05/02/20 14:59:26 HKtlrBoV0
>>937
>>502
要するに>>923
940:[名無し]さん(bin+cue).rar
05/02/20 15:03:50 7DVoyCL50
>>939
といより圧縮しただけだろうが
このスレは圧縮も知らない厨房のスクツか?
941:[名無し]さん(bin+cue).rar
05/02/20 15:09:56 1pUDGUTm0
やばげなブツはpass掛けて圧縮したのをupするのがマナーっつーか常識じゃね?
942:[名無し]さん(bin+cue).rar
05/02/20 15:11:53 HKtlrBoV0
普通はそうだね
943:[名無し]さん(bin+cue).rar
05/02/20 15:15:28 R0yRm3XQ0
しつこくやったら落ちてきたわけだが
まず、先生におうかがいを立てるも、未検出。
batの中身はバイナリで、一応、Win32モードのexe
かなり熟練した者の手によるブツらしく、ご丁寧に暗号化され
洗練されていて冗長部がほとんどない
文字列として抽出できて意味を成すのは
USER32.DLL.COMCTL32.DLL MessageBoxA...InitCommonControls
ぐらいで、動作詳細は不明。解析には時間を要する。
944:[名無し]さん(bin+cue).rar
05/02/20 15:15:40 HKtlrBoV0
>>940
煽る前に、バッチファイルなら圧縮してろだ使うまでもなく、
ここにファイルの内容書けば済む話だって理解してくれよな
945:[名無し]さん(bin+cue).rar
05/02/20 15:16:31 7DVoyCL50
うpコメントで説明してると思ったら危険の一言だけか、確かにそれはマナー違反かな
946:[名無し]さん(bin+cue).rar
05/02/20 15:16:36 QiStA37A0
拡張子がbatなだけでバイナリって事じゃないの?
947:[名無し]さん(bin+cue).rar
05/02/20 15:18:16 7DVoyCL50
>>944
うわ、自分で勝手に勘違いしたのを逆ギレされたよ
レス見ると勘違いしてる自治厨みたいだから仕方ないか
948:[名無し]さん(bin+cue).rar
05/02/20 15:18:59 R0yRm3XQ0
追記、フォルダ内同梱のc00~c11は、すべてコード61(a)で埋め尽くされた
完全なダミーファイル。
949:[名無し]さん(bin+cue).rar
05/02/20 15:21:57 aT8DU0a/0
逮捕されたっていいじゃないの ウイルス作者だもの もうだめぽ
950:[名無し]さん(bin+cue).rar
05/02/20 15:31:24 lDr0p4910
解析神が来てくれたので、おとなしく結果を待ちましょう。
あと、スレ立てできる人は、次スレ準備ヨロ。
951:[名無し]さん(bin+cue).rar
05/02/20 15:46:49 1pUDGUTm0
>>950
次スレよろ
ニュイルスでな
952:[名無し]さん(bin+cue).rar
05/02/20 16:04:34 j3U+Riu20
ニュイルスだと餌がこねーじゃん
953:[名無し]さん(bin+cue).rar
05/02/20 16:45:38 Hv8xBnA50
ウイルス作者がここ観てこ踊りしてます
954:[名無し]さん(bin+cue).rar
05/02/20 17:50:40 HKtlrBoV0
暗号化はPeSpinかと思ったが手軽にはunpackできんな
VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見
955:[名無し]さん(bin+cue).rar
05/02/20 18:01:08 71dy6yLR0
>>954
> 暗号化はPeSpinかと思ったが手軽にはunpackできんな
> VPC上で自己解凍したところでdumpして調べりゃいいんだろうけど...
> 無駄に煽られて気力も失せたことだし、深入りせず>943氏の解析に期待して様子見
ぜんぜんわからん
956:[名無し]さん(bin+cue).rar
05/02/20 18:27:49 MH1Y46aK0
>>910
微妙な煽りだけど縦読みね
957:[名無し]さん(bin+cue).rar
05/02/20 18:27:54 XqoPt/Xd0
最近、厨が増えて解析人は生暖かく見守ってるんだろ。
PeSpinみたいなぐぐったらすぐ見つかるネタを、わざわざわからん
なんてここで言うなよ。
URLリンク(pespin.w.interia.pl)
958:[名無し]さん(bin+cue).rar
05/02/20 18:30:03 a05ithsQ0
>>943
taskmen.exeってない?あれば俺も踏んだ。途中で諦めてシステムリストアした。
(一般コミック・雑誌) [ジャンプ] [2005-12] DEATH NOTE page58.ExE
これ踏むとC:\windows\system32\ctfmon.exe作成されてアップロードいじられて
ウイルス散布者になれるよ。このファイルは本物もある。
俺が見つけた偽物は4355KB。
踏んでからタスクマネージャが起動しない。修復方法知ってたら教えて。
起動しようとしてもなにも起こらない。
959:943
05/02/20 19:35:36 R0yRm3XQ0
確かにVPCでログ見たほうが早そうだね。
あーと、期待してる方もいるようだが、
明日〆切りの漏れに何をしろと……すまん。
960:[名無し]さん(bin+cue).rar
05/02/20 19:53:23 JDOgNVM30
新種ってexe動かなくさせるやつと壁紙かえるだけの2種類?
もっとある?
961:[名無し]さん(bin+cue).rar
05/02/20 19:59:31 Dfwcj2dZ0
ハンタのがexe動かないやつで、
デスノ「2択」のが壁紙かえるだけ?
デスノ「胸中」のは?
962:[名無し]さん(bin+cue).rar
05/02/20 20:07:26 tSsymuK00
>>961
「2択の」方は壁紙変えるだけでなく、ウイルス踏んだときのデスクトップのスクショが撮られて
マイピクチャの中にあった。
まあ自分が調べた限りそれがUPされてるわけでは無さそうだったけど・・・。
963:962
05/02/20 20:10:37 tSsymuK00
二択 じゃなく「胸中」だったスマソ
964:[名無し]さん(bin+cue).rar
05/02/20 20:17:29 d165k0Tj0
>>962
俺もほぼ同じだがマイドキュメントの中にできてた。気持ちわるくなったから
削除した。
965:961
05/02/20 20:17:52 Dfwcj2dZ0
>>963
漏れも「胸中」踏んだんだけど、壁紙変えるのと、デスクトップスクショ、
それに、>>884で書いてあるUpdate Tmpフォルダがあったので
とりあえず削除。それで様子見るしかないかな・・・
。・゚・(ノ∀`)・゚・。ガンガロウゼ
966:961
05/02/20 20:38:48 JDOgNVM30
オレは二択の方。
SSはデスクトップに出来てた。
それ以外は何も無い様子。現在はシステムの復元して様子を見ている状態。
なんか出てきそうでこあいよ。
967:[名無し]さん(bin+cue).rar
05/02/20 20:48:36 HKtlrBoV0
↑の人さ、system32の下にunlha32.dllてのができてないか?
968:[名無し]さん(bin+cue).rar
05/02/20 21:02:08 z0gM5Hyi0
>>967
ウィルスに感染してないけど、system32の下にUNLHA32.DLLはあるよ
969:[名無し]さん(bin+cue).rar
05/02/20 21:04:16 HKtlrBoV0
>>968
うん、正規のUNLHA32.DLLは無害だしどうでもいいよ
970:961
05/02/20 21:06:14 Dfwcj2dZ0
>>967
ある・・・更新日時がウイルスにかかった日時・・
(((( ;゚Д゚)))ガクガクブルブル
971:[名無し]さん(bin+cue).rar
05/02/20 21:27:40 HKtlrBoV0
>>970
それも削除しておいて
以下、ですの解析者用メモ
「二択」
Winrarアイコン
OEP=00001268, VB6
「胸中」
Windowsフォルダアイコン
ASPack2.12
OEP=001450, VB6
UNICODEで"USERNAME" "のデスクトップ.bmp", "まだ懲りないの?.bmp",
"\UpdateTmp\","system32\Unlha32.dll"等のテキストを確認可
「偽装解除」
MSDOSアプリケーションアイコン
PESpin 0.3x - 0.4x -> cyberbob(?未確認)
OEP=(?未確認)
972:961
05/02/20 21:58:10 Dfwcj2dZ0
>>971
レスサンクス。削除しますた。
973:[名無し]さん(bin+cue).rar
05/02/20 21:59:37 vzk0vLui0
次スレよろ
↓
974:[名無し]さん(bin+cue).rar
05/02/20 22:15:52 6EgP222R0
Winnyを狙ったワーム・ニュイルス情報 Part34
スレリンク(download板)
975:[名無し]さん(bin+cue).rar
05/02/20 22:50:43 Zzxpz2zE0
デスノートン の「胸中」
てあたりしだい落として
アンチソフト(トレンド、ノートン)オンラインスキャンなども
したけど、検索にかからないね。新種だわ、ブル))
帰られてしまうデスクトップの壁紙って具体的にどんなのになってるの
絵とか字?具体的に教えて、
976:[名無し]さん(bin+cue).rar
05/02/20 23:09:47 0GbOKjpF0
>>498
977:[名無し]さん(bin+cue).rar
05/02/20 23:22:05 HKtlrBoV0
>>975
「胸中」のリソースとして含まれるのは、
BMP壁紙:縦書きの文字”晒されたっていいじゃない 泥棒だもの ぬるぽ”(白地に黒)”ぬ”(赤) 1024x768
アイコン:フォルダの絵(偽装用)、UNLHA.DLLの文字(ニセUNLHA32.DLL用)、白地に黒の時計の絵
978:[名無し]さん(bin+cue).rar
05/02/20 23:35:59 vzk0vLui0
>>974
乙です
979:[名無し]さん(bin+cue).rar
05/02/20 23:59:56 SIcXEarZ0
>>975にもあるけど
各種onlinescan10ヶとNODの結果(Avastとかもやりたいけどインストめんどいのでパス)
デスノ .bat mcafee
デスノ 胸中 なし
HHのやつ mcafee,NODアドバンスドヒューリスティック
まあジョークソフトも含まれてるだろうから検出できなくてもしょうがないのかな…
980:[名無し]さん(bin+cue).rar
05/02/21 00:09:49 YhVXu7wI0
検出できなくて当たり前
できたらラッキー
ぐらいの考え方じゃないとP2Pなんてやってらんない
981:[名無し]さん(bin+cue).rar
05/02/21 00:12:17 0fog3APh0
>>980
勇敢というよりはただの低スキルのバカだな
982:[名無し]さん(bin+cue).rar
05/02/21 00:17:25 YhVXu7wI0
えーと……
俺宛に言ってるのか?
俺はノートン先生とかを過信すんなって言いたかっただけなんだが。
先生に限らずアンチウイルスソフト全般についてだけど。
何か変なこと言った?
983:[名無し]さん(bin+cue).rar
05/02/21 00:20:21 AMAd3tfB0
スーパーハカーがあらわれた!
984:[名無し]さん(bin+cue).rar
05/02/21 01:33:12 bh4iS8+u0
アイアイ
985:[名無し]さん(bin+cue).rar
05/02/21 01:48:05 k+qX7kTh0
ぬゑぽ
986:[名無し]さん(bin+cue).rar
05/02/21 02:02:43 HpZojIy60
_
ミ ∠_)
/
/ \\
ウイーン Γ/了 | |
ウイーン |.@| | | ガッガッガッ
| / | . 人
|/ | < >_Λ∩ >>985
_/ | //. V`Д´)/
(_フ彡 /
987:[名無し]さん(bin+cue).rar
05/02/21 05:20:20 U24+gjSV0
┌─────────────────────────
│985 □ あぼ~ん □ あぼ~ん □ あぼ~ん □
└─────────────────────────
988:[名無し]さん(bin+cue).rar
05/02/21 07:44:14 DdVN9pqi0
こっち埋めんの?
989:[名無し]さん(bin+cue).rar
05/02/21 17:29:49 Mo6AciCQ0
埋めたければ埋めればいい
990:breakdown
05/02/21 18:17:41 2I3XfPPj0
>>958
私もそのファイルを踏んでしまってタスクが起動しない+スタートから終了出来なくなってしまいました。
でsystem32にあるtaskmgr.exeを見たところ色々と変なところがあったので、
他のXPのタスクマネージャーの実行ファイルを見たところファイルの大きさが違いました。10k位と100k位の差
で、その感染していないXPからtaskmgr.exeのファイルをコピーしてsystem32に貼り付けたところ、
ファイルを変えられ、又、10kバイト程度のファイルになってしまいました。
的当に何回か連打して貼り付けたら普段のファイルの容量より大きくなった時があったけどそのまま無視して貼り付けて、放置したところ、
書き換えが起こらなくなりました。
その後、Ctrl+Alt+Deleteボタンを押すと以前の様にタスクマネージャーが表示されるようになりました。
【環境】
XP taskmgr.exeを一応読み取り専用に変えたが効果は不明(書き換えられたから)
もしかしたら、書き換え側でバグが発生しただけかも知れないので何ともいえないですが、とりあえず出来たので(゚д゚)ウマー
ものすごく厨な直し方かも知れないけど一応書きました。
他に良い直し方があったらヾ(゚д゚;) スッ、スマソ
スタート→終了はどうやって直せばいいんだろう_| ̄|○
991:[名無し]さん(bin+cue).rar
05/02/22 02:27:55 3gIbuX9P0
うm
992:[名無し]さん(bin+cue).rar
05/02/22 03:32:22 gWQD1Jfe0
>>990
>>732してクリーンインスコ
993:[名無し]さん(bin+cue).rar
05/02/22 03:49:57 V8VdCyfV0
\∧_ヘ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
,,、,、,,, / \〇ノゝ∩ < 1000とり合戦いくぞゴルァ!! ,,、,、,,,
/三√ ゚Д゚) / \____________ ,,、,、,,,
/三/| ゚U゚|\ ,,、,、,,, ,,、,、,,,
,,、,、,,,U (:::::::::::) ,,、,、,,, まだ早えよ~ܷܵܶ
//三/|三|\ タリー
∪ ∪ (\_/)タリー タリー 1000ってなんだよ~
( ´Д) 猫でし タリー
/ つ (\_/) (\_/)ノ⌒ヽ、
(_(__つ⊂(´Д`⊂⌒`つ(´Д` )_人__) ))
994:[名無し]さん(bin+cue).rar
05/02/22 09:20:05 ADjJsxvZ0
994
995:[名無し]さん(bin+cue).rar
05/02/22 09:21:37 ADjJsxvZ0
995
996:[名無し]さん(bin+cue).rar
05/02/22 09:22:15 ADjJsxvZ0
996
997:[名無し]さん(bin+cue).rar
05/02/22 09:22:47 ADjJsxvZ0
7
998:[名無し]さん(bin+cue).rar
05/02/22 09:23:19 ADjJsxvZ0
8
999:[名無し]さん(bin+cue).rar
05/02/22 09:23:52 ADjJsxvZ0
999!!!
1000:[名無し]さん(bin+cue).rar
05/02/22 09:24:23 ADjJsxvZ0
1000!
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。