煽ってる内に度を越えてしまっている事に気づけ
レスはきちんと読み返そうな

独り言は2chでやらないほうがいいよ

>>449
作者に言ってこいよ

「いきなりVocal Cancel」

>>449
もう事実関係だけで充分に面白いから
そういう煽りは不要ですよ

>>450
>>451
>>453
縦読みもできない人は２ちゃんやらないほうがいいよ

本人は縦読み面白いとでも思ってるんだろうねえ･･･
相当ねぼけてるのか。

＞２ちゃんやらないほうがいいよ
池沼の煽り

>>454
ちゃんと縦を書けない人は、書かない方がいいよ

>>455
見事に釣れたじゃないか
質の問題じゃなくてただの夜釣りだよ、まさに

いや、漢字含めたたて読みなんて低レベルなものはいらないだろ。

>>456-457
はいはい、独り言は書かないほうが良いよ

>>459
わざと混ぜたんだよ
頭に血が上ってる人を釣りたいから
質は極めて悪い釣りだけどね

盛り上がったようなので巣に帰ります
ありがとうございました！
またかまってください（それとこのスレあげて

低能池沼がピーピー喚いてるな
LWa5obT20は低学歴コンプレックス丸出しの発狂そのものだ

ちなみに僕筑○大だよ

>>394
>>447
ひょっとして、これかも・・
http://www.neodevice.com/cgi-bin/bbs/srch.cgi?page=60&mode=log&logs=3.txt&no=4

このページはＯＥの不具合を解決するための手順が書かれたものです。
つまり、ＯＥを使うにあたり不具合を解決する前準備のようです。

それにしても・・レジストリに入れるＵＲＬが。。怖いものばかりで
誤解してしまいました。みなさんに誤解を与えてしまい。すいませんでした。m(_ _)m

>>461
事実関係だけでもう充分に面白いから
そういう煽りは不要ですよ

しまった
普通に釣られた

こういうのを恥の上塗りというんだ低学歴め

こんなクオリティ低い縦読みは久々に見たな。
短いし、普通は縦読みの為にあえて平仮名にすべき所まで漢字で書いてる。

ここにいるお前ら、歳いくつ？

>>470
78歳ですが、なにか？

LDAPは釣りだったのか？(;´Д`)豪快に釣られた？

>>394
いえいえ、それは僕の間違い。

調べている間に変なのが乱入してきたようで。
訂正記事を書き込んで、このページを読むと前後に変な発言がならんでいただけです。

あれー？
473は472へのコメントです。

>>472
訂正記事は465だけど、前後の記事は全く関係ないです。

トロイコードが配布ファイルの半分超えてる時点で異常だが
LDAPやら叩いてたからトロイコードが半端じゃなく増えてたのかね
これ、マジでボーカルキャンセル機能付きトロイの木馬だよな

Ａさんの個人情報をＢさんが勝手に使うと不正アクセス禁止法でアウトなんだよね？
では、Ｂさんが提供したプログラムをＡさんが実行しました。
このプログラムはＡさんの知らないところでＡさんの個人情報を使って何かをしています。
これは現行法でアウトなんだろうか？

>>472　そんな悲しいこと言うなよ(byシロツグ

>>476
すいません。LDAPの話ですが、
http://www.neodevice.com/cgi-bin/bbs/srch.cgi?page=60&mode=log&logs=3.txt&no=4
を読むと、レジストリ内のデータの一部でＯＥを確実に使うための前準備のようです。

>>478
あ、そうでしたか。なーんだ♪
…と、怖いことに普通に納得している俺ガイル

一体、何なんだ…このトロイは…(ﾟДﾟ;)悪意の塊か

>>476
LDAPなどはレジストリの内容（雛型）である可能性が強く
これはＯＥ（OutLook Express）のメール送信機能を確実に
動かすためのもの。まあ、電話帖をメール送信するという
ことが予想されるのですが、そういうことだと思います。

>>479
たぶん、釣られたのは僕です。

普通にキモイなヒロフ

どろどろの粘着質型性格、どーやったらこんないびつなコード書けるんだ？
どーせ脅し取った金で2次元エロゲーでも買って (*´д`*)ﾊｧﾊｧしてるんだろ ｗ

>>480
レジスト→即メール発射というレスがあった記憶が。
その前には使った数ヵ月後に脅迫された云々という話も。
解析で105日＝約３ヶ月って数字も出てる。
前者が今、話題になってるOE経由で、
後者はsendmail.htmって可能性はどうだろうか？

>>483
「レジスト→即メール発射というレス」
なるほど、今回はこれだったのか。みごとに誤爆した（ＴＴ）。

最初にボーカルキャンセル機能付きトロイって言った人は皮肉のつもりだったんだろうけど、
洒落にならなくなってきたね。
本当にボーカルキャンセル機能がオマケみたいだ。

今，vmwareとSygateのPersonal Firewallの組み合わせでパケット・ログ取ってる．
IDとパスワードの組み合わせは入力時にちゃんとチェックしてるから，タイプミスで
トロイの木馬発動は無いみたい．（ちゃんと入力ミスだから再入力しろという
ダイアログが出るよ）
不正なIDとパスワードを入力するとただちに木馬起動．
生データはすぐアップするから，ちょっと待ちな〜〜〜〜〜

>>486
乙〜
あとIDが何気にすごい。

トロイの木馬伝説って木馬だと思わせて安心させて城内に運び入れたら実は中身は違ってましたって話だよね
なんというかVCが木馬そのものじゃないかとｗ

昔の大学生もけっこうメチャクチャやったもんだけど、
これは若気の至りですませられるようなメチャクチャとはちょっと違うよな。

>>486
入力時のチェック、解析するの放置したままなんですよーorzｺﾞﾒﾝﾁｬｲ

で誰が不正なシリアルを流したんだ？(・∀・)ﾆﾔﾆﾔ

↑ｿﾚﾀﾞ!!

今振り返ると思い当たるフシが(;´Д`)
\Accounts\VeriSign\LDAP Server = SZ: "directory.verisign.com"
とか書いてあるんすよ…さっき出したホスト名全部こんな調子
\Accounts\AssociatedID = BINARY: (伏せ)
なんてのも埋め込んである(;´Д`)俺のが計算されたのかもしれないから伏せた
LDAP叩いてないな多分。ぁぅ

あと\windows\temp\*.tmpへのパスが生成されてた。
実行形式ファイルの模様。どこから来たんだこれ？ヽ(´ー｀)ノ燃料か？

実行環境はvmwareのバーチャルマシンにインストールしたWindows2000
SygateのPersonal Firewallをインストール，Outlook Expressのアドレス帳に
以下のデータを設定

名前 電子メールアドレス
------------------------------------
a b [email protected]
c d [email protected]
hirofu hirofu [email protected]
uma shika [email protected]

その後Vocal Cancelをインストール・起動，割れ尻を入力して木馬起動
アドレス帳のデータ（ﾌﾞｯｺ抜くデータ）が少なかったのか，OSを再起動すると起動時に
木馬が一度動くだけで，後は木馬沈黙．

trendmicroにTROJ_HIROFU.Aの作者は古田泰大ですよって連絡したら

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A
に反映されるのかなぁｗ

Remote Host, Remote Port, Local Port, Direction, Allowed/Blocked
------------------------------------------------------------------
domain2.lcv.ne.jp 210.231.108.1 53 1114 Outgoing Allowed
domain4.lcv.ne.jp 202.214.129.1 53 1118 Outgoing Allowed
domain5.lcv.ne.jp 202.214.129.2 53 1120 Outgoing Allowed
po3.lcv.ne.jp 202.122.193.21 25 1123 Outgoing Allowed
po3.lcv.ne.jp 202.122.193.21 25 1123 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Outgoing Allowed
domain.lcv.ne.jp 210.148.238.1 53 1126 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
domain2.lcv.ne.jp 210.231.108.1 53 1128 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
hp.vector.co.jp 210.155.146.5 80 1125 Incoming Blocked
210.155.146.5 80 1125 Incoming Blocked
210.155.146.5 80 1125 Incoming Blocked
210.155.146.5 80 1125 Incoming Blocked
210.155.146.5 80 1125 Incoming Blocked

Remote Host, Remote Port, Local Port, Direction, Allowed/Blocked
------------------------------------------------------------------
domain.lcv.ne.jp 210.148.238.1 53 1030 Outgoing Allowed
domain2.lcv.ne.jp 210.231.108.1 53 1034 Outgoing Allowed
domain3.lcv.ne.jp 210.231.108.2 53 1036 Outgoing Allowed
210.155.146.5 80 1125 Incoming Blocked
domain4.lcv.ne.jp 202.214.129.1 53 1038 Outgoing Allowed
domain5.lcv.ne.jp 202.214.129.2 53 1040 Outgoing Allowed
po3.lcv.ne.jp 202.122.193.21 25 1043 Outgoing Allowed
po3.lcv.ne.jp 202.122.193.21 25 1043 Outgoing Allowed
po3.lcv.ne.jp 202.122.193.21 25 1043 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Incoming Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Outgoing Allowed
hp.vector.co.jp 210.155.146.5 80 1045 Outgoing Allowed
domain.lcv.ne.jp 210.148.238.1 53 1046 Outgoing Allowed
domain2.lcv.ne.jp 210.231.108.1 53 1048 Outgoing Allowed
domain3.lcv.ne.jp 210.231.108.2 53 1049 Outgoing Allowed
domain4.lcv.ne.jp 202.214.129.1 53 1050 Outgoing Allowed
domain5.lcv.ne.jp 202.214.129.2 53 1051 Outgoing Allowed

vector.co.jpに送ってるパケットの生ログの一部にこんなのがある

0030: FA F0 22 08 00 00 47 45 : 54 20 2F 61 75 74 68 6F | .."...GET /autho
0040: 72 73 2F 56 41 30 31 33 : 33 31 35 2F 73 65 6E 64 | rs/VA013315/send
0050: 6D 61 69 6C 2E 68 74 6D : 20 48 54 54 50 2F 31 2E | mail.htm HTTP/1.
0060: 31 0D 0A 48 6F 73 74 3A : 20 68 70 2E 76 65 63 74 | 1..Host: hp.vect
0070: 6F 72 2E 63 6F 2E 6A 70 : 0D 0A 0D 0A FF 53 4D 42 | or.co.jp.....SMB
0080: 25 00 00 00 00 00 00 00 : 00 00 | %.........

自分で解析したい人は Sytege の Personal Firewall を使ってください
http://smb.sygate.com/download/download.php?pid=spf

ログの機能が割と良いと思います

正式なＩＤとパスワードだと発病しなかったよ。
それで、一つ前のスレに書かれていた不正コード（33333333の奴）を試してみたら見事に発病した。
Outpostで遮断しているから被害はゼロだが結構悪性なトロイだな。
該当exeを破棄するには、セーフモードで立ち上げるしかないのが痛いな。

仕掛けとしては単純で、不正コードでレジストすると本体（VC_50??.EXE）内部に隠していた
トロイソフト（今回のテストだとdmidwsv.exe)をn:\Documents and Settings\ユーザー\Application Data
のフォルダに作成し起動するとともにAutoRun起動をレジストリーへ書き込む。
作成されたトロイソフトは起動停止で再起動がかかる仕組みだ。

作者としてのモラルは最低と言えるが、不正使用している奴も最低ってところかな？

AVGのGriソフト検体提出したいんですが
モノはどこでしょう？

500 ：名無しさん＠お腹いっぱい。：2005/07/08(金) 04:12:52 ID:x7CAAe8w0
正式なＩＤとパスワードだと発病しなかったよ。

訂正
>AVGのGriソフトに

>>500

作者じゃなければ、どれが「正式」でどれが「不正」か分からないはずなのだが…

>>505
私は元から正規ユーザーです。
ちゃんと購入してました。

それがこの騒ぎで、興味があったから調べてみただけです。

ヴォーカルキャンセラを不正使用するたびにトロイを作成するとなると
100回目には100匹全部で古田君にメールボム!!
古田君自爆ですか？？

そういうこともあってhotmailからpo3.lcv.ne.jpに変更したのかな。
当方確認では筑波にPOSTする内容はメールと同じみたいなので
筑波のサーバはメール送信失敗時のおさえだったってことですかね。

>>501
こんなソフト割ってまで使うヤツはある意味最高

割ってもらわないとこのソフトの意味がない。

Vectorは、古田が調査費を請求したように、調査費を古田から搾れるな。

わざと割れ尻流したってのは本当か？

Vectorにソフトを登録するときに、古田は利用規約に合意していて、このソフトは規約のシェアレジ作品基準
というのに反している不正なソフトで、本来不要な調査を行うわけだから、調査費がかかってる。
かつ、Vectorの信用力も失わせたし、業務も妨害したと。
Vectorには民事で調査費と損害賠償の請求、あとついでに刑事告発の両方をやってもらいたいな。

つか、こういう場合のためにこそ利用規則を作って契約してんだろうから
他の作者のためにも、利用者のためにも、Vectorは毅然と情け容赦なく古田に
社会は甘いもんじゃないよと思い知らしめさせてやってほしい。

それで(・∀・)

・・・(((((;ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

vecotorは売り上げが落ちたら訴訟を起こすべし

>>482

マジで金脅し取るのか？

事はおそらく2年ほど前だと思います。
当時厨3だった私はシリアル集と呼ばれる物を発見して狂喜していたと思います。
意味もなくシェアウェアを解除して楽しんでおりましたｗ
そうして過ごしていくうちにある日メールが来ました、予想範囲内だとは言えかなりビビりました。
自分が持ってるアドレス全てに送ってきて、メールの内容は良く覚えていませんが、
「貴電子計算機上で不正使用が発覚しました。見たら返信下さい」
みたいな内容だったと思います。
「覚えがない」と言う内容の返信をしたところ、
家族で他にPCを使う人がいないか聞かれ、いないと答えると、レジストリキーが有ればインストールしたことがあると言われ、見たらありました。
(分かってたんでしょうけど)
で、その後簡単なやり取りを続けた後、調査料として1万円とられました。
このままインストールしたことがない、などしらをきりつづけた場合、警察、裁判に持ち込むと言われました。
しかしこのまま監視されるのは嫌だったのでキーの削除方法を聞いて、削除して一連の問題は終りました。
まぁ簡単な流れはこんな感じです。
メールはPCが壊れた時に破棄されてしまいました、ご期待に添えずすいません。
参考程度に流しといて下さいませ。

http://www.geocities.jp/troj_hirofu/

このままインストールしたことがない、などしらをきりつづけた場合、警察、裁判に持ち込むと言われました。
↑
ここが重要なのかな？

>で、その後簡単なやり取りを続けた後、調査料として1万円とられました。
↑
ここが重要だと思われ

>>500
トロイは二つで一組だから、デバッガを二つ起動して
それぞれアタッチしてそのまま強制終了すればおｋ。
あとはレジストリから削除、本体のアクセス権の再設定と削除で解決。

>>499
etherealでキャプってlibpcap形式ファイルうｐしたほうが楽しくない？

わざとぞろ目を時限爆弾に設定したソフトと、そのぞろ目の情報流出が同じ出所なら悪質だな

>>511
その可能性がある、と言ったところか？

>>506
よかったね、作者が間違えたパスワード送ってこなくて。
この作者は過去にパスワードを間違えて送信したり、送信し忘れたりといった”事故”を起こしてるからね。

>>501
不正コードとやらの判断基準が俺らにはわからないが、上に書いたように作者は間違えたパスワードを送ったりしている。
もしそれが不正コードと判断されてトロイが発動したらどうするのか作者は考えてたのかな。
まさか自分は絶対に間違えないとか思ってたのかな？実際に間違えてるわけだけどｗ
それともパスワード送信間違いに気づいた人へは不正ユーザだとか言わなかったのか？
盗んだ各種情報も破棄していたのか？

で誰が不正なシリアルを流したの？

もしシリアルを解析した人が流したなら
不正なシリアル＝トロイ発動 まで見抜くことは可能ですか？

うちのマシンで調べたところでは，トロイの木馬プログラム
（うちに仕掛けられたのは VzlZezu.exe）は16ヶ以上の分身は
多重起動しないようになってるみたい．　

すまん，違ってた．
多重起動はするが，16ヶ以上はパラにポートを開けない（？）ようになっているみたいです．

調査費と称して得たお金はちゃんと所得として申告してるのかな(･∀･)ﾆﾔﾆﾔ

シリアルとパスワードが１対１に対応するもので、
その対応が取れていなければ不正扱いというのではないの？これ？

正規シリでも発病したと言ってた人いたよね。

>>528
いや，違うだろう．
ID（シリアル）とパスワードの組み合わせが一致していなければ，レジスト出来なくて
評価版状態のまま，　不正に流通しているIDとパスワードの組み合わせは何事も無く
受け付けるが，裏でトロイの筑波が動き出す．

ただ，そのあたりのロジックに抜けがあるのではという話の流れになっているんだが．

なるほど、やっぱり基本的には特定のシリアルとパスワードだけで筑波が動き出すということなのね・・・。

詳しくは>>33に書いてあるとおりでOK？

結局被害届が出なけりゃこのままお咎め無しなのが怖いんだが。
ベクターも削除で対応終了？

で誰ですかトロイの筑波とかいい始めた人は？
ＧＪ！ｗｗｗ

何がありえないって
メールに名前書いてねーの。

普通は○○の作者とか○○のサポート担当とかあるじゃん。
で、不正利用が確認されましたので、ただちに使用停止して下さい。
とかくるじゃん。

この場合
いきなり不正利用と思われてますみたいに主語がない。
で、最初のメールから応答なき場合は裁判。
どうも正体明かすには書面での契約が必要らしいぞ。もうなんかね・・・。

いや、木馬の筑波のほうがいいお。

木馬の筑波だったら筑波大生の三角木馬に乗ってる写真流出事件みたいじゃね?

三角筑波ｗ

>>537
不覚にもﾜﾗﾀ
もう何がなんだかｗ

ﾜﾛﾀｗｗｗｗｗｗｗｗ

>>533
http://news19.2ch.net/test/read.cgi/news/1120453044/636
が初出かな

http://news19.2ch.net/test/read.cgi/news/1120453044/616
にもﾎﾟｲﾝﾄくださいｗ

調査料としていくら集めたのか公表して欲しいな。
疚しいところがないなら公にできるはず。
私も不正使用の実態を知りたい。

>>523
別にハスワードを間違えられても再度再送要求をすれば済むだけだよ。
ＩＤとパスワードは1対1の対応が普通だから、ミスしたパスワードで不正レジストされる可能性は殆ど無いから
大袈裟に言われると白ける。


> で誰が不正なシリアルを流したの？

流したんじゃなくて普通に単純な割りかたをすると不正コードが得られるようにしてあったんじゃないかな？
ソースをバイナリーエディタで覗くだけで不正コードが直ぐに探せるようするのは簡単なことだしな。
どちらにせよ、不正使用者に腹を立てていたとはいえ過ぎた対応だな。

>>542
>ＩＤとパスワードは1対1の対応が普通だから、ミスしたパスワードで不正レジストされる可能性は殆ど無いから

「殆ど無い」というのは「可能性が0ではない」ということでは？
それなのにパスワード間違えて送られてきて、受け取った本人はそれが正しいパスワードだと信じてそのパスワードで登録して
実は間違えていた、結果トロイが発動しないという保証はないんじゃ？

>>543
そんな小さな可能性を必死に騒がれても白けるからヤメレ。
叩くつもりが逆に浮いてしまい聞くほうが白ける。

もっと現実的に叩くほうが聞くほうもリアルに感じれるんだよ。

じゃあもういいや

>>545
ニュー速+のスレの方が向いてるかも

x7CAAe8w0が白けるとかそういう話はどうでもいいんだよ。
勝手に白けてろ。問題は現役の筑波大生がトロイを作成、
そして堂々と開き直り、これに尽きる。

>>544
でもﾋﾛﾌのサイトには「被害者」への告知があったよね。
パスワード間違っててレジストできない状態だったってだけで「被害者」なんて書き方するかね。
普通に読めば、間違ったパスワードを送付したせいでトロイ発動したとかじゃないかと。

>>548
まあ普通は被害者とは書かないな

最後に言っておくけどソフトウェア作るときのエラー処理って重要だよな？
いろんな人がいろんな方法で使うわけなんだから当然あらゆるエラーに対して処理を確実にしておかなければいけない。
パスワードの入力ミスに対してもそう、パスワードの送信ミス・間違えもそう。
自分の間違えで被害を与えないよう作らないといけないんじゃないのか？
それはどうでもいいのか？間違えたやつがバカ、俺は間違えないでいいのか？

フリーの糞ソフトしか作らない俺だが気になって仕方がないんだよ。

ひろふは被害を与えようとしてるんだからそもそも次元が違うだろうｗ

こんな騒ぎになるとね、騙りが多く発生する。
それも白ける要因だったりするな。

例えば、ＩＤとパスワードが各８桁ならば10のマイナス16乗の世界です。
それが都合よく作者のミスや正規使用者のミスで犠牲者が発生するとは到底思えない。

分り易く言うと、不正使用者が正規ユーザーを騙って騒いでいるだけにしか聞こえない。
よって白ける。

叩きは実感出来る程度に止めないと浮くだけで相手憎しだけでエスカレートされても白ける。

>>547
加えて個人情報を収集する仕組みが判明し
Ｖｅｃｔｏｒを踏み台にし個人情報を回収した疑いが出てきた点。

Ｖｅｃｔｏｒにも個人情報保護の規約があり
http://www.vector.co.jp/privacy/

Ｖｅｃｔｏｒは「トラスト−ｅ」のメンバー
http://www.truste-jp.org/
であり、普通のＷＥＢサイトではない点。

このような信頼性の高いサイトを経由して個人情報が抜かれて
いたことが事実であれば・・もう、書かなくてもわかるでしょう。

>>550
だからしてバグのないソフトは作ることが出来ないわけだよ。
減らすことは出来るけどな。

【レス抽出】
対象スレ： Vocal Cancel 5.06【実はスパイウェア】 ３
キーワード： 白ける

抽出レス数：4

分かりやすくいうと、x7CAAe8w0 はｵﾒﾃﾞﾀｲ頭

白けが白けるシラケ世代

>>552
はいはい、お前一人で白けるのはわかったから



　　　　チ　ラ　シ　の　裏　に　書　い　て　ろ

>>544

それは解析待ち。
>>33

古田が照合を適当にやってる場合は可能性が高くなるな。

シェアウェアとかフリーウェアとかのダウンロード数とか、使用数は減りそうだね。
遺跡ねつ造の「ゴッドハンド」と似ているかな。違法ではないんだけど、考古学業界に
与えた影響は大きい。考古学を信じる人は少なくなったんじゃないかな。
今回のも違法ではなさそうだけど、ソフトウェア業界に与えた影響は大きいかな。

「ゴッドハンド」はマスコミでもかなり取り上げられたけど、今回の件はテレビとかに
取り上げられてなさそうだし、そのまま収束してしまいそうだね。

>>555
そういう反応も白ける。
頭の悪さ故に可能性が低い程度でどのくらい低いかを想定せずに騒いでいたのがバレバレ
チェックサム云々についても然り。
用法や用途を考えずに、単にチェックサムが付いていないだけで騒ぐのもおめでたい話。
チェックサムで救える可能性は大したこと無いよ。

叩きをするのなら、リアルで実感出来る程度に現実味のある話で頼むわ。

し　ら　け　る

まぁ、ID:x7CAAe8w0がこのソフトを購入してると言った時点で
かなりきな臭いものがあるなｗｗｗｗｗ

誰が買ってまで使うんですかコレ

ベクターはやり得状態のままにしてしまうのだろうか？
検出できないなら仕方ない、バレた時点で削除だけ、
なんてことになったらもうおしまいだ

>>561
それはチェックサムの種類次第

ほんと、>>561のレスが付くと白けるよな。
少しは場の空気読んで回線切って首吊ってきた方が
いいんじゃないかな。

ああ、白けるレスは要らないよw

>>565
マイナス16乗の世界でチェックサムが必要かね？
バカらしいとしか言い様が無い。

それともチェックサムの桁数を16桁に増やしてみるか？
楽しいよ。

>>566
同意。流れ読んでないね。

>>567
いきなり何を言い出すんだい？オメデタさん。

>>561
＞＞＞チェックサムで救える可能性は大したこと無いよ。
>>565
＞＞それはチェックサムの種類次第
>>567
＞マイナス（以下略

ハァ？文章よく読めよｗ

そもそも、x7CAAe8w0が本当に正規の購入者という
保証は何もないので、その辺は割り引いて考えないとなw

ヒント　関係者

>>561
＞頭の悪さ故に可能性が低い程度でどのくらい低いかを想定せずに騒いでいたのがバレバレ
そこは確かに片手落ちだったな
＞用法や用途を考えずに、単にチェックサムが付いていないだけで騒ぐのもおめでたい話。
チェックサムが無いってFA出てたっけ？
もしかして作者本人？ってことは無いだろうけど。
＞チェックサムで救える可能性は大したこと無いよ。
この辺のこと詳しいの？あんたも解析に参加しないか？

やれやれ、頭の悪い愚か者の行動はやはり愚かだな。
素直さが全く無く、アフォな展開を指摘されてもそれを正そうとはせず逆に反発のみに終始。
ほんとに白けさせられる。

俺もしらけた

結局、webで落としたexe/com/bat/jsなんかをローカルで実行すること自体の物騒さが
モロにでてるよな。ブツはベクターにおいてあったわけで…

hostsファイルやレジストリキー書き換えられるだけでも大事になるんだし、
オンラインソフトのアクセスエリア（通信します・ファイルアクセスします・スタートアップ登録しますなど）
ってもう少し明示的にできないもんかな？

仕様書提示しろとかソース見せろレベルになってしまうが

そもそも

>>552
＞例えば、ＩＤとパスワードが各８桁ならば10のマイナス16乗の世界です。
＞それが都合よく作者のミスや正規使用者のミスで犠牲者が発生するとは到底思えない。

ヒロフが10のマイナス16乗の世界で尻とパスの照合をしてる保証なんてどこにもない。
「ＩＤとパスワードが各８桁ならば10のマイナス16乗の世界」だからVCの照合は正確
ってのも都合のいい解釈だ罠。

一般論？
異常者に一般論が通じるのかなぁ？

>>573
相手を一方的にアフォだと断罪する人間は
議論する能力に乏しいだけだと思うよ＾＾

ヒント 矛先逸らし

犠牲者が出なければトロイばら撒いていい…っていう現状が恐ろしいな。
被害届出なけりゃやりたい放題だもんよ。

>>572
お前さん、ポイント違えて何を言ってのかな？
無駄な蛇足で騒がなくてもよかろうよ。

ポイントはＩＤとパスワードに分かれていてそれぞれが一対一で対応することからミス入力
での不正レジストの可能性は考慮する必要が無い程度に低いと言うことであり
そんな状況判断が正しく行なえる程度に賢ければわざわざチェックサムを持ち出して騒ぐことは無いってこと。

つまり君達の知能があまりに低くてバカらしい騒ぎ方をするものだから白けると言っている。

さぁ、関係者ID:x7CAAe8w0が来て、盛り上がってまいりました

>>577
IDがBE

てかヴォーカルを無くすソフトはほかにいっぱいあると思うし
こんな糞ソフトのユーザーが無知だったことがかわいそう。
しかもトロイ付きかおめでたいな。

>>579
結局オマエも希望的観測でしか話してねーだろうｗ

>>552　もひとつ
IDは8桁の数字列、パスワードは8ケタの英字列ですよね
正規登録ユーザならご存知のハズ
なので10**(-6)というのは違うと思うんですが
誰にでもポカミスはありますし、まぁいいでしょ

>>584
細かいこと気にするな。
単純に言ったまでのことで、それを考慮すると更に可能性は低くなる。

ID:x7CAAe8w0の燃料が尽きてきたみたいなので

http://www.google.co.jp/search?hl=ja&c2coff=1&q=%E3%83%92%E3%83%AD%E3%83%95%E3%80%80&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

可能性を０に出来るのをあえてしない行為を、許容できるか出来ないかの話になるのか？
俺は出来ないわけだが

>>587
ﾋﾛﾌｗｗｗｗｗｗｗｗ

>>587
そこが一番（´・ω・） ｶﾜｲｿｽ

>>588
大袈裟と言うか発想が滑稽かな？

可能性の問題ではなく、ソフト開発者が不正使用者を叩く目的とはいえトロイを仕込んで良いのか？
に尽きると思うぞ。

まぁ、モラル欠如との謗りは必死だな。
あと、違法行為であるのか？については微妙ってところかな。

x7CAAe8w0は関係者っぽいね。
検索すると論理展開が面白い。誰かに通じるものがあるね。

きょうは大学当局から何らかの回答がもらえる日なんだっけか

>>579
中3行は俺もそう思う
こういう場合、尻とパスがほぼ1:1で対応するのが普通の組み方だと思う
自分が組んでもそうすると思うしね
指摘されている通り、そうすれば仮に一方が偶然にチェックサムを通っても、
両者の整合チェックで蹴られるから確率は極微になることはわかる

でもねぇ…私が追いかけたトロイ発動条件のところだけみてると
両者とも独立してるっぽいんですよ
尻とパスの計算結果のレジスタが互いに参照されてないっぽいんです

普通はそんなことない！と突っ込まれそうだけど…いや、俺も突っ込んだし

>>591
なんでそんなに必死に流そうとしてんの？
なにか都合の悪いレスでもありましたか？顔真っ赤ですよ？

>>594
ん？
それムダな作業だと思うのは私だけかな？
レジストしないと無関係でしょ？

レジストで蹴っていれば、それ以降のチェックの仕方が独立してても関係ないと解釈するのが普通だし
そのような構成でレジスト可能なコードを決めている筈。

それを疑っても詮無き事じゃないかな？

なんか必死な奴がいるねー。(　´ー｀)y−~~

そういえば大学事務が8日にもう一度電話してくれって言ってたんだっけ。

>>597
ですねー。みんなに注目されてるよね。

ひろふ＝は・ん・ざ・い・し・ゃ

犯罪犯した学生は（客といえども）処分処分♪
大学側が手のひら返したようにたたき始めたら笑う
脅されて単位出してたとか暴露したりｗ

今日は学類長がいるんだっけ

なんつーか(´ー｀)
こういうコードが…実行されるかされないかは別として普通に入ってるのは
非常にきめぇんですよヽ(´ー｀)ノ解析してて馬鹿じゃねーの？としか思わない
等身大美少女フィギュアの中に製作者の使用済みコンドームが塗りこんである感覚な

全くとんでもない学校だぜ

ああ、あくまで俺の脳内でのはなしですよｗ
まさか国立大学が出席日数足りないのに単位出したりしないでしょうからねｗ

>>596の言い方だと分りにくいかもな？
例えば、最初に不正コードとそれに対になるパスワードを決める。
不正コードのＩＤは
11111111
22222222
33333333
12345678
の4つのみとすることで、トロイの発動条件はＩＤのみのチェックで済ませる。

そして正規のコードは不正コードのIDとぶつからないように配置し、パスワードは計算で求める。
そうすると、正規コードは幾らでも増やせることとなる。

こんなの普通でしょ？

>>603
フィギュア興味ないけどそれはマジ勘弁だなｗ

>>591
不正アクセス禁止法違反にひっかかると思う

>>603
最後の一文は生々しいｗ
でも一般人にはわかりやすい表現っスｗ

>>606
しらんかった。本人さん、ありがとう。
でも、 11111111なら、ためしに入力するかもしれん。こわっ。

>>585
ヒロフはID/PASSにハッシュ関数使っているのかなぁ？
使っているなら、VC内での不正尻判定にも使っていると思うんだけど。

>>606
ｼｪｱｳｴｱにﾄﾛｲを仕込むのを普通と思っているﾔﾂだからな
おまえの普通とは違うかもしれんぞｗ

>>596
その関数moemoeは
1.レジストリから尻とパスを読み出し
2.尻とパスを捏ね繰りまわす
3.チェックサムを照合。エラーの場合"パスワードが違います"のMessageBox
4.トロイ発動条件チェック
って一連の処理で、レジスト時に蹴ってる＆発症してるのはここだと踏んでます

で、関数が始まって先ずレジストリに読みに行ってますが、
レジストリに尻とパスを書き込んでいるところが見当たらない
おそらくレジストリへの書き込みは別関数hogehogeでやって、
(多分、ダイアログを出しているあたりと予想)
その後、このmoemoeで正当性チェックをしているのだと思います
この状況で>>596さんの予想だとレジストリへの書き込み前
つまりhogehogeでも正当性チェックがあるということになります
一般的な設計として(ヤツは一般的じゃないのでアレですが)
正当性のチェックを２関数に分散して置くでしょうか？

>>594
IDと尻が鎖で繋がってないんですか…。
摩訶不思議なつくりですね。

>>603
乙です。

さらに最後の行…名言杉(;´Д`)

>>613
それだと、>>606が近い。
>>606と違う点は、不正コードも含めて適合パスワードは全て計算で求めているってことかな？
で、後は適合パスワードの計算精度の問題だね。
適合パスワードは唯一であるような演算になっているのが普通だけどね。

作者がバカで複数の解があるのなら笑えるところだね。

>>606　ひょー、文章書くの遅せぇぇ＞俺
そそ、単純にそう考えるでしょ？
で、そう考えた場合、
＞1.トロイの発動条件はＩＤのみのチェックで済ませる。
＞2.正規のコードは不正コードのIDとぶつからないように配置し、パスワードは計算で求める。
1.だけだとチェックサムを運良くすり抜けた正規尻のtypoを防ぎきれないですよね？
そのために2.にあるようにパスを1:1で対応させることで"運良く"を無くしてるハズなんです
でも>>594だったり>>613だったりするんですorz

>>610
釣られたかも・・

>>618
釣ってないから気にするな。
君が>>610でそう思ったのも無理は無いよ。
プログラミングにある程度詳しくないと解らぬことだしな。

シリアルS，パスPとすると，普通はユーザーの名前なんかをSに選ぶ。
シェアウェア作者はある関数fにSを喰わせて，P＝f(S)で求めたPとともに
Sをユーザーに配布する。　
プログラム側にも関数fが内蔵されていて，ユーザーが入力したSとPとで
P＝f(S)の関係が成り立つかどうか判定する。
もしP≠f(S)ならば，プログラムは入力ミスと判定して再入力を促す。
不正尻は(S, P)のセットがプログラム内に隠し持ってる不正尻リストに
あるかどうかで，チェックする。

〜というのが普通の発想だと思うんだが，ヒロフは違うのか？

プログラム側にも関数fが内蔵されているからこそ，11111111とか12345678
みたいなありえない尻に対応するパスをハッキングして解析・流出させる
ﾜﾚｻﾞが出てくる。

不正使用している馬鹿が悪い。騒ぐほどのものではない。

ちょっと様子を見ますね

>>591
モラルも問題だが、それはもう俺も書き込んだことだし。
別な見方として、ソフトの使用者が０ではない危険をあえて孕ませたソフトを使い続ける、
使用者の精神的圧迫を語ったわけだが。

ちなみに
>不正尻は(S, P)のセットがプログラム内に隠し持ってる不正尻リストに
>あるかどうかで，チェックする。
こうするのは試しに11111111みたいな尻とデタラメなパスを入力したりする
香具師を即不正尻と判定してしまわないため。

まあ、まともなヤツだったら不正利用の調査統計をとったとしても調査費名目でおカネを請求することなんかしねーよ
犯罪かどうかは微妙だが、悪質であることだけは確か

こんだけ手の込んだ（凝ったとは言わない）手順を踏んでおいて、
レジストリに本名を載せてしまう作者の思考回路がわからないよ。

「俺is神！　このコードは誰にも解けねえぜ。」みたいにテンパっ
てたんだろうか？

>>626　フリテンだったけどなっ(･∀･)つ==･==

また説明たらんかった．　正しくは

こうするのは試しに11111111みたいな尻とデタラメなパスを入力したりする
香具師を，尻だけを見て即不正尻（とパス）使用と判定してしまわないため。

>>620
613さんの解析結果だとパスワードは全て演算で求めているようです。
つまりＩＤは何でも良く、ＩＤに必ず適合するパスワードが１つ存在するってこと。

そして、不正コードとそのパスワードは割れ易くする為にわざとアスキーコードでプログラム内に表記していたってことだ。
つまりパスワードは本来全て演算で求めるから定数で書く必要は無いってことね。

それとパスワードが適合である演算チェックを隠す為に直接入力されたパスワードとの比較を避け、そのまえに入力された
パスワードをルールに従って変換（捏ね繰り回す）って感じ。
まぁ、１つの演算をＩＤとパスワードとに分けて行なうことで本来のチェック処理を隠蔽していたってことだろうね。

しかし、作者が本気で不正使用者を憎んでいたことが伺えるよな。
多分被害者意識に捕らわれて不正使用者という言わば雲のような存在を恨み憎みそして頭がおかしくなり上記のような異常な処置をしたと解釈して良いのではないかな？
遊び半分や出来心でそこまで執拗なコードは書かないだろうしな。

>>603
最後のたとえは名言なので、ソフトウェアのFAQに置き換えてみるか。
Q. EXEファイルが機能に対して巨大に見えますが
A. お気に入りAV女優の画像を暗号化して埋め込んでいます。
　　作者しか解除キーは知りませんが、同じ趣味の方なら教えますよ(w

Q. EXEファイルが機能に対して巨大に見えますが
A. 機能とは関係ないんですがFTPクライアントを研究中なので、試作品を入れてあります。
　　特定のキーを入れると動きますので、使ってみますか

Q. EXEファイルが機能に対して巨大に見えますが
A. Windows9x系はあまり好きではないので、IDとパスの組み合わせで
　　デスクトップをXP風に変えるテーマを入れてあります。

仕様以外の余計なコードやオブジェクトは、それがどんなものであれ
予測不能な部分が出てくるから、関数(=ソフトウェア)プログラミングとしては
やっちゃいけいないよな

>>626
悪いことをしているつもりがないからでしょう。

トレンドマイクロがいいとこまで行ってるね(´ー｀)

侵入方法：
* 他の不正プログラムを介して侵入
* 悪意のWebサイトを介して侵入

ってあるけどVCの出産以外にもあやしいexeが展開される状況があるのか？

* 他の不正プログラムを介して侵入
＝Vocal Cancel
* 悪意のWebサイトを介して侵入
＝ベクターのヒロフサイト(現在閉鎖)
とか思った。

起動回数カウントとか動作工数カウントとか起動時間カウントで発動するルーチンは組み込まれてないのか？

今更なんですけどvmware持ちの勇者の方へお願いが
2組の割れ尻と割れパス(S1,P1),(S2,P2)でトロイが発症するとして
(S1,P2)または(S2,P1)を与えた時の挙動はどうなりますでしょうか？

>>633
つーか(´ー｀)
悪意のWebサイトにVCのexeじゃなくてトロイexeが生で置いてあるって
ことのような気がしなくもなくもくなくもヽ(´ー｀)ノなじむぞ！

>>629
単に便乗した犯罪者だというだけ

>>637
空気読もうぜ。

空気読もうぜっての、流行ってんの？
大体そういうこと言う子に限って、頭の切れが悪いのが多い。

>>619
「プログラミングにある程度詳しくない」とはな。
余談を与えないため、注意しているだけ。
このスレを検索すれば、貴方の発言の不自然さは誰にもわかる。

正式なIDってことは、購入されたんですよね。
どういう曲に使ってるんです？
私は同種のフリーソフトでやってるんですけど、
あんまり綺麗にならないんですよ。
綺麗に仕上がる曲のタイプとか、なんかコツ教えて下さい。

思った(´ー｀)
もしなもしだよ誰かがさ
VCが産んだトロイexeをエロ画像自動解凍exeだよんとか言って
Webに置いといて落とした奴が実行したらヒロフやべえんちゃうん？

>>642
ｷﾝﾀﾏ同封とかでつか？くわばらくわばら

>>642
ていうかｷﾝﾀﾏ的配布すればあっという間に広まりそうだな
でも作者はヒロフなんだよな

完全犯罪の予感がしてきた。

ヒロフについて.txt　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe

>>642->>644
パンドラの箱を開けないでください('A`)

「Vocal Cancel」のトロイの木馬、WindowsのプロダクトIDまでも収集
http://internet.watch.impress.co.jp/cda/news/2005/07/08/8340.html

自作ウイルスが悪用されるという可能性をなぜまったく考えなかったのだろう？
まぁ俺も言われて気づいたクチだが

とっくに証拠隠滅されてるだろうけど、収集された個人情報の保存先は結局どこなんだろうな。

>トレンドマイクロでは、2月にTROJ_HIROFU.Aにパターンファイルで対応していたが、
>一連の報道を受けて情報漏洩の項目などの詳細情報を7日付で追加した。
いいよー

>>642
つまりこういうことか？

・何者かがVCと無関係にヒロフのトロイを撒く
・不幸にも騙された人が実行してしまう
・VCと無関係な人の個人情報がヒロフに送信される
・ヒロフが（無根拠な）調査費用を請求する

>>651
トレンドマイクロGJ!!

>>650
今も収集機能は生きてるのかな？
筑波のサーバとかいろいろあったみたいだけど実際に今も動いているのならさらにまずくね？

>>648
ひろふの悪事はここまで極まれりって感じだな
nyの作者が逮捕されて、何でコイツが逮捕されないんだ？

>>652
解析とかせんでも、ウイルスの実行ファイルだけなら誰にでも抽出できちゃうしな・・・
>>653
「俺のやってることは正しい」と言い張るつもりなら、機能してる鯖が1つはあるんじゃない？

ウィルス作者の名前も載せちゃえばいいのに。
本人全然悪いことだと思ってないことだし

おまえらひきもこりの個人情報なんて抜いてもなぁ

筑波大学　情報学類　４年次　中国国籍　登大遊（deng daliao）

http://pc8.2ch.net/test/read.cgi/software/1120655321/187
！！！

>>655
そうか、やつは「俺 is 神」って思ってるような感じだから今も収集しているかも知れないな。

んで、

>>648
>　今回追加された情報によれば、TROJ_HIROFU.AがVocal Cancelのシリアル番号およびパスワードのほかに、
>メールアカウント情報、WAB（Windows Address Book）のパス、ルートドライブのファイルシステムおよび
>ボリューム情報、SID（Security Identifier）やドメイン名といったユーザーのアカウント情報、WindowsのプロダクトID
>といった情報を収集し、特定のアドレスにメールで送信することがわかった。

メールってことは今も受け取ってるのかな。
逆に言えばメールのアカウント名とかをうまく設定すればヒロフに伝わるってことか。
おもしろそうだな。

>>653
トレンドは先日の大失態を補うべく、精力的にがんがってるね。
LCVとIIJのホストはPing打っても返事が無いよ。

トロイばら撒くと、法的に違法なんじゃないですか?
なぜ逮捕されないのかひろふ

>>661
ICMP殺してるとかじゃないのか？

これまだでてないよな。古い記事なので見る価値ないが
ttp://www.it-hoken.com/002006.html

ﾄﾚﾝﾄﾞが頑張ってるのは、名誉挽回もあるだろうけど

>私は、このスパイウェアを、法律を守った上で、
・・・
>違法性が認められないとのことで、提訴を断念しています。
これにｶﾁﾝときた社員が頑張ってる気がする

>>642
おっしゃる通りだと思います。
悪徳業者が今後その手口を使う可能性は十分あります
銀行や株式口座のIDやパスワードを抜く機能を実装されたら((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>662
一応サイバー犯罪条約とやらから罰則規定を設けることに決まったらしい。
で、トロイ、ウィルス配布は犯罪になるとされているが現状では罰則ないっぽい。
実際に被害が出た場合誰が責任取るんじゃって話なんだが。
そこから不正アクセスや業務妨害など他の罰則規定のある
犯罪に発展した場合はやばいんでないの。
メールのアカウント情報盗聴は不正アクセスになるんでないのかな。

>>25
は何やってるのん？(´ー｀)Win98だからわからんちん
コードの様子からするとEveryoneの許可リストのケツにSIDかなんか追記してるくさいんだけど
これもメールの関係なんかな？

正直、マイクロソフトに訴えられるのが一番怖いだろうなと思った。
WindowsIDまで抜いちゃって大丈夫か。

ヤスフがpo3.lcv.ne.jpに接続するのはメールを送信するためなの？

　 　　　　　　　　_____
　　 　 　 　 ,. ‐''三ヾ´彡ｼ,=｀丶、
　　　　　／'".:=≡ミ_≧_尨彡三:ヽ、
　　　　/／.:;:彡:f'"´‐------ ｀`'ｒ=:l
　　 　/〃彡_彡′,.=､￣￣ ,.=､　|ミ:〉
　　　'ｙ=､､:ｆ´===tr＝=､.___,. ==､._ゞ{　
　　　{´yﾍl'′　　 |　　 /⌒l′　 |｀Ｙ}
　　　ﾞ､ゝ) 　 　 　 `''''ﾂ_　 _;`ｰ‐'ﾞ:::::ｌ{
.　　 　ヽ.__　　　　　,ｨnmmm､　　 .:::|!　　日本一のハッカーになりなさい。
　　,.ィ'´ﾄ.´　　　　　´｀"｀"｀ﾞ″　.::::;'　　 逮捕されるのはそれからでも遅くない。
イ´::ﾉ|::::l ＼ 　　 　 　　　"'　　　:::/　　
::::::::::::|:::::l 　 ヽ、　　 　　　..::　 .:::/.､
:::::: ::: |:::::ヽ 　　 ヽ、.......::::／..:::／!＼＼
::::::::::: |::::::::ヽ　　　 ｀`''‐--ｧt''′ |!:::ヽ:::＼

ヤスフミ神社にお参り

「トロイの筑波」もいいけど、
「ヒロフの木馬」ってのはどう？
ヒロフが三角木馬で、かい〜の
やってるAAを求む。

159 名前：150[] 投稿日：2005/07/08(金) 16:50:07 ID:s1COHRas0
残念なお知らせだ
IPA(情報処理資格やってるとこね)からメールがあった
ウィルス作者に与えた認定資格についてメールしたところ
＞不正の手段によつて情報処理技術者試験を受け、
＞又は受けようとした者に対しては、合格の決定を取り消し、
＞又はその試験を受けることを禁止することができる。
＞(情報処理の促進に関する法律の第７条第６項)
＞今回のご指摘の件に関しましては、
＞更生されて立ち直られるよう願っております。
とのこと
彼奴が手にした情報処理技術者資格はそのままのようだ
苦労して取った資格をあんなヤツが堂々と名乗りつづけることが悔しい

おまいら最新ニュースきましたよ。貼って置きまつね

「Vocal Cancel」のトロイの木馬、WindowsのプロダクトIDまでも収集
http://internet.watch.impress.co.jp/cda/news/2005/07/08/8340.html

>>673
三角筑波の方が良いと思われ
誰かが言ってたｗ

既出だよ

>>676
スマソ

>>470
こっちにもいたかバカニート

>>669
誰かMSにメールした？

犯罪者仲間の>>629はもう来なくなったかな

　京都府警ハイテク捜査室と今出川署は8日、茨城県つくば市の筑波大学4年、
古田泰大容疑者(20)を、コンピューターウイルスを配布したとして偽計業務妨
害の容疑で逮捕した。ウイルス配布による大学生の逮捕は国内初。
　調べでは、古田容疑者は2002年から配布していた自作のパソコン用ソフトウ
ェアに「トロイの木馬」と呼ばれるウイルスを混入し、ソフト使用者の住所録
やパスワード等の個人情報を不正に取得した疑い。
　またこれらの情報を使い、ソフト不正使用の調査費との名目で高額の金銭を
払うよう要求した恐喝の疑いも持たれている。
・筑波大学情報工学センター長の話：学生が本学の設備を使用して事件を起こ
したことを大変遺憾に思う。再発防止のため倫理教育に力を入れて行きたい。
※トロイの木馬……コンピューター内の個人情報やパスワードを盗み出すウイ
ルスの一種。一般的なウイルスとは異なり、破壊活動を行なわないため感染に
気づかないことが多い。
（京都日報 2005年7月8日朝刊）　●この記事の内容はすべてフィクションです。

そろそろ「告訴準備中」とか書いて削除依頼出るのかな?ｗ

>>495
>trendmicroにTROJ_HIROFU.Aの作者は古田泰大ですよって連絡したら
HKEY_CURRENT_USER\Software\YasuhiroFuruta
って書いてあるw
まあ自己顕示欲の強い厨房だ。

誰も正規にレジストしようとしないで、割れ尻ばかり使うので仕方なかったとです。。。

ヒロフです...

vmware持ちですが，
下記の割れSN・PWの組み合わせで
　SN:11111111 − PW:CGFLHEIL
　SN:22222222 − PW:POOLUQRL
SN・PWを入れ替えて
　SN:11111111 − PW:POOLUQRL
または
　SN:22222222 − PW:CGFLHEIL
の組み合わせで入力すると
　【Vocal Cancel 5.05】
　　パスワードが違います。
　　もう一度パスワードを入力しなおして下さい。
というメッセージがちゃんと出ました．

解析までして不正にレジストしようと思えるソフトじゃないだろ。
割れ尻は、誰が流したのかな？ｗ

疲れたよママン(´ー｀)
なんつーかコードの悪意が感染っちゃうんだろうか、すげえマイナス光線を浴びた気分。
これ書いたヒロフ狂ってるよナチュラルに。技術的にも見るとこないし。
スクリプトキディっつーんだっけ？そんな人種なんだろうな。
ヒロフは医者になったら絶対患者の手術中に正常な肝臓を切り刻んで
ウンコ拭いたガーゼを突っ込んでそのまま皮膚だけ縫って退院していく患者の
ありがとうございましたの言葉に笑顔で答えながら将来感染症でわけもわからず
苦しみぬいて死んでいく患者の様子を想像してその場でビュクビュク射精するよヽ(´ー｀)ノわかる
つーかヒロフ絶対これ武勇伝としてしか見てないだろ

>>685
ResourceHackerで表示されるSNとPW
でトライしてみて欲しいんだが。

>687
落ち着け、そして少し休め。

正規レジスト済みユーザーが被害を受けるケースはこんな感じかな？

HDD昇天などでシリアルを無くした
↓
作者にシリアル再発行をお願いしたが拒否された
↓
割れシリアルを使おう。自分は正規レジスト済みユーザーだから問題ないはず
↓
トロイ発動

>>640
不自然なのは君の頭の中だと思うぞ。

>>652
果してそれが可能なのかな？
単独配布だとレジストリーは如何なんだろうね？
レジストリーに設定されているべきものが設定していないと動かない可能性が高いと思うが・・・
こればっかりはテストしてみないと判らんな。

トレンドマイクロさんとことInternetﾜｯﾁの中の人ノリノリだな。見てたら改めてお礼を言わせてもらう。
このたびは解析及びニュースを等でのお仕事大変ご苦労さまでございます。
ますますのご活躍をお祈りいたします。

>>688
何でリソースに書いてあるんだろうね。bcc++でとか、こういう仕様になる場合もあるの？

ネットランナー次号のタイトルは、
「SoftEtherで機密情報をぶっこぬき！」

>>684
誠実な防御線を張れば、お客が減るだけ。
だからおびき寄せておいて網にかけてお金を請求。
お金の入るほうを選んだんだよね。おとり捜査は効果あるから。

>>687
(´・ω・`)つ旦　よく冷えた緑茶ドゾー

(´・ω・`)　そして、乙でした。

>>690
もっとありがちなケース

誰かが「これ使いなよ。」とソフトと不正シリアルを渡す。
貰った素人、何もわからず発病。

もちろん、加害者は不正シリアルを渡した人間なんだが、被害者は完全にとばっちり。
不正シリアルと分かっているなら「これは不正シリアルです」と表示するべき。

>>692
いや、5.02ではリソースにSNとPWは見られなかった。
それが、5.05・5.06ではSNとPWがリソースに見られるようになった。
おそらくヒロフが仕掛けたトラップだと思われる。
もし、ResourceHackerで見られるSNとPWを使って、
トロイが発動したならばヒロフは悪意の塊であることがわかる。
ヒロフはわざと罠にはめてトロイを発動させ、
個人情報をぶっこ抜いて、その情報を用いてﾜﾚｻﾞｰから
金をせしめようとする図式を描いていたことになる。

>>696
っというかさぁ、不正利用者を撃退したいのなら高度なレジストリを用意して不正件数を減らすのが普通だし
通常はプロダクトＩＤと絡めることで殆ど不正不能に出来るからそうするのだが、
こいつがアフォなのは、よりによって不正コードを割れ易くして配布しているところ。
これだと幾らでも不正されてしまうから本末転倒でトロイ被害は単に作者の腹癒せ解消にしかならんだろうに。

>>697
もしそうだとすると、ヒロフは最低の糞野郎だな。
さっさととっ捕まっちまえよ、と思う。

>>697
いやあ、でも普通リソースに埋め込む人いるかなあ。いくら罠仕掛けるにもリソースよりプログラム組んだ方がいいと思うんだけど。。。
#俺くらいじゃないか。リソース見た馬鹿は

ついでにVigilで見た結果。このくらいしか有用なものはなさそうだった。

GET /authors/VA013315/sendmail.htm HTTP/1.1
Host: hp.vector.co.jp

HTTP/1.1 403 Forbidden
Date: Thu, 07 Jul 2005 15:55:50 GMT
Server: Apache/2.0.54
Content-Length: 350
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /authors/VA013315/sendmail.htm
on this server.</p>
<p>Additionally, a 403 Forbidden
error was encountered while trying to use an ErrorDocument to handle the request.</p>
</body></html>

MSは匿名でのﾀﾚｺﾐでも、内容が行動するに足ると判断したら動きますよー

本当に自分のプログラミングの腕に自信があるのなら、
絶対に割られないようなセキュリティを考える方向に意欲を向ければいいのにね。

20年ぐらい前のプロテクト解除関連の本(今で言うとネトランみたいなもんかな)に載ってた
「究極のプロテクト」(当時はSNとかPWとかではなく、コピーそのものをできなくするのが主流)

　　　　　「誰もコピーしたいと思わないような糞ソフトを作れば良い」

だそうだ。

>>702
至言だな

仮に「ウィルス罪」がある国のユーザが使って実際に被害が出た場合
その国の法律で起訴→収監となるわけだよね・・・










　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ちょっとメールしてくる。

酢マンコ(´ー｀)取り乱した
5.02の時点でProductIdからなんやら一式抜いてhotmailに送ってるから
そっちの方もバックグラウンドとして見ていきたいですよ

vmaware持ちですが，試してみました．
埋め込んである SN:03972714, PW:NNVLOPYL の組み合わせで登録完了，
裏で木馬が動き始めました．　ブービー・トラップです．

筑波の木馬除去は簡単なので（トレンドマイクロのweb等を参照），
SygateのPersonal Firewallでガードした上でお試し下さい．

>>706
作者がニヤニヤしながらトラップを埋め込む様子が目に浮かぶようだ。

ﾄﾚﾝﾄﾞも解析を進めていることだし、週明けには進展あるかな？
つか、ﾄﾚﾝﾄﾞ社員もここみてたりする？

まあ最初にﾜﾚｼﾘ対策のコード追加した時にリジェクトすべきSN, PWのリストを
リソースに埋め込んでて，それが盲腸のように残ったままになっていた〜
〜と考えられなくもないですが，やっぱり意図的なトラップでしょうね

>>700
今ベクターの作者のページが閉じているので、ＧＥＴの応答としてはそうなるね。
トロイが作者のページへアクセスしていたことだけはわかる。

不正なデータ収集にベクターが利用されてたのは，
これから問題になりそうですね

VCReportをpo3.lcv.ne.jpの25番に接続するのはメール送信のためってこと？
lcv.ne.jpは他のプロバイダから送信できるようになって
いるんでしょうか？
できなくても、筑波に送るようになってるから問題ないけど。

>>712
http://www.mm-labo.com/computer/linux/mail-telnet-smtp.html
まあｔｅｌｎｅｔでもメール送信できますが。

>>712
http://www.google.co.jp/search?hl=ja&lr=&sa=G&q=%22po3.lcv.ne.jp%22
の結果の太字部分をながめるとメールサーバであることがわかります。

>>706
ありがとうございます。
リソースまでトラップ埋め込んでいるとは
かなり用意周到ですね。
裏口の前にわざと見つけられるように
鍵を置いておき、泥棒がその鍵を見つけて
家の中に入ったらトラップが発動して、
泥棒の身ぐるみを全部はがして
（身分を証明できるものなどを奪い
逃げられないようにしておいて）、
その上、警察に突き出されたくなかったら
金を出せと恐喝したってところか。
そう考えるとかなりえげつないな。

>>713
それは”telnetクライアント”で接続できるだけ。telnetのプロトコルでメールサーバーで接続できるわけじゃない。
知ったか乙です＞＜

>>716
フォロー、ありがとう。

>>712ですが、すいません文章が非常におかしかったです。
VCReportっていうのは、古田君に送信するメールのタイトルです。
>>713-714　ウオーサンクス。
ふつうプロバイダ外から送信できないとか、いったんメールを受信しなければ
送信できないとかあるような気がして
その辺どういうことなのかなと不思議に思いまして。

>>718
どっかで聞いたことが・・
http://e-words.jp/w/SMTP20Authentication.html
かな？

>>718
ちなみに、うちのメール・サーバーはやってないです。

>>693
ﾃﾗﾜﾛｽｗｗｗｗｗｗ

>>718
ちなみにPOP3とはメールの受信に使われるプロトコルです。
SMTPはメール送信に使われるプロトコルです。

POP3の認証を利用し、認証が行われたIPアドレスから時間を限定して
SMTPによるメールの送信を許可するという仕組みである。
↓
いったんメールを受信し、認証が正常に終わったなら
一定時間内にメール送信ができるということ。

>>718-719 >>722 解説ありがとうございます。

確認したいのはこのトロイはsmtpサーバはもっていない。
MAPIとかいうのを利用した場合の接続するsmtpサーバはどうなるか？
po3.lcv.ne.jpなのか、不正ユーザが利用しているsmtpサーバなのか？
とかしりたいーん。

lcv.ne.jp、そこのユーザに確認してみないとわかりませんが、
もし2002年当初からlcv.ne.jp外からのメール送信が不可能だった場合
ほとんどのメールを筑波大学で受信していたと思われますね。

>>657
案外、その筋のデータが抜かれてて、水面下で動き出してたりして。ヒロフはパンドラの箱を開けちゃったんだよ、いろんな意味で。

>>722
> いったんメールを受信し、認証が正常に終わったなら
> 一定時間内にメール送信ができるということ。
そいつはPOP before SMTPだな

>>724
アホの相手すんなや
アホ＝筑波生とかだろうけどな

トロイではなく、ふつうにメール送信だけするプログラムなら
smtpサーバみたいな、でかいサーバ用プログラムはいらないですよ。

> MAPIとかいうのを利用した場合の接続するsmtpサーバはどうなるか？
普通に送信できると思います。サーバ側がPOP before SMTPとしても
コーディング次第でメール送信できるはずです。

>po3.lcv.ne.jpなのか、不正ユーザが利用しているsmtpサーバなのか？
メールサーバであることは確かです。Vectorに問い合わせればわかると思います。
普通に考えて不正ユーザが利用しているものではないと思いますが・・

>>727
「サーバ側がPOP before SMTPとしても」はムリです。（訂正）

ありがとうございます。
わかってないのに聞いてしまって余計にわからなくなってしまいました〜。
MAPIというのをソフトがどのように利用するか調べて出直してきます。

>>728
po3.lcv.ne.jpが「POP before SMTP」の場合
被害者のではなく作者のアカウントを使えば可能ですね。

http://www.ichigobbs.net/cgi/15bbs/gamesoft/0147/723

ヒロフ＝めかる説ってホントですか？

>>732
まじっすか(;´Д`)俺も知らなかった

>>723
送信先がそのメールサーバ上のアカウントであるなら簡単に送信できるが、送
信先はどこ?

po3.lcv.ne.jpというpopサーバを立てた？ら
mail from :[email protected]
rcpt to :[email protected]
...
とかやってます。

いや、smtpサーバですか？よくわかりません。

よくわからないものを無理して使うと、えらい目にあうから気を
つけな。好奇心は猫を殺すって言うだろ？

ということは、古田さんのところにメールがいっちゃったってことかな？
あちゃーー。

>>735
SMTP でしょうね。それだったらリレーするわけではないので POP before
SMTP も関係ないです。どこからでもメールは送れます。

インターネット・ウォッチ
ttp://internet.watch.impress.co.jp/cda/news/2005/07/08/8340.html

>取得した情報の送信先は、Vocal Cancelをダウンロード配布していた
>ソフトウェアライブラリサイト「Vector」内に設けられた作者のホーム
>ページエリアに記載されたアドレス

>>735
それが古田君のメールアカウントか。

>>741 いや、古田君じゃなくてヤスフのメールアカウントですw

むなしご

>>697
ごめん。リソースに埋め込んでればバイナリエディタとかで見られるじゃんね。
トラップかも。

>>735
メアドでぐぐってみた。汗

御柱祭りですな。
ﾔｼｰﾛ忘れてた。

Sonata ArctivaのTakatalviはいいアルバムだと思うよ。
最近はラムシュタインがお気に入りだけど。

#解析のログまとめてますが地味にめげそうです。

Modified!!

メールアカウントとメールサーバーのログイン名，パスワードを全部木馬の中に
埋め込むのはヤバイと思って，情報を分散させてたのかな？

>>745
・・・・み、見なかったことにしようぜ？(´Д｀;)

$ telnet po3.lcv.ne.jp 25
Trying 202.122.193.21...
telnet: connect to address 202.122.193.21: Operation timed out
telnet: Unable to connect to remote host

po3.lcv.ne.jpの25/tcpは開いてないね。

$ host -t mx po3.lcv.ne.jp
po3.lcv.ne.jp mail is handled by 10 vc.lcv.ne.jp.

$ telnet vc.lcv.ne.jp 25
Trying 202.122.193.41...
Connected to vc.lcv.ne.jp.
Escape character is '^]'.
220-InterScan Version 3.81-Build_1061 $Date: 10/25/2004 11:23:0022$: Ready
220 mta2.lcv.ne.jp ESMTP Postfix
HELO hirofu
250 mta2.lcv.ne.jp
MAIL FROM: [email protected]
250 Ok
RCPT TO: [email protected]
250 Ok
RSET
250 Ok
QUIT
221 Bye
Connection closed by foreign host.

MXレコード引いたらISVWがちゃんとお返事してくれました。
ウィルス対策もできてるね偉いよヒロフ。

>ウイルスタイプ: トロイの木馬型
>破壊活動の有無: なし
>別　名: ヒロフ

ヒロフで吹いた

なんかついていけないｗ
誰かヒロフの抜いた情報で悪用できそうな事まとめてくれ。
■WindowsのプロダクトID
割尻として使える？
■メールアカウント
他人のメール盗み読み？
■アドレス帳
第三者のメアド他各種個人情報収集？
■レジストリの情報
他のソフトのシリアルが入ってる可能性も？

■ダイアルアップアカウント
不正アクセスに使える

これって、Outlook以外のメールソフト使っても防げない？

SoftEther嫌いな人って多いんですね。
なんでだろ？

鯖管としてはこの上なくウザいツールだから。

>>723
Socketで25/tcp直叩きとかではなくて、MAPIを利用してるのはMX引くからかもね。
頭隠して尻隠さずだよな。だせー。

>>756
管理者側からすると、ネットワークの穴になるから

SoftEtherって何のことか分かってない人間もここにいる。

金払ってまで、ボイスをキャンセルしたかった気持ちが分からん。

穴どころか大穴になるのでは。
ウチの会社は「使用禁止」と明確に謳っています。

http://www.softether.com/jp/download/　から転載。

5. SoftEther による事故の発生を予防する方法

もし万が一社員がネットワーク管理者に無断で SoftEther をコンピュータにインストールしてしまい、
且つ外部の仮想 HUB に接続してしまった場合は、結果として管理者が意図せぬ通信パケットが発生し、
社内のファイルなどが外部に流出したり、逆に外部から SoftEther をインストールしたコンピュータを踏み台として
攻撃が行われる可能性があります。

従いまして、ネットワーク管理者が許可していない SoftEther のインストールを防ぐ必要がありますので、
以下のような方法で対策してください。

* 一般ユーザーに Administrators 権限を付与しない。
　　　社内 LAN 上の PC を利用する一般ユーザーに対して Administrator 権限を付与していると、
　　　SoftEther をコンピュータにインストールすることができてしまう。
　　　そもそも、全社員が管理者権限を持っているようなネットワークでは、
　　　SoftEther とは関係無く非常に危険な状態であるため、注意が必要である。
* 社内 LAN への私物のノートパソコン等の接続を禁止する。
　　　社内 LAN の HUB や無線アクセスポイントに対して、社員が持ち込んだ私物のノートパソコン等の接続を許可していると、
　　　SoftEther をインストールした PC が接続されることがある。
　　　私物の接続が容認されているような社内 LAN では、元々、SoftEther が無くても
　　　接続したノートパソコン経由でファイル等が流出する危険性が高いため、注意が必要である。
* またSoftEtherに限らず、管理者が許可していないソフトウェアのインストール禁止の徹底、
　　　可能であればツールによる各ＰＣの導入ソフトウェアの状況を監視することなども管理として重要である。

　上記のような処置を徹底することによって、社内 LAN からの情報の漏洩やウイルス・ワームの広がりなどを防ぐことができます。
　　もちろん、上記のような対策は高いセキュリティを必要とする社内 LAN においては当然の事項であり、
　　上記のことが徹底されていない職場などにおいては SoftEther の有無に関わらず、セキュリティ上の危険が存在していることになります。


盗人猛々しい。

社内LANだったら使ってるヤツ解るから見せしめにクビにしてやればいいんじゃね？

ごめ。誤爆した

いや、SoftEtherそのものは、非常にすばらしいコンセプトのソフトだと思うよ。
セキュリティフェチや、無能アドミニストレータ、低脳経営者にとっては頭痛の種だろうが、
そもそも「裏切り者には勝てない」のがセキュリティの本質、「裏切られないようにする」
ための努力を放棄する方便でしかない＞SoftEther敵視

・・・・なんだが、それを作ってる人間がなぁ・・・。

裏切り者は抹殺するのが最高のセキュリティ。

まあぶっちゃけSoftEtherより登が嫌いになってくるんだよな。
妬み・やっかみもあるがそれは決して故のないことじゃない。

するぞするぞするぞ！
ハードにModified!!するぞ！

>>766
バカにハサミ渡すバカも徹底的に殴らないとバカがつけあがるからね。

>>762
最新版だと管理者権限なくても入れられるみたいな事書いてなかった？

>>762
おまえに言われたくねーよ
見たいな事が書いてあるな。

>>766
まあ、確かにそれはそのとおりなんだが、

「こいつは裏切った」ってヤツを抹殺するうちに

「こいつ、裏切っているんじゃないか？」とか
「こいつ、そのうち裏切るんじゃないか？」とか
「こいつ、そのうち裏切るに違いない」とか

そういう疑心暗鬼に負けてしまうのが人間の常でありまして。
しかも、そういう「疑心暗鬼」を持つ人間は、「抹殺できる権限を持つ」ような人間が多い。
なぜならそういう人間は「疑心暗鬼で人を信じない」がゆえに、その地位まで上り詰めることができたから。

まああれだ、「裏切り者には勝てない」のなら、「裏切ることが出来ない」ように、
縄で縛るか、「裏切ろう」って気を起こさせないぐらいに厳罰にするか
逆に相手をもてなして気に入らせるか、それが今後のセキュリティの柱なんだろうなとは思う。

「セキュリティ・パラドクス」なんてのもあるしさ。

まあ一般ユーザーに管理者権限を渡すこと自体が自殺行為と言える罠。
うちはBIOSでCD-ROMとUSBを使用不能にして、BIOS自体もパスロッ
クかけてある。ファイルの外部持ち出しは、キー＆スクショロガーが
常時稼働してる専用マシンからのみ。

ネットワークハブは鍵付きロッカーに収納してあるし、端末のケーブ
ルを抜いたら鯖側にアラートが出る。

‥‥前職の鯖管がパラノイアっぽかったんで。

>>772
実際最近そのぐらいせんと無茶するユーザが多いぞ。
最低でもCD-ROMは殺せ。

>>771
結局、自由度を無くせってことになるから始末が悪い。
管理というのはそんなものでしかない。

理想を掲げれば、操作者全てのセキュリティに対する知識とモラル向上を説くわけだが
所詮それは理想でしかなく、管理を全面に押し出すのなら自由度を縛るしかない。

やれやれ、困った世の中だな。
自由度を求めて進めて来た改革が結局パーってな。

>>771
社内LANならやり方次第で使ってる個人の特定は容易に可能だろ
会社に京都府警が乗り込んで来たら色々不都合だろうしな
それを思うとごく潰しを数人切るなんて朝飯前だろ

>>772
>まあ一般ユーザーに管理者権限を渡すこと自体が自殺行為と言える罠。

少なくとも、ローカルマシンにはAdmin権限がないと使い物にならないしなぁ、Windowsは。
Admin権限だかSystem権限だか知らんが、一般のユーザー権限では
「タスクバーの「日付と時刻」すらダブルクリックしてカレンダー表示できないってどうよ？

>>769
や、VPNドライバロードするわけだしAdministrator権限は必要でそ。
Linux版は既定のListenポート(443/tcp)を1024/tcp以降に設定変更すれば
rootなくても使えるらしいね。

>>771
たしかにねぇ。良心的な意味で裏切ろうという気を起きなくさせるのは重要だわな。
信賞必罰しかないんでないかなと思うね。

>>775
>それを思うとごく潰しを数人切るなんて朝飯前だろ

実際に「やらかした」という証拠をがっつりつかんでるならともかく、
「こいつ、やらかしそうだ」とか「こいつ、将来絶対やらかす」なんてので
首切ってたら、国に怒られますよ（ｗ

> 信賞必罰しかないんでないかなと思うね。

信賞必罰で犯罪件数はある程度減らせるのだが、撲滅することはできない。
それが人間なんだよ。

>>772
いや、パソコンの筐体をあけられたら終わるが。。。鍵かかってる？

>>776
プリンタ変えればインストールでAdmin持ってるヤシが一回りせないかんし。
漏れんとこは基礎研修だけ受けた社員にAdmin渡して20台単位ぐらいで
管理をしてる。
その社員は当然便利屋扱いされて自分の仕事に差し支えるわけだが（ｗ

>>776
うちのデスクトップ画像は、その月のスケジュールが貼ってある。
鯖で更新すれば勝手にクライアントへ適用されるから、便利と言えば
便利かな。

一般ユーザーでカレンダー表示ができないとは知らなかったよ。(w

>>778
がっつり掴む前に切ったらあかんがなｗ
ユーザーが限定されてる社内LANなら掴むのも簡単だと思うよ
>>774
現在進行形で規制でがんじがらめにする流れだろうよ
どこに自由度を増す改革が走ってんのかね？
NET黎明期はほぼ全てが自由だったはず

>>780
それもBIOSでソレノイドロックがかかってる。
COMPAQはそういうところをきちんとしてるからいいよ。

思うにね。ローカルでもシステム関与の部分でadministratorとuserが完全分離すりゃ
問題も最小限に食い止められると思うのだな。
アプリインスト、レジ書き込み必須のプログラムは、各userpartitionで受け持ち。
基幹に関しては一切合切administratorのみ。

無理か。Winじゃ。

>>779
キティガイの発作の可能性を100パー潰すのは無理で、予め損失は見込んどかないといかん。
工事現場で規模によって死人の数を事前に見積もって予算組んどくのと同じように、
ダメージコントロールできる体制を敷いておくべきなんだろうな。

ごめ。ここVCスレだったな
いい加減スレ違いっぽいんで退散します

俺はROMってたけど結構おもろい話してたと思うで？
別に深夜だしいいんじゃね？

>>759-786だと>>767以外スレ違いだなｗ　スマソ。
まあ楽しかったけど。

ヒロフ脳
ヒロフ体
ヒロフ社会的地位←Modified!!

>>767
さよなら父さん・・・

>>789
そういう話はどこのスレでやってるの？

セキュ板

ありー行ってきま

↓録音先生

>>792
この話題に限れば、SoftEtherスレとかLANセキュリティ総合みたいなスレを探せばいいのかな。
板ならセキュ板、通信技術、Unixあたりか。
N速＋なんかでもセキュリティネタだと結構どこからともなく人が涌くよね。

セキュ板はバカが居座って無駄に抵抗してるので他板のほうがいい

例えば>>795のような奴とか
よって通信技術板の方がよいかと

>>786
すまん、言いたかったのはそんなことじゃない。
Vocal Cancelの作者の行なったこと、それと不正行為と知りながらお気軽に不正使用をしている割れ厨。
どちらも高文化圏の住人に相応しくない程度のモラルしか持ちえていない。

国（国民）が真剣に教育を施し文化人に相応しい人物に育て上げている訳だが、現実として
高文化圏の住人に相応しくない程度のモラルしか持ちえていない人が多く存在する。
衣食住に困らず、教育も十分過ぎるほど受けているにも関らずだ。

お前がやるなら俺もやる。
なんと軽薄で愚かな理屈なんだろう。
日本、いや先進国の法律でそれを認めているところなどありはしない。
人間としての自覚に欠け、人権とは何かすら理解しようとしないその様は嘆かわしい。

はー、やな世の中になったものだ。
こんなのならまだ集団主義の農耕文化に戻ったほうがマシだ。

スレあるじゃん

SoftEther VPN User-mode Router 2.0
http://pc8.2ch.net/test/read.cgi/network/1103732200/

>>799
どっか共産主義の国に引っ越せば？

必死こいて話そらそうとしてるだけ
無駄な努力だけどね

あんまり素朴な社会観は披瀝しなくていいよ

おいおい・・・
WindowsのプロダクトIDも盗んでいたのかよ・・・
それは完全に犯罪だぞ。

ヒロフタンの降臨まだー？ﾁﾝﾁﾝ（ＡＡ略）

>>803
心配しなくていいよ、要は躾問題だから。
躾が疎かにされた為、低モラルな人種を多く排泄した結果がこれだ。
そんなだから、管理する側も抜け道を作らぬ単純で厳しいものにするしかない。

まぁ、低モラルな人種が信用されるわけ無くってことだよ。

"牛骨噛む"歌を聴きながら残り少ない脳みそで必死で考えてみたんだけど、
POP3のアカウント情報持ってるんだからメールのやりとりはその時点で可能だし、
メールを漁ればamazonとかの通販のメール見て直接お宅にお邪魔して夕飯ごちそうになることだって可能だよね。
今日のご飯を一合余分に炊かないといけない。。。じゃなくて、調査費1万円はアレだと思うんですけど。

#小指もげそう。

まあ何を調査したかって、「あなたのメールをﾊｯｷﾝして個人情報等を胃袋にポストしました」ってことだけど。
既出ならマジゴメン。

#だれかhttp://www.geocities.jp/troj_hirofu/about_virus.htmlの添削よろしくお。

>>808
「不正キーを入れるといろんなデータを盗んじゃう」

>>796
スレ違いの現況の漏れがいうのもなんだが、そういう「専門家がウヨウヨいて、
一般人にはランダムな全角文字の羅列にしか見えない」ような所って、
やっぱり素人っていうか初心者には厳しいわけで。

プログラム勉強するには、みんなやっぱ「hello world」打ち込むだろ？
専門家や高度に知識のある人ならともかく、一般人のセキュリティ意識ってのの
改革やなんかには、こういうスレでのほほんと語るのが一番いいと思うの。

とか言ってるうちに、GNUからHello worldを見つけたんだが
これマジですごいな。
http://ftp.gnu.org/gnu/hello/
http://www.gnu.org/software/hello/hello.html
本体とそれ以外の機能やコード量の違いがすごすぎ。
ヒロフたんなんか、GNU Helloに比べたら小物だとつくづく実感する（ｗ

>>808
乙カレー！　大変貴重な資料ですね．