04/09/23 21:20:34 62NRg8JO
>>950 流れが速すぎて状況確認できんのよ すまんこ
時間差みたいなことをいってる人がいたみたいだが…
952:[名無し]さん(bin+cue).rar
04/09/23 21:21:52 b+is4Zm9
これで京都父兄がまったく動かなかったら父兄が第一容疑者
953:[名無し]さん(bin+cue).rar
04/09/23 21:25:46 WWPl3lDC
>>951
いやいや、わざわざスマン。ありがとう。
悪趣味とは思うがヲチ面白いなぁw
慌ててウィルススキャンしてるの見てると面白すぎるw
954:[名無し]さん(bin+cue).rar
04/09/23 21:28:10 sOLz9K12
>>950
自分がアップしたファイル名がわからないので、完了後に一番上にある画像のリンクが使われるらしく、
複数同時にアップされたような場合、同じファイルを指してしまうことがあるらしい。
ファイル自体は、アプロダに個々に存在してるので、リンクだけが同じになってしまっている。
955:[名無し]さん(bin+cue).rar
04/09/23 21:30:17 xduUn+v/
新種というか>>867の詳細
原種/亜種ともに
Software\Borland\Locales
Software\Borland\Delphi\Locales
Software\Meropa
が存在。DelphiとMeropa使いの犯行
Software\Microsoft\Microsotf
このオチャメな行はなんだろう↑?
Maropa2chなる文字列もあるが、ユーザーエージェントか? これを弾けばBBS投下はとまるかも
今度はBBS投下文字列を少しいじって
【コンピュータ名】【ユーザー名】【今こんな事やってます】になってる
メール欄には「私は升ツールを使用しようとして 罠にかかりました」と表示
ターゲット板が、ネットゲーム、ネトゲサロン、ち~と、雑談系2、厨房!に変更
感染プロセス名は sugoimonoss.com
SS投下先は URLリンク(up.isp.2ch.net) で同じ
わざわざ、閲覧しやすいように URLリンク(v.isp.2ch.net) に変えて投下SSを案内
コンパイル時の差異によるバイナリ差があるので、オリジナルに第三者が手を加えた
ものではなく、オリジナル開発者による、パラメータ変更の第二段と考えるべきだろう。
以上、おわり
956:[名無し]さん(bin+cue).rar
04/09/23 21:30:37 adI/sxzM
壁紙やアイコンが見えない状態のSSは成りすましが可能なので注意だな
957:[名無し]さん(bin+cue).rar
04/09/23 21:31:26 y1QaqjMm
俺は実行したくないけどFW超える物なのか?
EXE単位で許可するFWなんだがこいつをスルーするのか?
958:[名無し]さん(bin+cue).rar
04/09/23 21:33:27 cDvdfQLH
>>957
スルーする訳ない、安心汁
959:[名無し]さん(bin+cue).rar
04/09/23 21:35:20 fWYTZuQ9
>>957
ホワイトリストで許可を出してるFWなら大丈夫だろう。
何を使って、どんな設定にしてるのかわからんけど。
960:[名無し]さん(bin+cue).rar
04/09/23 21:35:37 62NRg8JO
>>954 ありがとうさん
>>955 解析おつかれさん
961:[名無し]さん(bin+cue).rar
04/09/23 21:36:55 xduUn+v/
f/wに関しては、ポート指定物は無力
アプリレベルで止めるものでも、そのうち、ありがちなアプリ名に偽装
した亜種が出てきたら、見分けつかない。 プロセス名は簡単に変えれるっぽい。
962:[名無し]さん(bin+cue).rar
04/09/23 21:44:00 adI/sxzM
あとProxomitronとか狙い撃ちされたらFW効かなくない?
963:[名無し]さん(bin+cue).rar
04/09/23 21:46:54 o03myoTB
今んとこ2種類だけか?
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕56B9
〔CRC32〕FC57D234
〔MD5〕 b7921479f8a9079c59c20ef5964338e4
・苺キンタマ(亜種)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕775A
〔CRC32〕022A1F64
〔MD5〕 5f323255060be4ddf715fa8fa88f883a
964:[名無し]さん(bin+cue).rar
04/09/23 21:47:24 rREsfmrT
>>864の~ol25.zipをダウンロードして解凍してみたらconfig.txtだけ解凍に失敗した
なんでだろう
965:[名無し]さん(bin+cue).rar
04/09/23 21:47:36 cDvdfQLH
その内作者がShareにウィルスのソース流しそうな予感
966:[名無し]さん(bin+cue).rar
04/09/23 21:48:53 h0nUPIzO
>>965
ガクガクブルブル
967:[名無し]さん(bin+cue).rar
04/09/23 21:51:06 h0nUPIzO
つか、これって知り合いが感染しても自分のデータが流出する可能性があるんだよな?
968:[名無し]さん(bin+cue).rar
04/09/23 21:51:47 3I9wKrJu
>>964
readmeに書かれているが関係してるのかな?
解凍するだけでエクスプローラが落ちた_| ̄|○
969:[名無し]さん(bin+cue).rar
04/09/23 21:51:50 xduUn+v/
>>963
>>864の config.txt(今のとこ苺キンタマ亜種)で、
漏れのとこに保護してあるのは
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
なんだが……?
970:[名無し]さん(bin+cue).rar
04/09/23 21:52:08 OVqRCEPB
>>967
嫌がらせでやる奴いるかもな・・
971:[名無し]さん(bin+cue).rar
04/09/23 21:56:22 r3qqNy/W
これってファイルをダブルクリックしなければ大丈夫なんでしょうか?
972:[名無し]さん(bin+cue).rar
04/09/23 21:57:24 h0nUPIzO
>>971
亜種も出てきてるしその考え方はよくない
973:[名無し]さん(bin+cue).rar
04/09/23 21:57:29 cDvdfQLH
うん
974:[名無し]さん(bin+cue).rar
04/09/23 21:58:30 h0nUPIzO
亜種情報
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、解凍後にラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。
975:[名無し]さん(bin+cue).rar
04/09/23 21:58:49 cDvdfQLH
Delphi程度の言語でしかウィルスを書けない作者が、Windowsのセキュリティホールを利用した
ウィルスを開発するなんてまず無理なんで、とりあえずクリッコしなけりゃだいじょーぶさー
976:[名無し]さん(bin+cue).rar
04/09/23 21:58:49 y1QaqjMm
俺ならIEを起動してうpろだに書き込むようなプログラムにする
2chに無理に書く必要は無い
IEに許可与えてない奴は居ないだろうしな
ウイルス感染がばれ易くなるから、マウス、キーボード操作がある一定時間無い時をAFKだと認識してUP
SSは定期的に溜め込んで置く
977:[名無し]さん(bin+cue).rar
04/09/23 21:58:53 r3qqNy/W
>>971
そうですね・・・。うかつにアップローダのファイルも開けない状態になってしまった・・・。
978:963
04/09/23 22:00:13 o03myoTB
>>969
漏れが書いてる亜種は>>864のアプロダと同じとこにうpしてあった
URLリンク(picopico.dip.jp)
これ↑のなかの「AretoolTest25~.exe」ってやつ
バイナリのなか見たら亜種クサかったんで
ちなみにこいつ↓を落としたんだが、964氏と同じでconfigが解凍できなかった
URLリンク(picopico.dip.jp)
979:[名無し]さん(bin+cue).rar
04/09/23 22:00:24 cDvdfQLH
svchost.exeとかにするな俺なら
980:[名無し]さん(bin+cue).rar
04/09/23 22:00:35 wowdpe/L
>>964
漏れも。解凍はしてないけど、解凍ソフトのメニューで右クリックをしようとしたらメニューが表示できないとか言われてびびった。
一応感染してないかどうか調べようとして、ファイル検索では見つからなかったがレジストリエディタでsugoimonoss.comがヒット(;´Д`)
びっくりしてよく見て見たらWindowsの検索履歴だった罠・・・驚かせるなよ_| ̄|○
981:[名無し]さん(bin+cue).rar
04/09/23 22:05:12 Q+leSqll
>>969
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC32〕FC57D234
〔MD5〕B7921479F8A9079C59C20EF5964338E4
〔SHA1〕722BB2E6D12167F005E1935B2D3E01229DD30CC5
・苺キンタマ(亜種)
〔ファイルサイズ〕699,392 Bytes
〔CRC32〕2A8BEBAA
〔MD5〕3EC55FBC1036ECF95F5EC15DFBD94DD1
〔SHA1〕3FA0EC2C7062367E7C0ABD0FE43884504906FD11
こんなのか。
982:[名無し]さん(bin+cue).rar
04/09/23 22:08:13 7p6CJmmF
>>969
漏れはWinRARで解凍したら「パスとファイル名の長さの合計は 260 文字を超えることはできません」と出たから、Cドライブ゙直下で解凍したら、解凍できたが、これと一緒ではないか?
983:[名無し]さん(bin+cue).rar
04/09/23 22:08:55 h0nUPIzO
スレリンク(ascii2d板:380番)
このウィルスらしきものは既出?
恐ろしくて直リンできやしない
984:982
04/09/23 22:09:10 7p6CJmmF
誤爆スマソ。>>969ではなく>>978
985:[名無し]さん(bin+cue).rar
04/09/23 22:09:33 xduUn+v/
作成日付も入れとこう
オリジナル 04/09/22 15:57
亜種 04/09/23 14:52
昨夜の騒ぎを楽しんだ後、変えてやがる
986:[名無し]さん(bin+cue).rar
04/09/23 22:10:05 h0nUPIzO
愉快犯かよ
987:[名無し]さん(bin+cue).rar
04/09/23 22:10:10 qRMK2VgF
だれか、もう一回ノートン先生用の定義パッチアップしてよぉ~。
タスクマネージャーで見るとshellsystem.exeが二匹も
いるんだよぉ~。くぞぉ~
988:964
04/09/23 22:10:44 rREsfmrT
同じ奴が多いな
>>982のやり方で無事に解凍できたぞ
989:[名無し]さん(bin+cue).rar
04/09/23 22:11:24 mgVunU57
>>987
(・∀・)コンニチハ!!
990:[名無し]さん(bin+cue).rar
04/09/23 22:11:29 1QD87Wms
馬鹿ばっかだなこのスレ
991:[名無し]さん(bin+cue).rar
04/09/23 22:11:41 fWYTZuQ9
つまり関連スレを巡回してるってことか。
いくつかアイディア出してたやつがいるけど、それが取り込まれた亜種
が流れてくる日も近いなこりゃ。(´・ω・`)
992:964
04/09/23 22:12:48 rREsfmrT
>>988
できたぞってなんか命令みたいだな_| ̄|○
訂正する
同じ奴が多いな
>>982のやり方の通りにやったら無事に解凍できた
configだけ解凍できない奴は>>982の通りで出来ると思う
993:[名無し]さん(bin+cue).rar
04/09/23 22:13:00 h0nUPIzO
誰かが言っててたな製作者がwinnyとかにウィルスソースを流したらどうなるだろうって
994:[名無し]さん(bin+cue).rar
04/09/23 22:14:03 Gd3swaZK
最初のウィルス以前にうpされたファイルはとりあえず安心か?
995:[名無し]さん(bin+cue).rar
04/09/23 22:14:05 AH6SroMo
>>993
nyやってるだけの奴にマシな技術の持ち主などいない
996:963
04/09/23 22:14:37 o03myoTB
>>982
解凍できたよ
トンクス
997:[名無し]さん(bin+cue).rar
04/09/23 22:14:56 xduUn+v/
これのオリジナルは、トロイ開発キットの様相を呈していたから
亜種は簡単に作れるんだろーな。まだ発現させてない機能もある
ようだし。
で、1000取りよろ
998:[名無し]さん(bin+cue).rar
04/09/23 22:15:01 cDvdfQLH
ソース流されたらちょっとパス変えるだけで定義ファイルを回避する事も可能
999:[名無し]さん(bin+cue).rar
04/09/23 22:15:47 A3XC4jaX
1000!
1000:[名無し]さん(bin+cue).rar
04/09/23 22:16:06 JKMNRGue
1000
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。