「未整理情報」(2006/02/28 (火) 03:14:40) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
**ぬるぽきけん・・?(´・ω・)
未確認&ぬるぽだったので未整理行き(´・ω・)ス
確認できたら移動しま(´-ω-)ス・・・
460 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/28(火) 02:10:48 ID: 0cLRvJUa0 Be:
Index of /C:/原田君のウィルスだよ
/ C:/ D:/ H:/ SS(Low) SS(High) LINK
--------------------------------------------------------
Parent Directory
NUROPO_KIKEEN.exe 101960 B 2006/02/09 07:15:32
--------------------------------------------------------
Mell-1-0.11 "2"
リンク先見に行ったらこんなのがありましたよ
/H:/share1/down/
[アニメ]ANGEL HEART エンジェル・ハート 第18話「親子の
絆」 (640x360 DivX5.2.1 120fps).avi(空白).exe
この人はこれが多分感染元と思われる
**416さんその2
すんません。まだまとめられない(´-ω-)ス・・・。
なので、そのままペタリ(´・ω・)ス。
448 Name: 416 [sage] Date: 2006/02/28(火) 01:03:08 ID: bWlSBCqT0 Be:
>>416です
七つ子ちゃん(´・ω・) カワイソス 山田ヲチスレ 196 で確認した事纏めておきますね
>>279 試しに各ドライブのルートにindex.html 置いて欲しい(´・ω・) ス
296 :279 [sage] :2006/02/27(月) 23:09:23 ID:GyDN3Oem0
>>289さん ためしにルートにおいて見ますね 5分ほど時間下さいませ。
299 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:10:45 ID:eFYho7Kc0
>>296 ご協力感謝(´・ω・) ス
310 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:13:07 ID:k6yPvPij0
>>305 ってーことは感染してたらルートに適当なindex.htmlを置くことで
外部からのファイル閲覧は回避できるってこと(´・ω・)スカネ?
それなら元をつぶすまでの時間稼ぎにはなる(´・ω・)ス?
311 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:14:38 ID:eFYho7Kc0
>>310 最悪、SSとLinkしか見られない(´・ω・) スね
現時点では最善策かも(´・ω・) ス
313 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:15:29 ID:k6yPvPij0
>>311 なるほど。この件の確認作業してた人乙(´・ω・)ス。
332 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:25:18 ID:CYky8ees0
>>322 実験成功(´・ω・)ス
333 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:25:38 ID:8RtWVWqC0
>>322 横からですが確認した(´・ω・) ス
I BELIEVE... that you're completly lost! HIN と出てる(´・ω・)スね
339 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:27:27 ID:7XYcxW0P0
ルートに適当なindex.htmlを置いても、見れないのはルートだけ、パスを直接入力す
れば見れる(´・ω・)ス
という結果になりました
パソコンに詳しい人相手じゃなければ とりあえずの回避策かもしれません。
450 Name: 416 [sage] Date: 2006/02/28(火) 01:07:19 ID: bWlSBCqT0 Be:
354 :279 [sage] :2006/02/27(月) 23:35:17 ID:GyDN3Oem0
279です
もうひとつ実験に手伝ってもらっていいですか?
今デフォルトのC$の共有を無効化
コンピュータ管理にある共有ADMIN$とIPC$を止めて見ました
(再起動するとまた起動しますが)
これでもアクセスすることってできます?
361 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:37:19 ID:8RtWVWqC0
>>354 普通にアクセスできてる(´・ω・) ス
>>296
サービスでもダメみたいですね
ウイルスの元である
UPDATE.EXEが80ポートと変動ポート番号をあけてますね
SYS.EXEは8080ポートと変動ポート番号ですね
80と8080は固定ですので変動ポートが窓口になってる可能性が高いです。
ノートン先生最新版なので バックドアと言う判断はします^^
ただ 確認のため今は止めてます^^;
とりあえず 仕事の後にやってたのでご飯も風呂もまだっす
それでは帰る(´・ω・)ス
ノシ
乙ッ(´ノω・)ス。
**ある意味分かりやすい
でも、AドライブがあるPCに出会ったことないんで(´・ω・)ス。
CDならいけるかも(´・ω・)スネ。
間違いないのは、相手によるってこと(´・ω・)ス・・・。
449 Name: [名無し]さん(bin+cue).rar [sage] Date: 2006/02/28(火) 01:06:36 ID: p7n/a+pb0 Be:
Aドライブにアクセスすれば気づくかも
354 名前:番組の途中ですが名無しです[] 投稿日:
2006/02/28(火) 00:47:55.93 ID:Tc3Nazus0
ttp://www.uploda.org/uporg323843.jpg
しっかりAドライブ読みに行ってるぞ
**感染して挙動を調べてくれてる416さんGJ!その1
427 Name: 416 [sage] Date: 2006/02/27(月) 22:59:05 ID: GyDN3Oem0 Be:
あと SYS.EXEを実行すると
DOS窓が複数一瞬ですが
いっぱい立ち上がっています。
**ヲチャーは注意?
418 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 22:33:43 ID: GyDN3Oem0 Be:
416です
あと、感染してると
SYSフォルダおよびアップデートフォルダの
_docrootと_tmprootにアクセス出来ないです。
あとダウンロードされたりすると
足が残るみたいで
アップデートの_tmprootだったかな。。。
そこにアップロードされた情報としてファイル名などが残ります
----
433 Name: [名無し]さん(bin+cue).rar [sage] Date: 2006/02/27(月) 23:17:42 ID: /8oLxf5G0 Be:
>>418
こうありますが実際のところどうですか?
981 名前:番組の途中ですが名無しです[] 投稿日:
2006/02/27(月) 23:11:08.04 ID:BYiVMrji0 ?
>>870
たしかに_tmprootにログらしきものはあるけど、
書かれているIPは感染者のIPだな
**update.exeの動作
321 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 15:02:20 ID: qbyFnBjj0 Be:
915 番組の途中ですが名無しです sage 2006/02/27(月) 14:58:26.27 ID:z9atx01c0
とりあれず、update.exeは、12 も12a のどちらのユーザーのも同じだった
さくりと、バイナリで見た感じ、SS取りと鯖機能は入ってそう。
あと2chはなんか、チェックしているみたい、何してるか知らんけど。
鯖のバージョン表記が違うのは別本体があるからですか???
自分にはわからないのでありますが....
**山田オルタ挙動その1
303 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 12:51:56 ID: eYSFwbQD0 Be:
新種山田について
sys.exe update.exe は、Windows XP で新たに追加された sc.exe を使用する。
ウィルスは、cmd.exe /c sc stop "****" というコマンドを 繰り返して実行して
サービスを停止させようとする。
ウィルス検知ソフト、FireWall 等のサービスを停止させようとする。
Windows 98 SE での感染を確認した。
とりあえず、(´・ω・)
**ISOのタイプも?
399 Name: [名無し]さん(bin+cue).rar [sage]
Date:2006/02/27(月) 21:42:56 ID: V42w7Q4A0 Be:
にくちゃんねる見てたらこんなのがあったが、関係ありそう?
WINNYを狙っ たワ-ム・ニュイルス情報PART50
http://makimo.to/2ch/tmp6_download/1138/1138106250.html
973 名前: [名無し]さん(bin+cue).rar 2006/02/07(火) 19:28:58 ID:Cqv1LTB50
【使用OS】XP home sp2
【WindowsUpdateしてるか】Yes
【使用AntiVirusソフト】 バスター2006
【AntiVirusをUpdateしてるか】 Yes
【ウイルススキャンの結果】 cookieのみ反応
【オンラインスキャンしたなら結果】 してない
【Winnyのバージョン】 純正最終
【Winny歴、総DL量】 3年ほど わかりません
【テンプレを読んだか】 一応
【テンプレにある対策を実行したか】何にかかっているのかわからない
【症状、具体的に分かる限りすべて書く】 ローカルのアドレスでIndex of/がでる
【何をしたらそんなことになったのか】 エロゲの磯をマウント
【これまでにとった措置】 何もできてない
(´・ω・)
400 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 21:43:45 ID: V42w7Q4A0 Be:
979 名前: 973 2006/02/07(火) 19:47:45 ID:Cqv1LTB50
share
(18禁ゲーム)[060127] [BISHOP] すくーるヘブン らぶえろハーレム☆ももいろタイフーン
(iso+mds α補修).rar
8f273d858cbe4b90af0cf2833b6ee33e7ff9b79e
986 名前: 973 2006/02/07(火) 20:11:15 ID:Cqv1LTB50
とりあえずupdate.exeの本体(フォルダごと)とレジストリ消した。もちろん感染元も。
んだらローカルでもindex ofは出なくなった。
再起動コワス(((( ;゚Д゚)))
ISOファイルのautorunのタイプの可能性も?(´・ω・)
確認したら亜種゙救済プロジェクトスレまで一報を(´・ω・)ス
**ぬるぽきけん・・?(´・ω・)
未確認&ぬるぽだったので未整理行き(´・ω・)ス
確認できたら移動しま(´-ω-)ス・・・
460 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/28(火) 02:10:48 ID: 0cLRvJUa0 Be:
Index of /C:/原田君のウィルスだよ
/ C:/ D:/ H:/ SS(Low) SS(High) LINK
--------------------------------------------------------
Parent Directory
NUROPO_KIKEEN.exe 101960 B 2006/02/09 07:15:32
--------------------------------------------------------
Mell-1-0.11 "2"
リンク先見に行ったらこんなのがありましたよ
/H:/share1/down/
[アニメ]ANGEL HEART エンジェル・ハート 第18話「親子の
絆」 (640x360 DivX5.2.1 120fps).avi(空白).exe
この人はこれが多分感染元と思われる
**416さんその2
すんません。まだまとめられない(´-ω-)ス・・・。
なので、そのままペタリ(´・ω・)ス。
448 Name: 416 [sage] Date: 2006/02/28(火) 01:03:08 ID: bWlSBCqT0 Be:
>>416です
七つ子ちゃん(´・ω・) カワイソス 山田ヲチスレ 196 で確認した事纏めておきますね
>>279 試しに各ドライブのルートにindex.html 置いて欲しい(´・ω・) ス
296 :279 [sage] :2006/02/27(月) 23:09:23 ID:GyDN3Oem0
>>289さん ためしにルートにおいて見ますね 5分ほど時間下さいませ。
299 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:10:45 ID:eFYho7Kc0
>>296 ご協力感謝(´・ω・) ス
310 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:13:07 ID:k6yPvPij0
>>305 ってーことは感染してたらルートに適当なindex.htmlを置くことで
外部からのファイル閲覧は回避できるってこと(´・ω・)スカネ?
それなら元をつぶすまでの時間稼ぎにはなる(´・ω・)ス?
311 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:14:38 ID:eFYho7Kc0
>>310 最悪、SSとLinkしか見られない(´・ω・) スね
現時点では最善策かも(´・ω・) ス
313 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:15:29 ID:k6yPvPij0
>>311 なるほど。この件の確認作業してた人乙(´・ω・)ス。
332 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:25:18 ID:CYky8ees0
>>322 実験成功(´・ω・)ス
333 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:25:38 ID:8RtWVWqC0
>>322 横からですが確認した(´・ω・) ス
I BELIEVE... that you're completly lost! HIN と出てる(´・ω・)スね
339 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:27:27 ID:7XYcxW0P0
ルートに適当なindex.htmlを置いても、見れないのはルートだけ、パスを直接入力す
れば見れる(´・ω・)ス
という結果になりました
パソコンに詳しい人相手じゃなければ とりあえずの回避策かもしれません。
450 Name: 416 [sage] Date: 2006/02/28(火) 01:07:19 ID: bWlSBCqT0 Be:
354 :279 [sage] :2006/02/27(月) 23:35:17 ID:GyDN3Oem0
279です
もうひとつ実験に手伝ってもらっていいですか?
今デフォルトのC$の共有を無効化
コンピュータ管理にある共有ADMIN$とIPC$を止めて見ました
(再起動するとまた起動しますが)
これでもアクセスすることってできます?
361 :[名無し]さん(bin+cue).rar [sage] :2006/02/27(月) 23:37:19 ID:8RtWVWqC0
>>354 普通にアクセスできてる(´・ω・) ス
>>296
サービスでもダメみたいですね
ウイルスの元である
UPDATE.EXEが80ポートと変動ポート番号をあけてますね
SYS.EXEは8080ポートと変動ポート番号ですね
80と8080は固定ですので変動ポートが窓口になってる可能性が高いです。
ノートン先生最新版なので バックドアと言う判断はします^^
ただ 確認のため今は止めてます^^;
とりあえず 仕事の後にやってたのでご飯も風呂もまだっす
それでは帰る(´・ω・)ス
ノシ
乙ッ(´ノω・)ス。
**ある意味分かりやすい
でも、AドライブがあるPCに出会ったことないんで(´・ω・)ス。
CDならいけるかも(´・ω・)スネ。
間違いないのは、相手によるってこと(´・ω・)ス・・・。
449 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/28(火) 01:06:36 ID: p7n/a+pb0 Be:
Aドライブにアクセスすれば気づくかも
354 名前:番組の途中ですが名無しです[] 投稿日:
2006/02/28(火) 00:47:55.93 ID:Tc3Nazus0
ttp://www.uploda.org/uporg323843.jpg
しっかりAドライブ読みに行ってるぞ
**感染して挙動を調べてくれてる416さんGJ!その1
427 Name: 416 [sage] Date: 2006/02/27(月) 22:59:05 ID: GyDN3Oem0 Be:
あと SYS.EXEを実行すると
DOS窓が複数一瞬ですが
いっぱい立ち上がっています。
**ヲチャーは注意?
418 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 22:33:43 ID: GyDN3Oem0 Be:
416です
あと、感染してると
SYSフォルダおよびアップデートフォルダの
_docrootと_tmprootにアクセス出来ないです。
あとダウンロードされたりすると
足が残るみたいで
アップデートの_tmprootだったかな。。。
そこにアップロードされた情報としてファイル名などが残ります
----
433 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 23:17:42 ID: /8oLxf5G0 Be:
>>418
こうありますが実際のところどうですか?
981 名前:番組の途中ですが名無しです[] 投稿日:
2006/02/27(月) 23:11:08.04 ID:BYiVMrji0 ?
>>870
たしかに_tmprootにログらしきものはあるけど、
書かれているIPは感染者のIPだな
**update.exeの動作
321 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 15:02:20 ID: qbyFnBjj0 Be:
915 番組の途中ですが名無しです sage 2006/02/27(月) 14:58:26.27 ID:z9atx01c0
とりあれず、update.exeは、12 も12a のどちらのユーザーのも同じだった
さくりと、バイナリで見た感じ、SS取りと鯖機能は入ってそう。
あと2chはなんか、チェックしているみたい、何してるか知らんけど。
鯖のバージョン表記が違うのは別本体があるからですか???
自分にはわからないのでありますが....
**山田オルタ挙動その1
303 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 12:51:56 ID: eYSFwbQD0 Be:
新種山田について
sys.exe update.exe は、Windows XP で新たに追加された sc.exe を使用する。
ウィルスは、cmd.exe /c sc stop "****" というコマンドを 繰り返して実行して
サービスを停止させようとする。
ウィルス検知ソフト、FireWall 等のサービスを停止させようとする。
Windows 98 SE での感染を確認した。
とりあえず、(´・ω・)
**ISOのタイプも?
399 Name: [名無し]さん(bin+cue).rar [sage]
Date:2006/02/27(月) 21:42:56 ID: V42w7Q4A0 Be:
にくちゃんねる見てたらこんなのがあったが、関係ありそう?
WINNYを狙っ たワ-ム・ニュイルス情報PART50
http://makimo.to/2ch/tmp6_download/1138/1138106250.html
973 名前: [名無し]さん(bin+cue).rar 2006/02/07(火) 19:28:58 ID:Cqv1LTB50
【使用OS】XP home sp2
【WindowsUpdateしてるか】Yes
【使用AntiVirusソフト】 バスター2006
【AntiVirusをUpdateしてるか】 Yes
【ウイルススキャンの結果】 cookieのみ反応
【オンラインスキャンしたなら結果】 してない
【Winnyのバージョン】 純正最終
【Winny歴、総DL量】 3年ほど わかりません
【テンプレを読んだか】 一応
【テンプレにある対策を実行したか】何にかかっているのかわからない
【症状、具体的に分かる限りすべて書く】 ローカルのアドレスでIndex of/がでる
【何をしたらそんなことになったのか】 エロゲの磯をマウント
【これまでにとった措置】 何もできてない
(´・ω・)
400 Name: [名無し]さん(bin+cue).rar [sage]
Date: 2006/02/27(月) 21:43:45 ID: V42w7Q4A0 Be:
979 名前: 973 2006/02/07(火) 19:47:45 ID:Cqv1LTB50
share
(18禁ゲーム)[060127] [BISHOP] すくーるヘブン らぶえろハーレム☆ももいろタイフーン
(iso+mds α補修).rar
8f273d858cbe4b90af0cf2833b6ee33e7ff9b79e
986 名前: 973 2006/02/07(火) 20:11:15 ID:Cqv1LTB50
とりあえずupdate.exeの本体(フォルダごと)とレジストリ消した。もちろん感染元も。
んだらローカルでもindex ofは出なくなった。
再起動コワス(((( ;゚Д゚)))
ISOファイルのautorunのタイプの可能性も?(´・ω・)
確認したら亜種゙救済プロジェクトスレまで一報を(´・ω・)ス
表示オプション
横に並べて表示:
変化行の前後のみ表示:
