「しくみ」(2006/02/28 (火) 22:29:42) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
確認未確認含め、情報を掲載します。
**感染手段
- 実行型(exe)ファイルを実行することで感染。
**被害状況
- WinnyやShareなど入手経路は関係なく発病。
- 0.11系は感染の有無に関わらずP2Pのコネクションを展開。
- 0.12系は自分と同じバージョンのコネクションだけを選定。
(0.12系の方が選別精度が高い)
- 確認済み分で感染数百十数台。
**プログラムについて
- バージョンは、Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11の3種類(0.12、0.12aの違いは不明)
- 2段階の画質でSSを出力
- 他の感染者への相互リンク
(更新時には更新日時が付くこと、同じ名前がいくつも並ぶことから、IPアドレスが変わった段階で追記している可能性あり)
- ウェブサイトのインデックス閲覧で、コンピュータ上の全HDD上の全ファイルへの参照が可能(HTTP鯖が起動)
- UPnP対応で、最近の標準設定のルータは簡単に通過する
0.12系だけの機能
- 操作コマンドとして、UP/COPY/CATを装備(UPは動作せず)
**主な活動
- Program filesフォルダにsysフォルダとupdateフォルダを作成
- 最初の時点ではsys.exe、再起動後にupdate.exeとして動く
- update.exeのほうはHDDには現存せず
- 起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
- 起動時には引数として前述のTripが渡されている
- 実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
update.exeのときはupdateフォルダに居座る
- フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
- フォルダの一方は空、もう一方は
他の感染者を繋ぐリンク用のキャッシュファイル
- 起動はレジストリのスタートアップに下記の2つが登録
- HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS -> CURENTVERSION -> RUN
名前: sys.exe データ: "c:/program files/sys/sys.exe"20060223042347170169115
(この数字はTripの可能性)
名前: update.exe データ: "c:/program files/update/update.exe"
- ポート80、ポート8080の空き領域を使う
(そのほかのポートを使う場合もある模様。確認済みは、1080、25)
- Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は
それぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11
Linkリストは違うものをリスト化する(仕組みは不明)
- updateフォルダに2chの板一覧を取得(bbs2ch_bbsmenu_html)、厨房板(http://tmp6.2ch.net/kitchen/)へ書き込み、ログ保持
- 厨房板への書き込みがLinkリスト作成のノードになっている?
**Mell鯖(感染者)に対するアクセス
- 明確に記載されているのは、Mell-1-0.12系のコネクション数は、10クライアントまで。
(0.11系には記載なし)
- ファイルのダウンロードを実行すると1人でアクセスしていてもDLプロセス1回に付き、1クライアントを消費。
なのでアップ回線が細くても、圧迫しないように設計されている模様。
但し、回線が細いと途中でコネクションが切れる。
- SSを閲覧する場合は、コネクション数には含まれない模様。
- UPコマンド等は、Ver0.12では正常に動作しない模様。
確認未確認含め、情報を掲載します。
**感染手段
- 実行型(exe)ファイルを実行することで感染。
**被害状況
- WinnyやShareなど入手経路は関係なく発病。
- 0.11系は感染の有無に関わらずP2Pのコネクションを展開。
- 0.12系は自分と同じバージョンのコネクションだけを選定。
(0.12系の方が選別精度が高い)
- 確認済み分で感染数百十数台。
**プログラムについて
- バージョンは、Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11の3種類(0.12、0.12aの違いは不明)
- 2段階の画質でSSを出力
- 他の感染者への相互リンク
(更新時には更新日時が付くこと、同じ名前がいくつも並ぶことから、IPアドレスが変わった段階で追記している可能性あり)
- ウェブサイトのインデックス閲覧で、コンピュータ上の全HDD上の全ファイルへの参照が可能(HTTP鯖が起動)
- UPnP対応で、最近の標準設定のルータは簡単に通過する
0.12系だけの機能
- 操作コマンドとして、UP/COPY/CATを装備(UPは動作せず)
- update.exeに2タイプ。
MD5 : 1b6f5d9114ea6b4bd316a62469992d5f(770氏)
MD5 : 712138AC9DD65E8C3B54BD9FDFEABB43(760氏:Ver0.12a)
2006/02/28(火) 18:34:39現在。
「サイズ327,680のupdate.exeにはバスター未対応」
追加:
- mell-1-0.11 sys.exe
MD5 : C3B6F6A6A889D0EDD4B54841B5AF7C57
2006/02/28(火) 18:40:18現在
「バスター3.238.01でスルー」
- 792New! 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 18:43:32 ID:udWMiw6a0
Mell-1-0.12とMell-1-0.12aには対応していないベンダが有るってこと(´・ω・) スね?
Mell-1-0.11は7まで目視したけど何が変化してるんで(´・ω・) スかね?
**主な活動
- Program filesフォルダにsysフォルダとupdateフォルダを作成
- 最初の時点ではsys.exe、再起動後にupdate.exeとして動く
- update.exeのほうはHDDには現存せず
- 起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
- 起動時には引数として前述のTripが渡されている
- 実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
update.exeのときはupdateフォルダに居座る
- フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
- フォルダの一方は空、もう一方は
他の感染者を繋ぐリンク用のキャッシュファイル
- 起動はレジストリのスタートアップに下記の2つが登録
- HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS -> CURENTVERSION -> RUN
名前: sys.exe データ: "c:/program files/sys/sys.exe"20060223042347170169115
(この数字はTripの可能性)
名前: update.exe データ: "c:/program files/update/update.exe"
- ポート80、ポート8080の空き領域を使う
(そのほかのポートを使う場合もある模様。確認済みは、1080、25)
- Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は
それぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11
Linkリストは違うものをリスト化する(仕組みは不明)
- updateフォルダに2chの板一覧を取得(bbs2ch_bbsmenu_html)、厨房板(http://tmp6.2ch.net/kitchen/)へ書き込み、ログ保持
- 厨房板への書き込みがLinkリスト作成のノードになっている?
**Mell鯖(感染者)に対するアクセス
- 明確に記載されているのは、Mell-1-0.12系のコネクション数は、10クライアントまで。
(0.11系には記載なし)
- ファイルのダウンロードを実行すると1人でアクセスしていてもDLプロセス1回に付き、1クライアントを消費。
なのでアップ回線が細くても、圧迫しないように設計されている模様。
但し、回線が細いと途中でコネクションが切れる。
- SSを閲覧する場合は、コネクション数には含まれない模様。
- UPコマンド等は、Ver0.12では正常に動作しない模様。
表示オプション
横に並べて表示:
変化行の前後のみ表示:
