山田オルタナティブ(´・ω・)カワイソス @まとめWiki
解 析
最終更新:
Bot(ページ名リンク)
-
view
卵を解析
解析関連のレスを特記します。
ハニーポット
664 名前:[名無し]さん(bin+cue).rar 投稿日:2006/03/01(水) 00:00:54 ID:Ce69xpKt0 まぁここに晒されてるようなSSはどうしようもない無知且つ違法厨ばかりだけど どうでもいいPCでわざと感染してアクセスさせて通報 なんてされたらヤバイだろうなw
665 名前:[名無し]さん(bin+cue).rar 投稿日:2006/03/01(水) 00:01:25 ID:xDScuLhY0 どちらにせよ、暫くは静観する(´・ω・)ス
666 名前:418 投稿日:2006/03/01(水) 00:05:50 ID:ZSLh3vvc0 >>665 同意です とりあえず EXE解析してきます
罪・罰・棚上げ
655 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:46:30 ID:65ufiiHt0 不正アクセスの証拠として被害者が提供するのはWAREZ、エロいぱーいのPC 知らせに来たヌー即民に、逆に説教喰らってた感染者もいる(´・ω・)ス カワイソ(´・ω・)ス 658 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:48:21 ID:Ce69xpKt0 >>655 それがP2Pから広がったウィルスの怖いところ(´・ω・)スね
掲示板に貼り付いたリンク
656 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:47:19 ID:Ezi1qCq00 >>653 >>643みるまえについ右クリで画像保存しちゃったんで すぐ廃棄したんですがOKで(´・ω・)スかね?
659 名前:418 投稿日:2006/02/28(火) 23:51:08 ID:CZRnLcEH0 ログそれでも残りますよ downloadしてるんですから^^; 右クリックで保存ってdownloadですよ 656のPCのIPとその相手のPCのIPと繋がるのでログが残こってます。
663 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:57:29 ID:Ezi1qCq00 >>659 まぁ迂闊だったのは認めま(´・ω・)ス 多分このスレ来た人でDLしちゃった人多いとは思いま(´・ω・)スケドネ 以後気をつけま(´・ω・)ス
ファイルを拾った者の記録
643 名前:418 投稿日:2006/02/28(火) 23:22:11 ID:CZRnLcEH0 >>632 (リンクを直接貼る書き込み) >>639 (リンクを直接貼る書き込み) ここに直接 出さないで欲しい >>639はfileを多分クリックしてるので 開いたところのパソコンのSYSフォルダの中にIPがきっちり保存されてるので (downloadされた場合はログが残っています。アクセスだけなら残らないみたいです) バックドア使って不正にアクセスされました ってことで通知されたら あなたは処罰うけますよ ウイルスに感染(P2Pで違法fileを交換する事自体だめなのですが)して 開いたパソコンでも他国では不正アクセスとして 立証され処罰された判例もあるみたいなので 忠告しておきます。 (日本は新しい事件に対しては海外の事例を取り上げて考えるので!!)
648 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:29:41 ID:j2x4Cycu0 >>643 外国のプロキシ通したらどうなる?
649 名前:418 投稿日:2006/02/28(火) 23:32:33 ID:CZRnLcEH0 プロ串さしても同じです 調査に時間がかかるだけなので匿名ではないです。 介しているプロ串鯖のログなどで追えますし ISPや中継ポイント等通るので最終的に(接続してる端末)まで追えます
650 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:33:20 ID:uLwaCX7K0 >>643 それ以前にこの感染者がそこまでの知識があるかどうかが…(´・ω・)ス
651 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:34:02 ID:M/A0DVjW0 ブラストDみたいに対山田ウィルスみたいなの出て欲しい(´・ω・)ス
652 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:37:02 ID:Ce69xpKt0 >>650 怪しげな.exe踏んじゃうくらいデ(´・ω・)スからね
653 名前:418 投稿日:2006/02/28(火) 23:37:26 ID:CZRnLcEH0 不正アクセスされたと言う事を言えば 専門機関の方がこられて パソコンを持って行き調査されますので 感染元fileとログのある場所がそのままであれば 立証されます。 ちなみに私の知合いの会社で不正アクセス事件が昔あったのですが その時もそういう対応されて 関係しているもの全て持っていかれてました。
次の手
633 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:06:22 ID:IRGTg0qJ0 >>630 前回のように2ch側で規制してもらうのが手っ取り早いとおもいます 厨房板で感染者のホスト規制すれば影響も限定的ですし
トリップを拾って広がる罠
630 名前:418 投稿日:2006/02/28(火) 23:04:00 ID:CZRnLcEH0 新種のウイルスかとおもいました。。 今確認しました どんどん被害が大きくなるかも知れませんね ISPが規制掛けるしかないのかも。。。 感染者(´・ω・) カワイソス P2Pするのがまずいけないのでしょうが ウイルスにより開かれているのを覗いてばらすのもOrz 感染してても見えないように出来る方法があればいいのですが 解析の方 いまノードとかの関わりを調べ中です EXE解析されてる方がいらっしゃったと思うのですが どんな感じなんでしょう。。。Orz
追加されるリンク先が繋がらない訳
629 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:03:11 ID:IRGTg0qJ0 ヲチスレ住人も変わりましたね (´・ω・) カワイソス精神がほとんどない人もたくさんいます 明日はわが身(´・ω・) カワイソス >>627 >>616を見ているとそういう仕様なのかもしれません
627 名前:[名無し]さん(bin+cue).rar sage 投稿日:2006/02/28(火) 22:53:16 ID:XA2SPLyY0 新規であがってるのを見たけど、やっぱり殆ど接続できないものばかり(´・ω・)ス 連絡の手がかりが出る前に落ちちゃってる(´・ω・)ス
616 名前:418 sage 投稿日:2006/02/28(火) 21:45:59 ID:CZRnLcEH0 UPDATEフォルダのtmpXX-node-other の文字の羅列がどうも リストの一覧に使用されてるっぽいっす XXXX Host: XXX-XXXX-XX-XX.XXXXXXX.ne.jp:80 User: PCユーザー名 あと UPDATEのEXE以外を消して再起動すると UPDATE.EXEがノード収集 $mell$nodeに書込みし その後 tmpXX-node-otherに書込み この繰り返しをしてるみたいですね
事の始まりの少し前、ゴミだと思っていたあの書き込みが予兆??
628 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 22:54:32 ID:cWChrHJe0 >>625 宇宙語の正体は、新型[[山田ウイルス]]だった!!! http://tmp6.2ch.net/test/read.cgi/kitchen/1141029535/ >>20 > ∩ねioiYnaccY≪iiいおすぅぅぐおただち∨♯(´・ω・) カワイソス >>23 > >>20 > so(´・ω・) カワイソスnet:80 > 既出 可 こんな感じで・・
新種登場の予感
623 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 22:44:11 ID:cWChrHJe0 復号化して、通信の不可まで添えて 書き込むやつが現れた(´・ω・) ス
どこからトリップを?
593 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 18:49:39 ID:udWMiw6a0 なると続報(´・ω・) ス 【緊急事態発生】 自シ台スレッド6【ウイルステラヤバス】 http://comic6.2ch.net/test/read.cgi/doujin/1141063674/211 211 ウイルス蔓延中!要感染確認@自シ台スレ New! 2006/02/28(火) 18:31:34 ID:/VdyhA3A 種 はファイルサイズの微妙に違う同名のファイル、または別のタイトルのファイルです。 上記で書いた二つ以外は中身はわかりかねます・・・。 http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/637 で出ている解凍不可能と言われているファイルは、zipで中にexeとscrの両方があるようですが、 トリップが違う為 28種内には入れてません。
609 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 21:18:23 ID:IRGTg0qJ0 誰かやったようです。 ダウソしてないので猛者がいたら確認お願いします。 74 名前:ナイア ◆facelesskk [sage] 投稿日:2006/02/28(火) 21:12:12 ID:IbKs+8E60 他所で騒ぎを聞きつけてここに辿り着きました。 騒ぎを起こしているウィルスに少し興味が湧いて調べたので、 挨拶代わりにその副産物を上げておきます。 厨房!板書き込みを復号化するツール バイナリ & ソース ttp://vista.x0.to/img/vi4112793166.zip …ああ、明日朝から飛行機なのに何やってるんだろう。 数時間浪費した。
611 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 21:27:29 ID:IRGTg0qJ0 >>610 そうですね。 どうやら暗号化された厨房板の書き込みを引数として渡せば復号化できるようです。
613 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 21:29:59 ID:XA2SPLyY0 ちゃんと期待通りの動作をする(´・ω・)ス 厨房板を漁ってる(´・ω・)ス 救えそうなのは今のところなし(´・ω・)ス
614 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 21:32:50 ID:IRGTg0qJ0 >>613 これヤバいですね 厨房板にもスレ立ってしまったし
615 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 21:42:03 ID:XA2SPLyY0 ざっと試してみた感じ接続できるホストは少ないのでしばらくは放置(´・ω・)スネ
616 名前:418 投稿日:2006/02/28(火) 21:45:59 ID:CZRnLcEH0 UPDATEフォルダのtmpXX-node-other の文字の羅列がどうも リストの一覧に使用されてるっぽいっす
XXXX Host: XXX-XXXX-XX-XX.XXXXXXX.ne.jp:80 User: PCユーザー名
あと UPDATEのEXE以外を消して再起動すると UPDATE.EXEがノード収集 $mell$nodeに書込みし その後 tmpXX-node-otherに書込み
この繰り返しをしてるみたいですね
ちなみにいまずっとCPU占拠してます UPDATE.EXE
拡散するリンクリストの中
565 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 14:38:50 ID:WzDwXS4X0 先代の場合も感染者側の行動ではなく、うぷろだの対応によって脅威 の低減が図られた分けよね。今回も外的な対処がない場合、感染者が 際限なく広まる恐れが高い。オルタはP2P非使用者へも等しく延焼の恐れ があるから、SSのみならまだしも全ファイル公開の機能があるだけに、洒 落にならんよ。そろそろ感染自覚者の対処法にくわえて、Link抑止等 の体質療法も考えていかんと。 そこで少し調べてみてんだけど、Linkリストの生成アルゴリズムって、 判明してるの?「厨房版の告知レスからノードハッシュを抽出」って話もでてた けど、場合によってはなんらかの方法でリスト生成を抑制できるかも しれん。
