山田オルタナティブ(´・ω・)カワイソス @まとめWiki

解 析

最終更新:

匿名ユーザー

- view
管理者のみ編集可

卵を解析

解析関連のレスを特記します。

ハニーポット

664 名前:[名無し]さん(bin+cue).rar 投稿日:2006/03/01(水) 00:00:54 ID:Ce69xpKt0
   まぁここに晒されてるようなSSはどうしようもない無知且つ違法厨ばかりだけど
   どうでもいいPCでわざと感染してアクセスさせて通報
   なんてされたらヤバイだろうなw

665 名前:[名無し]さん(bin+cue).rar 投稿日:2006/03/01(水) 00:01:25 ID:xDScuLhY0
   どちらにせよ、暫くは静観する(´・ω・)ス

666 名前:418 投稿日:2006/03/01(水) 00:05:50 ID:ZSLh3vvc0
   >>665
   同意です
   とりあえず EXE解析してきます 

罪・罰・棚上げ

655 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:46:30 ID:65ufiiHt0
   不正アクセスの証拠として被害者が提供するのはWAREZ、エロいぱーいのPC
   知らせに来たヌー即民に、逆に説教喰らってた感染者もいる(´・ω・)ス
   カワイソ(´・ω・)ス 

658 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:48:21 ID:Ce69xpKt0
   >>655
   それがP2Pから広がったウィルスの怖いところ(´・ω・)スね

掲示板に貼り付いたリンク

656 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:47:19 ID:Ezi1qCq00
   >>653
   >>643みるまえについ右クリで画像保存しちゃったんで
   すぐ廃棄したんですがOKで(´・ω・)スかね?

659 名前:418
投稿日:2006/02/28(火) 23:51:08 ID:CZRnLcEH0
   ログそれでも残りますよ
   downloadしてるんですから^^;

   右クリックで保存ってdownloadですよ
   656のPCのIPとその相手のPCのIPと繋がるのでログが残こってます。

663 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:57:29 ID:Ezi1qCq00
   >>659
   まぁ迂闊だったのは認めま(´・ω・)ス
   多分このスレ来た人でDLしちゃった人多いとは思いま(´・ω・)スケドネ
   以後気をつけま(´・ω・)ス 

ファイルを拾った者の記録

643 名前:418 投稿日:2006/02/28(火) 23:22:11 ID:CZRnLcEH0
   >>632 (リンクを直接貼る書き込み)
   >>639 (リンクを直接貼る書き込み)
   ここに直接 出さないで欲しい
   >>639はfileを多分クリックしてるので
   開いたところのパソコンのSYSフォルダの中にIPがきっちり保存されてるので
   (downloadされた場合はログが残っています。アクセスだけなら残らないみたいです)
   バックドア使って不正にアクセスされました
   ってことで通知されたら
   あなたは処罰うけますよ

   ウイルスに感染(P2Pで違法fileを交換する事自体だめなのですが)して
   開いたパソコンでも他国では不正アクセスとして
   立証され処罰された判例もあるみたいなので
   忠告しておきます。
   (日本は新しい事件に対しては海外の事例を取り上げて考えるので!!) 

648 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:29:41 ID:j2x4Cycu0
   >>643
   外国のプロキシ通したらどうなる?

649 名前:418
投稿日:2006/02/28(火) 23:32:33 ID:CZRnLcEH0
   プロ串さしても同じです
   調査に時間がかかるだけなので匿名ではないです。
   介しているプロ串鯖のログなどで追えますし
   ISPや中継ポイント等通るので最終的に(接続してる端末)まで追えます 

650 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:33:20 ID:uLwaCX7K0
   >>643
   それ以前にこの感染者がそこまでの知識があるかどうかが…(´・ω・)ス

651 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:34:02 ID:M/A0DVjW0
   ブラストDみたいに対山田ウィルスみたいなの出て欲しい(´・ω・)ス

652 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:37:02 ID:Ce69xpKt0
   >>650
   怪しげな.exe踏んじゃうくらいデ(´・ω・)スからね

653 名前:418
投稿日:2006/02/28(火) 23:37:26 ID:CZRnLcEH0
   不正アクセスされたと言う事を言えば
   専門機関の方がこられて
   パソコンを持って行き調査されますので
   感染元fileとログのある場所がそのままであれば
   立証されます。
   ちなみに私の知合いの会社で不正アクセス事件が昔あったのですが
   その時もそういう対応されて
   関係しているもの全て持っていかれてました。 

次の手

633 名前:[名無し]さん(bin+cue).rar 投稿日:2006/02/28(火) 23:06:22 ID:IRGTg0qJ0
   >>630
   前回のように2ch側で規制してもらうのが手っ取り早いとおもいます
   厨房板で感染者のホスト規制すれば影響も限定的ですし 

トリップを拾って広がる罠

630 名前:418
投稿日:2006/02/28(火) 23:04:00 ID:CZRnLcEH0
   新種のウイルスかとおもいました。。
   今確認しました

   どんどん被害が大きくなるかも知れませんね
   ISPが規制掛けるしかないのかも。。。

   感染者(´・ω・) カワイソス
   P2Pするのがまずいけないのでしょうが
   ウイルスにより開かれているのを覗いてばらすのもOrz

   感染してても見えないように出来る方法があればいいのですが

   解析の方 いまノードとかの関わりを調べ中です

   EXE解析されてる方がいらっしゃったと思うのですが
   どんな感じなんでしょう。。。Orz 

追加されるリンク先が繋がらない訳

629 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 23:03:11 ID:IRGTg0qJ0
   ヲチスレ住人も変わりましたね
   (´・ω・) カワイソス精神がほとんどない人もたくさんいます
   明日はわが身(´・ω・) カワイソス

   >>627
   >>616を見ているとそういう仕様なのかもしれません

627 名前:[名無し]さん(bin+cue).rar sage
投稿日:2006/02/28(火) 22:53:16 ID:XA2SPLyY0
新規であがってるのを見たけど、やっぱり殆ど接続できないものばかり(´・ω・)ス
連絡の手がかりが出る前に落ちちゃってる(´・ω・)ス 

616 名前:418 sage
投稿日:2006/02/28(火) 21:45:59 ID:CZRnLcEH0
UPDATEフォルダのtmpXX-node-other の文字の羅列がどうも リストの一覧に使用されてるっぽいっす 

XXXX
Host: XXX-XXXX-XX-XX.XXXXXXX.ne.jp:80
User: PCユーザー名

あと
UPDATEのEXE以外を消して再起動すると
UPDATE.EXEがノード収集
$mell$nodeに書込みし
その後
tmpXX-node-otherに書込み

この繰り返しをしてるみたいですね

事の始まりの少し前、ゴミだと思っていたあの書き込みが予兆??

628 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 22:54:32 ID:cWChrHJe0
   >>625
   宇宙語の正体は、新型山田ウイルスだった!!!
   http://tmp6.2ch.net/test/read.cgi/kitchen/1141029535/

   >>20
   > ∩ねioiYnaccY≪iiいおすぅぅぐおただち∨♯(´・ω・) カワイソス
   >>23
   > >>20
   > so(´・ω・) カワイソスnet:80
   > 既出 可

   こんな感じで・・ 

新種登場の予感

623 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 22:44:11 ID:cWChrHJe0
   復号化して、通信の不可まで添えて
   書き込むやつが現れた(´・ω・) ス 

どこからトリップを?

593 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 18:49:39 ID:udWMiw6a0
   なると続報(´・ω・) ス
   【緊急事態発生】 自シ台スレッド6【ウイルステラヤバス】
   http://comic6.2ch.net/test/read.cgi/doujin/1141063674/211
   211 ウイルス蔓延中!要感染確認@自シ台スレ New! 2006/02/28(火) 18:31:34 ID:/VdyhA3A
   種 はファイルサイズの微妙に違う同名のファイル、または別のタイトルのファイルです。
   上記で書いた二つ以外は中身はわかりかねます・・・。
   http://qb5.2ch.net/test/read.cgi/sec2chd/1134697413/637
   で出ている解凍不可能と言われているファイルは、zipで中にexeとscrの両方があるようですが、
  トリップが違う為
   28種内には入れてません。 

609 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 21:18:23 ID:IRGTg0qJ0
   誰かやったようです。
   ダウソしてないので猛者がいたら確認お願いします。

   74 名前:ナイア ◆facelesskk [sage]
 投稿日:2006/02/28(火) 21:12:12 ID:IbKs+8E60
   他所で騒ぎを聞きつけてここに辿り着きました。
   騒ぎを起こしているウィルスに少し興味が湧いて調べたので、
   挨拶代わりにその副産物を上げておきます。

   厨房!板書き込みを復号化するツール
   バイナリ & ソース
   ttp://vista.x0.to/img/vi4112793166.zip

   …ああ、明日朝から飛行機なのに何やってるんだろう。
   数時間浪費した。 

611 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 21:27:29 ID:IRGTg0qJ0
   >>610
   そうですね。
   どうやら暗号化された厨房板の書き込みを引数として渡せば復号化できるようです。

613 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 21:29:59 ID:XA2SPLyY0
   ちゃんと期待通りの動作をする(´・ω・)ス
   厨房板を漁ってる(´・ω・)ス

   救えそうなのは今のところなし(´・ω・)ス

614 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 21:32:50 ID:IRGTg0qJ0
   >>613
   これヤバいですね
   厨房板にもスレ立ってしまったし

615 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 21:42:03 ID:XA2SPLyY0
   ざっと試してみた感じ接続できるホストは少ないのでしばらくは放置(´・ω・)スネ

616 名前:418 投稿日:2006/02/28(火) 21:45:59
ID:CZRnLcEH0
   UPDATEフォルダのtmpXX-node-other の文字の羅列がどうも
 リストの一覧に使用されてるっぽいっす

   XXXX
   Host: XXX-XXXX-XX-XX.XXXXXXX.ne.jp:80
   User: PCユーザー名

   あと
   UPDATEのEXE以外を消して再起動すると
   UPDATE.EXEがノード収集
   $mell$nodeに書込みし
   その後
   tmpXX-node-otherに書込み

   この繰り返しをしてるみたいですね

   ちなみにいまずっとCPU占拠してます UPDATE.EXE 

拡散するリンクリストの中

565 名前:[名無し]さん(bin+cue).rar
投稿日:2006/02/28(火) 14:38:50 ID:WzDwXS4X0
   先代の場合も感染者側の行動ではなく、うぷろだの対応によって脅威
   の低減が図られた分けよね。今回も外的な対処がない場合、感染者が
   際限なく広まる恐れが高い。オルタはP2P非使用者へも等しく延焼の恐れ
   があるから、SSのみならまだしも全ファイル公開の機能があるだけに、洒
   落にならんよ。そろそろ感染自覚者の対処法にくわえて、Link抑止等
   の体質療法も考えていかんと。

   そこで少し調べてみてんだけど、Linkリストの生成アルゴリズムって、
   判明してるの?「厨房版の告知レスからノードハッシュを抽出」って話もでてた
   けど、場合によってはなんらかの方法でリスト生成を抑制できるかも
   しれん。 
記事メニュー
目安箱バナー