2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

winny使用者はキンタマウイルスに注意

1 :名無しさん@お腹いっぱい。:04/03/16 01:48
winnyを起動し、[キンタマ] で検索すると大変なことになっています。
キンタマウイルスに感染した際にwinnyネットワークにアップされるファイル
・ デスクトップ画面キャプJPEG画像 ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日].jpg
  (キャプは一日一回の模様)
・ 圧縮ファイル       ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日](ファイル詰め合わせ).zip ( or .lzh )
  そのユーザのデスクトップにあるファイルすべての圧縮ファイル、キンタマウイルスが含まれている場合もあり?

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればOK

●予防方法●
不用意に .exeファイルを実行しない。

●自分が感染していた場合の対処方法●
一度winny上に流れたファイルはもう止められません。祈りましょう。

2 :名無しさん@お腹いっぱい。:04/03/16 01:52
winnyを起動し、[キンタマ] で検索すると大変なことになっています。
キンタマウイルスに感染した際にwinnyネットワークにアップされるファイル
・ デスクトップ画面キャプJPEG画像 ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日].jpg
  (キャプは一日一回の模様)
・ 圧縮ファイル       ファイル名 : [キンタマ] 俺のデスクトップ user名 [キャプ年月日](ファイル詰め合わせ).zip ( or .lzh )
  そのユーザのデスクトップにあるファイルすべての圧縮ファイル、キンタマウイルスが含まれている場合もあり?

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればOK

●予防方法●
不用意に .exeファイルを実行しない。

●自分が感染していた場合の対処方法●
一度winny上に流れたファイルはもう止められません。祈りましょう。

3 :名無しさん@お腹いっぱい。:04/03/16 01:52
こんなもんに感染してる犯罪者は放置していいよ。

4 :名無しさん@お腹いっぱい。:04/03/16 01:56
これが本当ならパソのアカウントを本名で使ってる奴は悲惨だな。

5 :名無しさん@お腹いっぱい。:04/03/16 01:57
本当もなにも流れまくってんじゃんw

6 :名無しさん@お腹いっぱい。:04/03/16 01:59
会社で使ってる人が結構いて、デスクトップ上に置いていたであろう
仕事関係のファイルがny上に流れてるよ・・・

ウイルスソフトでディスクチェックしてるとこの
スクリーンショットは悲しすぎる・・・

7 :4:04/03/16 02:00
>>5
まじか。最近はny使ってなかったらシランカッタ。
俺の友人もいるかもしれないなぁ。


8 :4:04/03/16 02:04
>>6
くは。それはかなりまずいな。うちの会社パソのアカウント
強制的に本名で作らなきゃだから、嵌まってる人けっこういるかもしれん。
というかそういう場合って。。。うわぁかわいそうだなぁ。
責任取らされるんだろうなぁ。


9 :名無しさん@お腹いっぱい。:04/03/16 02:15
WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生3
http://ex4.2ch.net/test/read.cgi/siberia/1079365440/l50

10 :名無しさん@お腹いっぱい。:04/03/16 02:53
だから みえているかと って何だよ
初心者迷わすような書き方するんじゃね 池沼どもが

11 :名無しさん@お腹いっぱい。:04/03/16 03:03
>>10
俺もおもた。見えるよ余裕で。

12 :名無しさん@お腹いっぱい。:04/03/16 03:21
祭り中
【TBS】砂の器のVTR編集NY愛用か?【キンタマウィルス】
http://ex4.2ch.net/test/read.cgi/siberia/1079372150/l50

13 :名無しさん@お腹いっぱい。:04/03/16 04:34
パターンファイル817詳細
http://inet.trendmicro.co.jp/ptninfo/817.htm

14 :名無しさん@お腹いっぱい。:04/03/16 07:29
解析されてます
【AM9:00】キンタマウィルス part4?【第二波?】
http://tmp2.2ch.net/test/read.cgi/download/1079384794/

15 :名無しさん@お腹いっぱい。:04/03/16 07:32
【AM9:00】キンタマウィルス part4?【第二波?】
http://tmp2.2ch.net/test/read.cgi/download/1079384794/
WinnyでPC使用者名とデスクトップを晒す新種のワームが発生8
http://ex4.2ch.net/test/read.cgi/siberia/1079387090/
【なおなおの】砂の器のVTR編集NY愛用か?【キンタマ】
http://ex4.2ch.net/test/read.cgi/siberia/1079385010/

16 :名無しさん@お腹いっぱい。:04/03/16 07:45
ワラタ

17 :名無しさん@お腹いっぱい。:04/03/16 08:43
底引きしてるけどトラップも多々あるので注意。
html開くとexe発動するやつとか↓
<object CLASSID='CLSID:00000000-0000-0000-0000-FFF085324649' CODEBASE='お読みください.files/TRAP.exe'></object>


18 :対応策:04/03/16 11:03
★★対応策

無視条件→リスト編集にコレをコピペしたらよろし。
             ↓    
[キンタマ] 俺のデスクトップ,,0,0,,0,1,1

で、リスト再読み込みで取り合えずこのウイルスが上げるファイルをnyネットワークから
排除OK(多分職人や鬼共有たちは当たり前にこの設定をするから、DOMはやらないと目的の
ファイルが落ち辛くなることが予想されます)

後は以下を実行してワクチンが出来るまで待つ。
●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

●ワームの駆除方法●
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればOK

●予防方法●
不用意に .exeファイルを実行しない。

ま、セキュリティの基本である、ネットに繋いだまま個人情報をPC上で取り扱わない。
を日頃から守っている用心深い私のような人間は別に感染しても無問題。

以上。

19 :名無しさん@お腹いっぱい。:04/03/16 11:06
ダウソ板へ(・∀・)カエレ!

20 :名無しさん@お腹いっぱい。:04/03/16 11:06
>>17-18
Good jobs!!

21 :名無しさん@お腹いっぱい。:04/03/16 11:19
フジの実況で意味不明なデスクトップが晒されてたのがこれか・・・


22 :名無しさん@お腹いっぱい。:04/03/16 11:23
ウイルスの作者は広めるためにWinnyをずっと起動していたはずだな。
キンタマをキーワードにして。

23 :名無しさん@お腹いっぱい。:04/03/16 11:52
トレンドマイクロのウイルス感染状況によると
ANTINNY.A(キンタマじゃなくてぬるぽの方)が
2月中旬から急激に低下し、3/13以降はほぼ 0 になってるんだけど
なんでだろう?

ひょっとするとキンタマ(またはその試作)にはぬるぽを駆除する機能があったりして

24 :名無しさん@お腹いっぱい。:04/03/16 11:56
IT用語辞典に「キンタマワーム」の項目が追加される日も近いな
http://e-words.jp/w/E381ACE3828BE381BDE383AFE383BCE383A0.html


25 :名無しさん@お腹いっぱい。:04/03/16 12:14
>>24
すげー!始めて知ったよ!

26 :名無しさん@お腹いっぱい。:04/03/16 12:19
来年はバスター買います。

27 :名無しさん@お腹いっぱい。:04/03/16 12:27
初代Antinnyはノートン先生の対応が早かったよ。
バスターは遅かった。

28 :名無しさん@お腹いっぱい。:04/03/16 12:39
>>24
これ読むだけでも笑っちゃうのに、今度はキンタマですかw


29 :名無しさん@お腹いっぱい。:04/03/16 12:51
トレンドマイクロはWORM_ANTINNY.Bきたみたい
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B

30 :名無しさん@お腹いっぱい。:04/03/16 13:38
このウィルスによるダメージ影響って、コンテンツによるものより
精神的なものの方が大きそうだな

31 :名無しさん@お腹いっぱい。:04/03/16 14:12
WORM_ANTINNY.Bはキンタマじゃないって説がダウソ板でよく出るんだが・・

32 :名無しさん@お腹いっぱい。:04/03/16 14:15
>>31

Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される
〜拡張子を隠している場合もあるので、怪しいファイルには注意が必要
http://internet.watch.impress.co.jp/cda/news/2004/03/16/2448.html

33 :名無しさん@お腹いっぱい。:04/03/16 14:18
↑その情報が出た後の話

34 :名無しさん@お腹いっぱい。:04/03/16 14:19
>>31
トレンドマイクロの英語版の情報だけでは何とも言えないね。
Antinny.Aだって英語版には本当に簡単な情報しかなくて、日本語版で初めて
詳細な情報が得られる。
Antinny.Bも日本語情報が公開されればいろいろわかってくると思うよ。

35 :名無しさん@お腹いっぱい。:04/03/16 14:21
724 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/16 14:13 ID:HCbzfa/u
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T

トレンドマイクロのWORM_ANTINNY.Bは、
Winnyのshareフォルダを探すプログラム自体をWORM_ANTINNY.Bとして検出する模様。

おそらく今回のキンタマにもそれが使用されていて、その他のプログラム
(スクリーンショット・圧縮ファイル・メール作成、自動起動登録など)と同時に感染してその効果を発揮するのではないかと思われ。

36 :名無しさん@お腹いっぱい。:04/03/16 14:37
爆笑

37 :名無しさん@お腹いっぱい。:04/03/16 14:58
シマンテックの反応が出てくるようになると一気に認知されるようになるよ、ぬるぽの時が
そうだった。

38 :名無しさん@お腹いっぱい。:04/03/16 14:58
恥ずかしい・・・
http://tmp2.2ch.net/test/read.cgi/download/1079414850/

39 :名無しさん@お腹いっぱい。:04/03/16 15:03
ttp://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37341
これってキンタマか・・・?
ワイルドってなんだか良いな。

40 :名無しさん@お腹いっぱい。:04/03/16 15:03
【警報】Winnyを狙ったワーム・ウイルス情報 Part10
http://tmp2.2ch.net/test/read.cgi/download/1078207953/

41 :名無しさん@お腹いっぱい。:04/03/16 15:08
>>27
いや、バスターの方が早かっただろ?
ニュー速で無視されまくったけど
ノートン先生きたーーー!!の書き込みが始まる数時間前には
対応してたよ。マジで。サイトに情報載るのは遅かったけど

42 :名無しさん@お腹いっぱい。:04/03/16 15:13
>>41
いや、シマンテックがANTINNYを命名した記憶がある。
トレンド、マカフィーは対応遅かったとおもうが。

43 :27:04/03/16 15:15
>>41
そうなのか。ありがとう。
バスターが日本製のワームやウイルスに強いというのはあながち間違っては
いないのかもしれないね。

44 :名無しさん@お腹いっぱい。:04/03/16 15:18
こちとら12000のキンタマクラスタと

2ちゃんねるがついてるんだから

負けてらんないのよ〜!!
       / .:.:. / ̄  \  _,,,,-‐'''"   \, へ、
     / .:.:/ /\.:.:    /            ヽ
     /.:.:.:,‐'" 〈.:.:.:.:\.:.:.: /.:.:___,,,,-‐ __.:.:_,,,,-‐.:.:   `、,,_
   _,,,-''"    |\.:.:.`''/_..-'/,,-‐''"∠..,,,,,,/_,,,,-‐  __ ヽ、
--‐''        |,ィ'⌒゙ヽiイ´ // , " ̄`ヽi! /// .:  ヽ、`ヽ、
      .:.   〈 (~< レ  '´  ' ..,,_('ッ ゙i!/'´ //|.:.:   \
   _,,,-''.:.   .:.:.\ `        ,,、、´゜、、、 __,,,,.../ ::|.:.:|.:.: |
--‐''.:.:.:.:/::  .:.:.:.:./´`T            ,,_(ッ,ノ /.:.: / :/|.: /
.:.:.:.:.:.:/.:.:.:.:.:./:::/            /~⌒ヽ、-/゙//| :/|/ |/   从___人/(____
---‐-、____,、-‐<           /⌒゙ヽ  ヽ>  / |/ |/ __)`-ー-'
;;;;;;;;;;;;;;;;;;;;;;;;;;;ヾ、'、        /‐-、_ 〉 / , '     >
;;;;;;;;;;;;;;;;;,,,,-‐'''"\\__\   `ヽ-、;_/ ,,-''      \
 ̄ ̄^i;;;;;;;;;;`-;;;;;;;) \ノ::::´`ヽ、   ,, - "ヽ、        )あんたたちなんかにぃ〜(tbs
::::::::::::::|;;;;;;;;;;;;;;;∠-‐'''"`-、:.:.:.:.: `''''".:.:.:.:.:.  '、      ∠
::::::::::::::::\;;;;;;;;;/::::\|;;;|;;;ヽ、:.:.:.:.:.:.:∧.:.:.:.:.:. ',       〕
\::::::::::::::::|;;;;;/::::::::::::/;;;/;;;;;;;;|.:.:.:.:.:. / |.:.:|\: i     /
:::::\:::::::::::`‐'::::::::::::/;;;/;;;;;;;;;/.:.:.:.:/ //  |: /      ̄ ̄)/W⌒\(~~∨⌒ヽ


45 :名無しさん@お腹いっぱい。:04/03/16 15:39
プ

46 :名無しさん@お腹いっぱい。:04/03/16 15:47
キンタマは何で検知できるの?

47 :名無しさん@お腹いっぱい。:04/03/16 15:55
>46
ウィルスバスターでなら検知できるみたい

48 :名無しさん@お腹いっぱい。:04/03/16 16:01
脳dまだみたいね

49 :名無しさん@お腹いっぱい。:04/03/16 16:04
>>47
別物らしいよ。キンタマとは。

50 :名無しさん@お腹いっぱい。:04/03/16 16:05
>>48
>>39

この時期、学生はやること無くてnyやってるんじゃねーの?
とっとと全員感染しちまいやがれって思うわ。

51 :名無しさん@お腹いっぱい。:04/03/16 16:13
まだANTINNYと名前がついてないときにwinfaqとかで質問してた奴がいたような

52 :名無しさん@お腹いっぱい。:04/03/16 16:17
会社からNy出来ちゃうのか?普通は社内串で弾かれるだろ。

53 :名無しさん@お腹いっぱい。:04/03/16 16:41
ダウソ住民によるキンタマ解析簡単なまとめページ
http://www.geocities.jp/kim_virus/LkxqLp9Q.html

54 :名無しさん@お腹いっぱい。:04/03/16 17:27
情報が錯綜してますな。

55 :名無しさん@お腹いっぱい。:04/03/16 17:28
・感染されたらregedit.exeがnotpad.exeで上書きされる。
(regedit.exeを起動したらメモ帳が起動する)。

・各exeファイルはそのアイコンの本来の動作も同時に行うので気づかない人も多い。
たとえばjpgのアイコンのexeを起動すると本当に画像が表示され、同時にウイルスのプログラムも実行される


56 :名無しさん@お腹いっぱい。:04/03/16 17:32
>>54
そう。そこなんだよね。
早くどこかのウイルス対策ベンダーに詳細を明らかにして欲しい。
ニュー速の住人はネタを楽しむだけで全く情報源にならんし、ダウソ板はそもそも行きたくないし。

57 :名無しさん@お腹いっぱい。:04/03/16 17:44
セキュ板に行くしかないのでは、バカが結構いるけど。

58 :名無しさん@お腹いっぱい。:04/03/16 17:48
>>56
メール送信する、バックドアが仕込まれている、システム復元が無効化、
jpgを開いただけでアウト、とかなんとか言っちゃってるしね・・・。

59 :名無しさん@お腹いっぱい。:04/03/16 17:48
>>56
(・∀・)コンニチハ!!

60 :名無しさん@お腹いっぱい。:04/03/16 17:51
>>58
デフラグも消滅したとか・・・

もうわけわからん。

61 :名無しさん@お腹いっぱい。:04/03/16 17:52
>>59
(・∀・)コンニチハ!!

62 :名無しさん@お腹いっぱい。:04/03/16 17:57
自己成長しているらしい

63 :名無しさん@お腹いっぱい。:04/03/16 18:03
暫定纏めサイト
http://myui.s53.xrea.com/kin/index.html

Winnyウィルス(通称キンタマ)リンク集
http://www.geocities.jp/kim_virus/

簡易まとめサイト
http://www12.ocn.ne.jp/~niyaniya/

64 :名無しさん@お腹いっぱい。:04/03/16 19:32
ノートンもひそかにAntinnyBに対応した罠

65 :名無しさん@お腹いっぱい。:04/03/16 19:48
unlha32が入ってる

66 :名無しさん@お腹いっぱい。:04/03/16 20:32
電話番号・メアドリスト・カード番号・パスワード等 (略) .exeてやつ
踏んじゃったよ

でも136KBしかないし、キンタマ症状出ないし、これはあれですか、
一種の精神的ブラクラなんですか?

67 :名無しさん@お腹いっぱい。:04/03/16 20:34
>>66
偽造

68 :名無しさん@お腹いっぱい。:04/03/16 20:38
>>67
てことは感染してないってことでFA?

69 :名無しさん@お腹いっぱい。:04/03/16 20:39
念のためノートンとかでスキャンしてみそ

70 :名無しさん@お腹いっぱい。:04/03/16 20:41
>>69
はい、やってみます(´・ω・`)

71 :名無しさん@お腹いっぱい。:04/03/16 20:42
【有料無料】アンチウイルスソフトPart2【問わず】
http://pc2.2ch.net/test/read.cgi/software/1060661400/646-648

646 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/03/16 03:10 ID:lEIr8Myn
やれやれ、厨房やアンチNODは直ぐに釣りだと騒ぐ。
検出力・軽さ・スキャン速度の全てが高性能なソフトであることは立証済みだ。
バランスを考えてNOD32を選択することに疑問の予知は無いだろうよ。
それとPFWは無くてもルータで不要なポートを閉めて置けばまず安全だ。
それでも更に厳重にするなら、SpybotをPestPatorolに換えれば良いだろう。
PFWが必要ならフリーので良かろう。

647 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/03/16 04:15 ID:FVHgMOs0
録音キタ━━━━━━(゚∀゚)━━━━━━!!!!!
録音◆Rb.XJ8VXowは超粘着質、電波を撒き散らすイターイ香具師ですので
無視してください > ALL

648 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/03/16 07:17 ID:efAWTLRC
>>646
おまいは今直ぐnyを止めろと・・・・
http://page.freett.com/zxe/img/mutu_04-03-16.jpg

72 :名無しさん@お腹いっぱい。:04/03/16 21:09
ノートン、バスター以外で対応したソフツ教えてください。

73 :名無しさん@お腹いっぱい。:04/03/16 21:13
デスクトップのショートカットは大丈夫?
たとえばアウトルックとか、Dドライブとか。

74 :名無しさん@お腹いっぱい。:04/03/16 21:26
>>72
NAIはまだ反応無し
フリーウェア系は反応の速さを期待する方が無謀

75 :名無しさん@お腹いっぱい。:04/03/16 21:26
>>71
676 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/16 14:01 ID:lEIr8Myn

>>648=647
レスと既得と新着が647になってますぜ(W

スレの流れをみると647-669は同一人物か?


76 :名無しさん@お腹いっぱい。:04/03/16 21:47
sageも入れ忘れてるな

77 :名無しさん@お腹いっぱい。:04/03/16 21:54
これはGJなウィルスですね

78 :名無しさん@お腹いっぱい。:04/03/16 21:56
割れのなれの果て
じぎょう(←何故か変換できない)自得だな


79 :本物のキンタマ:04/03/16 22:03
CRC:E837、MD5:C399E5DD7999ED43EA705A36BDF026EA

http://up.isp.2ch.net/up/20fcae7a05d3.txt

80 :名無しさん@お腹いっぱい。:04/03/16 22:04
駄目だね。
ニュー速にウイルスバスターで検出できないって書いても無視されるわw

81 :名無しさん@お腹いっぱい。:04/03/16 22:18
トレンドマイクロのWORM_ANTINNY.Bやシマンテックのw32.hllw.antinny.eと
キンタマは別物なの?


82 :名無しさん@お腹いっぱい。:04/03/16 22:21
>>81
どうも話を総合すると別物らしい。

83 :名無しさん@お腹いっぱい。:04/03/16 22:34
キンタマウィルス2,chに貼ってあるところない?

84 :名無しさん@お腹いっぱい。:04/03/16 22:39
>>83
ftp://nekoko.zive.net/upload/file2961.txt

85 :名無しさん@お腹いっぱい。:04/03/16 22:45
>>82
やっぱ別物らしいのですか。

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.e.html
↑を読むとテキストファイルアイコンに偽装されたexe実行で感染とあるけど、
>>53読んだ感じでは
「HTMLに埋め込んで踏ませちゃうのはだれかが埋めたんではなくて こいつ自身が作る」
とあるし、スクリーンキャプチャや使用者名・組織名抜き出しなどに関して
一切ふれていないのでアレ?って思ってました。

86 :名無しさん@お腹いっぱい。:04/03/16 22:48
確かに、落ちてくるファイルの中にはXPのテキストファイルのアイコンの実行ファイルはある。
他にもごみ箱のアイコンやフォルダのアイコンもある。
しかし、いずれもウイルスバスター2004では何も検出できていない。

87 :(@‘p’) :04/03/16 22:48
を、バイナリぢゃんサンクス!

88 :名無しさん@お腹いっぱい。:04/03/16 22:53
84のファイル、79のMD5と一致したけどバスター2004無反応です。

89 :名無しさん@お腹いっぱい。:04/03/16 22:57
>84
AVGだけど反応しなかったよ

90 :名無しさん@お腹いっぱい。:04/03/16 23:00
おれは出遅れマカフィーだからわからんけどバスターやノートンの
ANTINNY.B、Eのパターンファイルでキンタマは検出できないぽ?


91 :名無しさん@お腹いっぱい。:04/03/16 23:02
>>84を見たら割れ厨やエロい人から
アニオタ、洋邦音楽好きまでターゲットだな

92 :名無しさん@お腹いっぱい。:04/03/16 23:05
nyで流れているやつネタやらねつ造やらが多くて
実際の活動内容を調べようにもめんどい状況だ。
本スレは個人情報晒しエロ祭の尾と観戦不安の質問ばっかだし

93 :名無しさん@お腹いっぱい。:04/03/16 23:08
winny.Eはありえない
発見された日より前だけど

94 :名無しさん@お腹いっぱい。:04/03/16 23:09
5d7b5aba2c3eaad4d2e4926fc33df8c3 - 651,264 - フォルダのアイコン - [キンタマ]~~.exe - ANTINNY.A
99354a3bb3b7c2ca6e323f911b4e48cc - 390,656 - テキストファイルのアイコン - [キンタマ]~~.exe - x
a570a6ecf590b7d45f836437c2b03bf5 - 594,944 - テキストファイルのアイコン - img/お得情報.exe - x

95 :名無しさん@お腹いっぱい。:04/03/16 23:09
Antiny.Eだった

96 :名無しさん@お腹いっぱい。:04/03/16 23:10
>91
Nortonクラック版なんてのもあるw

97 :(@‘p’) :04/03/16 23:19
>84
コレ、何?
MSメッセ関係の値レヂから引いてるみたいけど、、、、
つか、かなり楽しげなメッセ送ってくれるヨカーン??
社内で仕事サボって割れてるシトは楽しみにしてたほうがイイネ!!
Delphi?

98 :名無しさん@お腹いっぱい。:04/03/16 23:19
落としたファイルを調べてたら操作間違えてPariteに感染しちゃった。
ワームじゃなくてウイルスだからどんどん実行ファイルに感染を広げてビビった。
感染だけで何も悪さはしないけど、気持ち悪いから全部駆除した。

99 :名無しさん@お腹いっぱい。:04/03/16 23:19
>>92
確かに実態が把握しにくい。
本当にそんなワームがあるのか?と疑いたくなるくらい、情報が溢れてる。

100 :名無しさん@お腹いっぱい。:04/03/16 23:20
>>99
妙に高機能だよねw

101 :名無しさん@お腹いっぱい。:04/03/16 23:25
70 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/16 23:16 ID:S/bPfHlG
注意!!!
トレンドの「ANTINNY.B」とシマンテックの「ANTINNY.E」は「キンタマ」ではありません。
公式の説明を読めば、「ぬるぽ」の亜種であることがわかります。
これは「キンタマ」の症状とは異なります。

102 :名無しさん@お腹いっぱい。:04/03/16 23:32
壮大なネタに思えてきたが…。
実際の所はどうなん?

103 :(@‘p’) :04/03/16 23:35
ああ、ダウ板では結構デス汗進んでるみたいでつね(w
つか、久々面白いモン拾った!

104 :名無しさん@お腹いっぱい。:04/03/17 00:10
ちょっと解析したけど、確かにメールやメッセンジャーと連携するらしき部分はある。
ここの発動も時限式っぽく、何月何日かに一斉に配信されるような気がする。
いつかは偽装のためか複雑に書かれてて正確には分からない。
内容は自分はWINNYユーザーだと暴露し、その後に所有ファイルの全部か一部かはよく分からんが羅列。
特定のアドレスはないっぽいので、メールソフトなどに登録されてる住所録に送るのかな。

105 :名無しさん@お腹いっぱい。:04/03/17 00:17
ANTINNY.B
ANTINNY.E
キンタマ

同時多発ぬるぽか…

106 :名無しさん@お腹いっぱい。:04/03/17 00:18
ダウソ板民の方がセキュ板よりも当てになるとはこれ如何に。

ttp://www.geocities.jp/kim_virus/LkxqLp9Q.html ←今回のワームについて、解説。

107 :名無しさん@お腹いっぱい。:04/03/17 00:24
>>106
>ダウソ板民の方がセキュ板よりも当てになる

必要に迫られてないって事を理解してない発言だな、ネトラソ厨よ。

108 :名無しさん@お腹いっぱい。:04/03/17 00:42
解析してみたけど様々な部分が時限式になってるようだから、
今後どんどん別な影響が出る可能性があるな
SS撮ってNY上にばらまくのやメールと連携するのは全体の2割程度しか使ってないな
あと8割分のよくわからん機能は今後順次発動するみたい

109 :(@‘p’) :04/03/17 00:45
>>106
マァ、そりはクラッカ職人さん日常的にデス汗ゴリゴリ走らせてるからニョ。
解析は得意でしょ。お任せしてマターリウォチ。
アセンブラ使いなシトも中には居るだろうし。

ヘタすりゃPC以上に深刻な社会的ダメーヂ感染PC使用者に与えるハヅだけど、
ピーポ君はニヤニヤしてるだけなんだろニョ。。。

>>104
曜日引っぱってるっぽいのは、何関係??

つか、コピペ??

110 :名無しさん@お腹いっぱい。:04/03/17 01:08
サイズの小さいJPEGを取り込んだ亜種も数種類ある模様っす。
どうも、ミューティーションとかじゃなくって、何種類かを同時にばらまいているみたいだね。
もしくは、ツールキットのような物があって数人が同時に亜種を作成しているとか。


111 :名無しさん@お腹いっぱい。:04/03/17 01:27
言っちゃ悪いがこんなに面白いウイルスは世界初じゃないか?

112 :名無しさん@お腹いっぱい。:04/03/17 01:29
解析スレはここ?

113 :名無しさん@お腹いっぱい。:04/03/17 01:30
きんたまやぬるぽはny使っていない人は絶対大丈夫ですか?
にちゃんやってたぐらいですが、メモちょうみたいな(すぐ削除したから忘れた)
わけわかめなアイコンがデスクトップにできていたんですが

114 :名無しさん@お腹いっぱい。:04/03/17 01:31
171 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 01:00 ID:AcHXadV+
SS撮られるタイマー部分解析しますた。
間違ってたらスマソOTL

プログラム実行時に、乱数(多分0〜99)を発生させる。
そして、その乱数×1416(秒)ごとにSSを撮る となってた。
つまり、全然ランダムな間隔だということ。

0が出たらSS撮られないのかな…?

115 :名無しさん@お腹いっぱい。:04/03/17 01:32
>>102
winnyでサイズの大きい圧縮形式のキンタマファイルを
落としてみればわかると思うよ。
どっかの誰かのデスクトップ上のファイル一式全部入ってるから・・

116 :名無しさん@お腹いっぱい。:04/03/17 01:35
未確認情報

時限式で進化してるのか改造されてるのかわからんが
デスクトップ上のファイルに加え、マイドキュメントも流されるようになったらしい

こわっ

117 :(@‘p’) :04/03/17 01:35
>>110
仲間内でソース廻して、イロイロしてるんかな。。ツールキットつかDelphi?
コムパイル済んだら、それぞれでNYのUPフォルダに放り込んで拡散さしてるんかな。
若しくは動作条件把握したうえで自爆?
短時間で亜種ばら撒き情報錯綜させ、且つオリヂナルファイルの出自眩ますのは、やり方上手いニョ

何にしろ、カナーリ本気で動かないと作者特定難しいニョ
NYの特性を逆子に取ってル
エゲツナイけろ、、、興味深いネタだニョ!

118 : :04/03/17 01:39
 

119 :名無しさん@お腹いっぱい。:04/03/17 01:41
>>117
borlandのライブラリには一切依存してないけど、delphiでborlandライブラリ非依存exeなんて作れる?

120 :名無しさん@お腹いっぱい。:04/03/17 01:42
確かできるんじゃなかった?exeの容量がめちゃデカくなるけど。

121 :名無しさん@お腹いっぱい。:04/03/17 01:46
http://pc2.2ch.net/test/read.cgi/tech/1009080085/
このスレが参考になるかも

122 :(@‘p’) :04/03/17 01:58
>>119
ウーン、、何なんでつかね....
タマーにウイルスバイナリ、デス汗でツラツラ眺めてるぐらいなんで。。




123 :名無しさん@お腹いっぱい。:04/03/17 02:07
とりあえず、悲鳴の部分については Windowsの設定を変えて音声最大にして鳴らす、という
ことだけ分かった。

メインとなるルーチン(0044afd4)から呼ばれているのまでは追ったけど発現条件はまだ。
とりあえずメインルーチン解析から進めてみる。

124 :名無しさん@お腹いっぱい。:04/03/17 02:14
>>119
作れるとも。GUI含まないんならサイズもそう大きくならない。

125 :名無しさん@お腹いっぱい。:04/03/17 02:26
GetKeyboardTypeが中に入ってますが
まさかキーロガーみたいなことはしませんよね?

126 :名無しさん@お腹いっぱい。:04/03/17 02:34
なんか機能満載ウイルスですね。

127 :名無しさん@お腹いっぱい。:04/03/17 02:35
ダウソ板はDL報告厨だらけで情報持ち寄ってた人らが
いなくなってしまった…。

128 :名無しさん@お腹いっぱい。:04/03/17 02:35
被害に遭うのはダウソ厨だからいい気味だね

129 :名無しさん@お腹いっぱい。:04/03/17 02:35
>>125
インポートはしてるけど呼び出してるところは見つからない…

130 :名無しさん@お腹いっぱい。:04/03/17 02:37
>123
検索用に捨てハンキボン

131 :名無しさん@お腹いっぱい。:04/03/17 02:39
>128
ニュー速のきんたまUP祭りでの感染みたいに
メールで個人情報発射の亜種とか出て
二次災害が広がりそうな気も。

132 :名無しさん@お腹いっぱい。:04/03/17 02:39
>>128
ただ、ダウン厨のせいで個人情報流された
赤の他人もいるというのがなぁ…。

133 :123 ◆t4KRam0ZRU :04/03/17 02:42
適当にトリップつけときます。
別の向きから眺めてみたところ、クリップボードデータ取得してるとこがあったので追ってみた。
0042ab08に、0044afd4並に大きなルーチンが置かれてて、そこから呼ばれてた。
完全に推測だけど時限式で切り替わる部分か?

134 :名無しさん@お腹いっぱい。:04/03/17 02:44
>>132
感染者の数が多いように言われて、実際は重複とネタが多いらしいけど、
その中で本人or他人の個人情報暴露(なおなお除く)が酷かったのって
そんなにあったの?

135 :名無しさん@お腹いっぱい。:04/03/17 02:51
精神に強烈なダメージを与えるウイルスだな・・・。

136 :名無しさん@お腹いっぱい。:04/03/17 02:52
>>129
0x0040680cあたりからモロに

137 :名無しさん@お腹いっぱい。:04/03/17 02:53
>>134
今の所そんなにひどいのは無いと思うが、会社のPCで感染に気付いてない場合は
今後ヤバイSSが出る可能性は大いにある。

138 :名無しさん@お腹いっぱい。:04/03/17 02:54
よくわからんのだが、
●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと

この「みえているかと」ってのは、見えてれば感染してるって事なの?

139 :名無しさん@お腹いっぱい。:04/03/17 03:01
>>138
それ日本語おかしいんだよな…。
今テンプレだいぶ変わってるのでは?

140 :名無しさん@お腹いっぱい。:04/03/17 03:06
>134
ヤフオクのID+取引相手の住所氏名くらいかな。
あと会社の見積書とかのExcel,Word。

# こんだけ機能が多いとガクガクブルブルで調査できない昇進モノの自分

141 :名無しさん@お腹いっぱい。:04/03/17 03:09
すまんくだらん質問してもいいかい?>all
俺昔Nyやっていたんだけどぉ
ある時更生してきっぱり止めたんだよ。
それでこの騒動知って、ダウんんロードはしないけど
実際に感染者がいるのか調べたいからnyやってみようと思うんだけど
どうやったら感染しないで安全に他人のキンタマだけ見れるの?
もしくは感染したとしてもデスクトップに対したものおいてなかったら
安全?

142 :名無しさん@お腹いっぱい。:04/03/17 03:10
ニュー速+では2GB以上をデスクトップに置いてる人は
詰め合わせされない、とか言われていたけど
本当なんだろうか?

あと、なんかマイドキュメントまで流れはじめたとか言ってるし…。
ウイルス進化してる?

143 :142:04/03/17 03:19
>>142
マイドキュメントまで流れたというのは本当かい?
だとしたら手だすの止めとこうかな。
でも俺の大学にnyやってるやついっぱいいるから
すんげー確かめたい。しかもアカウントは学生番号で作んないと
いけないから学内の人間だったらすぐに本人特定できるw

144 :名無しさん@お腹いっぱい。:04/03/17 03:19
感染に気付いてないWinny使用者Aと普通のネット利用者Bが居て、
私信やネットオークションなどでBが自分の個人情報を記載した
メールをAに送信し、Aがこのメールを開きBの個人情報部分を
偶然キャプされWinnyで流されるなんて事も・・・

145 :名無しさん@お腹いっぱい。:04/03/17 03:20
>>142
キンタマ漁りの2次感染者だが、
UPフォルダに報告にないようなzipやlzhができてた。
中身や名前はHD内(Downフォルダ?)から適当にとったっぽい。
当然のようにキンタマウィルス本体も一緒に圧縮されてたよ。
マイドキュメントからは出てないが、どうなることやら。
件のPCはスタンドアロンにして暫く放置しますが(´・ω・`)

>>141
これだいじょぶらしい。

463 名前:番組の途中ですが名無しです[] 投稿日:04/03/17(水) 00:53 ID:emT8fjj6
[kintama] オレのdesktop 380枚(nao11枚含む)詰め合わせ.zip
ff7116928acf0375fd82955947a8e1ea
これ落としても平気かな?



146 : ◆LTGODMTo82 :04/03/17 03:21
>141
クラスタを
[キンタマ] 俺のデスクトップ .jpg

NGワードを
.zip .lzh .rar .exe

...これでも危険なのだが。

> デスクトップに対したものおいてなかったら安全?

時限で何かあるかもしれない >142
気をつけるべし

147 :名無しさん@お腹いっぱい。:04/03/17 03:23
2GB越えをZIPにするのかの謎をしりたいな。
あえて感染する人でデスクトップに
そんな大きい物置いてる人はいないか…?

148 :141:04/03/17 03:25
名前マチガットタ。。。
おお!>>145
パソコン1台以上持ってる人はいいなぁ。
俺も他人のキンタマ漁りがしたぃ。

149 :123 ◆t4KRam0ZRU :04/03/17 03:28
ノートンの中の人レポート待ちで放棄気味。圧倒的に知識が足りない。
知識付けて出直します。

150 :名無しさん@お腹いっぱい。:04/03/17 03:29
767 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 03:28 ID:bj4qpa3G
おーい
感染者だけどオンボードサウンド殺された
エロ見ようと思ったら音でねぇし(システム音はする)調べたらデバイス無しになってた
何があるかまだ未知数だなぁ

151 :名無しさん@お腹いっぱい。:04/03/17 03:32
ワロタ
ttp://page.freett.com/zxe/img/akie_04-03-11.jpg

152 :名無しさん@お腹いっぱい。:04/03/17 03:32
さっきから落ちてくるファイルの傾向が変わった。.JPGが大文字のやつが多く流れてくる。
故意に流しているのか、時間が来たのかは不明。亜種かも
[キンタマ] 俺のデスクトップ xxx(3桁の数字) [04-03-17].JPG

153 :名無しさん@お腹いっぱい。:04/03/17 03:33
>>151
ダウソ板でやってくれ…。

154 :名無しさん@お腹いっぱい。:04/03/17 03:34
>>152
放流主が亜種の目印に大文字にしてたら嫌すぎる…

155 :名無しさん@お腹いっぱい。:04/03/17 03:37
これウイルス対策ソフトでたらどうなるんだろうな。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

勝手に登録削除してくれんの?

156 :名無しさん@お腹いっぱい。:04/03/17 03:37
13日以降は繋いでないんだけど、これが出回ったのって
それ以降だよね??危なかった・・・

157 :名無しさん@お腹いっぱい。:04/03/17 03:39
>>156
いや、2月終わりとかいってなかった??

158 :名無しさん@お腹いっぱい。:04/03/17 03:39
>>156
出回ったのは結構前らしいよ。
アップし始めたのが最近みたい?

159 :名無しさん@お腹いっぱい。:04/03/17 03:39
>>156
最初?の感染者は2月末だったはず

160 :名無しさん@お腹いっぱい。:04/03/17 03:39
>>156
2月下旬のSSがあったとさ

161 :名無しさん@お腹いっぱい。:04/03/17 03:40
感染はともかく、最初のUPっていつ頃だったんだろう?

162 :名無しさん@お腹いっぱい。:04/03/17 03:40
>>157-160
おつ

163 :名無しさん@お腹いっぱい。:04/03/17 03:40
マジで・・・・?うわあああ怖えよおおおお

164 :名無しさん@お腹いっぱい。:04/03/17 03:40
http://www.geocities.jp/kim_virus/LkxqLp9Q.html
今のところキンタマについてわかっていること。
俺はこれ解析した本人だけど、メールは送ってないかもしれない。
でも送ってるかもしれない。
Antiny.BだのEだの言う前に、16bitCRC E837であることを確認しよう。
Name CRC Bytes
------- ---- -------
000.exe E837 376,832

165 :名無しさん@お腹いっぱい。:04/03/17 03:42
こんな時間に何で祭になってんだ?
自演して楽しいか?

166 :名無しさん@お腹いっぱい。:04/03/17 03:42
ただ、別バージョンも出回ってるらしいけど

167 :名無しさん@お腹いっぱい。:04/03/17 03:42
exeのタイムスタンプを見ると Sat Jun 20 07:22:17 1992
全然当てにならない。

168 :名無しさん@お腹いっぱい。:04/03/17 03:43
2/14のバレンタインデーに散布開始
時限爆弾がじわじわ作動、キャプ、zip詰めOK
3/14のホワイトデーに一斉放出

だったら涙でるなあ

169 :名無しさん@お腹いっぱい。:04/03/17 03:43
>>156
2月下旬から出回ってるっぽい。

170 :名無しさん@お腹いっぱい。:04/03/17 03:44
>>164
おお!神キター

171 :名無しさん@お腹いっぱい。:04/03/17 03:45
しかし検索かけてみると
eoとか375KB付近のサイズだから心臓に悪いな



172 :名無しさん@お腹いっぱい。:04/03/17 03:46
>>167
こんな感じでタイムスタンプ捏造機能がある模様。
よくあるウイルスだとこれをフラグにして発病とかの判定に使ってるぽいが
こいつのは不明。
CODE:00442CCC sub_442CCC proc near ; CODE XREF: sub_448CDC+89p
CODE:00442CCC
CODE:00442CCC LastWriteTime = FILETIME ptr -10h
CODE:00442CCC CreationTime = FILETIME ptr -8
CODE:00442CCC arg_0 = dword ptr 8
CODE:00442CCC arg_4 = dword ptr 0Ch
CODE:00442CCC
CODE:00442CCC push ebp
CODE:00442CCD mov ebp, esp
CODE:00442CCF add esp, 0FFFFFFF0h
CODE:00442CD2 push ebx
CODE:00442CD3 mov edx, 1
CODE:00442CD8 call sub_407F10

173 :名無しさん@お腹いっぱい。:04/03/17 03:46
CODE:00442CDD mov ebx, eax
CODE:00442CDF cmp ebx, 0FFFFFFFFh
CODE:00442CE2 jz short loc_442D17
CODE:00442CE4 push [ebp+arg_4]
CODE:00442CE7 push [ebp+arg_0]
CODE:00442CEA lea eax, [ebp+CreationTime]
CODE:00442CED call sub_442C80
CODE:00442CF2 push [ebp+arg_4]
CODE:00442CF5 push [ebp+arg_0]
CODE:00442CF8 lea eax, [ebp+LastWriteTime]
CODE:00442CFB call sub_442C80
CODE:00442D00 lea eax, [ebp+LastWriteTime]
CODE:00442D03 push eax ; lpLastWriteTime
CODE:00442D04 push 0 ; lpLastAccessTime
CODE:00442D06 lea eax, [ebp+CreationTime]
CODE:00442D09 push eax ; lpCreationTime
CODE:00442D0A push ebx ; hFile
CODE:00442D0B call SetFileTime


174 :名無しさん@お腹いっぱい。:04/03/17 03:48
どなたかSoftICE持っててかつ実験用隔離マシンある人
さらなる解析よろしく。
一台しかないんで怖すぎてデバッガで解析できんw

175 :名無しさん@お腹いっぱい。:04/03/17 03:50
dispeでばらして眺めてみたけどよくわからん、とdispeのせいにしてみる。

176 :名無しさん@お腹いっぱい。:04/03/17 03:53
隔離実験機さえあればフリーのW32Dasmでもいけるかもだよ。

177 :名無しさん@お腹いっぱい。:04/03/17 03:55
>>176
http://www.google.co.jp/search?q=cache:YJKSbQSW5GgJ:www.up-cat.net/contents/links.htm+W32Dasm&hl=ja&lr=lang_ja&ie=UTF-8

178 :名無しさん@お腹いっぱい。:04/03/17 03:55
これって最悪、Winnyユーザの感染PCにバックドア開けて、
IISのFTPフォルダなんかをUPフォルダに設定して、
そこに非Winnyユーザの感染者のSSファイルを送り込む様な
亜種とか出てこないのかね?

したら強烈だねぇ。

179 :名無しさん@お腹いっぱい。:04/03/17 03:56
解析乙であります

wingrooveのロジックボム解析とかteam iCE VS 某クラッカー とか
久しぶりに思い出したよ

180 :名無しさん@お腹いっぱい。:04/03/17 03:56
インターネットwatchの
ANNTINY.B=キンタマは
豪快な空振り記事??

181 :名無しさん@お腹いっぱい。:04/03/17 03:58
>>158
15日以前から感染報告はあったよ。
祭りに発展したのはダウソ板の連中が面白がってダウソし始めて
詰め合わせの中身のヤバさに気付いてから。

182 :名無しさん@お腹いっぱい。:04/03/17 04:06
>>177
うお、あれってフリーじゃなかったんか…

183 :名無しさん@お腹いっぱい。:04/03/17 04:07
祭りが始まってから山のようにデスクトップ画像が
うpされてきたけど
ホントにその中に一つもキンタマに
感染するjpgはなかったのだろうかと
不安になってくるな・・・・

そもそもjpgで感染するかどうかもまだ情報が錯綜してるっぽいし

184 :名無しさん@お腹いっぱい。:04/03/17 04:08
>>177
あ、おもいだした。
たしかレジストしなくても機能制限一切無しってやつか。
そういうのってフリーと思いこんじゃうんだよなぁ…

185 :名無しさん@お腹いっぱい。:04/03/17 04:09
>>183
自分は16日の15時頃から200以上落としたけど、偽装したものも、ウィルスも無かった。
だけどさすがにもうでまわってそうだよね。

186 :名無しさん@お腹いっぱい。:04/03/17 04:10
>>180
だったら、下手するとニュー速やダウソ板から
(タイマーあるらしいから)時差でかなりの被害出るんじゃない。
スキャンして安心してる書き込み多かったし…。

187 :名無しさん@お腹いっぱい。:04/03/17 04:10
>>183
原理的にはバッファーオーバーフローなどを用いて感染しうるけど、
http://www.st.ryukoku.ac.jp/~kjm/security/memo/1999/1999-11-12.irfan.txt
こういう技術も持ってる奴ならそもそもjpgなんぞにする以前に
nyの隣のノードをクラックして伝染していくようなワームにした方が
もっとすごいはず。

188 :名無しさん@お腹いっぱい。:04/03/17 04:10
「キンタマ」で自分のパソ内検索して出てこなかったら感染してないって事じゃないの?
いつキンタマってつけられてるんだろな。

189 :名無しさん@お腹いっぱい。:04/03/17 04:12
>>188
感染と発病が同時だとは限らない。
っつーか普通同時の奴なんて無い。
キンタマ作る以前に自分自身を広める期間が必ずあるはず。

190 :名無しさん@お腹いっぱい。:04/03/17 04:15
>>189
ちょっと言葉が足りなかったな。
自分の画像が晒されてないか心配なヤシは「キンタマ」検索かけてみれば
それが分かるんじゃないかと思ったんだけどな。

感染してても「キンタマ」でひっかからなければ、まだ晒されていないんじゃないかと。

191 :名無しさん@お腹いっぱい。:04/03/17 04:16
>>189
>>145の症状みたいなのが自分を広める行動だろうな。
WinnyのUPフォルダチェックを最優先にすべきかね


192 :名無しさん@お腹いっぱい。:04/03/17 04:17
>>190
そうそう、ぶっちゃけ、メール発射が確認されてない現状では
感染の有無はともかく晒されてるのが一番怖い
感染してても晒されてなければイイと思ってるヤシ多いと思う

晒しの有無を確認する方法を確定してホスィ


193 :名無しさん@お腹いっぱい。:04/03/17 04:19
929 名前: 番組の途中ですが名無しです [sage] 投稿日: 04/03/17 01:43 ID:mol5JCjT
>>837
重要 機密 内部 個人 履歴 経歴 名簿 レポート 注意 提出 論文 大学 会社 顧客 仕事 secret

面白い文字列が並んでる。

936 名前: 番組の途中ですが名無しです [sage] 投稿日: 04/03/17 01:45 ID:DIOfxtIc
>>929
該当するファイル名を取ってくるってっか

こりゃひでえな



194 :名無しさん@お腹いっぱい。:04/03/17 04:20
メール等や作業中などの、
個人が特定されるような場面のSSが
出回るのも怖いだろうなあ…。

195 :名無しさん@お腹いっぱい。:04/03/17 04:21
まあ今のところ感染しててもwinny起動させなきゃ広まらないんだから
疑いのある人はやらないことなんじゃないの?
写真やフォルダはできてもそこでストップできるんだから。

196 :名無しさん@お腹いっぱい。:04/03/17 04:22
てかSSに関してはもうnyやらなければいい話なんじゃないの?

197 :名無しさん@お腹いっぱい。:04/03/17 04:23
何気に血飛沫や悲鳴が嫌だったりする
いつかわかってれば楽しく見れるんだが

198 :名無しさん@お腹いっぱい。:04/03/17 04:23
>>195
>感染しててもwinny起動させなきゃ広まらない

と確定してればな。
やってもないのに巻き添えとか、既にそういう亜種が出てるかも…
で、不安。

199 :名無しさん@お腹いっぱい。:04/03/17 04:25
自分自身を以下のような.htmlにして本体を踏ませるつもりらしい。
CODE:00448E44 aReadme db 'readme',0 ; DATA XREF: DATA:0044E768o
CODE:00448E4B align 4
CODE:00448E4C aReadmeIndexInd db 0FFh,0FFh,0FFh,0FFh,6,0,0,0,'Readme',0,0,0FFh,0FFh,0FFh,0FFh,5
CODE:00448E4C ; DATA XREF: DATA:0044E76Co
CODE:00448E4C ; DATA:0044E770o ...
CODE:00448E4C db 0,0,0,'Index',0,0,0,0FFh,0FFh,0FFh,0FFh,5,0,0,0,'index',0,0,0
CODE:00448E4C db 0FFh,0FFh,0FFh,0FFh,0Eh,0,0,0,'お読みください',0,0,0FFh,0FFh,0FFh
CODE:00448E4C db 0FFh,16h,0,0,0,'はじめにお読みください',0,0,0FFh,0FFh,0FFh,0FFh
CODE:00448E4C db 0Ch,0,0,0,'サポート情報',0,0,0,0,0FFh,0FFh,0FFh,0FFh,0Ch,0,0,0
CODE:00448E4C db 'シリアル番号',0,0,0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'シリアル',0
CODE:00448E4C db 0,0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'お得情報',0,0,0,0,0FFh,0FFh
CODE:00448E4C db 0FFh,0FFh,8,0,0,0,'特典情報',0,0,0,0,0FFh,0FFh,0FFh,0FFh,0Ah
CODE:00448E4C db 0,0,0,'歌詞カード',0,0,0FFh,0FFh,0FFh,0FFh,8,0,0,0,'使用方法',0
CODE:00448E4C db 0,0,0,0FFh,0FFh,0FFh,0FFh,0Ah
CODE:00448E4C db 0,0,0,'マニュアル',0,0,0FFh,0FFh,0FFh,0FFh,10h,0,0,0,'インス・
CODE:00448E4C db 'gール方法',0,0,0,0
CODE:00448F78


200 :名無しさん@お腹いっぱい。:04/03/17 04:29
>>199
凶悪だ…

201 :名無しさん@お腹いっぱい。:04/03/17 04:36
>>193
それは見あたらないなぁ…
なんでだろ?

202 :名無しさん@お腹いっぱい。:04/03/17 04:37
>>199
そのHTMLは感染語(発症後?)どこに作られるの?

203 :名無しさん@お腹いっぱい。:04/03/17 04:41
とりあえず、「.folder」に偽装していることがあるという話は本当なのだろうか?

初心者が自分のセキュリティを簡単に向上させられるよう、
鑑定スレではこんなファイルが出回っていたんだが、所詮は鑑定スレでだけか。

ttp://www.zatsudan.org/x/up/gazou/img/1063046526013.zip

204 :名無しさん@お腹いっぱい。:04/03/17 04:43
>>203
あ、.folderはホント。
感染したら出来てた('A`)

205 :あーあ:04/03/17 04:45
24時間前に
ファイル詰め合わせ.lzhのhtml開いて
キンタマ(E837)踏んじゃったので
役に立たないと思うけど一応報告しときます。

実行した時に
「圧縮(Zip形式)フォルダは無効であるか、または壊れています」
というダイアログが表示された。
regedit.exeがnotpad.exeに上書きされる事は無かった。
Upfolder.txtも異常なし。SS、ファイル詰め合わせも今の所うpされてないようです。
レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

に名前xxx データC:\Program Files\xxx\xxx.exe
が追加されてた。
xxxの部分はPowerFTPだったりMessengerだったり
色々変わるようです。とりあえず二種類確認。
指定のexeはE837のコピーでした。
とりあえず踏んじゃった時に↑のを削除したので
そのまま再起動したら発動してたのかも?

OSはWindows2000です。

206 :名無しさん@お腹いっぱい。:04/03/17 04:47
>>202
ウイルス本体とそのHTMLを詰め込んだ圧縮ファイルを
多分新しくウイルスが作ったアップフォルダに置くんだと思われる。
そのときのファイル名は約690種類あることが判明してるし、
サイズも当然それに見合った偽装をしてると考えた方がいいので
一見わからん。

207 :名無しさん@お腹いっぱい。:04/03/17 04:50
>>203
そいつは怖いね。
WinRARで開いたら真性のフォルダにはCRCなどでるはずもないのに
そいつのにはでる。

208 :名無しさん@お腹いっぱい。:04/03/17 04:51
サイバーポリスに掲載されないかなあ

209 :名無しさん@お腹いっぱい。:04/03/17 04:52
詳細表示にしてファイルサイズがでちまう奴は
例えフォルダアイコンを見てもそれがニセだと見抜けないとダメ。

210 :名無しさん@お腹いっぱい。:04/03/17 04:57
ここでnyに手書きで検索入力してるSS来たらnaoに次ぐ神認定なんだが…

211 :名無しさん@お腹いっぱい。:04/03/17 04:59
>>205
を踏まえたうえで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にデータ末尾が.exeのファイルがあったんだけど
その所在を調べて、過去にインストールしたサウンドカードのアイコン
(作成日時もインスコした時のもの)だったんだけど
これは平気?.exeだったからってキンタマと決め付けるのは早計?


212 :名無しさん@お腹いっぱい。:04/03/17 05:08
>>211

とりあえずCRCをチェックしたら?
>>164


213 :名無しさん@お腹いっぱい。:04/03/17 05:12
>>212
低脳なのでどうしたらよいか・・・・

214 :213:04/03/17 05:12
教えて君スマソ・・・

215 :名無しさん@お腹いっぱい。:04/03/17 05:16
>>212
ソフトはなんでもいいけど、この辺で
ttp://www.vector.co.jp/soft/win95/util/se274053.html
これは起動して調べたいファイルをドラッグ&ドロップ。

CRC16がE837だったらアタリかも。

216 :名無しさん@お腹いっぱい。:04/03/17 05:18
藻まいらとりあえず regedit 実行してみそ

217 :名無しさん@お腹いっぱい。:04/03/17 05:19
>>215
ファイル名.exe の後に4081とでますた・・・

218 :名無しさん@お腹いっぱい。:04/03/17 05:20
>>216
ふつーに開きますた

219 :名無しさん@お腹いっぱい。:04/03/17 05:20
>>216
regeditがnotepadになるのはぬるぽ。
キンタマはそういう症状が出ない。
両方入手して逆汗したから間違いない。

220 :名無しさん@お腹いっぱい。:04/03/17 05:20
>>218
じゃ駄丈夫だね

221 :220:04/03/17 05:21
スマソ
大丈夫だね、でした

222 :名無しさん@お腹いっぱい。:04/03/17 05:23
>>219
そーなの?
じゃあその情報も誤報として出回ってるっぽいんだが・・・
情報錯綜し過ぎ○| ̄|_

223 :名無しさん@お腹いっぱい。:04/03/17 05:23
>>219
ん〜?
バスターでぬるぽ検出せんかったよ

224 :217:04/03/17 05:24
ところで>>215さん
漏れの4081ってのは大丈夫サインですか

225 :名無しさん@お腹いっぱい。:04/03/17 05:24
>>217
とりあえずそのファイルはキンタマではない

>>219
俺はキンタマでなったっぽい。
ぬるぽも一緒に引いてるかとかは解らないけど。


226 :名無しさん@お腹いっぱい。:04/03/17 05:24
>>225
でもぬるぽは検出されるハズ

227 :226:04/03/17 05:25
あ、あと漏れはぬるぽ感染したことあるけどregeditは正常ですたよ

228 :名無しさん@お腹いっぱい。:04/03/17 05:25
>>219
つーことは、>>84はぬるぽって事?
これ実行したらレジストリエディタがメモ帳になったんだが。

229 :名無しさん@お腹いっぱい。:04/03/17 05:26
regedit.exe上書きしちゃうんだよね
消しても消しても生成されるのは正直ビビったけど、ぬるぽなのか

230 :名無しさん@お腹いっぱい。:04/03/17 05:26
>>225
キンタマファイルにぬるぽが入ってるのがいくつか出回ってて、
最初は俺もそれ手に入れた。
そこら辺が錯綜の原因だと思われ。

231 :名無しさん@お腹いっぱい。:04/03/17 05:28
でもその状況になってもバスターで検出されなかったのは何故だろう?

232 :225:04/03/17 05:29
>>224
>>225=215です。
ここIDでないんだね(´・ω・`)


ん〜・・・ぬるぽは未検出。
キンタマは感染時はRegeditなど起動できたけど、
再起動したらNotePadになったよ。

233 :名無しさん@お腹いっぱい。:04/03/17 05:29
>>228
え!?うそ!?
txtファイルでなら俺も開いちゃったよ
exeに変換して開いたりしたんじゃないの??

234 :名無しさん@お腹いっぱい。:04/03/17 05:31
>230 >231
昨日VBが対応したぬるぽの亜種(B)が入っていたりして。

235 :名無しさん@お腹いっぱい。:04/03/17 05:32
Windowsディレクトリにあるregedit.exeのアイコンがノートパッドになってて
そのファイルを消しても消しても復活する状態だったよ
正直怖かった・・・

236 :名無しさん@お腹いっぱい。:04/03/17 05:32
>>180にも書いてあるけど
ANNTINY.B=キンタマって
記事の誤報だけならともかく
トレンドマイクロとかもそう思ってるんじゃないだろうな・・・

237 :名無しさん@お腹いっぱい。:04/03/17 05:33
>>233
.exeにリネームしてVirtualPCで実行した。
txtなら多分大丈夫。

238 :233:04/03/17 05:34
>>228さん回答おながいします・・・
もしtxtを開けて感染するなら漏れもだめぽ・・・・
漏れは開けたときは文字化けしたメモ帳が開いたけど
regeditは正常です

239 :233:04/03/17 05:35
>>237
亀れすになっちまった。スマソ
ちなみに>>235=237?

240 :名無しさん@お腹いっぱい。:04/03/17 05:37
>>239
228=237

241 :235:04/03/17 05:38
>>239
いんや漏れじゃないよ

242 :名無しさん@お腹いっぱい。:04/03/17 05:38
>>240>>241
レストンクスコ

243 :235:04/03/17 05:40
VBもノートンも現実はまだ対応してないってことか?

244 :名無しさん@お腹いっぱい。:04/03/17 05:41
まさか>>236のようなことはないよな
ハハハハは・・・・ハ・・・

245 :名無しさん@お腹いっぱい。:04/03/17 05:43
再起動したらregeditはnotepadになたね

246 :235:04/03/17 05:45
>>245
最新パターンにしてウィルス検索してみて

247 :名無しさん@お腹いっぱい。:04/03/17 05:46
ペイント開いて
貼り付けを実行できるかできないかで、感染のしてるか判断できない?

248 :名無しさん@お腹いっぱい。:04/03/17 05:47
>>247
詳細キボン


249 :名無しさん@お腹いっぱい。:04/03/17 05:50
>>248
キンタマがクリップボード通してSS取得してるなら、ペイントで貼り付けすれば
(SS取られたあとなら)確認できるんじゃないか?て話ぽいね

250 :名無しさん@お腹いっぱい。:04/03/17 05:51
>>247
そうか、キャプしてるんだから当然操作時の
画面がクリボーに入ってるはずだもんな
良い発想だ

251 :名無しさん@お腹いっぱい。:04/03/17 05:51
>>249
そうです。解説サンクス

252 :名無しさん@お腹いっぱい。:04/03/17 05:53
>>247
この方法いいね。誰にでもわかるし。
試しみて欲しい

253 :名無しさん@お腹いっぱい。:04/03/17 05:55
とゆーかここは対策スレなんだから少しは自重すれ
感染して不安なのはわかるがな

254 :名無しさん@お腹いっぱい。:04/03/17 05:57
キンタマの基本動作だからな。これまでのregeditとかでは別のウイルスの可能性も考えられるから。

255 :235:04/03/17 05:58
XPなら駆除できるけどな

256 :名無しさん@お腹いっぱい。:04/03/17 05:59
>>245
検索してみた?

257 :名無しさん@お腹いっぱい。:04/03/17 06:00
regedit書き換えられたのはもとにもどせないんですか?

258 :名無しさん@お腹いっぱい。:04/03/17 06:02
>>257
できる

259 :名無しさん@お腹いっぱい。:04/03/17 06:03
>>250
クリップボード拡張ソフトで、画像の履歴も取得できるソフトがあるんだから・・・

感染した香具師全員が使ってないor気づかないって可能性も高いのだけどな。

260 :名無しさん@お腹いっぱい。:04/03/17 06:03
>>258
やり方教えてください。それとあげちゃってすいません。

261 :名無しさん@お腹いっぱい。:04/03/17 06:04
>>260
ヒント>>255

あんたダウソ板でも聞いてただろ
まあ、いいけどな

262 :名無しさん@お腹いっぱい。:04/03/17 06:11
>>261
150あたりから読み直してみたけど、わかりません・・・

263 :名無しさん@お腹いっぱい。:04/03/17 06:15
六時にSS取られたけど
貼り付けはできなかたよ

264 :名無しさん@お腹いっぱい。:04/03/17 06:16
>>262
1.まず regedit 実行・・・どうなった?
2.次に ペイント開いてクリップボードから貼り付け・・・どうなった?

265 :名無しさん@お腹いっぱい。:04/03/17 06:18
>>263
なぬ!できなかったとな!?
手強いな

266 :名無しさん@お腹いっぱい。:04/03/17 06:19
>>263
できないかー。じゃあどうゆう経路でSS撮ってるんだろうか

267 :名無しさん@お腹いっぱい。:04/03/17 06:20
これ作った奴かなり頭の回転よさそうだな。
俺程度じゃ無理ぽ。

268 :名無しさん@お腹いっぱい。:04/03/17 06:20
>>264
1.ノートパッドが開いた。
2.貼り付けるものがなかった。

regeditは多分復旧できました・・・別PCからregedit.exeとsystem32の中のregedt32exeひっぱってきて上書きしたんだけど
これでレジストリエディタは起動したから、regeditだけは復旧できたのかな・・・

269 :名無しさん@お腹いっぱい。:04/03/17 06:23
なんでDCを直接いじってるのにクリップボード経由だと思うの?

270 :名無しさん@お腹いっぱい。:04/03/17 06:23
予想アーキテクチャ

クリボーに保存 → JPEG変換 → クリボー消去 → ハッシュ化 → JPEG消去

271 :名無しさん@お腹いっぱい。:04/03/17 06:24
>>268
もっかいやってみ regedit

272 :名無しさん@お腹いっぱい。:04/03/17 06:25
>>268
2はどうも無駄っぽいね

273 :名無しさん@お腹いっぱい。:04/03/17 06:26
>>268
アンチウィルスソフトはなに使ってる?

274 :名無しさん@お腹いっぱい。:04/03/17 06:28
とりあえず感染した場合は
再起動せずにレジストリのスタートアップ掃除でOK?

275 :名無しさん@お腹いっぱい。:04/03/17 06:32
1つ聞きたいんだが
regedit.exeをregeditaa.exe
てな別名にして実行したらちゃんと機能するの?

276 :名無しさん@お腹いっぱい。:04/03/17 06:33
タイムマシーンがあるじゃないか!

277 :268:04/03/17 06:34
regeditは直接起動してもファイル名を指定して実行でも正常に起動するようになった。
再起動したらどうなるか試してみたいけど、今トレンドのオンラインスキャンしてるから大分あとになりそう・・・
普段つかってるアンチウィルスソフトはノートンです。

278 :名無しさん@お腹いっぱい。:04/03/17 06:35
2000やXPはサービスに登録されるので
そっちも掃除しとかないとダメよ

279 :名無しさん@お腹いっぱい。:04/03/17 06:38
>>277
ベンダーはどうも >>236 って勘違いしてるらしいからしばらく当てにならないと思う
WindowsXPなら >>276 機能がある

280 :名無しさん@お腹いっぱい。:04/03/17 06:41
はじめてXPに感謝した瞬間

281 :名無しさん@お腹いっぱい。:04/03/17 06:45
regeditがnotepadになるのはぬるぽだと言われてるけど
CRC:E837、MD5:C399E5DD7999ED43EA705A36BDF026EA

↑のexeファイルでも実行後再起動かけるとregeditがnotepadに置き換わるっス

確認したその他の症状は
・tempにユーザー名.txt作成
・winnyフォルダにReadMeFilesフォルダ作成
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exe登録
・C:\Program Files\xxx\xxx.exeのCRC値はE837

[隔離機で検証]

>>219
が正しいとすれば
キンタマを実行すると環境もしくはなんらかの条件によって
ぬるぽが呼び出されるのかね

282 :名無しさん@お腹いっぱい。:04/03/17 06:50
327 名前: [名無し]さん(bin+cue).rar [sage] 投稿日: 04/03/17 06:48 ID:3q3T2VML
BAT.RedDw@mm
W32.Eggroll
W32.HLLW.RedDw@mm
W32.Lespaul@mm
W32.Orko
W32.Welchia.gen

今回のノートンの更新で追加された6個。
まだ対応してないっぽい。


283 :名無しさん@お腹いっぱい。:04/03/17 06:50
さっきからシステムファイルが見えるようにフォルダオプションのチェック入れて
あちこち見てるんだけど、デスクトップにAlbumArtっていうのとFolderって名前のちっちゃいjpg
が見える・・・
作成日時は半年以上前なんだが・・・削除しようとするとシステムファイルだと言われる
jpgのシステムファイル・・・これっていったい何でしょう?

284 :名無しさん@お腹いっぱい。:04/03/17 06:51
るせーばーか

285 :名無しさん@お腹いっぱい。:04/03/17 06:53
なんか…そうとう凝ったウイルス?

286 :名無しさん@お腹いっぱい。:04/03/17 06:54
>>283
あなたの
しようしている
おぺ
れーてぃんぐしすて
むはなにで

か?

287 :名無しさん@お腹いっぱい。:04/03/17 06:56
>>286
教えるわけにはいかない。

288 :deb廚:04/03/17 06:57
>>283
Debian GNU/Linux sid ですが何か?

289 :名無しさん@お腹いっぱい。:04/03/17 06:59
>>288
です

とっっぷ
かんきょう

なに
です
か?

290 :名無しさん@お腹いっぱい。:04/03/17 07:00
ダウソ板にここのリンク貼られてから
変なの湧いてきた
このスレもうだめぽ。

291 :283:04/03/17 07:00
>>286
XPです

292 :名無しさん@お腹いっぱい。:04/03/17 07:02
みんな心配で寝れなかったのか?どのスレも凄い勢いだなー

293 :名無しさん@お腹いっぱい。:04/03/17 07:02
>>291
おめ

294 :名無しさん@お腹いっぱい。:04/03/17 07:02
暫定版削除方法
-準備-
 NYを止める
 フォルダオプションで”全てのファイルとフォルダを表示”にチェック。
 ”保護されたオペレーティングシステムファイルを表示しない”のチェックをはずす
 全てのフォルダに適用を押す
-削除-
・NYのUpfolder.txtを見でに[キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh(.zip.exeなど)
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp"の"ユーザー名.txt"
・Upfolder.txtと書いてある登録したことのないフォルダを消去

-376,832バイトのファイルを探す-
↓のソフトなどでCRC16がE837か確認(フォルダアイコンやjpgアイコンのexeが多い)
ttp://www.vector.co.jp/soft/win95/util/se274053.html
・regeditがメモ帳になっている人はwindowsのCDからregedit.ex_を探しregedit.exeにリネームして上書き
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 を見て、書いてあるパスにエクスプローラーで行ってみる。
 該当したらファイルとレジストリを削除
・ファイルの検索で376,832バイトのファイルを探し該当したらファイルを削除

・再起動
・regeditが起動出来たらとりあえずOK
・NYのキンタマファイル(キャッシュ)を全て消去

これでいい?
もう眠くてだめぽ・・・

295 :名無しさん@お腹いっぱい。:04/03/17 07:03
http://tmp2.2ch.net/test/read.cgi/download/1079449665/231

296 :289:04/03/17 07:04
>>286
vmわれかなにか

かって
でびあん
とどう
じに
きどうしてる
です
か?

297 :289:04/03/17 07:05
>>291
>>296

298 :名無しさん@お腹いっぱい。:04/03/17 07:07
>>281
IDA Proで解析した限りでは、キンタマの方にはregeditだのnotepadだのが出てこないんだよね。
一方最初に入手したぬるぽにはそういう文字列が入ってる。ara-keyとかも入ってた。
これはキンタマの方は開始アドレスからあらゆる分岐をたどってもそういうregeditだの
notepadだののデータに静的にはアクセスするロジックがないってことを意味してる。
ディスアセンブラレベルで出てこないのにその症状が出ているとなると、
・ぬるぽと同梱されていて両方発動するようになってる
・実はキンタマにぬるぽが内蔵されていてはき出す
とかかも。

実際、キンタマのファイルの中にはなぜかぬるぽが入ってることがそれなりの頻度で有る。
誰かが意志で入れたにしては数がちょっと多いような…


299 :名無しさん@お腹いっぱい。:04/03/17 07:07
わけわからん

300 :名無しさん@お腹いっぱい。:04/03/17 07:07
>>296
それを教える事によって私の大事なパーソナルコンピューター≠マイコンが
恐ろしいネットヴィールスに感染してしまった場合
君は責任をとれるのか?
とれるのか?

301 :名無しさん@お腹いっぱい。:04/03/17 07:10
いま再起動かけて来てdocuments adnd settings のadmin(ユーザー名のとこね)フォルダの
temp除いたら

~offfilt
{b87c7(以下数字と小文字羅列)}
{3dcf97(以下数字と小文字羅列)}

って三つのフォルダが出来てた
ちなみに全ファイル可視状態にしてもどれも中身は空
作成日時は昨日から今朝にかけてだった

ガクガクブルブルしてるんだがついにやっちまったのか!?

302 :名無しさん@お腹いっぱい。:04/03/17 07:10
>>300
とれるけどとらない

303 :名無しさん@お腹いっぱい。:04/03/17 07:14
私がollyでみているやつ
CRCが既出ですでにいろいろ解析情報が
でている000.exeのなかにはregedit.exeが
あるし、notepad.exeもある。
もちろん、キンタマ 俺のデスクトップ といった
文字もあるよ。

304 :名無しさん@お腹いっぱい。:04/03/17 07:15
>>302
ほらみろ所詮無意味な改行を繰り返し文字の大半をひらがなで綴るような
キンタマ以下の小市民には所詮解決は無理だということだ
おとなしく有識者の解析を待ちたまえ

305 :名無しさん@お腹いっぱい。:04/03/17 07:16
Name CRC Bytes
--------------------------- ---- -------
[キンタマ] ウイルス本体.exe E837 376,832
----------------------------------------
1 Files / 376,832 Bytes


ノートン反応したよ

306 :名無しさん@お腹いっぱい。:04/03/17 07:16
>>33
それはぬるぽが弄られたのではないか?
もしくはすでにキンタマの亜種、変種があらわれいるということなのか?

307 :名無しさん@お腹いっぱい。:04/03/17 07:17
私がollyでみているやつ
CRCが既出ですでにいろいろ解析情報が
でている000.exeのなかにはregedit.exeが
あるし、notepad.exeもある。
もちろん、キンタマ 俺のデスクトップ といった
文字もある。ついでに、ごていねいにも
ぬるぽ NULLUPO といった文字列もある。

308 :名無しさん@お腹いっぱい。:04/03/17 07:17
常駐してキンタマを切ってくれるアプリって無いものか・・・

309 :名無しさん@お腹いっぱい。:04/03/17 07:17
>>304
こいつムカつく
ばーか
うんこもらして
ねろ

310 :名無しさん@お腹いっぱい。:04/03/17 07:21
>>307
もしかすると亜種も>>309糞して寝なさいうんこ房、かなりの量出てきてしまっているのかね
まいった
なんらかの形でverを便宜上わけるか、みわける必要がありそうだね>>309馬鹿め

311 :名無しさん@お腹いっぱい。:04/03/17 07:23
本当だ。ノートン対応したね。
検出名はW32.HTML.Antinny

312 :名無しさん@お腹いっぱい。:04/03/17 07:23
>>310
言わんとしてる事はわかるけどとりあえずモチツケ

313 :名無しさん@お腹いっぱい。:04/03/17 07:25
>>310
ばかていうばかがばかだてせんせいがいってたもん
>>311とりあえず終息の方向に向かいそうだね
ばーか

314 :名無しさん@お腹いっぱい。:04/03/17 07:27
こまったことに、こいつ、
Text strings referenced in 000:CODE, item 1136
アドレス=0041FFF0
ディスアセンブル=MOV ECX,000.00420090
テキスト=ASCII "ZIP 形式書庫の解凍には UNZIP32.DLL または LMZIP32.DLL が必要です。"
なんてものをもっている。
たぶん、ウィルス自体の実行結果である表示であるのに、
これではあたかも解凍ソフトの出力結果のようにユーザは
解釈するだろう?それで、ウィルス感染の認識がされにくくなるんじゃないか。

315 :名無しさん@お腹いっぱい。:04/03/17 07:28
ノートンで確認できる人は 16bit CRC値もよろ

316 :名無しさん@お腹いっぱい。:04/03/17 07:29
>>315
>>84のファイル

317 :名無しさん@お腹いっぱい。:04/03/17 07:31
>>314
それはどうもぬるぽの話のように見える
>>313回線切ってチンポ縛って壊死させてしまえ
確か.exeをフォルダに偽装しておいてクリックさせた後にそれを表示させるんじゃなかったか?
>>313糞春房の脳は蟲が湧いているんだね

318 :名無しさん@お腹いっぱい。:04/03/17 07:33
>>307
アドレスどこら辺?


319 :名無しさん@お腹いっぱい。:04/03/17 07:34
>>316

>>84 = >>88 = >>79
CRC:E837、MD5:C399E5DD7999ED43EA705A36BDF026EA

とりあえずキンタマ対応完了と見ていいのかな
なんかまだ祭りが終わった気がしないw

320 :名無しさん@お腹いっぱい。:04/03/17 07:35
CRC E387

Text strings referenced in 000:CODE, item 3278
アドレス=0044A67E
ディスアセンブル=MOV ECX,000.0044A73C
テキスト=ASCII "regedit.exe"

Text strings referenced in 000:CODE, item 3280
アドレス=0044A6C6
ディスアセンブル=MOV ECX,000.0044A750
テキスト=ASCII "regedt32.exe"

Text strings referenced in 000:CODE, item 3286
アドレス=0044A7FC
ディスアセンブル=MOV ECX,000.0044A8B0
テキスト=ASCII "notepad.exe"

Text strings referenced in 000:CODE, item 3295
アドレス=0044AB30
ディスアセンブル=MOV ECX,000.0044AC34
テキスト=ASCII "NULLPO"


321 :名無しさん@お腹いっぱい。:04/03/17 07:36
Name CRC Bytes
--------------------------- ---- -------
[キンタマ] ウイルス本体.exe E837 376,832
----------------------------------------
1 Files / 376,832 Bytes

1個目
形状
XPのフォルダーアイコン

322 :名無しさん@お腹いっぱい。:04/03/17 07:37
320はCRC:E837 の間違いね。

323 :名無しさん@お腹いっぱい。:04/03/17 07:41
CODE:0044AC34 aNullpo db 'NULLPO',0 ; DATA XREF: sub_44AACC+64o
これは確認できるんだけどなぁ…
ていうかこれの位置もちがくないか???

なんでだ???

324 :名無しさん@お腹いっぱい。:04/03/17 07:41
煽る気は無いのであまり言明はしないが…

325 :名無しさん@お腹いっぱい。:04/03/17 07:42
CRC:E837 ついでに。

Text strings referenced in 000:CODE, item 3259
アドレス=0044A284
ディスアセンブル=MOV EAX,000.0044A4E8
テキスト=ASCII "[キンタマ] 俺のデスクトップ %s [%s]"

Text strings referenced in 000:CODE, item 3263
アドレス=0044A3C3
ディスアセンブル=MOV ECX,000.0044A558
テキスト=ASCII "(ファイル詰め合わせ)"



326 :名無しさん@お腹いっぱい。:04/03/17 07:43
自分でサンプルを集めるかメッセでやりとりする方が早いぞ
まあスレを消費してやっても一向に悪いとは思わないが
見る奴がみたら非常に効率が悪いというか、何なレスが多い気がするので

327 :名無しさん@お腹いっぱい。:04/03/17 07:44
あったあった!!
CODE:0044A8B0 aNotepad_exeReg db 'notepad.exe',0,0FFh,0FFh,0FFh,0FFh,0Bh,0,0,0,'regedit.exe',0
CODE:0044A8B0 ; DATA XREF: sub_44A760+9Co
CODE:0044A8B0 ; sub_44A760+BCo
CODE:0044A8B0 db 0FFh,0FFh,0FFh,0FFh,0Ch,0,0,0,'regedt32.exe',0,0,0,0

IDAの野郎DWORDと取り違えてやがった…
VC++製のだとこんなことはしないんだがな…

328 :名無しさん@お腹いっぱい。:04/03/17 07:46
>CODE:0044AC34 aNullpo db 'NULLPO',0 ; DATA XREF: sub_44AACC+64o
これは確認できるんだけどなぁ…
ていうかこれの位置もちがくないか???

いや。あなたはIDAをつかっているでしょう?
私はいまollydbgをつかっていて、それだとね、
あなたの示したアドレスにもNULLPOあるよ。Text strings referenced in 000:CODE, item 3298
アドレス=0044AC34
ディスアセンブル=ASCII "NULLPO",0

だから、解析中のファイルは同じだと思う。ただ、IDAでの解析結果表示方式が
こちらのollyとは違うって話で。


329 :名無しさん@お腹いっぱい。:04/03/17 07:48
晒しageをするまでもなく酷い有様です

330 :名無しさん@お腹いっぱい。:04/03/17 07:49
>>326
2chらしくない正論でつね

331 :名無しさん@お腹いっぱい。:04/03/17 07:50
感染した香具師はーおとなしくしろ、解析してくれる人の邪魔をするなっつーの。
ニュー速でもダウン板ででも聞いてこいってば。

332 :名無しさん@お腹いっぱい。:04/03/17 07:50
せっかく拾ったアプリの使い道がやっとわかったような気がして嬉しくてたまらないんだろ?
放って置いてやれよ、みんなここから成長するんだ
貴様みたいな枯れたジジイの感覚で物を言うな

333 :名無しさん@お腹いっぱい。:04/03/17 07:51
>>331
ノートンで対応したってよ
解析する行為自体に意味はあるがお前の書きこの意味がわからん

334 :名無しさん@お腹いっぱい。:04/03/17 07:51
【写真集】(STUDIO LOUD IN SCHOOL) C+(266枚).exe [CRC:E837]
Norton AntiVirus Corporate Edition
ウイルス定義ファイルバージョン: 60316h
シーケンス番号: 28605
拡張バージョン番号: 3/16/2004 rev. 8
同じく検出です。
naoタン詰め合わせで検出したので、自己増殖(の1パターン)は検出できるようになったね。

335 :名無しさん@お腹いっぱい。:04/03/17 07:53
転送なんかで意図せずにキャッシュにたまったとしても、ファイル変換操作をしなければ
ダウンフォルダには現れない。さらにhtmlやexeなんかを実行しなければ感染しない。
よく考えたらそんなにビクビクせんでもいいんじゃ?

336 :名無しさん@お腹いっぱい。:04/03/17 07:54
結局exeばっかか・・・・
ほんとこのウィルスに掛かった奴って初心者なんだな・・・
甘い考えでアングラ(というほどでは全く無いが)手を出したりするなっつーの。

337 :名無しさん@お腹いっぱい。:04/03/17 07:55
>>325
それはダウンロード板で書けばいい事なんじゃないか
ここのレベルが低いと思うならマ板のどこかに行けばいいし


338 :名無しさん@お腹いっぱい。:04/03/17 07:57
俺が心配してるのは、とばっちりだよ。
自分は踏んでない踏まないなんて、自己中レベル。
今後どんな亜種が出るかって可能性考えないのか?

339 :名無しさん@お腹いっぱい。:04/03/17 07:57
確かにレベルは低いな
notepad感覚で使えるアプリの表示をコピペして知識の無さを露呈するようなコメントをつけて効率の悪さを競っているようにしか見えないからな

340 :名無しさん@お腹いっぱい。:04/03/17 07:58
【そ】キンタマウイルスpart2柏原芳恵【せ?】
http://tmp2.2ch.net/test/read.cgi/download/1079468468/460

真偽は定かでないけど、ダウソ板で時限装置発動を疑わせるカキコあり

341 :名無しさん@お腹いっぱい。:04/03/17 07:59
>>338
おまえの思考ルーチンも自己中の亜種でしかないように見えるな

342 :名無しさん@お腹いっぱい。:04/03/17 07:59
これは亜種? ノートン反応無し

ttp://g81ghv.hp.infoseek.co.jp/cgi-bin/img/1.txt

Name CRC Bytes
-------------- ---- -------
おまけ画像.exe C3CA 837,632
---------------------------
Total 1 Files 837,632 Bytes

343 :名無しさん@お腹いっぱい。:04/03/17 08:00
ダメだわ…厨だらけ。

344 :名無しさん@お腹いっぱい。:04/03/17 08:01
>>342
おまけ画像じゃないか!やったな
極めてエロい写真とかが見られる可能性があるぞ
うらやましすぎていっしゅん自慢かと思ってしまったくらいだよ

345 :名無しさん@お腹いっぱい。:04/03/17 08:01
>>338
そんなこと言ってたら何もできんだろ

346 :名無しさん@お腹いっぱい。:04/03/17 08:01
>>336=>>339=>>341は中身が無いうえに情報価値も無い、バカの自白書き連ねてる
だけで全くの無意味なものだな。

347 :名無しさん@お腹いっぱい。:04/03/17 08:02
>>345に同意!

348 :名無しさん@お腹いっぱい。:04/03/17 08:02
>>344に同意!!

349 :名無しさん@お腹いっぱい。:04/03/17 08:03
>>339
スレでのウィルス解析なんて趣味でやるもんでだと思うですよ

350 :名無しさん@お腹いっぱい。:04/03/17 08:03
で、お前らの解析の結果ナニが分ったんですか?(マジデ

351 :名無しさん@お腹いっぱい。:04/03/17 08:03
>>346=>>338
漏れもふくめて情報価値なんか全部ないだろw
ノートンが対応したってのはちょっと気にはなったけど

352 :338:04/03/17 08:04
>>351

353 :名無しさん@お腹いっぱい。:04/03/17 08:04
>>350
このウイルスは大変だ、と分かりました。
非常に有意義だったと思われます。

354 :名無しさん@お腹いっぱい。:04/03/17 08:05
>>350
わかるわけないじゃん>>339>>349の通りだよ
でもそれの何が悪い?
本を読んで感想を書いてるのと全く同じなだけだぞ?

355 :名無しさん@お腹いっぱい。:04/03/17 08:05
とりあえずアーカイブ系(書籍・サントラ・ゲームなど)は落とさない。キンタマ、.exe、.jpgは無視&削除。
現在できる対策としてはこれにつきる。

356 :名無しさん@お腹いっぱい。:04/03/17 08:06
>>355
とりあえずnyをやめてみるのが一番お奨めなんじゃない?
やめねー奴は何言ってもやめないんだから

357 :名無しさん@お腹いっぱい。:04/03/17 08:07
ny厨はダウソ板篭ってろ

358 :名無しさん@お腹いっぱい。:04/03/17 08:08
>>357
ny厨と同程度の奴しかいねーじゃん、このスレに限っては

359 :名無しさん@お腹いっぱい。:04/03/17 08:08
エロは世界を救うと。

360 :名無しさん@お腹いっぱい。:04/03/17 08:08
ガキが1行で吠えてても自分は何もせず邪魔してる時点でカーストの最下位だと
いうことくらいは自覚してるように、じゃなきゃ知ったかで罵倒せずに大人しく
回線切って首吊れ。

361 :名無しさん@お腹いっぱい。:04/03/17 08:09
>>360
本当だ!大人だから2行なんですね!!

362 :名無しさん@お腹いっぱい。:04/03/17 08:10
正直スマンテック

363 :名無しさん@お腹いっぱい。:04/03/17 08:10
>>360
exe覗くツールでちょろっと中身見てわけわかんなくてやっとこ厨な感想つけてる奴しかいないじゃん
悔しかったらここの情報役にたててみせろよ

364 :名無しさん@お腹いっぱい。:04/03/17 08:12
そうだな、360は解析結果を形で示すべきだ
2行以上で

365 :名無しさん@お腹いっぱい。:04/03/17 08:13
スレタイにキンタマがはいっているのがいけないんじゃないのか
画数が

366 :名無しさん@お腹いっぱい。:04/03/17 08:14
だれか2行以上でワクチンプログラム作れよ
改行しなきゃいいだけなんだけどさ

367 :名無しさん@お腹いっぱい。:04/03/17 08:16
>>366
nyのアインストーラーなら…

368 :名無しさん@お腹いっぱい。:04/03/17 08:16
>>367
頼むから2行以上でレスしてくれ
笑いがとまらん

369 :名無しさん@お腹いっぱい。:04/03/17 08:17
>>367
志村?
「うしろ〜!うしろ〜!」

370 :名無しさん@お腹いっぱい。:04/03/17 08:17
>>366
君はカーストの底辺ですよ

371 :名無しさん@お腹いっぱい。:04/03/17 08:18
>>366
馬鹿殿様のカツラなら…

372 :名無しさん@お腹いっぱい。:04/03/17 08:19
>>370-371
頼む、マジで2行以上でレスつけてくれ
おまえらカーストの底辺だってぢかく(←なぜか変換できない)してるのか?

373 :名無しさん@お腹いっぱい。:04/03/17 08:20
人大杉を大人杉(おとなすぎ)と読んでた馬鹿に通じるものがあるな。

374 :名無しさん@お腹いっぱい。:04/03/17 08:20
>>373
ワロタ

375 :名無しさん@お腹いっぱい。:04/03/17 08:21
おい
出勤時間
まだか?

376 :名無しさん@お腹いっぱい。:04/03/17 08:22
ここはカーストの最下位か2行以上でワクチンを作るスレになりました
アインストーラーと馬鹿殿様のカツラは禁止です

377 :名無しさん@お腹いっぱい。:04/03/17 08:22
ny厨が荒らしても無駄
早くアク禁にされてしまえ(w

378 :名無しさん@お腹いっぱい。:04/03/17 08:22
>>375
あ、やヴぁい
ありあと

379 :名無しさん@お腹いっぱい。:04/03/17 08:23
いっぱいレスついてると思ったらただの煽りあいに終始してるね。
TrendMicroやSymantecからの情報は無し、と。

380 :名無しさん@お腹いっぱい。:04/03/17 08:24
徹夜でインサイドWindowsNT第2版を読み、そのままズルズルと仕事へ…。

良書です。マジお勧め。


板違いスマソ

381 :名無しさん@お腹いっぱい。:04/03/17 08:25
>>380
いやいや、見かけたらページめくってみるです
サンクス

382 :名無しさん@お腹いっぱい。:04/03/17 08:28
死ねよny厨

383 :名無しさん@お腹いっぱい。:04/03/17 08:33
そうだよねny=PCって認識も一部で広がっているらしく
中学高校のクラスで「無料でエロビデオが見れるらしーぞ」などと噂になり
こぞってマジ厨房が2ちゃんに終結する
そして>>382のような無職引き篭もりの元来2ちゃんにいる厨房を刺激する

こんな状態は良くないと思います、nyなんてやらない奴が大半なんだ

>>382
ニュー即にもリンク貼られてるみたいだししばらくは諦めようよ

384 :名無しさん@お腹いっぱい。:04/03/17 09:01
>>362
地味にワロタ


385 :名無しさん@お腹いっぱい。:04/03/17 09:23
教えて!エロい人

winnyなんて一度もやってないけど、2chで張られてるような
被害者のSSとかjpgファイル覗いただけでも感染するの?

386 :名無しさん@お腹いっぱい。:04/03/17 09:25
>>385
おまいみたいな初心者は感染する

387 :名無しさん@お腹いっぱい。:04/03/17 09:36
とりあえず発見されてる機能
・デスクトップ撮影機能(一日一回?)
・自動nyうp機能
・レジストリの改変
・メール送信
・メッセ等のパス抜き機能
・デスクトップに置いてるファイル2GBまで勝手に
 zipかlzhに圧縮してうp(2GB以上あっても2GBまでの分をうp)
・ファイル属性変更機能(upfolder.txtを読み取り属性にしても無駄。)
・血しぶき表示
・悲鳴WAV再生機能
・ぬるぽ ガッAA表示

噂で言われている機能、本当なのか?
・マイドキュメントを勝手にzipかlzhに圧縮してうp
・時限性プログラムがある
・jpgから感染、時限性で発症
・重要文書っぽいタイトルのファイルを狙ってうp
・亜種も出回っている
・2chに書き込むとき強制fusianasanになる

388 :名無しさん@お腹いっぱい。:04/03/17 09:37
実際のところは、デマや釣りのレスも多いだろけど。


http://tmp2.2ch.net/test/read.cgi/download/1079468468/
590 [名無し]さん(bin+cue).rar sage New! 04/03/17 09:11 ID:d9A8hjor
このウイルス新UPフォルダなんて作らないでもともとあるUPフォルダにファイル突っ込ませれば
もっと気づかれにくかっただろうな

594 [名無し]さん(bin+cue).rar New! 04/03/17 09:13 ID:ZuLFeC0s
>>590
それ次から採用するわ

389 :名無しさん@お腹いっぱい。:04/03/17 09:44
>>387


>>・デスクトップに置いてるファイル2GBまで勝手に
   zipかlzhに圧縮してうp(2GB以上あっても2GBまでの分をうp)
これってまだ確定してないでしょ?

390 :名無しさん@お腹いっぱい。:04/03/17 09:47
わざと踏んでみて面白い挙動をする事に気がつきました。
どうやらこれ(特典写真.jpg(中略).exe)は、Winny1とWinny2の両者が混在する場合、
【Winny2の方を優先する】ようです。
挙動はこんな感じかな? まず、スタートアップを書き換え、自らを常駐させます。
それから、一度リセットした後の最初のスタートアップ時にRegeditを削除し、Notepadをリネームして置き換えます。
そしてTempフォルダにMy Documentの中身をランダムで圧縮し、

『いつもお世話になっております。』

で始まるテキストを作成。これをメール発射するかどうかまでは確認してません。
していたら痛いなあ(藁。まさに人柱だ。ルーチン自体はあるような感じなのですが。
でも、MyDocumentの中身(【一部】です!)を圧縮したファイルは最後のリストの中に入っていないのが謎。
どうもこれは、Downフォルダの中にあるファイルにウィルスを押し込めた結果を表示しているようです。

それと、Winny2のUpFolder.txtを書き換えて、自分自身のコピーも含めたファイルを新たに作ったフォルダに置きます。
ファイル名はランダムな組み合わせで、相当に凝った(というかいかにも普通にありそうな)ファイルを作成します。
ただ、このへんは割と適当なようで、ぶっ壊れた圧縮ファイルを作成したりすることもあるみたいですね。

ファイルのCRCは以下の通り。バスターでもノートンでも素通りしているようです。

16BitCRC : 57E0
32BitCRC : 250396EC
Size : 393216Byte

スタートアップに登録されたファイルを削除すれば、挙動は止みます。
何度かやってみましたが、上のような動作は以降は確認されていません。
少しは役に立つかな?

391 :名無しさん@お腹いっぱい。:04/03/17 09:52
>>390
んん?マイドキュ?デスクトッポじゃなくて?

392 :387-388:04/03/17 09:55
>>389
そうだった?ダウソ板だからあてにならなかったかなぁ。やっぱり。

>>391
どんどん悪質化してるという話だからな・・・。
まるでキンタマウィルスのスレを見てるかのようにね。

393 :名無しさん@お腹いっぱい。:04/03/17 09:55
>>387
> ・マイドキュメントを勝手にzipかlzhに圧縮してうp
> ・重要文書っぽいタイトルのファイルを狙ってうp

あ。この2種類は動作を確認しました。

> ・2chに書き込むとき強制fusianasanになる

どうなんだろ? 何度かやってみたけど、今のところそうなっていないみたいだよ。

ああ、勝手にアップするファイルのファイル名の法則がやっとわかった。
Download.txtの中身【も】参照してつけるんだ、これ!
自分自身で生成するランダムな名前と既存のファイル名を使うとはね。なるほど、これは巧妙だな。

394 :名無しさん@お腹いっぱい。:04/03/17 09:58
亜種まで出回ってるんか…キンタマ恐るべし。

395 :389:04/03/17 10:01
>>392
その話題何回でても見解割れてたしねw

>>390さんの
>TempフォルダにMy Documentの中身をランダムで圧縮し
ってのはどういうことだ?お世話になってますテキストはtemp
だけど圧縮ファイルはupフォルダに作られるんじゃないの?

396 :名無しさん@お腹いっぱい。:04/03/17 10:02
>>393
download.txtは検索ワードが入ってるだけだと思うんだが

397 :名無しさん@お腹いっぱい。:04/03/17 10:03
作った奴は相当の悪党か厨房かのどっちかだな。
特定重要文書を狙って晒す機能が本当なら個人情報だけでは済まなくなる。
不特定多数を狙ってるからネットテロみたいなもんだろ。


398 :名無しさん@お腹いっぱい。:04/03/17 10:12
>>397
nyやっててexe踏むやつのどこが不特定多数なのか教えてほしい。

399 :名無しさん@お腹いっぱい。:04/03/17 10:15
>>391
> んん?マイドキュ?デスクトッポじゃなくて?

そう、マイドキュメント。だから恐い。フォルダを潜って取ってきているよ、これ。
他のドライブに同名のフォルダがある場合も、そこまで行って取ってきている。
どうもショートカットやデスクトップからたどっているのではなく、名前で捜しているようだね。


>>395
> ってのはどういうことだ?お世話になってますテキストはtemp
> だけど圧縮ファイルはupフォルダに作られるんじゃないの?

うーん。もしかするとTempフォルダで生成した後にUpfolderに移動するのかもしれない。
さすがにウイルスを常駐させたままWinny2を動かすのは恐いので、これ以上は勘弁な!
もしかすると、OEとかのアドレス帳を参照してこのテキストファイルを撒くのかもしれない。

今のところは実際に撒いているかどうかまでは確認してませんが。弱くてすまん。


>>396
> download.txtは検索ワードが入ってるだけだと思うんだが

だから、その検索ワードからファイル名をコピーしているんだってば。
地引き網だけならどうかしらんけど、特定のファイルを指定した場合、ファイル名が残るだろ。
その名前だけコピーして、ウイルスが入った圧縮ファイル(または生の実行形式)を生成するんだよ。
つまり、[キンタマ]だけ避けていても【意味がない!】ということなんだ。

これから普通のファイルにも徐々に拡散していくだろうから、マジでWinnyが崩壊するぞ。


400 :名無しさん@お腹いっぱい。:04/03/17 10:16
Winnyキラーになり得るかな。

401 :名無しさん@お腹いっぱい。:04/03/17 10:20
>>399
しかしイタイファイルがデスクトップ内に多い漏れとしては
マイドキュ探られた方が怖くないなw

402 :名無しさん@お腹いっぱい。:04/03/17 10:23
>>398
もしメール機能がマジだったとすれば作者はかなりやばい立場にたたされるとおもわれ。
しかも元祖キンタマスレの住人だと言うことはわかってるわけで、ひろゆこが協力したら終了かと。


403 :名無しさん@お腹いっぱい。:04/03/17 10:23
>>399
>マジでWinnyが崩壊するぞ

それでいいじゃん。
まあその時には部数が落ちて困ったネトラソの中の人が、
また下らん事始めるだろうからイタチごっこは終わらんだろうが。

404 :名無しさん@お腹いっぱい。:04/03/17 10:23
>>397
> 特定重要文書を狙って晒す機能が本当なら個人情報だけでは済まなくなる。

十数回起動して、今まで圧縮されたファイルの拡張子は、大体こんな所。

.doc .txt .xls .jpg .ppt

重要.123とか機密文書.jtd(一太郎)はいまんところスルーされている模様。
以上のことからファイル名というより、拡張子で選んでいると思われ。

各機能自体は今までに存在したウイルスの寄せ集めだけど、組み合わせが絶妙。
ウイルスを撒く場合、一番問題なのはどうやって撒くか、拡散させるかなんだけど、
このウイルスはP2Pの匿名性をうまく利用している。


405 :名無しさん@お腹いっぱい。:04/03/17 10:26
>>403
> >マジでWinnyが崩壊するぞ
> それでいいじゃん。
> まあその時には部数が落ちて困ったネトラソの中の人が、
> また下らん事始めるだろうからイタチごっこは終わらんだろうが。

この次はBittorrentでエロ動画ぶっこ抜き! とか狙っているという話が。
「噂の新作も、超高速でダウンロード!」
とか。マジな話、この次にネタになりそうなのはこれくらいだからなー。


406 :名無しさん@お腹いっぱい。:04/03/17 10:28
>>405
ネトラン厨はぜひひっかかってほしいよ、キンタマに。

407 :名無しさん@お腹いっぱい。:04/03/17 10:28
>>399>>404さん?間違ってたらスマソ

ちゅーことは、2GB超えてるデスクトップを圧縮するときでも
それらの拡張子を優先的に選んで圧縮するから
ファイルサイズはうんと小さくてすむのかな?

てか、圧縮対象になった場所が2GBを超えてなくても
拡張子ではじかれて圧縮されないファイルもあったの?

408 :名無しさん@お腹いっぱい。:04/03/17 10:29
漏れのPCしょぼいからBittorrentは重い ・ ・ ・

409 :名無しさん@お腹いっぱい。:04/03/17 10:30
初歩的な質問でごめんな、

nyやってなかったらキンタマ感染しても何の影響も受けないのかな???


410 :名無しさん@お腹いっぱい。:04/03/17 10:32
>>399
>Downフォルダの中にあるファイルにウィルスを押し込めた
これって自分自身のコピーを「作成」するのとは別に
既存のファイルにとりつくってこと?だとしたらすげぇな・・・

411 :名無しさん@お腹いっぱい。:04/03/17 10:33
>>409
メールがばら撒かれるかもしれない。
nyやってますって内容の。

っていう情報は出てるけど、実際にばらまかれた人がいるかどうかは不明。


412 :名無しさん@お腹いっぱい。:04/03/17 10:34
>>409
nyでうpされないからまぁ今のところ被害最小。

ノートンが完全対応するまでWinny起動自粛だな。

413 :名無しさん@お腹いっぱい。:04/03/17 10:36
>>407
> >>399>>404さん?間違ってたらスマソ

その通りでそ。

> ちゅーことは、2GB超えてるデスクトップを圧縮するときでも
> それらの拡張子を優先的に選んで圧縮するから
> ファイルサイズはうんと小さくてすむのかな?

デスクトップを圧縮するのと、マイドキュを圧縮するのと両方あるみたいだね。
別々のキンタマなのか、それとも同じキンタマが両方の機能があるのかは、わからない。
漏れの手元にあるのは一種類だけなんで・・・・。

> てか、圧縮対象になった場所が2GBを超えてなくても
> 拡張子ではじかれて圧縮されないファイルもあったの?

実験した限りではね。デスクトップを圧縮した場合は拡張子は無差別に圧縮されみたいだけど。
マイドキュは別のドライブ(物理的にも別のドライブ)が2Gオーバーだったけど、その中からピックアップされた。
作者はWinnyの制限も知っているだろうから、あまりにサイズが大きくなるなら適当にカットする機能くらい入れててもおかしくない。
調べれば調べるほど、巧妙だなーと感心しちゃうな。誉めないけど。


414 :名無しさん@お腹いっぱい。:04/03/17 10:41
>>413
なるほど・・・では最後にw
自分が晒されてるかの確認方法なんだけど
nyフォルダ外にup用フォルダ(bbs2とかね)が作られてることもあると思うんで
ny本体の検索で「upフォルダ内」タブをオンにして
zipやlzhで検索かけて状態が「upフォルダ内」のファイルが検出されなければOKか?
ny利用で晒す以上はここで隠れて流出させるのは無理だよね?

415 :名無しさん@お腹いっぱい。:04/03/17 10:44
ny厨uze

416 :名無しさん@お腹いっぱい。:04/03/17 10:44
>>409
>初歩的な質問でごめんな、
>nyやってなかったらキンタマ感染しても何の影響も受けないのかな???

メールで送信されている可能性は否定できない。現在、返信待ち中(藁のため、数日マテ。
少なくとも、アウトルックに登録されている自分のメアドを取り込むのは確認済みですので。
でも、シグネーチャーは取り込んでいないようなのが謎。
マシン名の方なんだよな、これ。もしかするとネットワークを構築している場合はこうなるのか?


>>410
> >Downフォルダの中にあるファイルにウィルスを押し込めた
> これって自分自身のコピーを「作成」するのとは別に
> 既存のファイルにとりつくってこと?だとしたらすげぇな・・・

あい。既存のファイルに寄生しまつ。
じっくりとWinny2で流れているファイル一覧を見ていると、たまーに微妙にファイルサイズが違う同名ファイルがあんのね。
[アルバム] なんとかかんとか.exe
なんつー、露骨に怪しいのもあったりする。知らないでいる感染者は、かなりいるんじゃないか?

417 :名無しさん@お腹いっぱい。:04/03/17 10:45
>411、>412

トンクス。
チョト安心したよ。
メルではファイルをばら撒かれることは無いんだったよね。



418 :名無しさん@お腹いっぱい。:04/03/17 10:46
>>413
のキンタマはmy documentのみか・・・
そっちのほうがいいなw

419 :名無しさん@お腹いっぱい。:04/03/17 10:47
>>414
nyをやめれ。それが一番安全だ。
真面目に答えると、それでいいんじゃない?
さすがにパケットモニターに流れるパケットを見てなんだかわかるような神ではないので、安全とは言い切れないけど。
リスクは自分で背負ってくれ。漏れから言えるのはこれだけだ。

420 :名無しさん@お腹いっぱい。:04/03/17 10:48
>>416
あ、でも所詮exeなんだ・・・
つーことはせっかくのお宝ファイルが.exeになっちまうのか・・・○| ̄|_

421 :名無しさん@お腹いっぱい。:04/03/17 10:49
>>416
Cache、UpじゃなくてDownならny上には流れないと思う。

422 :名無しさん@お腹いっぱい。:04/03/17 10:50
ドライブが複数あって同じバージョンのNYがそれぞれにある場合
ドライブが若いのに感染するみたい

423 :名無しさん@お腹いっぱい。:04/03/17 10:52
Upfolder.txtがない香具師は安全なのかな?

424 :420:04/03/17 10:52
追記
既存のファイルに寄生してるか調べるには
ny各フォルダを(ファイル名)でなく(ファイルに含まれる語句)
で.exeがあるか調べればOK?
これなら圧縮ファイルでも中調べられるよな
間違ってたらイカンのでご教授願います

425 :名無しさん@お腹いっぱい。:04/03/17 10:56
>>422
若いドライブに感染するってどういうこと?
CとDにそれぞれnyが入ってたらCだけ感染ってこと?

感染はシステムにすると思うんだけど。
で、そいつの作ったファイルがうpさせるnyが、
その若い方のドライブのnyになるってことかな?


426 :名無しさん@お腹いっぱい。:04/03/17 10:57
ノートンが対応した模様。持ってる香具師は手動うpだて汁!

427 :名無しさん@お腹いっぱい。:04/03/17 10:57
>>420
悪い。言葉が足りなかった。
既存のファイルをUpfolderにコピーして自らを寄生して、拡散を狙うってコトね。
DownFolderのファイルは変化はない・・と思う。今のとこね。今後どうなるかわからないから。
タチ悪いのは、圧縮ファイルに寄生するのと、ウイルスを生のまんまで既存のファイル名にするのと2通りあんのね。
時限式で隠し機能が起動するかもしれないので、今日の情報が明日通用するとは限らない。

いやー、不謹慎だけどオラ、なんかワクワクしてきたぞ!

428 :ノートン使ってない人:04/03/17 11:02
>>426
検出名はわかる?

429 :名無しさん@お腹いっぱい。:04/03/17 11:04
>>428
ファイル共有ソフトを媒介に感染するウィルス「Antinny.B」の亜種を確認。(シマンテック)

430 :426:04/03/17 11:04
>>428
ダウソ板をROMしてただけだから不明。
漏れはnyやらないからなぁ。。。

431 :名無しさん@お腹いっぱい。:04/03/17 11:05
>>422
それが事実ならダミー準備しておけば保険になるってことか?

432 :名無しさん@お腹いっぱい。:04/03/17 11:12
>>428
検出名は何故か只のw32.hllw.antinny
でも昨日の夜の時点ではCRC16:E837のファイルからは何も検出されなかったんで、
対応したのは間違いないみたい。

433 :428:04/03/17 11:12
>>429
Antinny.Bはキンタマとは違うと結論付けられたはずだけど。。。
それにウイルスバスター2004もAntinny.Bには対応しているけど、検出できないよ。

参考までに、シマンテックはAntinny.Eとかいうものの情報を2月に出してる。
Antinny.Bはトレンドマイクロが発見・命名したものみたいだ。

W32.HLLW.Antinny.E
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.e.html

WORM_ANTINNY.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B&VSect=T

>>430
そっか。ありがとう。

434 :名無しさん@お腹いっぱい。:04/03/17 11:13
>>416
今時、outlook使う奴がいるのか・・・・。
ビジネス目的でなく家庭用にパソコン使ってる奴は
他のメーラーを入れないと。

435 :428:04/03/17 11:14
>>432
それってぬるぽと同じということか。
まだ解析が完全に済んでないからとりあえず暫定措置としてぬるぽとして
検出するということなのかな。

436 :名無しさん@お腹いっぱい。:04/03/17 11:18
しかしこの作者まだまだだな。
自己複製の度にCRCとか変わるようにすればいいのに。

437 :名無しさん@お腹いっぱい。:04/03/17 11:23
>>413さんまだおられるかな?
マイドキュは2GBオーバーだったそうですが、それからピックアップ圧縮
されたファイルはいかほどのサイズでしたか?

438 :名無しさん@お腹いっぱい。:04/03/17 11:25
なんでやられる心配をしなきゃならんのだ?アフォか

439 :名無しさん@お腹いっぱい。:04/03/17 11:28
>>438
間接的被害者になりかねないしさ。しょうがないじゃん。

440 :名無しさん@お腹いっぱい。:04/03/17 11:33
>>437
ほーい。健康的に引きこもってまーす(w

んで、ピックアップされた圧縮ファイルは、どれも300K以下ですた。
ADSLや光なら一瞬でつな。
ファイル数は6〜10前後で、ウイルスも同梱されてまつ。
さすがに何十回も再起動しているとめんどくさくなってきたので、ドキュんタマ(仮名)の動作がこれで確定なのかは不明。
この程度のサイズならISDNでも落とせるので拡散も早いと見こんでいるのかな?

どうも、デスクトップ正調キンタマと、マイドキュを取るドキュんタマの2種類があるような予感。
ぬるぽの動作と似ているという点も、みんなを混乱させる目的があるものと思われます。
単に拡散を狙うなら、過去のウイルスと同じ動作をするのは感染に気づかれやすくなるだけで、意味がない。


441 :名無しさん@お腹いっぱい。:04/03/17 11:37
>>440
マイドキュ型でもファイル名は「俺のデスクトップ」なのね?

442 :名無しさん@お腹いっぱい。:04/03/17 11:42
[キンタマ] 俺のデスクトップ 金正日 (朝鮮民主主義人民共和国) [04-03-16].jpg

443 :名無しさん@お腹いっぱい。:04/03/17 11:49
>>441
違う。これが正調キンタマ(デスクトップSS&ファイルアップロード型)と異なる点。
もしかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。
自分で持っているファイル名データを適当に組み合わせたファイル名か、Dwonload.txtの中から選ぶみたい。

Downフォルダ内にあるファイルは、コピーした物にウイルスを寄生させるだけのようだけど、それだけかどうかはわかんない。
適当にファイルをぶっこんで試してみたけど、Downフォルダにあるファイル名と同じマイドキュ圧縮ファイルは生成されなかった。
環境を変えて試したわけではないので、これで確定とはいい切れん。
すまん。

>>434
いまだにOEとWORDとEXCELを強要される会社はいくらでもあるんだよ。
定期的にKLEZを送ってくるバカ会社とはいい加減手を切りたいんだけどな。

444 :名無しさん@お腹いっぱい。:04/03/17 11:51
>>443
マイドキュ圧縮ファイルの名前に「マイドキュ」とか「デスクトップ」
って付かないんだったらウイルス拡散効果はあっても
晒し上げ効果はあんまりなくないか?w

445 :名無しさん@お腹いっぱい。:04/03/17 11:56
>>444
気づかずに個人的なファイルがばらまかれるのって、イヤじゃないか?
晒し上げ効果は無いけど、機密ファイルとか住所録とか流れたら痛いぞ。
実際、キンタマ詰め合わせの中には会社の書類やメーラーのメアドとパスワードなんかもあるそうだし。
目立たないけど、地味にイヤなやり方だよな。

そうだ。マイドキュだと、エロゲの fate/stay night のセーブデータなんかも入ってしまうな。
抜きどころチェック! とかコメント入れていると死ぬほど痛いことになるぞ(w

446 :名無しさん@お腹いっぱい。:04/03/17 11:58
>>443
>しかしたら同じウイルスが何らかのトリガで違う動作をするのかもしれないけどな。

これだったらまじでヤバイね。

447 :444:04/03/17 12:05
>>445
うーん、それでも躍起になって祭りに乗ろうとしてる
ちゃねらに流れないとすれば気分はずいぶん楽じゃない?
デスクトッポとかマイドキュって名前じゃなければ偶然落とされるだけだよね?

448 :名無しさん@お腹いっぱい。:04/03/17 12:20
>>443
会社だとそういうことが多いのは知ってる。
フリーソフトはダメでシェアのじゃないとだめとかね。

449 :名無しさん@お腹いっぱい。:04/03/17 12:26
558 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/17 12:24 ID:0tE7NfaT
>494
いや全然対応してないからマジで。
16bitCRC E837を検出できたヤツはいない。


そんなことよりStirlingで法則発見。
03 03 03 04 03 03 04 05 08 05 05 04 04 05 0A 07
拾ったjpgがキンタマ製→必ずパターンがある
拾ったjpgが非キンタマ製→ほとんどパターンがない

つまりこれだけは言える。
パターンがない奴は絶対にキンタマ製ではない。
パターンがある奴は、一部のものをのぞいてほぼキンタマ製。

その「一部のもの」は俺んとこでは三百四十六枚中の二枚で
しかなかった。

キンタマ21
http://tmp2.2ch.net/test/read.cgi/download/1079487863/558

450 :名無しさん@お腹いっぱい。:04/03/17 12:37
PC工房の某課長が商品発注してるメールのSS取られてたね。
実名と所属がモロだったから笑った。ww

451 :名無しさん@お腹いっぱい。:04/03/17 12:39
ウィルスって最初の何名かは犠牲になるからねぇ
南無nao

452 :このファイルに注意!:04/03/17 12:43
いつもお世話になっております。
会社名 の ユーザ名 です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。


■お問い合わせ先
会社名
担 当: ユーザ名


■04年03月17日現在放流しているファイルのリスト:
AUTOEXEC.BAT
AUTOEXEC.CAM
boot.ini
bootfont.bin
CONFIG.SYS
csb.log
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys

453 :名無しさん@お腹いっぱい。:04/03/17 13:02
697 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 12:53 ID:nNd0yfgN
16bitCRC E837がキンタマならこれはノートン最新で駆除できる。
最新ウイルス定義はLiveUpdateでは更新されないので手動で最新定義にする必要がある。
ttp://www.symantec.co.jp/region/jp/sarcj/download.html
Intelligent Updater:
ウイルス定義ファイル作成日: March 16
ウイルス定義ファイルリリース日: March 16
Norton AntiVirus Corporate Edition
ウイルス定義ファイルバージョン: 60316h
シーケンス番号: 28605
拡張バージョン番号: 3/16/2004 rev. 8
ウイルス対策済み数: 66156

ちなみにWinnyでは下記のファイル名で流れている。
[キンタマ] 俺のデスクトップ ウイルス本体 (ネットで稼ぐ情報、儲かる情報、その辺りが感染元).zip.rar 176,087 80d4480db662b951bc014e325590496e

シマンテックは、ぬるぽウイルスと同じ種類のウイルスということで今のところウイルス名を同じにしている。
zip解凍エラーダイアログ(フェイク)が出るのはぬるぽウイルスで下記参照。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html

454 :名無しさん@お腹いっぱい。:04/03/17 13:11
↓渦中の人

news:ニュース速報[スレッド削除]
http://qb2.2ch.net/test/read.cgi/saku/1077036838/l50

160 名前: なお 投稿日: 04/03/17 10:36 HOST:p55177-adsao12honb4-acca.tokyo.ocn.ne.jp
削除対象アドレス:
http://ex4.2ch.net/test/read.cgi/news/1079447754/

削除理由・詳細・その他:
氏名
161 名前: ◆DAIKOUEnIQ [sage] 投稿日: 04/03/17 11:12 HOST:catv111-010.lan-do.ne.jp
>>160
そんな削除理由無いですよ

455 :名無しさん@お腹いっぱい。:04/03/17 13:15
ノートンは良いなぁ。一応検出できるもの。
バスターは遅い。。。_| ̄|○

456 :名無しさん@お腹いっぱい。:04/03/17 13:17
>>443
俺(>>145)と一緒だな。これ多分増殖機能。
偽装したファイルをWinnyでばら撒くんじゃないか?

この後にSS取得機能が発動したよ。

457 :名無しさん@お腹いっぱい。:04/03/17 13:20
ノートン最新版(3/16/2004)で駆除できる
16bitCRC E837タイプのキンタマもあるが、

キンタマ21
http://tmp2.2ch.net/test/read.cgi/download/1079487863/697


駆除できないタイプもある。
16BitCRC : 57E0
32BitCRC : 250396EC
Size : 393216Byte

winny使用者はキンタマウイルスに注意
http://pc.2ch.net/test/read.cgi/sec/1079369336/390-

458 :名無しさん@お腹いっぱい。:04/03/17 13:35
2chのそこらじゅうに.lzh貼ってあるんだけどキンタマと関係あるのかな?

459 :名無しさん@お腹いっぱい。:04/03/17 13:39
関係ないだろ

460 :名無しさん@お腹いっぱい。:04/03/17 13:47
中に入ってる文字を適当に抜き出してみました

Software\Borland\Locales
Software\Borland\Delphi\Locales
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
start logon autorun
(%d) explorer
UnZip32 解凍エラー 解凍できませんでした!
書庫ではないか、壊れています。
svchost spoolsv WINLOGON explorer System quickboot cfg config start login setup env loader autorun .exe
system.ini LastPath SciCalc
UpFolder.txt Path Up BBS BBS2 Down BBS CACHE Bbs2 BbsCache Cache2
.FolderSettings Readme.files System Volume Information
winny.ini DownFolderPath Option
winny.ini CacheFolderPath Option
シリアル シリアル集 Serial 最強シルアル集 Pandora シリアル集 Pandora これでなかったらあきらめろ
最新版 最新バージョン 更新済み アップデート 補強板 史上最強 写真集
ロリ写真集 ロリータ写真集 コスプレ写真集 個人撮影 コスプレ写真 ロリータ写真 コスプレ ロリ
月刊シリーズ40冊+3セット 欧州ティーン裏本詰め合わせ ロシア有料サイト Amature&TeenClub
〜略〜

461 :名無しさん@お腹いっぱい。:04/03/17 13:48

  ∧_∧
 ( ´∀`)< ぬるぽ
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/ ←
 (_フ彡        /

Software\Microsoft\Windows NT\CurrentVersion RegisteredOwner RegisteredOrganization
Software\Microsoft\Internet Account Manager Default Mail Account
Software\Microsoft\Internet Account Manager\Accounts\ SMTP Email Address
Software\Microsoft\MSNMessenger User.NET Messenger Service
%s.txt %s[%s].txt

こんにちわ!%sの%sです(^_^)/
Winnyというとっても便利なツールをゲットしてしまいました。
インターネットに繋いでおくだけで色々なゲームやアプリがタダで手に入る優れものです。
なんと公開前の映画まで流れているんだからビックリです。
いつも落としてばかりでは悪いので、私もファイルを流してみますね。
誰か落としてくれるかな・・・(O_O)ドキドキ
まだまだWinny初心者ですがですが、これからもどんどんアップするので、
よろしくお願いします(^o^)/~~~
E-mail:
yy年mm月dd日
現在所持しているファイルのリスト:

462 :名無しさん@お腹いっぱい。:04/03/17 13:48

%s の %s、%d歳。
去年まで金無し君だったけど、WinnyとWinMXで
二年でアプリ350ギガバイト貯めた。一度やってみなよ。
落とすだけ落としてアップせずに終了することもできるし、キーワードに「無修正」「動画」とか入れて
あとは放っておけば一晩でHDがエロムービーで一杯になる。
ソフトがほしけりゃネットで落とせばいいだけ。暇つぶしになる。
フォトショップとかMSオフィスとか色々あるのでマジでお勧め。
文句がある奴はここによこせや →

いつもお世話になっております。
%s の %s です。
この度、弊社ではファイル共有プログラム"Winny"による内部資料の放流サービスを開始いたしました。
長い間社内で眠っていた内部資料の数々を広く一般に公開し、有効に活用していただくことを目的とした革新的なサービスです。
貴社におかれましても、是非この機会にファイル共有プログラム"Winny"を導入されることをおすすめいたします。
今後とも何卒宜しく御願い申し上げます。
■お問い合わせ先
担 当:
E-mail:
現在放流しているファイルのリスト:


463 :名無しさん@お腹いっぱい。:04/03/17 13:52
>>460
バイナリエディタで見たけど、誰かやってくれないかな〜って思ってた。
おつです。


464 :名無しさん@お腹いっぱい。:04/03/17 14:13
winny崩壊させる方法として
一番有効なものを考えて実行させた
作者は頭の回転イイ奴だな。

被害者の奴が騒いで訴訟騒ぎになって
ニュースで報道されれば
自ずとwinnyは消滅するだろうね。
んでもって、同じようなP2Pソフトなら
応用できるから。。。。

個人的にはもっとエグい展開きぼん。

465 :名無しさん@お腹いっぱい。:04/03/17 14:18
こんなに簡単に*.exeをnyユーザが実行するなら
Windowsフォルダの中身消すとか少しプログラムできるやつなら楽につくれるしな。


466 :名無しさん@お腹いっぱい。:04/03/17 14:22
>>465
それ系のウィルスなんか大昔からあるじゃん

467 :名無しさん@お腹いっぱい。:04/03/17 14:23
ていうかこれが報道の表沙汰になったら、
NHKとかでも「キンタマウィルス」って報道されるの?

468 :名無しさん@お腹いっぱい。:04/03/17 14:24
Whiterとか。

469 :名無しさん@お腹いっぱい。:04/03/17 14:25
フグリウィルスとかにすると油断して気付かないかも

470 :名無しさん@お腹いっぱい。:04/03/17 14:43
ノートンで駆除情報聞いてシステムの復帰機能(?)ってのオフにして
駆除もできたんだけど再起動したらまたUpfolder作られてた・・・
どういうことなんだよ・・・

あと、参考までにウィルス感染してたファイル2つあって1つはDivxの何かでもうひとつはわすれた


471 :名無しさん@お腹いっぱい。:04/03/17 14:44
>>470
駆除できてないってことです

472 :名無しさん@お腹いっぱい。:04/03/17 15:05


(´Д`;)  ゴメンナサイゴメンナサイ・・・
  V )
  ((

473 :名無しさん@お腹いっぱい。:04/03/17 15:07
この混乱に乗じて私怨を晴らしてる奴もいるんだろうなぁ。

474 :名無しさん@お腹いっぱい。:04/03/17 15:09
感染者のほとんどがミイラ取りがミイラになってるんだよな。



475 :名無しさん@お腹いっぱい。:04/03/17 15:12
こんなのにかかる奴はどう考えてもアホ。

476 :名無しさん@お腹いっぱい。:04/03/17 15:19
>>474
2chに書き込んでる感染者はほとんどそうだと思われ。
おれもだけど・・・orz

477 :名無しさん@お腹いっぱい。:04/03/17 15:21
正直今回は悪ノリして祭り参加しないで良かったと思うよ。

478 :(((( ;゜Д゜)))ガクガクブルブル((((:04/03/17 15:38
■ この事件の裏側の衝撃的な真相
■ ヤフー460万人データ流出事件の犯人は、
■ 池○大作S価学会の闇の謀略部隊だった
++++++++++++++++++++++++++++++++++++++++++++++++++
ソフトバンク恐喝 逮捕された創○学会員の凄腕の裏
++++++++++++++++++++++++++++++++++++++++++++++++++
布教活動や選挙活動に使用できるのでYBBの名簿に目をつけた(日刊ゲンダイ)

http://ahiru.zive.net/joyful/img/914.jpg
http://ahiru.zive.net/joyful/img/916.jpg
http://ahiru.zive.net/joyful/img/900.jpg
http://ahiru.zive.net/joyful/img/923.jpg
http://ahiru.zive.net/joyful/img/924.jpg
http://ahiru.zive.net/joyful/img/925.jpg
http://ahiru.zive.net/joyful/img/926.jpg
http://ahiru.zive.net/joyful/img/927.jpg
http://www.jcp.or.jp/akahata/aik3/2004-03-01/15_01.html

(((( ;゜Д゜)))ガクガクブルブル((((

479 :名無しさん@お腹いっぱい。:04/03/17 15:39
tempにny.exeってのがあるが。

480 :名無しさん@お腹いっぱい。:04/03/17 15:41
うわさのウイルス crc E837 を3回起動してみた

ProgramFile\imagic\imagic_login.exe
\adaptek\adaptek_autorun.exe
\winny2\spoolsv.exe

これが/autorun,/logonで登録されたね。もちろんフォルダのアイコン。もっと試せばいろいろ変わるのかな…。


481 :名無しさん@お腹いっぱい。:04/03/17 15:53
>>475
禿道。

482 :名無しさん@お腹いっぱい。:04/03/17 15:57
このny.exeってタスク監視してると、nyとは別行動してルータをちかちかさせてた奴だと思うんだが。
誰か欲しい?

483 :名無しさん@お腹いっぱい。:04/03/17 16:19
504 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/17 16:16 ID:1l5mT8Lx
[アルバム] (2004.02.25) LOVE PSYCHEDELICO - LOVE PSYCHEDELICO III.zip.mp3 fI8et2XZKQ 86,430,825 f8453f1a87d4c70f1ae23df7d82328e8

これにキンタマがくっ付いてた。参照量が5万超えてたから相当数落とされてるね。
ちなみにワームの作成日時は、2/24の18時頃になってる。

【警報】Winnyを狙ったワーム・ウイルス情報 Part12
http://tmp2.2ch.net/test/read.cgi/download/1079449665/504

484 :名無しさん@お腹いっぱい。:04/03/17 16:21
作成日時なんかいくらでも偽装可能だろ。
俺が持ってるやつはタイムスタンプが1984年になってたぞ。

485 :名無しさん@お腹いっぱい。:04/03/17 16:39
キンタマも死マンテックが一番対応早かったな。
やっぱりノートン最強ってことでよろしいか?

486 :名無しさん@お腹いっぱい。:04/03/17 16:40
>>484

まだENIACが現役だったころか?
いや、BASICかなと。

487 :名無しさん@お腹いっぱい。:04/03/17 16:58
でバスターはまだなのか?

488 :名無しさん@お腹いっぱい。:04/03/17 17:00
>>486
DOSだな。DOS。
みいその場合はBASICでいいけどな。

489 :名無しさん@お腹いっぱい。:04/03/17 17:04
>>487
バスターはウイルスエンジンの方がたった今更新されたけど、
http://www.trendmicro.com/jp/support/engine/overview.htm#VSAPI%207.000
キンタマはむりぽ

490 :名無しさん@お腹いっぱい。:04/03/17 17:12
やれやれ、バスターさんには失望したよ・・・

491 :名無しさん@お腹いっぱい。:04/03/17 17:14
結局ノートンだけか・・・。eTrustもAVGもマダだよね?フリーで対応済みは無しか・・・。

492 :名無しさん@お腹いっぱい。:04/03/17 17:21
>>491
国産ソフト限定のウイルスに
海外ソフトへ迅速な対応求めるのは無理ぽ

493 :名無しさん@お腹いっぱい。:04/03/17 17:22
最初に対応したフリーAVソフトに乗り換え予定

494 :名無しさん@お腹いっぱい。:04/03/17 17:25
バスター使い負け組か…_| ̄|○
ノートンに乗り換えるにも金がない

495 :名無しさん@お腹いっぱい。:04/03/17 17:25
うぜーな。さっさと解析しろやクソ共

496 :名無しさん@お腹いっぱい。:04/03/17 17:27
こうなりゃ自衛のためにとことん勉強するしかない!

497 :名無しさん@お腹いっぱい。:04/03/17 17:29
所詮はバスター、時代遅れな名称だ
ウィルス・ジェノサイドのほうが強そうでイイ

498 :名無しさん@お腹いっぱい。:04/03/17 17:31
ウィルス・デストロイヤー

499 :名無しさん@お腹いっぱい。:04/03/17 17:34
334 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/17 17:28 ID:HlFuULKC
流れ早すぎ・・・・・

ttp://www36.tok2.com/home2/boboburajiru/xxx/data/bobo_20040317172414.bin.html

golden ball ウイルスで放流された jpg について
捏造 jpg も多いからそれを自動でより分ける perl スクリプトを作って見ました。

エディタで開いてフォルダを指定してから実行します。



・・・・しかし捏造ファイル思った以上に多いね。

500 :名無しさん@お腹いっぱい。:04/03/17 17:34
猿並の脳みそしかもってない奴が引っかかるウイルス。
PC窓から投げたほうが懸命だぞ。

501 :名無しさん@お腹いっぱい。:04/03/17 17:36
バスター、パターン側は817(一昨日リリース)で
対応になってるけどこれでは駄目なのかな。

502 :名無しさん@お腹いっぱい。:04/03/17 17:38
>>491
つーか、俺のバスターは
昨夜、検出したんだが・・・。

503 :名無しさん@お腹いっぱい。:04/03/17 17:39
シマンテックのオンラインスキャンでOK?
http://security.symantec.com/sscv6/home.asp?j=1&langid=jp&venid=sym&close_parent=true&plfid=23&pkj=MXHLORVWHFHMFNZMBBX

504 :名無しさん@お腹いっぱい。:04/03/17 17:39
>>502
それってAntinny.Bじゃ・・・

505 :名無しさん@お腹いっぱい。:04/03/17 17:40
>>503
オンラインスキャンはパッケージ版に比べ精度が良くないらしい。

506 :名無しさん@お腹いっぱい。:04/03/17 17:41
SS見るとノートンやらバスターで検索してる香具師結構いるね。
オフラインにしてから検索すりゃいいのにあふぉだな

507 :名無しさん@お腹いっぱい。:04/03/17 17:41
16 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/16 17:43 ID:2CYpXB43
・感染確認方法のうちの一個
※検証は当方の仮想マシン上で行いました

以下のフォルダに
"C:\Documents and Settings\ユーザー名\Local Settings\Temp"
"ユーザー名.txt"ってファイルが作成されてたらビンゴだよ


508 :名無しさん@お腹いっぱい。:04/03/17 17:44
>>503
チェックしてみる。
ひっかかったらOK。
ディスク大きいからちょっと時間かかる。


509 :名無しさん@お腹いっぱい。:04/03/17 17:47
バスターのファイルをウィルス扱いしたりしてw

510 :名無しさん@お腹いっぱい。:04/03/17 17:48
ワールドワイドなウイルスは
バスターのほうが対応が早い。
でもWinnyみたいなマイナーな感染源のヤツはノートンが早い。

PCの利用目的で、必要なやつを選べばいい。


511 :508:04/03/17 17:49
今Eドライブ検索中。
キンタマexeがあるのはGドライブ・・・。
まだまだです・・・。


512 :名無しさん@お腹いっぱい。:04/03/17 17:50
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B
ウイルス最新定義

513 :名無しさん@お腹いっぱい。:04/03/17 17:50
SSにnyでキンタマ底引きしてる香具師があってワロタ

514 :名無しさん@お腹いっぱい。:04/03/17 17:51
Bとキンタマは違うと(略

515 :名無しさん@お腹いっぱい。:04/03/17 17:51
>>501
817で対応したのははAntinnt.Bだよ。
キンタマとAntinny.Bは別物だよ。

516 :名無しさん@お腹いっぱい。:04/03/17 17:51
ノートン落とせばいいじゃんw

517 :515:04/03/17 17:51
×Antinnt.B
○Antinny.B

518 :名無しさん@お腹いっぱい。:04/03/17 17:53
>>510
じゃあ、ny専用マシンはノートン先生入れりゃあいいんだな

519 :名無しさん@お腹いっぱい。:04/03/17 17:54
>>510
ノーdのサイトに書いてあるAntinnyの解析情報って、なんかヤケクソだよなw

520 :名無しさん@お腹いっぱい。:04/03/17 17:55
http://www.symantec.co.jp/region/jp/sarcj/cgi-bin/virauto.cgi?vid=37341
W32.HLLW.Antinny.E
情報無し

521 :名無しさん@お腹いっぱい。:04/03/17 17:56
>>402
犯人が2chのスレにそのまま書き込むなんて危険を犯すかどうか怪しい
かなりウイルス自体凝った仕様になってるし

522 :名無しさん@お腹いっぱい。:04/03/17 17:56
>>520
きんたまってワイルドな香具師だな・・・


523 :名無しさん@お腹いっぱい。:04/03/17 17:57
>>402
ムリポ

524 :名無しさん@お腹いっぱい。:04/03/17 17:59
おいおい、バスター検索してもなにもなかったのに
ノートンだとバンバン引っ掛かるぞ
バスターもう駄目歩・・・

525 :名無しさん@お腹いっぱい。:04/03/17 18:00
ノートンのHLLWってどういう区分なの?

526 :名無しさん@お腹いっぱい。:04/03/17 18:02
>>520
W32.HLLW.Antinny.E
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.e.html

527 :名無しさん@お腹いっぱい。:04/03/17 18:03
(・∀・)コンニチハ!!!

528 :名無しさん@お腹いっぱい。:04/03/17 18:03
>>524
バスターが駄目歩じゃなくて
Winny使ってるオマイが駄目歩。

529 :名無しさん@お腹いっぱい。:04/03/17 18:04
>>525
ウイルス名の命名規則
http://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html

HLLW
高級言語で記述されたワーム。
(注意:この接頭辞はDOS形式の高級言語ワームに対してのみ使用されます。
ワームがWin32形式のファイルの場合、そのワームの名称には、W32.HLLWという接頭辞が付きます。)

530 :名無しさん@お腹いっぱい。:04/03/17 18:05
>>528
(・∀・)コンニチハ!!!

531 :名無しさん@お腹いっぱい。:04/03/17 18:06
>>528
じゃあ9んな

532 :名無しさん@お腹いっぱい。:04/03/17 18:08
>>528
バスター信者あほか?

533 :名無しさん@お腹いっぱい。:04/03/17 18:08
>>529
ありがとうです。ちょっと調べれば書いてることでしたね、すいません。

534 :名無しさん@お腹いっぱい。:04/03/17 18:09
漏れバスター使ってるけど信者はマジでキモッ

535 :名無しさん@お腹いっぱい。:04/03/17 18:10
なんとなくWINNYのアップフォルダに寄生する法則が見えてきた。

ドライブレターの若い順と、ディレクトリエントリで先頭から見ているみたいだな。
CとDドライブにWINNYがインスコされていればCの方を優先。
領域の先頭とケツの方にWINNYがあれば、先頭の方に寄生するらしい。
これはWINNY1と2に関係なく‥‥だと思う。
バージョン別にインスコされてたら、大概古いバージョンの方がディスクの先頭の方にあるだろ。
その場合は古いバージョンに寄生するみたいだな。デフラグかけたばあいはその限りじゃないが。
一見いい加減に見えるけど、着実に見つけれる方法だな。延々しこしこディスクをシークしてたら怪しまれるし。
あとは解析職人に任せるか。外から見た限りではここまでしかわからん。

他にも興味深い点はいくつかあるんだけれど、ウイルス作者のデバッグに貢献しかねないので、しばらく封印。


536 :名無しさん@お腹いっぱい。:04/03/17 18:10
ANTIDOTEも結構信者居るね。なんか気持ち悪くて使ってないけど。

537 :名無しさん@お腹いっぱい。:04/03/17 18:11
>>535
C:\にダミーのwinny.iniを置いてみればいいんでわ。

538 :508:04/03/17 18:15
まだEドライブ検索中なんだけど

スキャンしたファイル: 31261
感染ファイル: 7

あれ?

539 :名無しさん@お腹いっぱい。:04/03/17 18:16
おまい、普通に感染してないか?

540 :名無しさん@お腹いっぱい。:04/03/17 18:18
え、でもあえてキンタマ.exe保存してスキャンしてるんでしょ?

541 :名無しさん@お腹いっぱい。:04/03/17 18:18
あ、EじゃなくてGなのか?!
別物?

542 :名無しさん@お腹いっぱい。:04/03/17 18:19
>>537
>ディレクトリエントリで先頭から
念のため書いておくが、ファイル名順とは違うぞ?

543 :名無しさん@お腹いっぱい。:04/03/17 18:19
>>542
Cに降りて最初のディレクトリエントリは.(C:\)でしょ

544 :508:04/03/17 18:20
>>540
それはそうなんだけど、そこにたどりつく前に、
別のファイルが引っかかったようですw

昨日の夜、ウィルスバスターでチェックしたときは何も出なかったけどな〜


545 :名無しさん@お腹いっぱい。:04/03/17 18:21
>544
げ、バスターまじでやばいのかな…。
俺もスキャンしてみよう…。

546 :名無しさん@お腹いっぱい。:04/03/17 18:21
バスターのだめっぷりが白日の元に晒されるスレはここですね

547 :名無しさん@お腹いっぱい。:04/03/17 18:22
フリーが多くなってくると、商用のやつは速さ命になってくるからなぁ…。
金取るならさっさとやれ馬鹿と言われても仕方ない。

548 :名無しさん@お腹いっぱい。:04/03/17 18:22
バスターユーザー、ちょっと試してみたらどうだろ。
何か他の物を拾ってるだけかもしれないし。


549 :名無しさん@お腹いっぱい。:04/03/17 18:22
バスターで今朝のドライブチェック問題なかったのに
うちも出てる_| ̄|○
感染ファイル2って・・・・

550 :508:04/03/17 18:23
>>546
全部終わるまで、詳細がわからないので、だめかどうかの判断はもうしばらくお待ちください。
関係ないのが引っかかってる可能性もあるので。

現在Fドライブ検索中。


551 :名無しさん@お腹いっぱい。:04/03/17 18:24
おもしろいことになってまいりますた

552 :名無しさん@お腹いっぱい。:04/03/17 18:24
何が掘り出されるのやら

553 :名無しさん@お腹いっぱい。:04/03/17 18:25
ノートンのはどこで出来るの?

554 :名無しさん@お腹いっぱい。:04/03/17 18:26
誤爆した…けどあんまりすれ違いでもないような_| ̄|○

555 :名無しさん@お腹いっぱい。:04/03/17 18:26
バスターインスコしてあるPCで、ノートンのオンラインスキャンやっても大丈夫でつか
モジュール競合とかしない?

556 :名無しさん@お腹いっぱい。:04/03/17 18:27
>>548
>>548
いや、だから、ウイルスバスター2004で、

CRC:E837、MD5:C399E5DD7999ED43EA705A36BDF026EA

の実行ファイルをいくらスキャンしても何も出てこないんだよ。

557 :556:04/03/17 18:27
レスアンカーミス。

558 :名無しさん@お腹いっぱい。:04/03/17 18:27
濃豚って2002でも検出してくれるのかな?
ウィルス定義は最新みたいだけど

559 :508:04/03/17 18:27
>>555
思いっきりスキャン中なんですがw

560 :549:04/03/17 18:29
一応、ウイルス感染者特有っぽいファイルで
マシン内検索かけてみたんだが、出てこなかった。
regidet.exeもtxtじゃないし・・・・油断しすぎたか

561 :名無しさん@お腹いっぱい。:04/03/17 18:30
だめだ、マジでひっかかった
バスター止めるべ・・・

562 :名無しさん@お腹いっぱい。:04/03/17 18:31
>>543
ディレクトリエントリって、各ファイルの情報部分だったよーな気がするんだが・・・
漏れの勘違いか?勘違いだったら笑い倒してくれ。

535で言ってるのは、Cドライブの頭から物理的に順に読んでいって、
該当するファイル情報に引っかかったときに・・・ってことじゃあ。
これなら、あちこちシークして回ってカリカリいってバレることも無いし。

563 :549:04/03/17 18:32
キンタマではなかったようでつ
Backdoor.Trojan
Macro.src
ですた。
Live2chのビュワーで感染ファイル手に入れた模様

564 :名無しさん@お腹いっぱい。:04/03/17 18:32
>>562
物理位置なんて普通のプログラムからは分からないよ

565 :名無しさん@お腹いっぱい。:04/03/17 18:34
このスレ見てて人ごとだと思ってたけど、俺もキャンタマにやられてた…

566 :名無しさん@お腹いっぱい。:04/03/17 18:39
>>565
変なexe開いて気づかないものなの?

567 :名無しさん@お腹いっぱい。:04/03/17 18:41
M$のセキュリティーCD(無料)のおまけとして、濃豚先生がついてるぞ。
しかも90日間更新サービスが受けられる。シマンテックで落とせる体験版でも同じなのかな?

ガタガタブルブル震えている子羊共よ。震えている暇があったら試して見ろ。

568 :508:04/03/17 18:41
おれは例のエラーダイアログが表示されたからすぐ気づいたけど

569 :名無しさん@お腹いっぱい。:04/03/17 18:42
>>559
マジでつか。ありがd
以前、ノートンAVのオンラインスキャンモジュール入れたまんま
バスターインスコしたら青画面になったことあったけど
改善したんだね。漏れも試してみるよ

>>563
バスター入れてるんですよね?
なぜ感染してるのですか
同じバスター使いとして不安です

570 :名無しさん@お腹いっぱい。:04/03/17 18:43
ADSLだから逐次キャッシュ状態とかチェックできる。
光だと凄い勢いでキャッシュが増えていくからな。

571 :名無しさん@お腹いっぱい。:04/03/17 18:44
>>566
いや、わかんなかった。
デスクトップの画像はあったけど、デスクトップのファイルつめあわせはなかったんだが…

572 :名無しさん@お腹いっぱい。:04/03/17 18:45
html開くとexe発動する仕掛けもある >キンタマ

573 :549:04/03/17 18:46
バスターでノートン先生が検出したフォルダを
さらに探してみたが、感染ファイルなしと出る。
さっき最新エンジン入れたばかりなのになぜだろう

574 :542=562:04/03/17 18:48
>>564
だから、物理位置情報やファイル名などを格納してるのがディレクトリエントリ
・・・だったと思うのだが。

なんか、自分の記憶に自信が持てなくなってきたな…ググってみよ…

575 :名無しさん@お腹いっぱい。:04/03/17 18:54
4年前のファイルからBackdoor.Trojanが検出された。
毎月ノートン先生でスキャンかけてたのになぜ今頃になって・・

576 :名無しさん@お腹いっぱい。:04/03/17 18:55
どーでもいいけど、Trojanってなんて読む?
トロイアン?

577 :名無しさん@お腹いっぱい。:04/03/17 18:56
>>567
試用版は30日間限定だが、
>ご注意
># ウィルスは日々増加しており、シマンテックでは毎週一回以上ウィルス定義ファイル(ワクチン)を更新しています。
>トライアル版をインストール後必ず、ウィルス定義ファイルを更新してください。
とあるから更新は可能と思われ。


578 :名無しさん@お腹いっぱい。:04/03/17 18:56
トロヤン

579 :名無しさん@お腹いっぱい。:04/03/17 19:02
感染してるかどうかは、トレンドマイクロのオンラインウィルススキャンなんかを
して調べれば良いんでしょうか?

580 :名無しさん@お腹いっぱい。:04/03/17 19:02
俺はノートン自体に感染してたよヽ(´ー`)ノ

581 :名無しさん@お腹いっぱい。:04/03/17 19:03
もうだめだこりゃ。どうにもならねーっす。
一応ノートンも削除したけどさ。

582 :508:04/03/17 19:04
スキャン完了しました。

-----------------------------------------------------------------------------------------------------
109051 個のファイルをスキャンしたところ、 7 ハードディスク上のファイルが感染していました。

メモリ上でウィルスは見つかりませんでした。

コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。

シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。

E:\Program Files\Live2ch\log\news4.2ch.net\news\1063849945.dat は VBS.LoveLetter.A に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\mnewsplus\1059303941.dat は VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059858116.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\news2.2ch.net\newsplus\1059915757.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1045474905.dat は VBS.LoveLetter.Var に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1058931280.dat は Macro.src に感染しています。
E:\Program Files\Live2ch\log\okazu.bbspink.com\ascii\1061464498.dat は VBS.LoveLetter.A に感染しています。
-----------------------------------------------------------------------------------------------------
こんな感じ。
ウィルスは無かったです。

結局キンタマには対応できてないですね。


583 :名無しさん@お腹いっぱい。:04/03/17 19:09
Winnyフォルダにreadmeが勝手に復活したんだけど・・・
それと、デスクトップのアイコンがおかしくなった。F5de直ったけど。
このreadmeはウィルスか・・・?

584 :名無しさん@お腹いっぱい。:04/03/17 19:11
>>582
乙〜
ってやっぱだめなのね…

585 :名無しさん@お腹いっぱい。:04/03/17 19:11
ノートン自体がANNTINYに犯されてた漏れは・・・
ってかキンタマではなくATINTINに犯されてたということで良いのか?
アティンティン!

586 :名無しさん@お腹いっぱい。:04/03/17 19:12
意味のないコピペはやめろや!

587 :名無しさん@お腹いっぱい。:04/03/17 19:12
キンタマ検出できねーんじゃ、今のところどっこいどっこいか?
でもバスター継続は、正直今後の展開次第では考える…_| ̄|○

588 :名無しさん@お腹いっぱい。:04/03/17 19:13
とりあえずフォルダごとさくじょしますた

589 :名無しさん@お腹いっぱい。:04/03/17 19:13
(・∀・)コンニチハ!

590 :名無しさん@お腹いっぱい。:04/03/17 19:14
>>585
いみわかんねーー(ノ∀`)

591 :名無しさん@お腹いっぱい。:04/03/17 19:14
>>589 (・∀・)コンニチハ!!!

592 :名無しさん@お腹いっぱい。:04/03/17 19:14
>>587
とりあえず、手に入ったウイルスファイルをトレンドに送ったれ。
後ろめたいのかもしれんが、あっちも種類があるのをわかってないのかもしれないぞ。
正規ユーザーなら、どんと送ってやれ。

593 :名無しさん@お腹いっぱい。:04/03/17 19:14
>>583
拡張子みてみ。

594 :名無しさん@お腹いっぱい。:04/03/17 19:15
ソースコードを持ってるのは犯人だけで、犯人以外はそんなにはやく亜種を作るのは難しい
おそらく犯人は2ちゃんねるを見ながらいろんな亜種を作ってると思われ

595 :名無しさん@お腹いっぱい。:04/03/17 19:15
ノートン解除→オンラインスキャン→(・∀・)コンニチハ!!!

596 :549:04/03/17 19:17
とりあえずファイル削除でオンラインかけてみましたが
今度は検出されず。
バスターが検出しなかったのは不安だが
被害ナシだし、いいかな〜?w

>582
乙!
キンタマ検出はどこも未対応ってことですな。


597 :名無しさん@お腹いっぱい。:04/03/17 19:18
>>592
いや、俺キンタマにはいまのところ多分未感染。
兆候もあちこちで出たノウハウで試したけど全然ないし。



598 :508:04/03/17 19:19
他スレでノートンで駆除できたとか言ってる人もいたけど、
駆除できるのとできないのがあるのか、
Bとキンタマ混同してる人がBを駆除できて喜んでたのか、
その辺がよくわからない。

とりあえずうちのキンタマexeが引っかかるチェックが出るまでは、
感染の恐怖が続く・・・((;゚Д゚)ガクガクブルブル

599 :556:04/03/17 19:20
WindowsセキュリティアップデートCD付属のNorton AntiVirus 2004をインストールして
最新の定義ファイルでスキャンしてみた。

見事にW32.HLLW.Antinnyとして検出した。

ノートン凄いな。

600 :名無しさん@お腹いっぱい。:04/03/17 19:21
増殖型なんだから駆除しても元を断たないと意味無いよ

601 :名無しさん@お腹いっぱい。:04/03/17 19:23
http://page.freett.com/zxe/img/shu_04-03-14.jpg
痛すぎ

602 :名無しさん@お腹いっぱい。:04/03/17 19:24
>>601
明らかに故意に流されたやつだな。重要なものが何一つ無い

603 :名無しさん@お腹いっぱい。:04/03/17 19:25
>>598
ダウソ板で数種抱えてる人が
ノーdだけがうち二つに反応した…とかいってたけど
どうなんだろう。

604 :名無しさん@お腹いっぱい。:04/03/17 19:27
検出されたもの駆除&ny削除でどうにかならんの?
メールでバキュンしちゃうの?

605 :556:04/03/17 19:28
それから、さっきノートンで検出できた実行ファイルを昨夜トレンドマイクロに
解析依頼出そうとしたら、「評価版をお使いの方からの依頼は受付できません」と
言われて断られた。
やっぱ、サービスエディションのぷらら限定3ヶ月無料アップデート可能版でも評価版扱いなんだと思って
がっかりした。

606 :名無しさん@お腹いっぱい。:04/03/17 19:29
とりあえずおいらが持ってる8種類はノートンさんはスルー
駆除できるのはBなんじゃないかなぁ・・

607 :名無しさん@お腹いっぱい。:04/03/17 19:30
>>605
俺が代わりに提出…ってウイルス受け取りたくないしなぁ_| ̄|○

608 :名無しさん@お腹いっぱい。:04/03/17 19:30
サイズ390k以下の.exe検索したらSystem Volume Informationにも
フォルダアイコン.exeが・・・
と思ったら復元が水曜更新になってたからだった

609 :名無しさん@お腹いっぱい。:04/03/17 19:31
>>606
ちなみに8種類のサイズ教えて

610 :508:04/03/17 19:38
うちのキンタマ君は376,832 バイトです

611 :556:04/03/17 19:40
>>607
俺が持っているのは>>84のファイルと同じものだよ。
拡張子がexeからtxtに変えてあるだけ。

612 :556:04/03/17 19:41
書き忘れ。
>>84のファイルはまだFTPサーバにあるよ。

613 :名無しさん@お腹いっぱい。:04/03/17 19:48
電話番号・メアドリスト・カード番号・パスワード等             .exe
   139.162   はテキストアイコンで

ゴミ箱            .exe
   141.210   はゴミ箱アイコン

があるけどこれもキンタマだろうか?


614 :606:04/03/17 19:50
メジャーなCRCの奴がないんだけど中のTEXTみると、これ全部キンタマ君だと思うんだけどな・・
size    crc
376832 A1E7
393216 32BC
393216 74AE
594944 079D
472064 9987
548864 97FD
594944 079D
776192 BE28

バイナリエディタStirlingのBGREPで
8E 81 0B 01 02 19 00 FE 04 00 00 1A 01 00 00 00
で検索したらよいかも知れません。
うちのPCでは*.exeでは上のキンタマ君(候補?)しかかかりませんでした。

>>613
それは違った気がする・・

615 :名無しさん@お腹いっぱい。:04/03/17 19:51
>>613
明らかにウィルス関係じゃん・・・・
気付いてよかったね。

616 :名無しさん@お腹いっぱい。:04/03/17 19:57
>>614

http://www3.ca.com/threatinfo/collateral.aspx?CID=33514
ここから virus を送れば e-trust が対応するんじゃねえか


617 :名無しさん@お腹いっぱい。:04/03/17 20:00
>>614

じゃ、>>613は何?

618 :名無しさん@お腹いっぱい。:04/03/17 20:02
あ、>>613はぬるぽ?
アンチnyとかってヤツかな?

619 :名無しさん@お腹いっぱい。:04/03/17 20:07
>>613
それと同じ物を拾ったけど、どれも「ぬるぽ」ではなかったよ。

620 :619:04/03/17 20:09
あ、ぬるぽ(Antinny.A)はファイルサイズが651,264バイトだから。

621 :613:04/03/17 20:09
この2つはノートンではスルーなんですよ

キンタマ詰め合わせに入ってたやつなんですが

622 :名無しさん@お腹いっぱい。:04/03/17 20:10
Winnyの実行ファイル削除したけど、Nortonとかまだ対応してないしOSクイーンインスコしようかなぁ('A`)

623 :名無しさん@お腹いっぱい。:04/03/17 20:12
>622
次はIEにDLLインジェクションしてnyを勝手に拾ってくる仕様にしてほしいねw

624 :名無しさん@お腹いっぱい。:04/03/17 20:17
セキュ板とは思えないカキコばっかりだな。正直かなりひくよ。

625 :名無しさん@お腹いっぱい。:04/03/17 20:21
htmlソースを利用して感染するってどういうこと?

626 :名無しさん@お腹いっぱい。:04/03/17 20:23
>>625
htmlドキュメントを開くとワームの本体が実行されるようになってるんだよ。

627 :名無しさん@お腹いっぱい。:04/03/17 20:24
>>626
そいつマルチだよ

628 :名無しさん@お腹いっぱい。:04/03/17 20:26
ノートンセンセは自動upでーとじゃなくて手動アプデートね よろしこ

629 :名無しさん@お腹いっぱい。:04/03/17 20:28
>>627
マルチで何が悪い?分からないから聞いてるんだよ。ヴォケが。

630 :名無しさん@お腹いっぱい。:04/03/17 20:29
http://www.symantec.com/region/jp/sarcj/download/jp/JP-N95.html

ノートンの手動アップデート。
ライブアップデートでは更新できないから注意。
ライブアップデートの最新は3月15だけど、
これは3月16日。最新ってこと。

631 :名無しさん@お腹いっぱい。:04/03/17 20:31
>>629

ハハハ                                  イキデキネーヨ
   ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ハライテ-       ゲラゲラ
.  ( ´∀`) < ヴォケがだってよ!! ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、     ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),    _(∨ ∨ )_     ∧_∧ ○,
  (__)_) ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ
           ワハハハ


感染して必死だな(ワラ


632 :名無しさん@お腹いっぱい。:04/03/17 20:32

ってかさ、winnyフォルダを一旦削除すればいいじゃん。



633 :名無しさん@お腹いっぱい。:04/03/17 20:32
ふと思ったんだけど合法物をやり取りしてれば感染しなくねぇ?
いちおdown自体は違法ではないけどさ

634 :名無しさん@お腹いっぱい。:04/03/17 20:33
>>631
そのAA、久しぶりに見たから思わずニヤニヤしちゃった。

635 :名無しさん@お腹いっぱい。:04/03/17 20:34
なんでこんなところにダウン板の糞どもがいるんだ?

636 :名無しさん@お腹いっぱい。:04/03/17 20:35
>>633
2chとかでブラクラのようにウイルスがnyの外に出て広がりはじめてるしなあ。
無差別メール発射機能とかが本当なら、ny持ってない人でも
感染したらしゃれにならんかも。

637 :名無しさん@お腹いっぱい。:04/03/17 20:37
>>635

ハハハ                                  イキデキネーヨ
   ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ハライテ-       ゲラゲラ
.  ( ´∀`) < 糞どもだってよ!!  ∧_∧       〃´⌒ヽ       モウ カンベン
.  ( つ ⊂ )  \_______   (´∀` ,,)、     ( _ ;)        シテクダサイ
   .)  ) )   ○   ∧_∧      ,, へ,, へ⊂),    _(∨ ∨ )_     ∧_∧ ○,
  (__)_) ⊂ ´⌒つ´∀`)つ    (_(__)_丿      し ̄ ̄し     ⊂(´∀`⊂ ⌒ヽつ
          タッテ ラレネーヨ
           ワハハハ


638 :名無しさん@お腹いっぱい。:04/03/17 20:38
乞食犯罪者がセキュ板に助けを求めて押し寄せてるんだよ。
ここがそいつらゴミ屑どもの隔離所。
適当に嘘教えとけば良し

639 :606:04/03/17 20:38
おお手動か!全部検疫されたですよ。先生すごいな〜

640 :名無しさん@お腹いっぱい。:04/03/17 20:38

>>635
無能な自称セキュ板住人さんに言われてもなw

641 :名無しさん@お腹いっぱい。:04/03/17 20:38
>>631
感染したら必死になるだろ?当たり前のこと言うな。ヴォケが。

642 :名無しさん@お腹いっぱい。:04/03/17 20:39
おお、ノートン捕まえはじめたのか。
いいなぁ…。

643 :名無しさん@お腹いっぱい。:04/03/17 20:40
eTrustの定義更新をニヤニヤしながら眺めてる俺

644 :名無しさん@お腹いっぱい。:04/03/17 20:40
ダウソ板の連中にとっちゃID出ない板は新鮮だろうな
まぁせいぜい必死に荒らしてくれや(w

645 :名無しさん@お腹いっぱい。:04/03/17 20:53
テス

646 :名無しさん@お腹いっぱい。:04/03/17 20:57
いつからフシアナされなくなったんだろう

647 :名無しさん@お腹いっぱい。:04/03/17 20:59
オマイラ(・∀・)コンニチハ!!!

648 :名無しさん@お腹いっぱい。:04/03/17 20:59
いい暇つぶしになるな。

でも会社や学校の個人特定されたりリアル晒された人はご愁傷様・・・・・・

649 :名無しさん@お腹いっぱい。:04/03/17 21:00
>>647
(・∀・)コンニチワ!!                                             .exe

650 :名無しさん@お腹いっぱい。:04/03/17 21:03
>>649
(・∀・)コンニチハ!!Autoexec.bat

651 :名無しさん@お腹いっぱい。:04/03/17 21:06
>>647
(・∀・)コンニチハ!! お得情報.html                             .exe

652 :名無しさん@お腹いっぱい。:04/03/17 21:08
>>647
(・∀・)コンニチワ!!【AV】萩原舞主演無修正.mpg                        .exe

653 :508:04/03/17 21:09
ほんとだ!
ノートンの試用版いれて、手動アップデートやったら、削除された!
ノートンの勝ち!

さて、また全チェックやっとくか・・・。


654 :名無しさん@お腹いっぱい。:04/03/17 21:10
    ω~ ω~ ω~ ω~ キンタマドゾー
 ω~     ω~ ω~ ω~ ω~ ω~ ω~  ズドドドドドドドド
     ヽ )ノ     ω~ ω~ ω~ ω~ ω~ ω~
ω~ ⌒(゚д゚)ノ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ω~ ドドドド
    /. ( ヽ ω~ ω~ ω~ ω~ ω~ ω~ ドドドドド ドドド
 ω~~     ω~ ω~ ω~ ω~~
     ω~ ω~ ω~ ドドドド   

655 :名無しさん@お腹いっぱい。:04/03/17 21:10
∀・)っω~
  イタダキマスタ

656 :名無しさん@お腹いっぱい。:04/03/17 21:12
>>654
もう満腹


ゲプッ

657 :名無しさん@お腹いっぱい。:04/03/17 21:17
試しに俺もノートンのオンラインスキャン試したら
ウィルス一つ見つかったよ(まだスキャン途中だが)
バスター酷いよ(> <)

658 :名無しさん@お腹いっぱい。:04/03/17 21:23
>>654
              / ̄)
     ∩____∩. |  |   そんな攻撃は当らないクマー!
     | ノ        ヽ.|  |
    /  ●   ● ||  |      ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
    |    ( _●_) .ミ  |
    彡、.     |∪|     |
ω {fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj{fj
     /  ,へ        ̄ ̄`ヽ
      /  /  \    t──┐  |
    (__/     >   ).   |  |_
             /  /   (___)
           (  \
            \__)

659 :名無しさん@お腹いっぱい。:04/03/17 21:24
>>657
漏れはギコナビのDATファイルが何故かひっかかっただけだターヨ

660 :名無しさん@お腹いっぱい。:04/03/17 21:25
http://no.m78.com/up/data/u028631.jpg
外出だったらすいません。物手にいれたんで開いて見てたんだけど、
上のJPEGのあたり、ここで圧縮かけてると思うんだわ。
でも作者が1から圧縮ソフト作るなんて手間かけんと思うんで、
これってなんかの圧縮ソフトから引っ張ってきたのでは、と推理してます。
こっから作者に近づけないかな無理ですねすいません。
おいらのきんたまも少しさらされてる、はずかしー。
ってのをニュー速とダウソに書いたが無視された


661 :名無しさん@お腹いっぱい。:04/03/17 21:26
http://no.m78.com/up/data/u028634.jpg
http://no.m78.com/up/data/u028636.jpg
偽装ファイル
この命名から嗜好読めないかしら。
http://no.m78.com/up/data/u028637.jpg
ぬるぽのAA
どっかでBMPが、って聞いたが本体には入ってるのかな?
俺は実行ファイルだけげとなんで。


662 :名無しさん@お腹いっぱい。:04/03/17 21:27
テキストエディタで何やってんの?

663 :名無しさん@お腹いっぱい。:04/03/17 21:28
ライブアップデート後、この先にある16日版(最新)を導入すればOK
ちなみに、アップデートファイルは

ファイル名
作成日
更新日
サイズ

20040316-008-i32.exe
FTP Download
3月 16日 2004
3月 16日 2004
4.55 MB

これ

ウィルス定義ファイルのダウンロード
http://www.symantec.com/region/jp/sarcj/defs.download.html


664 :名無しさん@お腹いっぱい。:04/03/17 21:31
だって自宅のPCエディタすらはいってないんだもん。
WZもさっき慌てて入れた。

665 :名無しさん@お腹いっぱい。:04/03/17 21:31
>659
漏れはLive2chのdatだった
スレはバスターPart15
ログ破棄したら感染ファイルは消えた

666 :名無しさん@お腹いっぱい。:04/03/17 21:32
システムの復元を無効にするに設定して、ノートンで発見、駆除はできたんだが
再起動したら同じ動作(Regedit書き換え、Upfolder.txt作成)するのだが現時点
では完全な駆除は不可能ってことなのか?

667 :名無しさん@お腹いっぱい。:04/03/17 21:34
何で2ちゃんブラウザのログファイルがウィルス扱いされるのかも気になってきた・・・

668 :名無しさん@お腹いっぱい。:04/03/17 21:35
>>666
むしろシステム復元してみたらどうだい?

669 :名無しさん@お腹いっぱい。:04/03/17 21:37
2ちゃんねるのログからウイルスが(ryという方は、

http://pc.2ch.net/test/read.cgi/sec/1078999652/3

を読んでね。

結論:ノートン先生の仕様です。

670 :666:04/03/17 21:38
>>668
一応両方ためした。あと、1回目でノートンで削除されたものは、2回目以降では検出されなかった。
検出されないのにウィルス感染しているようです・・・

671 :657:04/03/17 21:38
結果出ました
最終的に感染ファイルが7個まで増えてビビリましたが
皆さんと同じように全てかちゅ〜しゃのdatでした
バスターごめん。

672 :名無しさん@お腹いっぱい。:04/03/17 21:39
ウイルスコード貼ってあったんだろ

てか厨臭い

673 :名無しさん@お腹いっぱい。:04/03/17 21:40
>>661
ぬるぽガッAAもBMPも入ってるよ。手元にあるやつで確認した。

674 :名無しさん@お腹いっぱい。:04/03/17 21:41
(+ω+)   (・∀・ )コンニチハ!

675 :名無しさん@お腹いっぱい。:04/03/17 21:41
ダウソ板の植民地か
ここは?

676 :名無しさん@お腹いっぱい。:04/03/17 21:42
乙!
ノートン先生にもお茶目な面があるんだなw
バスターでも平気なんだな、ヨカターヨ・゚・(ノД`)・゚・

677 :名無しさん@お腹いっぱい。:04/03/17 21:42
9152バイトの赤い服着た眼鏡の男がこっち見てる画像は、
捏造jpgじゃなくてキンタマ作なの?

678 :名無しさん@お腹いっぱい。:04/03/17 21:42
キンタマ解析スレに戻そう。

679 :名無しさん@お腹いっぱい。:04/03/17 21:43
めがね男はantiny

680 :名無しさん@お腹いっぱい。:04/03/17 21:43
>>677
あれは昔からある捏造画像。

681 :名無しさん@お腹いっぱい。:04/03/17 21:44
>>667
ウイルスバスターは反応しないけど、
ログにウイルスのコードの一部(文字列)が貼り付けてあると
ノートンはウイルスと勘違いして検出しちゃうんだよ。

ニュース系の板で自分に都合が悪いスレを潰すために在日チョソや工作員?が
ラブレターウイルスの一部を貼り付けることが多いです。

【効能】
・ウイルス貼り付け→ノートンが反応する→2chブラウザの不具合発生(リロード不能等)
・ノートンをoffにしないとdatファイルを移動出来なくなる
・naoタンみたいな人がやると効果大

682 :名無しさん@お腹いっぱい。:04/03/17 21:46
>>666
キンタマ?

おれは自力で駆除したけど、
1.うpふぉるだ.txtを削除
2.readme.filesふぉるだを削除(うpふぉるだ.txtでうpふぉるだに指定されてる)
3.レジストリのあやしいのを発見、その値を削除、その値に書かれてるファイルを確認
4.そのファイルはシステムが実行中なので削除できないので、再起動
  レジストリからは消したので、次回起動時は実行されない
5.実行されてないから、そのままそのファイルを削除

こんな感じ。


683 :名無しさん@お腹いっぱい。:04/03/17 21:47
                      _二__   __
                  ,-‐ー''"´、:::::::,-'"´:::::::::`‐、
       ,、-‐ー-''"´`‐、   /::-‐ー、:::::ヽ/:::::::::::::::::::::::::::ヽ    
    ,、-'´::::::::ミ/:::::::::::::::::>'´:::::::::::::::\:/⌒``‐:::::::::::::::::::::',   
  //,-''"´``:::::::::::::::::::/:::::::::::::ヽ::::::::ミ,-''"´`` ‐::::::::::::::::::::|
 /:::/::/::::/::::ミ/:::::::::::::::::/:::::::::::::::::::ヽヽ::i::::,-''"´ヽ:::ヽ:::::ミ::::::l
./::::l::::(:::::l,-''"ヽ、::::::::::::::l::::::::,-‐ー-、::::::,-‐ー、;;;;;;;;ミ',:::::ヽ:三≡l
l:::::::l:/l"ヽ:\.__  ``‐-、::l::::/     `'       :l::::::l::::::::::::l
!:::::::l l  `‐、三三二=-ヽl::l              l::ノ:::::::::,-
l::::::::l l    `‐-``>._  l:|              ヽ:::::::/ ヘ.'
.',:::::::ヽ_ヽ、   ,、-'´;;;;;;;ヽ'´:l           _   ヽ::l くヽ l
 ',:::::ヽヽ;;;;)-(;;;;;;;;;;;;;;;;;ノ __l     ::   ,、-''";;;;;;;;;ヽ  レ l ノ l
  `‐、._;;;;‐、_ ヽ、___,、'´  ヽ;;;;;;;``‐-i-ー(;;;;;;;;;;;;;;;;;;;;;ノ       ノ  オチンチンを高速でシゴくんだッ
    ',     丶      `‐、;;;;;;;ノ  ヽ、;;;;;;,、-'´     7l
    ヽ  ` '"       ,',       、        l /;;;;'
     \ -=ニ=ー    / ',   (   _ヽ       //;;;;;;;;;ヽ
  そっか \` "´   /   ',             /;;;;;;;;;;;;;;;;;;;ヽ
       丶.__,、-'´    ,、-.', -ニ=二ニ=ー   /;;;;;;;;;;;;;;;;;;;;;/\
         l      /,-''"´ヽ ` ニニ '´   /;;;;;;;;;;;;;;;;;,、-'´;;;;;;;;;;ヽ
           l    //    .ノ',      /;;;;;;;;;;;;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;\
         l  //  ,、-‐'´;;;;;; `‐--ー '´/;;;;;;;;;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ

684 :名無しさん@お腹いっぱい。:04/03/17 21:58
>>681
> ニュース系の板で自分に都合が悪いスレを潰すた
他板とかで嫌韓愛国?とかの布教するのってとっても迷惑だよ。
頼むからそういうのはやめてね。

685 :名無しさん@お腹いっぱい。:04/03/17 22:01
>>684
ネタだろ。そんなものに反応することはない。
なにせ、ここは2ちゃんねる。便所の落書きと言わしめたところだ。

686 :名無しさん@お腹いっぱい。:04/03/17 22:01
嫌韓も嫌嫌韓も消えうせろ。うるせー

687 :名無しさん@お腹いっぱい。:04/03/17 22:03
缶チューハイ飲んでまつ

688 :名無しさん@お腹いっぱい。:04/03/17 22:06
naoまとめサイト
http://www.albinoblacksheep.com/flash/open.html


689 :名無しさん@お腹いっぱい。:04/03/17 22:07
You are an idiot!

690 :名無しさん@お腹いっぱい。:04/03/17 22:09
>>688-689

EXCITE翻訳
あなたは白痴です!

691 :名無しさん@お腹いっぱい。:04/03/17 22:13
[キンタマ] 俺のデスクトップ ウイルス本体 (ネットで稼ぐ情報、儲かる情報、その辺りが感染元).zip.rar
ファイルサイズ368 KB (376,832 バイト)をResHackerで観覧したらぬるぼの
アイコンが見えたがこれぬるぼの亜種かな?ぬるぼはファイルサイズ651,264 バイト だし。

しかし速くノートン対応してくれよ。


692 :名無しさん@お腹いっぱい。:04/03/17 22:13
感染すると/autorunな重要ファイルっぽい捏造ウイルス本体がプログラムファイルに
一個だけできる。

これを消したらまず解決。あとはmsconfigでスタートアップに同じ
名前があるからそのままregeditでそのコマンドを削除。
たったこれだけで駆除できる。

日付が感染源と同じだからすぐわかるし。
その後ワザと感染してノートンでチェックしたら同じように駆除された。

693 :名無しさん@お腹いっぱい。:04/03/17 22:17
なんかレベルが禿げしく低下してるな
簡単な質問はダウソ行って聞いてくれ。ログが流れるのがウザイ

694 :名無しさん@お腹いっぱい。:04/03/17 22:30
>>613
それキンタマだと思われるんだけど、ノートンの3/16のパターンファイルでも検出できないね。
亜種じゃないのかな

695 :名無しさん@お腹いっぱい。:04/03/17 22:39
メモ帳しか開かないregeditって、どうすれば元に戻るのでしょうか?

696 :名無しさん@お腹いっぱい。:04/03/17 22:41
65440, "August"
65441, "September"
65442, "October"
65443, "November"
65444, "December"
65445, "Sun"
65446, "Mon"
65447, "Tue"
65448, "Wed"
65449, "Thu"
65450, "Fri"
65451, "Sat"
65452, "Sunday"
65453, "Monday"
65454, "Tuesday"
65455, "Wednesday"

697 :名無しさん@お腹いっぱい。:04/03/17 22:44
>>695
(・∀・)コンニチハ!!

698 :名無しさん@お腹いっぱい。:04/03/17 22:46
>>693
どうもそれが目的っぽい気もしてきたね。
…つか、キンタマの作者(通称キンタマン)は
明らかに2chのスレを追って変種を放流してるだろこれは

解析してるスレが少ないうちに情報を混乱させてキモの解析を遅らせる目的もあるかと。

699 :名無しさん@お腹いっぱい。:04/03/17 22:48
2chで解析することに意味があるとでも思ってるの?
ここで解析したって何の役に立つわけでもない、ただの自己満足。
役に立つのはAVベンダだけ。

700 :名無しさん@お腹いっぱい。:04/03/17 22:51
幾つかのパートに分かれているよね。
実際のexe部分とjpg部分と。 jpg部分は100kぐらい。
問題なのはキンタマはSS取って個人情報抜くだけじゃなくて、nyのトラフィックを
圧迫しているってことだよね。

701 :名無しさん@お腹いっぱい。:04/03/17 22:53
亜種出現と流行の時間的関係はつかめるだろね。
タイーフォされた後と仮定しての話だから今の所の必要性や優先順位は低いけど。

702 :名無しさん@お腹いっぱい。:04/03/17 22:55
それもそうだな。 トレンドマイケロとノートン先生が対応してくれるなら解析しても意味無いよな。

703 :名無しさん@お腹いっぱい。:04/03/17 22:57
HDD内の個人情報抜いて外部にメールする機能が本当にあったら
nyから外へ漏れてるいま地獄絵図になりそうだなー。
海外にも広がったりして。

704 :名無しさん@お腹いっぱい。:04/03/17 23:03
明らかにキンタマのファイルなのに全然反応せんぞ

705 :名無しさん@お腹いっぱい。:04/03/17 23:15
バスターてキンタマに対応したの?

706 :名無しさん@お腹いっぱい。:04/03/17 23:16
前のレスも読まないでレスするのはどこでも同じなんだな。

707 :名無しさん@お腹いっぱい。:04/03/17 23:19
>>706
いや、>>702のレスみて気になったんだよ。
ノートンしか対応してないからバスター乗り換えるとかこのスレでも書かれたしね。

708 :名無しさん@お腹いっぱい。:04/03/17 23:23
>>707
>>705かな?
バスターは対応していないよ。
ノートンも手動で入手できる最新定義ファイルでようやく検出できる程度。
しかも検出できない亜種もあるという話だし。
もうめちゃくちゃw

709 :名無しさん@お腹いっぱい。:04/03/17 23:31
それでも今まで対応してきてるんだから、今回もお手並み拝見

710 :名無しさん@お腹いっぱい。:04/03/17 23:34
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
ここにトレンドマイクロの値?が入っていた。
対応してんじゃないの?

711 :名無しさん@お腹いっぱい。:04/03/17 23:35
解析することでシマンテック・トレンドが対応する前に
被害予防もできんべさ。

712 :名無しさん@お腹いっぱい。:04/03/17 23:38
シマ・トレはなんらかの圧力を受けているに違いない!

な、なんだってー!?(AA略

713 :名無しさん@お腹いっぱい。:04/03/17 23:38
naoのチャットログを見ながら友達とメッセで「こいつバカだな〜」とやりとりしてるのを
他人に見られているのを想像するとかなり恥ずかしい。
知らずに感染してるヤシは多いはず。人の振り見て何とやら・・・

714 :名無しさん@お腹いっぱい。:04/03/17 23:40
nyにキンタマ注意情報をタイトルにしたファイルを流した方がいいかもな。
検索にすぐに引っかかる単語を加えて。
まだ気づいてない奴多そう。

715 :名無しさん@お腹いっぱい。:04/03/17 23:42
いやはやセキュ板の人達には初心者の相手をしていただいて申し訳ない(・∀・)ニヤニヤ
適当に相手して追い払ってあげてください(・∀・)ニヤニヤ

716 :名無しさん@お腹いっぱい。:04/03/17 23:45
>>714
そのファイルにキンタマを寄生させて(ry

717 :名無しさん@お腹いっぱい。:04/03/17 23:50
いよいよもってダウソ板のスレだめぽ
もう純正jpg(......exeがないもの)踏んでもコンニチハとか言ってるし見てらんない
ビューワーのバグついて感染するのも確定っぽく言われてるし

718 :名無しさん@お腹いっぱい。:04/03/17 23:52
Q&Aテンプレの事を言ってるなら過去スレそのまんまのコピペだと思うから
変なところ修正よろ

719 :名無しさん@お腹いっぱい。:04/03/17 23:52
2chのゴミだめのひとつだからな。まともな反応を望んじゃいけない。

720 :717:04/03/17 23:57
>もう純正jpg(......exeがないもの)踏んでもコンニチハ(感染おめでとう)とか言ってるし見てらんない
>ビューワーのバグついて感染するのも確定っぽく言われてるし

自分で言っといて確認になるけどこれってまだ未確認だよな?
しかもバグがあるビューアってフリーウェアのブラウザじゃなかったか

721 :名無しさん@お腹いっぱい。:04/03/18 00:00
EXE実行できるビューワーで感染した人の警鐘書き込みがあったような
それの事なんだろうか?

722 :名無しさん@お腹いっぱい。:04/03/18 00:01
>>721
そんなビューアあるのか・・・?
あるとしたら感染するだろうけど

少なくともIEやXPのビューアで拡張子が純正jpgを見るのは無問題では?

723 :名無しさん@お腹いっぱい。:04/03/18 00:14
一時期、ショートカット書き換えと見せかけて関連付けを乗っ取る
コピペがあったけど、ということは、jpgを実行することも不可能ではないわけか。

724 :名無しさん@お腹いっぱい。:04/03/18 00:15
すみませんちょっと伺いたいのですが、

C:\RECYCLER\S-1-5-21-2025429265-1078145449-1060284298-1000\Dc26.exe

に、ANNTINYを検出しました。
これってどこにあるんでしょうか?
フォルダからだと見えないのですが、
レジストリ上から削除しろってことですか?

725 :名無しさん@お腹いっぱい。:04/03/18 00:19
C:\RECYCLER
を全てのファイルをフォルダオプションで可視にした上で見るべし

726 :[名無し]さん(bin+cue).rar:04/03/18 00:19
純正jpgがどうなのかは俺もまだ未確認
ただ、jpg偽装exeがクリックすると画像表示するとかで
ビューワーで見た場合どう反映されるかが問題
>>724
ゴミ箱じゃね

727 :名無しさん@お腹いっぱい。:04/03/18 00:20
>>724
ごみばこだとおもふ・・・

728 :名無しさん@お腹いっぱい。:04/03/18 00:23
>>726
掲示板にうpしたjpg
も危ないとか言われてんだけど
URLがjpgで終わってるのにjpg偽装exeなんてことはありますかね?

729 :[名無し]さん(bin+cue).rar:04/03/18 00:23
説明足りんね、ゴミ箱はユーザーごとに別れててスマソ
ユーザーごとにゴミ箱が別れてて
途中の数字はソレ

730 :名無しさん@お腹いっぱい。:04/03/18 00:24
>>695
このスレだけでも最初からよめ、復帰方法のってる。

731 :名無しさん@お腹いっぱい。:04/03/18 00:24
724です。やっぱりゴミ箱ですかね・・・ちょっともう一度覗いてみます。
すみません、ありがとうございました。

732 :724:04/03/18 00:26
レジストリで同じ数字の場所は見つけました。
リサイクラーのフォルダを表示でやってみます。
みなさん、ありがとうございました。

733 :名無しさん@お腹いっぱい。:04/03/18 00:29
●対策を知りたい場合は、自分の使っているPCのユーザーネームが必須です。必ず書いてください
↑こんなことテンプレに書いてるなんてひどいな<ダウン板

734 :[名無し]さん(bin+cue).rar:04/03/18 00:31
>>728
掲示板に上がってるjpgは俺も数枚踏んでるけど感染確認はない
キンタマを見てるうちに感染した、という人も居るが
nyで落として一括で見ててどうにかしたと思われる
途中にexeが混ざってたのかどうかも不明

たぶん拡張子がjpgならば大丈夫とは思う

735 :名無しさん@お腹いっぱい。:04/03/18 00:34
htmlやフォルダ偽装はともかく
Jpg以外に埋め込まれてる報告あったっけ?
aviやmpgとかzip書庫ファイルそのものとか

736 :名無しさん@お腹いっぱい。:04/03/18 00:36
会社なんかでユーザー名がadministratorとかの場合もアップされますか?

737 :名無しさん@お腹いっぱい。:04/03/18 00:37
MP3のウイルスって前になかったっけ。

738 :名無しさん@お腹いっぱい。:04/03/18 00:38
>>717
(・∀・)コンニチワ!!

739 :名無しさん@お腹いっぱい。:04/03/18 00:38
http://no.m78.com/up/data/u028783.jpg

740 :名無しさん@お腹いっぱい。:04/03/18 00:39
>>736-737
(・∀・)コンニチワ!!

741 :[名無し]さん(bin+cue).rar:04/03/18 00:39
jpgは一応埋め込める事は可能だが、それなりの知識が必要で
簡単には出来ないだろうと言われてる
誰かがいつかやるとは思うが・・・
tu-kaこれがそうだったら一大事ですよ('A`;)

742 :名無しさん@お腹いっぱい。:04/03/18 00:40
>>736
大丈夫。アップされるから安心汁

743 :名無しさん@お腹いっぱい。:04/03/18 00:40
>>735
jpgの埋め込まれてる報告自体あったか?


zipとlzhについてはなんかeoとかラサで解凍するだけで感染するとか言われてるんで
漏れも詳細が知りたい。解凍と同時に中のexe実行すんのか?

744 :名無しさん@お腹いっぱい。:04/03/18 00:41
VMware(走らせているのはWin98)上でウイルス観戦中

コピーされたキンタマ実行ファイルのある場所の下にあるディレクトリから
適当にファイルを取ってきてアーカイブしてる…


745 :名無しさん@お腹いっぱい。:04/03/18 00:41
nyのフォルダ情報に変なのないし、レジストリエディタも大丈夫だから心配ないかな?
キンタマに詳しい人教えてください。

746 :名無しさん@お腹いっぱい。:04/03/18 00:42
>>739
切ないネ
   
   コミック雑誌なんてイラネ

747 :名無しさん@お腹いっぱい。:04/03/18 00:42
なんか、本当に情報が錯綜しているよな。
Meだと感染しないとか、感染したらny切っても裏で稼働して時限式に
一気にばらまくとか・・・・・。誰かその辺まとめてやれないものかねえ。。。。
みてて、なんか底なしの殺伐感。

748 :名無しさん@お腹いっぱい。:04/03/18 00:42
>>744
適当でしか?txtとかエクセル、docなんかをピックアップするって
報告あったけど

749 :名無しさん@お腹いっぱい。:04/03/18 00:43
>>747
明らかに自分でもガセだと分かってるのに
触れ回ってるヤシってなにが楽しいんだろう・・・

750 :名無しさん@お腹いっぱい。:04/03/18 00:43
>>726
おいおい。想像してみろ。普通のexeクリックしてみるだろ?
画像出てくるだろ。
そのexeビューアで見てみろ。画像出てくるか?

751 :名無しさん@お腹いっぱい。:04/03/18 00:45
>>749
まさしくそのカキコこそが殺伐だよね。
マターリしましょう。


752 :名無しさん@お腹いっぱい。:04/03/18 00:47
これかな?でもjpgに埋め込まれてるわけではないのか…?

450 :[名無し]さん(bin+cue).rar :04/03/17 15:24 ID:mSOnGyUO
ちなみに、〜.jpg    .exeではなかったと思います。
ファイラーはまめなので、ファイル名前が長いと....をつけてくれる
ますよね。
そういった確認はしました。

極窓変換後は重ねて言いますが、.exeファイル。アイコンはXP標準GIFアイコン。
種類はアプリケーション。(ガクブル)です。
ACDで画像表示が一瞬遅れたので、あちゃ〜と思い気づきました。
血しぶきはありませんでした。w

464 :[名無し]さん(bin+cue).rar :04/03/17 15:33 ID:iW3rUizh
>>450
漫画の画像自体は遅れてもちゃんと表示されていたって事?

471 :[名無し]さん(bin+cue).rar :04/03/17 15:36 ID:mSOnGyUO
>>464
ばっちり表示されてました。

一昨日の祭りで、ちょっと遅れても表示された、という例を
チラ見したので(それは女の子の画像でしたが)
震えながら極窓かけてみたら、ビンゴ!…でした…涙。

473 :[名無し]さん(bin+cue).rar :04/03/17 15:39 ID:iW3rUizh
>>471
うわ、画像がちゃんと表示されるのなら
気がつかない人たくさんいそうだ…。

753 :744:04/03/18 00:51
かなり適当な感じ。

何回か再起動しているとかなり広範囲に検索しにいっているような…
今はwindowsディレクトリの下にあるdllまでアーカイブしてる。
ほとんどファイルのないクリーンな環境なんでこうなるのかもしれないが。


754 :名無しさん@お腹いっぱい。:04/03/18 00:52
>>752
そいつはただのうっかりバカ。
該当のファイルは正に〜.jpg    .exeで後半省略されて.jpgで終っていたため
標準アイコンになっていた。

755 :名無しさん@お腹いっぱい。:04/03/18 00:54
ふと思ったんだけど、これって例えばCドライブの中のプログラムフォルダ
にインストールした人が一番被害を被る?のかな?
例えば外付けHDにインストールした場合どんな挙動になるんだろ。
訳わからんくだらないカキコスマソ。

756 :名無しさん@お腹いっぱい。:04/03/18 00:55
ファイル自体が無いとなんとも言えんな。
あせったのは間違いないだろうし。

新しい定義ファイルもそろそろ来るかな?

757 :名無しさん@お腹いっぱい。:04/03/18 00:56
>>754
ホントだ。

>759 :[名無し]さん(bin+cue).rar :04/03/17 14:56 ID:8SKuaFLU
>>>756
>中にウイルス仕込まれてるゾ
>
>"BJniyorosiku_08_047.jpg .exe" とかってファイル名で

758 :名無しさん@お腹いっぱい。:04/03/18 00:57
ttp://siokara.dnip.net/sio003/src/sp3409.lzh
某所じゃこれがキンタマ入りだとか言ってたけどね

759 :名無しさん@お腹いっぱい。:04/03/18 00:59
>>757
そうそれ。
結局752の彼はワーム活動の症状自体出ていなかったし。

760 :名無しさん@お腹いっぱい。:04/03/18 00:59
>758
頼むからとしあき
不安なのは解るが情けないカキコミしないでくれ…

761 :名無しさん@お腹いっぱい。:04/03/18 01:01
>>758
ただのjpgじゃないのそれ

762 :名無しさん@お腹いっぱい。:04/03/18 01:03
>>747
Meだとアイコンが違うので解るっていう話だと思った。
裏で稼動してばら撒くってのはメールの動作の事でしょう。
(感染したまま放置だと動くのか、あえて動かしていないのか
 凝りすぎて動作させられなかったのか被害は聞かないけど)

763 :名無しさん@お腹いっぱい。:04/03/18 01:03
感染させまくったらこうなった。

ttp://cgi.io-websight.com/index2/uploarder/img/hare0226.jpg

764 :名無しさん@お腹いっぱい。:04/03/18 01:03
XPだと解凍して、jpgが入ってたら、デフォルトだとViewerが読みにいって
サムネイルが表示されてしまうんですけど、これって危険はないんですか?

765 :名無しさん@お腹いっぱい。:04/03/18 01:04
>>747
(・∀・)コンニチハ!!

766 :名無しさん@お腹いっぱい。:04/03/18 01:05
>>760
まったくだな…キンタマスレでは女子あき点呼する
としあきもいて情けなかった


767 :名無しさん@お腹いっぱい。:04/03/18 01:07
>>744
再起動するたびにアーカイブしにいくの?

漏れ最初キンタマが騒がれだしたときに
ろくに確認せずにnyフォルダ内のUpfolder.txtとupフォルダ消しちゃって
晒されたのか確認できなくなっちまったと思ったんだけど
もし感染してるなら

デスクトッポを圧縮したファイルを作成

それをぶちこむupフォルダも作成

nyに作ったupフォルダ登録

って挙動を何度upフォルダ消しても再起動するたび実行する?

768 : ◆ty/LtglTgk :04/03/18 01:08
>>753
FILEMONでアクセスログとって貼ってみて下さい。
こいつが呼び出してるファイル削除部を解析中です。
http://ranobe.com/up2/updata/up4981.jpg

769 :名無しさん@お腹いっぱい。:04/03/18 01:08
>>750
i_viewの場合、そのEXE固有のアイコン画像表示される。

jpgアイコンexe、例えば、.JPG. exeだとしたら
少なくともXPとかのJPGアイコンビトマプ表示されるはづ。
漏れの持ってるキャンタマ?
i_viewで見たけど、フォルダアイコンサイズ違いの3種類表示される。
何とも無いみたいだが気の性??

偽装?埋め込み??ツカ・・・・拡張子。。。。。。。。。(´,_ゝ`)プッ
フシアナトラプはJPGにhtmlソース埋め込みでつたが(w 

770 :750:04/03/18 01:12
>>769
意味が分からん。
アイコンの話なんぞ書いていないのだが。

771 :名無しさん@お腹いっぱい。:04/03/18 01:12
ちなみにウイルスのcrcはいくつ? >>744

772 :名無しさん@お腹いっぱい。:04/03/18 01:16
>>764
だから予め解凍する前に内部が覗けるwinrarとか極窓とかそこら辺入れとけ。
んで怪しいファイルがあったら即ゴミ箱いき。

773 :名無しさん@お腹いっぱい。:04/03/18 01:17
>>769
試しにi_viewで色々EXEみて見てみ
つかi_viewでのハナシだから他のビューワどうなるかは知らない。


774 :名無しさん@お腹いっぱい。:04/03/18 01:18
ノートンはアホ

VBS.LoveLetter.A
102個も出てきたけど
ぜんぶ2chブラウザのログ

偽装ウィルスじゃないか

775 :名無しさん@お腹いっぱい。:04/03/18 01:19
>>767
感染の兆候がみられたらnyはフォルダごと削除して新しく導入しなおせ。
つか天麩羅ミロ

776 :名無しさん@お腹いっぱい。:04/03/18 01:20
>>774
お前が一番アホなんだがな


777 :750:04/03/18 01:21
>>773
ああ。意味が分かった。
でもあれってexe実行して表示してるわけじゃないでしょ。
問題ないっしょ。

778 :名無しさん@お腹いっぱい。:04/03/18 01:21
自分のパソコン内を「キンタマ」で検索。
ペイントでコピーされた画像がないか調べる。

zipなどの圧縮ファイルを自パソで検索。

これだけでも随分自分がどうなってるかわかるんじゃないの?

779 :名無しさん@お腹いっぱい。:04/03/18 01:26
>>778
NYを起動して、ネットに接続しないで”キンタマ”を検索。
これで、自分のPCユーザ名のファイルが出てきたらアウト
(自分でUPフォルダに入れたファイルは、真っ先に検索HITするから)

780 :773:04/03/18 01:28
>>777
そ。
無問題。
でも、なんかそこはかとなくウエの方で色々心配してる人居る悪寒したから(w
i_viewに特定コード埋め込みビトマプ画像ロードする時バグでも有って、それ利用されるなら別だけど。

781 :名無しさん@お腹いっぱい。:04/03/18 01:28
やっとユーザーサポートの奴がこの前退社した理由を理解したよ・・・・・

782 :名無しさん@お腹いっぱい。:04/03/18 01:31
過労死か…
確かに一部のユーザーは色々とうるさそうだからなあ

783 :名無しさん@お腹いっぱい。:04/03/18 01:32
女史も先生ももうだめぽでつか?

784 :767:04/03/18 01:33
>>775
漏れの状況としては
regedit異常なし
アドミニスターのフォルダ内のTEMPにユーザー名.exeなし
というとこまでは確認できてます



誰か>>762の見解いただけるとありがたいです




785 :767:04/03/18 01:33
>>767の見解の間違いですた

786 :名無しさん@お腹いっぱい。:04/03/18 01:34
フォルダアイコン開こうとしたら、エラーが出たヤシ居る?

787 :名無しさん@お腹いっぱい。:04/03/18 01:35
>>768
Filemonって使ったことないけど、これでいいのかな?

ttp://syobon.zive.net/upload/src/up0124.txt.html

Win98(無印) + IE6SP1 on VMware
ドライブはC(HDD)とD(CD-ROM)
ウイルスファイル"c:\program files\btscan\btscan_config.exe"を
スタートアップから削除後、Win再起動。
その後Filemonを起動した上でウイルスを手動実行しますた。

788 :508:04/03/18 01:38
ノートン全検索の途中です。

キンタマ詰め合せ圧縮ファイルからキンタマ君だけ削除されてしまいました。

今検索してるドライブ以降に別のキンタマ君がいることはまずないと思うので、
おれのPCにはキンタマ君はいなくなりました・・・。

いなくなるとちょっと淋しい・・・。


789 :名無しさん@お腹いっぱい。:04/03/18 01:40
ノートンでもう完全解決できるの?

書き換えられたテキストとかどうなってるの?

790 :508:04/03/18 01:40
>>786
それは感染したよ。
おれのもそれだったし。

791 :名無しさん@お腹いっぱい。:04/03/18 01:41
>>788
おいおい、可哀相なことすんなよ。
キンタマブリーダーの風上にもおけない奴だな。

792 :名無しさん@お腹いっぱい。:04/03/18 01:41
>>784
>>779
試した上で何も異常なければ大丈夫と思われ。心配しすぎ。
多分ダウソ板にいただろ。あそこは不安煽って楽しんでいる悪質な椰子も多いからな。

793 : ◆ty/LtglTgk :04/03/18 01:43
>>787
どうもありがとうございます。
何やってるか丸わかりですね…
そのまま数日ほっとくとUPするタイミングとか
わかるかと思います。

794 :744:04/03/18 01:43
>>771
16bitCRC=E837
MD5=C399E5DD7999ED43EA705A36BDF026EA

795 :508:04/03/18 01:43
まだGドライブには来ないと思って油断してたんだよ(;つД`)


796 :名無しさん@お腹いっぱい。:04/03/18 01:44
>>744さん
>>767について見解をいただけるとありがたいです

797 :744:04/03/18 01:45
SS取った時のログが取れたみたいなのでついでにうp

ttp://syobon.zive.net/upload/src/up0125.txt.html

798 :名無しさん@お腹いっぱい。:04/03/18 01:47
>>796
おまえ最悪な奴だな。

799 :名無しさん@お腹いっぱい。:04/03/18 01:47
>>744 Thx
亜種だ何だで誰が何を解析してるのかわからんよ。


800 :名無しさん@お腹いっぱい。:04/03/18 01:50
ノートンで駆除できないキンタマってのは
作者がバージョンアップさせてるの?

801 :名無しさん@お腹いっぱい。:04/03/18 01:52
>>797
どこにうpしてるかわからん。
直リンよろ

802 :801:04/03/18 01:53
スマソ わかった

803 :名無しさん@お腹いっぱい。:04/03/18 01:55
>>801
わからないってありえない気がするんだけど・・・。
一番上にリンクされてるのに・・・。

804 :744:04/03/18 01:57
>>767
ウイルスファイルが実行される度にアーカイブしに行くらしい
>>763みたいにmsconfigでスタートアップから削除すれば
ウイルスを手動で実行しない限りアーカイブしなくなった。

逆に>>763を全てスタートアップに入れて起動すると
一度に起動したウイルスの個数×3個分のアーカイブができあがる。

今のところ確認した拡張子はlzh, zip,, exe(この場合はほとんどウイルスそのもの<CRC=E837)
で、しばらくほっておくと[キンタマ] 俺のデスクトップ name 日付.jpgが同じディレクトリに出現する。

805 :名無しさん@お腹いっぱい。:04/03/18 02:00
>>804
ふーん・・・それならupフォルダ消して
安心してるヤシはまったくの無駄ってわけか
>>767のような場合も
感染してればまたうpされるんだな?

806 :名無しさん@お腹いっぱい。:04/03/18 02:01
MXは平和でいいな

807 : ◆ty/LtglTgk :04/03/18 02:02
>>797
ものすごい貴重な情報ありがとうございました。
キンタマがGetDiskFreeSpaceExAをスクリーンショット保存時に
読んでることがわかりました。

808 :名無しさん@お腹いっぱい。:04/03/18 02:03
>805
いい加減しつこい奴だな…
そんなに不安なら回線切って別マシンで繋げや
一週間もしたら収束するだろ

809 :名無しさん@お腹いっぱい。:04/03/18 02:04
このスレにAVベンダ勤務の香具師いる?

810 :名無しさん@お腹いっぱい。:04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?

811 :名無しさん@お腹いっぱい。:04/03/18 02:08
キンタマデスクトップ画面専用のウプローダーとかないすか?

812 :744:04/03/18 02:08
>>805
今試した限りでは、
スタートアップと該当ファイルを念入りに消せば大丈夫かも。

813 :名無しさん@お腹いっぱい。:04/03/18 02:09
>>805
他人に質問する時にそんな横柄な
態度とられてもねぇ

814 :名無しさん@お腹いっぱい。:04/03/18 02:09
キンタマ祭りになったの15日だったと思うんだけど、13日くらいにはもうすでにダウソにスレ立ってたんだよね。
ベンダーに勤めてる奴が2ちゃんで情報収集するのかなって思ったんだけど

815 :744:04/03/18 02:12
>>807
なんか役に立ったようでヨカタでつ。


816 :名無しさん@お腹いっぱい。:04/03/18 02:12
吉沢さんいますか?(プゲラウッヒョー

817 :名無しさん@お腹いっぱい。:04/03/18 02:13
>>815
いや、これありがたいよ。まじで

818 :名無しさん@お腹いっぱい。:04/03/18 02:13
言われるままに全て試してみて 昨日善と思ったけど
今日ノートン走らせたら36個検出されたil||li _| ̄|○ il||li

819 :名無しさん@お腹いっぱい。:04/03/18 02:14
>>810
会社からnyやってる時点で(略

820 :810:04/03/18 02:17
>>810 :名無しさん@お腹いっぱい。 :04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?


会社名をさらされている人がいましたが、パソコンは支給されたものをそのまま使っているんです。
名前だけだったらいいですが、会社名までついたりすると困るんです.
ファイルはデスクトップには危ないようなものは置いてないんでいいんですが。

821 :名無しさん@お腹いっぱい。:04/03/18 02:17
810 名前:名無しさん@お腹いっぱい。 投稿日:04/03/18 02:08
会社からですが、感染してるかもしれません。
ユーザー名は私の名前になっています。
組織名はどのように登録してあるかわかりません.
組織名がどのように登録してあるかはどうすればわかりますか?





.exe

822 :名無しさん@お腹いっぱい。:04/03/18 02:19
>>810
>>78

823 :名無しさん@お腹いっぱい。:04/03/18 02:20
つーか社会人だろ。ガキじゃあるまいし疑問に思ったらまずググれよ
キンタマとか関係ない基礎知識じゃん…


824 :810:04/03/18 02:20
>>821はなんなんでしょうか?
これもういるすなんでしょうか?

私が>>820を書いてから9秒の間に.exeを書いています.

普通無理でしょう。私の文章を読んでから、.exeを書いて書き込むのは。
これもこのウイルスのせいなんですか?

825 :名無しさん@お腹いっぱい。:04/03/18 02:22
>>824
みにっつ

826 :名無しさん@お腹いっぱい。:04/03/18 02:22
>>824
悪質なつりだな。放置推奨>>ALL

827 :名無しさん@お腹いっぱい。:04/03/18 02:26
結局何人やられたんだろう。



828 :名無しさん@お腹いっぱい。:04/03/18 02:26
普通、組織名がどうのこうのより、感染してるかを気にするだろ。
感染については今までに散々書かれてるし。

829 :810:04/03/18 02:27
>>825
みにっつってなんですか?

>>826
つりではないです。私はここ1年くらい2ちゃんには来てないんです。
友人から祭りの話を聞いて、怖くなってここにきたのです。

830 :810:04/03/18 02:29
>>828
感染してるかどうかはわかりません。ただ、ぬるぽはありました。
winnyってのを試してみたかったのです。2ヶ月くらい前に初めて使いました。


831 :名無しさん@お腹いっぱい。:04/03/18 02:30
前Winnyをフォルダごと削除後に、ダウソし直したNyを再設定
すればOKの前ってどういうこと?とにかくフォルダごと消して
新しくインストールすればいいってこと?


832 :名無しさん@お腹いっぱい。:04/03/18 02:31
>>829
さすがだな。
5秒でレス付けるとは。

833 :名無しさん@お腹いっぱい。:04/03/18 02:34
マイコンピューター右クリック→プロパティで組織名が出てこないんなら、
それは組織名が入力されてないんだろう。

はい、これで終了〜

834 :825:04/03/18 02:36
>>829
9秒じゃなくて、9分

キンタマ玉玉玉玉玉二スレ目
http://tmp2.2ch.net/test/read.cgi/download/1079541565/

このスレの>>1に暫定まとめサイトのURLがのってるよ


>>826
スマンネ。答えてしまって
しかし個人的には、2chの釣りとかなんとかに嫌気がさしてる
だから、疑心暗鬼になるよりは、マジメに答える道をえらんだのさ
その結果、釣りでしたとコケにされてもかまわないよ

だってキンタマまだ解決してないし
ノイズをなるべく除外したいだろう?

835 :名無しさん@お腹いっぱい。:04/03/18 02:38
>>833
優しいね

836 :744:04/03/18 02:55
現段階で気づいたこと書いて寝まつ。ガイシュツのことばっかりなようも気もするけど。
キンタマ本体はCRC=E837。間違ってそうな点があったら指摘よろ。

・キンタマに感染すると、UpFolder.txtがシステム属性で作られるor更新される
・新たにUPフォルダができる。これもシステム属性になることがある。
・キンタマ本体はHDDのどこかにコピーされる(漏れの仮想環境ではprogram files以下のサブディレクトリのどこか)
・キンタマを実行したときにアーカイブが作られる。
 その際かなり深くまで検索していく
 dll, jpg, png, doc, exe, txt, bmp, キンタマ本体がアーカイブされることは確認(xlsは仮想環境上にないので不明)
 この際のファイル名はランダム(キンタマに内蔵されているファイル名?)
 中身はHDD上のファイル、キンタマ本体、トラップのhtmlがランダムに入っている。
・しばらくすると俺のデスクトップ.jpgがアーカイブと同じ所にできる。
・(たぶん)感染すると環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

いろいろ試した結果のキンタマ対策
・msconfigなどで怪しいスタートアップを削除&該当ファイルを削除
・nyのフォルダを根こそぎ削除。特にcacheとUpFolder.txtに書いてあるフォルダは完全に消す
・(根本的には)nyを使わない

明日の朝まで仮想環境上でキンタマ + Filemon走らせときまつ(現在仮想環境上の時計は10:00でつ)

オヤスミ
ノシ

837 :810:04/03/18 02:55
>>833-834

よっぱらってまして、すみません。そうでした。分ですね。
ごめんなさい。つりとかじゃなくて、単に私が酔っ払っていただけです.

>>833のとおりにしたら、もろに会社名が入ってました.
感染していたら、アウトです.
仕事追われるかも。
デスクトップにすごいもの置いていたんで.
デスクトップのフォルダのなかでもだめなんですよね。
オンラインサーチではシマンもバスタも大丈夫だったんですが(ぬるぽ削除後)



838 :名無しさん@お腹いっぱい。:04/03/18 02:58
>>834
やさしいね。良く初心者のふりして親切に相談にのってあげた椰子を
釣ったとか釣りを勘違いした厨が多いんでつよ。

>>810
は感謝シル

839 :810:04/03/18 03:01
>>838
感謝するでし。
有益情報は1/10以下という中でありがとうございました。
っていうか、実際は1/50以下でしょうね。

840 :名無しさん@お腹いっぱい。:04/03/18 03:01
>>744
乙カレー

841 : ◆ty/LtglTgk :04/03/18 03:04
>>836
乙〜
仮想環境で飼うなんてわくわくw

842 :名無しさん@お腹いっぱい。:04/03/18 03:13
>環境変数で指定されたTempディレクトリに[ユーザー名].txtというファイルができている

「環境変数で指定されたTEMPディレクトリ」ってことは
documents and settingsの管理者フォルダのTEMP以外にも
TEMPと名前のつくフォルダ全てに[ユーザー名].txtファイルができる可能性があるってこと?

どなたかご教授お願い申し上げます

843 :名無しさん@お腹いっぱい。:04/03/18 03:16
>>842
コマンドプロンプトでSETって打って、TEMP=の先に書いてあるのが
「環境変数で指定されたTEMPディレクトリ」ってことになるはず、そのままの意味で受け取れば。


844 :名無しさん@お腹いっぱい。:04/03/18 03:21
>>843
いまやってみたら
管理者フォルダのTEMPがTEMP=の先に出ました

「そのままの意味で受け取れば」例のテキストはここに出来るってことでOKですかね

845 :名無しさん@お腹いっぱい。:04/03/18 03:23
>>844
そういうことになるかと思われ。


846 :参考 Trojan Dropper [Symantec]:04/03/18 03:28
「フォルダ」に見せかけ任意のファイルを実行
――Windows XPを狙う手口に警告
http://www.itmedia.co.jp/enterprise/0401/28/epn16.html

http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Trojan Dropper [Symantec]
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html 

847 :参考 Trojan Dropper [Symantec]:04/03/18 03:29
Windows XP は、.folder 拡張子がついているとフォルダとして表示する
(.folder 拡張子のファイルにはフォルダアイコンを表示する)
ダブルクリック時にどのように処理するかは、動的に決定する
(中身が HTML のようなら HTML として処理する)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2004.01/msg00272.html
ことを利用し、

攻撃プログラムを作成し、BinHex 形式でエンコード
上記 BinHex を埋め込み、さらに、それを自動的にデコードするような
JavaScript を記述した HTML ファイルを用意
HTML ファイルの拡張子を .folder にHTMLファイルを zip で圧縮
としたのが、上記デモファイルであるように見える。
で、.zip を開いて、
さらにフォルダが含まれていると思ってダブルクリックすると……ドカン。
(C)セキュリティホールmemo

848 :参考 Trojan Dropper [Symantec]:04/03/18 03:31
ファイル名: My Pics.folder
このファイルは次のウィルスに感染しています:
Trojan Dropper
デベロッパーノート
My Pics.folder is an infected container file of type ZIP.
My Pics.folder is non-repairable threat. NAV with the latest beta definition detects this.
Please delete this file and replace it if neccessary. Please follow the instruction at the end
of this email message to install the latest beta definitions.
This file is contained by My Pics.folder.
(C)2004 シマンテック・セキュリティ・レスポンス
(P)2004 シマンテック・セキュリティ・レスポンス

849 :名無しさん@お腹いっぱい。:04/03/18 03:43
解析中の皆さん、乙です。
お茶ドゾー
(゚∀゚)ノ旦旦旦旦旦

850 :名無しさん@お腹いっぱい。:04/03/18 03:44
(゜ ∀゜ )

851 :名無しさん@お腹いっぱい。:04/03/18 03:56
【黒か】同人サークル「AtaraxiA」にny疑惑【白か】
http://comic2.2ch.net/test/read.cgi/doujin/1079504947/l50

このスレでキンタマを利用して捏造が可能かどうかで議論しているのですが
セキュ板の方から見てどうでしょうか?

852 :名無しさん@お腹いっぱい。:04/03/18 03:59
ファイル名に下線が入るようにしてるから踏みようがない。

853 :名無しさん@お腹いっぱい。:04/03/18 04:23
>>695
システム復元でregeditは戻りますよ

854 :名無しさん@お腹いっぱい。:04/03/18 04:28
svchost.exeがProgram files\DION\に。。。
CRC16で見たらE837だそうな。レジにもautorunで追加さてるYO。
おまけに製作日時が1987年ってなってるし。。。。

こいつを消してしまえばいいわけですね、エライ人達。

ホント偽装してるよ、コイツ(´Д`;)

855 :名無しさん@お腹いっぱい。:04/03/18 04:32
>>854
制作日時はどうみるんですか?

856 :854:04/03/18 04:36
2重カキコスマソ。
件のsvchost.exeは更新日時が1984年。
製作日時が3月16日05:19分、漏れが「あーやっちまったヨ!(・∀・;)」と思った瞬間の時刻ですた。。。。

857 :名無しさん@お腹いっぱい。:04/03/18 04:40
>>855
ふつーにプロパティで表示しましたよ(´Д`)

858 :名無しさん@お腹いっぱい。:04/03/18 04:56
まあ踏むことはないと思うけど、フォルダ偽装に備えて
フォルダアイコンを変えるというのが一番勉強になったよ。
さっそく変えてみたけど、コレ(・∀・)イイヨ!!

ttp://www.ix.sakura.ne.jp/~yoshi/icon/folico.htm

859 :名無しさん@お腹いっぱい。:04/03/18 04:57
つーか、普段から詳細表示にしとけよ

860 :名無しさん@お腹いっぱい。:04/03/18 05:03
いや、ファイラ使え。
キンタマ画像見てて思ったが、タブブラウザ使ってても、エクスプローラのままのやつ多すぎ。

861 :名無しさん@お腹いっぱい。:04/03/18 05:19
えーとキンタマは起動すると停止するまでに一回しかss撮らないんでしょうか?
それとも起動中は定期的にssを撮りまくるんでしょうか?

862 :名無しさん@お腹いっぱい。:04/03/18 05:21
>860
ファイラーの存在自体をしらないのでは…。

863 :名無しさん@お腹いっぱい。:04/03/18 05:22
>>861
いいからさっさとOS入れ直せよ

864 :名無しさん@お腹いっぱい。:04/03/18 05:22
マイドキュメント、デスクトップ、メールなどの文書系も嫌だけど
ブックマークも漏れたら困るなあ…

>861
感染してみれば解るよ

865 : ◆ty/LtglTgk :04/03/18 05:22
>>843
GetTempPathAってのを呼んでるようなので環境変数読みに行きます。
CODE:0044B5C3 push eax ; lpBuffer
CODE:0044B5C4 push 260 ; nBufferLength
CODE:0044B5C9 call GetTempPathA


866 :名無しさん@お腹いっぱい。:04/03/18 05:23
RunAsサービスつかって隔離しちゃえばいいのに。

867 :861:04/03/18 05:24
感染はしてないし、したくないんですが(´Д`;)
感染したっぽいサイトの検証の為に知りたいと思いまして・・・ごめんなさい。

868 :名無しさん@お腹いっぱい。:04/03/18 05:26
>>867
>感染したっぽいサイト

???

869 :名無しさん@お腹いっぱい。:04/03/18 05:28
ああ酔っ払ってる。
感染したと思われるサイト管理者が白か黒か検証してます。

870 :名無しさん@お腹いっぱい。:04/03/18 05:30
あー同人板のアレか…。あんま持ち込まないで欲しい気もする。

871 :名無しさん@お腹いっぱい。:04/03/18 05:47
>>861
定期的に撮る。
周期は乱数で決まるみたいだが。

872 :名無しさん@お腹いっぱい。:04/03/18 05:58
>>871
ありがとうございます。
PCの稼働時間が長そうな絵描きが対称だったんで、
7日でssが10枚ちょいってのは少ないかどうか分りました。

873 :名無しさん@お腹いっぱい。:04/03/18 06:04
>>390氏の言う
>16BitCRC : 57E0
>32BitCRC : 250396EC
>Size : 393216Byte
ってのは、ウイルス本体(E837)じゃなくて、ウイルス自身が作った複製の方だよね?



874 :名無しさん@お腹いっぱい。:04/03/18 06:34
>873
16BitCRC : 57E0はわかりませんが、
naoの詰め合わせにあったhtmlからexe起動させる複製は
CRC:E387ですよ。

875 :873:04/03/18 06:55
>>874
了解です。
57E0はなんなんでしょうね?
390氏の降臨を待ちますかね(´ー`)ノ旦

876 :名無しさん@お腹いっぱい。:04/03/18 07:34
システムヴォリュームインフォメーションってフォルダがあって
そこにウィルス700個くらい入ってたんですがあれはアウトですかね・・・・
復元機能offにして全部駆除しましたが・・・・。


877 :名無しさん@お腹いっぱい。:04/03/18 07:51
ここにセキュ板を以前から見ていた人ってどのくらい居るんだろうか。
初心者とダウンロード板の人しか居ないように思えてきた。

878 :名無しさん@お腹いっぱい。:04/03/18 07:52
今更ながら「お得情報.exe」の情報

ノートンで検出したお得情報.exeのプロパティ(NAVのSS)
http://ahiru.zive.net/test/src/1079563200775.jpg

キンタマ詰め合わせに入っていたキンタマ(NAVのSS)
http://ahiru.zive.net/test/src/1079563218216.jpg


879 :名無しさん@お腹いっぱい。:04/03/18 07:55
>>876
にぎやかな牧場ですね

880 : ◆ty/LtglTgk :04/03/18 08:37
>>878
それ持ってるから解析してみたら、なんか進化してるぞ!!
というわけでCRCがCFB7だからキンタマCFB7と命名。
基本的にキンタマE837の機能を踏襲してるっぽいが、
自分自身をばらまくための偽装ファイル名が違ったり、
E837にはない以下の様なへんてこな文字列が入ってる。
CODE:0044F9EC mov edx, offset aSoftwareMicr_0 ; "Software\\Microsoft\\Internet Account Man"...
CODE:0044F9F1 mov eax, [ebp+var_8]
CODE:0044F9F4 call sub_44159C
CODE:0044F9F9 test al, al
CODE:0044F9FB jz short loc_44FA22
CODE:0044F9FD lea ecx, [ebp+var_3C]
CODE:0044FA00 mov dl, 1
CODE:0044FA02 mov eax, offset aM6nk44i8b7vgq8 ; "{m6nK44I8B-7vGQ8B-m7nGWhY5}"
CODE:0044FA07 call sub_443DF4
CODE:0044FA0C mov edx, [ebp+var_3C]
CODE:0044FA0F lea ecx, [ebp+var_C]
CODE:0044FA12 mov eax, [ebp+var_8]
CODE:0044FA15 call sub_441764
CODE:0044FA1A mov eax, [ebp+var_8]
CODE:0044FA1D call sub_441508

881 : ◆ty/LtglTgk :04/03/18 08:39
まとめると、キンタマCFB7にはSoftware\Microsoft\Internet Account Manager
をいじる付近で以下のへんてこな文字列をさわってる。
これの意味わかる人いる?
{m6nK44I8B-7vGQ8B-m7nGWhY5}
{azKoFffqY2-tIlBKBhMx-!j6!93IKtIzKLY2-zPFaFtf6hY2-ItBHzPFG9}
{aaItjjqMx-m6BNuMx-SVhG9}
{soPMorronJln4T-aDeresU8!b3ost9aDel1}
{jl4pij1Uh-ijJfj88jDUh-nIEI!h38Sp}


882 :名無しさん@お腹いっぱい。:04/03/18 09:02
キンタマって、UPX圧縮されてるヤシとは違うよね?

883 : ◆ty/LtglTgk :04/03/18 09:06
>>882
少なくともキンタマE837とキンタマCFB7はUPXかかってない。

884 :名無しさん@お腹いっぱい。:04/03/18 09:24
誰かシマンテックやトレンドマイクロに提出してるの?

885 :名無しさん@お腹いっぱい。:04/03/18 09:26
>>884
正直なところ不明。

886 :744:04/03/18 09:36
(・∀・)オハヨウ!!

大体6時間くらい放置したんだが
SS撮られた後はキンタマ動いてないみたい。

9:48:59Btscan_c:FFE259BFCloseC:\WINNY2\UP\[キンタマ] 俺のデスクトップ 2CHER [04-03-17].JPGSUCCESSCLOSE_FINAL
9:48:59Btscan_c:FFE259BFFindOpenC:\WINDOWS\TEMP\2CHER.TXTSUCCESS2cher.txt
9:48:59Btscan_c:FFE259BFFindCloseC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
9:48:59Btscan_c:FFE259BFDeleteC:\WINDOWS\TEMP\2CHER.TXTSUCCESS
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 358400 Length: 4096
11:51:59Btscan_c:FFE259BFReadC:\PROGRAM FILES\BTSCAN\BTSCAN_CONFIG.EXESUCCESSOffset: 362496 Length: 4096

と、こんな感じ。


887 :名無しさん@お腹いっぱい。:04/03/18 10:07
解析依頼しなくても対策ベンダー間でサンプルを融通しあっていると聞いたことがある。

888 :名無しさん@お腹いっぱい。:04/03/18 10:09
みんなウィルス大好きなのね。
楽しそうだな。

889 :名無しさん@お腹いっぱい。:04/03/18 10:11
うぃるすうぃるすわーい

890 :名無しさん@お腹いっぱい。:04/03/18 10:20
感染/非感染と流出/非流出の確実な判別方法がわかるとウレシイナァと言ってみる

891 :名無しさん@お腹いっぱい。:04/03/18 10:24
IT Proにキンタマに関する情報が出ました。

Winnyで感染を広げる新種ウイルス出現,パソコン中のファイルを盗まれる恐れあり
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040317/141562/

892 :891:04/03/18 10:25
記事によると、トレンドマイクロは検体の入手と解析を続行中とのことです。

893 :名無しさん@お腹いっぱい。:04/03/18 10:35
スクショには触れないのね

894 :名無しさん@お腹いっぱい。:04/03/18 10:55
今回バスター随分後手だな…。

895 :名無しさん@お腹いっぱい。:04/03/18 11:03
Bとは違うって書かれてるとこは良かった


896 :有益情報コピペ:04/03/18 11:10
538 [名無し]さん(bin+cue).rar sage New! 04/03/18 03:34 ID:HuHGvPis
windows2000SP4で、手が滑ってexe実行して感染してしまった。
ウイルスバスター持ってないので手探りでいろいろやってみたところ、
駆除に成功したっぽいので報告。

キンタマが作るexeファイルはなぜかタイムスタンプが
1992年とか古い模様。winntフォルダ、program filesフォルダで
*.exeを検索して、タイムスタンプが飛びぬけて古いものをいくつか
削除した。

このことを行った結果、以下の変化が生じた。
・消しても消しても復活するwinnt\regedit.exe(50KBの、アイコンがnotepadのやつ)が
 復活しなくなった
・消しても消しても復活するdocuments and settings\local settings\temp\〜.txtが
 復活しなくなった
・ファイル名を指定して実行→regeditで、メモ帳が立ち上がるようになっていたのが
 regeditが元通り立ち上がるようになった

でも怖いので、一応明日まではLANケーブルは抜いた状態にしておくつもり。
このカキコはwinny入れてない代替機から。


897 :名無しさん@お腹いっぱい。:04/03/18 11:13
>>896
自分で特徴を見抜いて対処できる人も居るんだよね。
凄いね。

898 :名無しさん@お腹いっぱい。:04/03/18 11:15
あんらぼ使ってる人は検出試して欲しいな。
http://www.ahnlab.co.jp/news/view.asp?seq=461


899 :名無しさん@お腹いっぱい。:04/03/18 11:19
>とにかく,「少しでも怪しいファイルは開かない」ことに尽きる。
って締めてるけど、開いちゃったおれに言わせてもらうと、
あやしいって思わなかったから開いたってことなんだけど。
注意が足りなかったのは確かだけど。

一つ一つのファイルをしっかりチェックしてれば開かないと思うけど、
詰め合わせの中に本体も仕込まれてるっていうのを知らなかったから、
油断してたかも。
逆にWordファイルとかの方が開きにくかったし。



900 :名無しさん@お腹いっぱい。:04/03/18 11:28
>>875
はい、390っす。
検体は、元のウイルス、複製共に同じ物でした。ついでにMD5も入れておきます。

CRC16 : 57E0
CRC32 : 250396EC
MD5 : 3b2240afc5c8d3b533ee7616fbae1e26
SIZE : 393216

恐らくこれは発病して配布する物に、自己の複製を忍ばせる方法で拡散した物と思われます。
感染するたびに変化していくポリモーフィック型だったら、ウイルス史に名前が残りますね。しかし、変化はしない模様。
それから、漏れの勘違いの訂正。

『 ドキュんタマ(3b2240afc5c8d3b533ee7616fbae1e26)は、Winny1/2を【選びません】 』

恐らく、どの亜種も同じでしょう。
まず、ディレクトリ情報を頭から参照して、最初に見つけたWinnyフォルダに寄生します(動作確定です)。
いろいろ弄ってみましたが、ドライブレターの若い順、ディレクトリ情報の先頭から検索しているようです。
一度見つけると、そこから先は検索しないようです。
ランダムで生成されるメアド入りのドキュメントは、そのUpフォルダの中のウイルス入り書庫に同梱されます。
リセット等のタイミングでTEMPに残ることもあるようです。生成タイミングは再起動後です。
もしかすると、タイマー動作との併用かもしれませんが、そこまでは確認してません。

あとは以前の報告を参照。他は、>>836の744氏の報告通りです。
なんとなく、大まかに分けるとドキュんタマと机タマの二種類があるような予感。

901 :名無しさん@お腹いっぱい。:04/03/18 11:32
>>899
少しでも感染させたい作者が怪しいファイルにするわけがないだろうと。
少しでも見分けがつかないようなものにするだろうがと。

902 :名無しさん@お腹いっぱい。:04/03/18 11:53
シマンテック キタ━━━━━━(゜∀゜)━━━━━━━━!!



http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.ω.html


> 日本サイト更新日: 2004年3月18日 10:00
> W32.HLLW.Antinny.ω

>発見日: 2004年3月17日 (米国時間)
>最終更新日: 2004年3月18日 15:48 (米国時間)

>W32.HLLW.Antinny.ω は、W32.HLLW.Antinny ワームの亜種です。このワームは、Winny ファイル共有ネットワークを介して拡散します。


>亜種: W32.HLLW.Antinny
>種別: ワーム
>感染サイズ: 不定
>影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
>影響を受けないシステム: DOS, Linux, Microsoft IIS, OS/2, UNIX


903 :名無しさん@お腹いっぱい。:04/03/18 12:00
やっぱノートンはすごいなあ

904 :名無しさん@お腹いっぱい。:04/03/18 12:06
ワラ

905 :名無しさん@お腹いっぱい。:04/03/18 12:06
>>902 (・A・)イクナイ!!

906 :名無しさん@お腹いっぱい。:04/03/18 12:09
キンタマ+亜種自体のショック効果もさることながら
> W32.HLLW.Antinny.ωなんて名が付いたら
ネットウイルスとして末代までの語りぐさになるなあ。

907 :名無しさん@お腹いっぱい。:04/03/18 12:32
E837ってさ感染しても再起動しなきゃ発病(UpFolder.txtとか[ユーザー名].txt作ったり)しなくない?
発病しちゃった人は関係ないけど


908 :名無しさん@お腹いっぱい。:04/03/18 12:55
>>902
乙。更新きてたね

909 :名無しさん@お腹いっぱい。:04/03/18 12:58
>>902 おいおいそれはぬるぼ追加とあるから
キンタマとは別だろ。

8. Win.iniファイルに次のセクションを追加します。
[ぬるぽ]
ぬるぽ=C:\Winny2\

これがキンタマの症状とは思えん。

910 :名無しさん@お腹いっぱい。:04/03/18 12:59
何も知らないお子様ようこそ

911 :名無しさん@お腹いっぱい。:04/03/18 13:00
つか、共有0なら問題無しだよな?
指定したアップフォルダに何も入れてないわけだが。

912 :名無しさん@お腹いっぱい。:04/03/18 13:01
過去ログ嫁

913 :名無しさん@お腹いっぱい。:04/03/18 13:02
各ベンダーの対応が遅い要因は
・解析に時間が掛かっている
・キンタマという馬鹿げた名前の為ウイルス名称をどうするか苦慮している
なんちゃって

914 :名無しさん@お腹いっぱい。:04/03/18 13:04
キンタマの全種類を把握するのに手間取っているに100nao

915 :名無しさん@お腹いっぱい。:04/03/18 13:04
>>913
早く対応するとワレザーに愛用されてしまう。


916 :名無しさん@お腹いっぱい。:04/03/18 13:07
>>913
確かにキンタマをどう命名するのか気になるw
っていうか2chではキンタマで確定してるし、いまさら別の名前つけられても困るw


917 :名無しさん@お腹いっぱい。:04/03/18 13:12
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html
>>910 に聞きたいが↑は

7 自分自身をLZH形式で圧縮したアーカイブを作成し、その後、.jpgファイルをUpフォルダに投下します

だけがキンタマと共通の症状であるが
これは例の9kバイトめがね男をJPGとして投下するヲ指して
ほかはすべて関係なく、そもそも最終更新日が

最終更新日: 2003年8月8日 12:49 (米国時間)
感染サイズ: 651,264 バイト

なんだからレス>>902がネタなんでしょ。

918 :名無しさん@お腹いっぱい。:04/03/18 13:14
>>917
>>909が初代Antinnyについて何も知らない奴だって言いたかっただけだ

919 :名無しさん@お腹いっぱい。:04/03/18 13:16
KINTAMA

920 :名無しさん@お腹いっぱい。:04/03/18 13:16
>>917
>>902のネタにマジレスされても困る

921 :名無しさん@お腹いっぱい。:04/03/18 13:16
ていうか自社のソフトが流れてるようなところでしか流れてないウイルスにすぐに対応するわけが…
有料ソフト作ってるとかろからすればsymantecは悪でウイルス作者バンザイ

922 :名無しさん@お腹いっぱい。:04/03/18 13:17
winampの中に2つwinampのファイルがあったけど
これってもしかしてどっちかがキンタマ?

923 :名無しさん@お腹いっぱい。:04/03/18 13:18
普段人少ないけどウイルス騒ぎの時は
全体的に、セキュリティ板盛り上がるのはなんか嬉しい。

924 :名無しさん@お腹いっぱい。:04/03/18 13:19
>>922
日付があきらかに変な方

925 :名無しさん@お腹いっぱい。:04/03/18 13:21
>>922
実行されてると、削除できないので削除してみて削除できない方はキンタマの可能性あり


926 :名無しさん@お腹いっぱい。:04/03/18 13:21
それってwinampa.exeのことじゃ。

927 :名無しさん@お腹いっぱい。:04/03/18 13:22
917です。>>918 そうですね。俺がスレの流れを読めてなかったのようです。
バスターを使ってますがこちらはまだ未対応。

928 :名無しさん@お腹いっぱい。:04/03/18 13:23
>>922
33.0KBの方が2003年12月21日で、
946KBの方が2004年2月12日だったので判断に困ったので助言頂けますか?
ちなみに946KBの方はNullsoftと表示されています

929 :名無しさん@お腹いっぱい。:04/03/18 13:24
>>928
33.0KBの方が2003年12月21日

どう考えてもこっちが怪しいだろ。

930 :名無しさん@お腹いっぱい。:04/03/18 13:24
そういや、うちもC:\Program FilesやC:\WINDOWSの下にあるフォルダなどに
たまに●●(2).exeとかある…。alg(3).exeとか。
dllとかにも(2)や(3)ってついたのとか。
さがせる症状やシマンテックのオンラインスキャンでは
何もでなかったけど…。

931 :名無しさん@お腹いっぱい。:04/03/18 13:24
>>926
すみません、そうでした
キンタマが怖くて焦っていました。
お騒がせしてすみませんでした

932 :名無しさん@お腹いっぱい。:04/03/18 13:25
ノートンのオンラインでも検出出来るようになってますか?

933 :名無しさん@お腹いっぱい。:04/03/18 13:25
>>928
>>926が言ってるのとは違うの?
同じフォルダに同じ名前のファイルって作れないから、ファイル名違うはずなんだけど。


934 :名無しさん@お腹いっぱい。:04/03/18 13:33
次スレどうすんの?
立てなくてもダウソの方に移ったほうがよさげだが

935 :名無しさん@お腹いっぱい。:04/03/18 13:34
兆候無いけど再インスコするか…

936 :名無しさん@お腹いっぱい。:04/03/18 13:37
174 :[名無し]さん(bin+cue).rar :04/03/18 13:22 ID:zS/U95k7
アプリ、ゲーム関係のファイルは、よほど確証が無い限りダウソ出来なくなっちゃったねぇ・・。
exe実行しないわけにはいかないもん。

いろんなスレで情報が錯綜しているから訳ワカメ。
漏れが辿った限りでは感染するとスタートアップのレジいじって
自身を自動実行する様に登録するって事だったけど・・
これ、スタートアップ以外のレジいじられて潜伏されたら玉乱な。。。

ソリティアとかデフォでインスコされてる可能性が高くて、なおかつ
そんなに頻繁に立ち上げるものでもないアプリを発症のトリガーにされてたら
今は感染していないつもりの人でも・・(´・ω・`)

怖いこというなぁ

937 :名無しさん@お腹いっぱい。:04/03/18 13:38
>>921
シェアウェアのシリアルや振込先などがキャプチャされると、作者側も
ちょっと困る。

938 :名無しさん@お腹いっぱい。:04/03/18 13:40
企業からソースがキャプチャされて流出、なんてことになったら愉快だね

939 :名無しさん@お腹いっぱい。:04/03/18 13:45
企業からソースがケチャップされて流出、なんてことになったらもっと愉快



940 :名無しさん@お腹いっぱい。:04/03/18 13:49
>>930
システムの**(2).exeとかは、winアップデータとか
SP1あてたりとか、そういう事で出来る物だと思いこんでいたが
違ったら俺もアボンなんだけど(´・ω・`)


941 :名無しさん@お腹いっぱい。:04/03/18 13:53
>>940
思い込みだと思われ

942 :名無しさん@お腹いっぱい。:04/03/18 13:55
ウクライナからのウィルスみたいなもんで、普通は感染なんてしない

943 :名無しさん@お腹いっぱい。:04/03/18 14:13
>>917
お前なにも分かってないな。このスレ1から読んでこいよ一回

944 :名無しさん@お腹いっぱい。:04/03/18 14:50
>>943 ハァ?では君がわかっていることを語りなさいよw

945 :名無しさん@お腹いっぱい。:04/03/18 14:51
かまってクンうざいな。黙ってスレ読んでこいよ

946 :名無しさん@お腹いっぱい。:04/03/18 14:56
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                   ここまで読んだ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

947 :名無しさん@お腹いっぱい。:04/03/18 15:03
確認されているキンタマ それぞれ拡張子はexe

CRC16:E837  本体?デスクトップうp型?
CRC16:57E0  亜種?My Document うp型?
CRC16:CFB7  亜種?不明

キンタマの動作
     ↓ダウソ時、踏ませるための偽装
    ・自身を踏ませるためのhtmlファイルを作成。またその拡張子を.folderにすることでフォルダに偽装。
     アイコンを偽装して「xxx.jpg(長い空白).exe」をjpgファイルに偽装。

     ↓実行時
    ・「圧縮(Zip形式)フォルダは無効であるか、または壊れています」というダイアログ表示、実行されたことを隠す。
    ・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
      に名前xxx データC:\Program Files\xxx\xxx.exe登録、常駐する。xxxは共通。exeはキンタマのコピー。
     
     ↓発動は再起動後
    ・C:\Documents and Settings\ユーザー名\Local Settings\Temp にユーザー名.txtを作成。
    ・regedit.exeがnotepad.exeに書き換えられる。(キンタマがぬるぽを利用?)
    ・winnyフォルダ(場所は変化する?)にReadMeFilesフォルダ作成。nyのUpfolderに強制的に指定する。
    ・キンタマ実行時に、乱数(多分0〜99)を発生させる。そして、その乱数×1416(秒)ごとにSSを撮ってうp。
    ・デスクトップに置いてるファイル2GBまで勝手にzipかlzhに圧縮してうp。(2GB以上あっても2GBまでの分をうp)
    ・My Documentを検索、ピックアップして圧縮してうp。
    
     ↓トリガー不明
    ・ユーザー名でny使用者であると宣言する内容のメール送信(文面は三種)
    ・血しぶき表示
    ・悲鳴WAV再生機能
    ・ぬるぽ ガッAA表示

自己改造はしない模様。うpファイルに自己のコピーを忍ばせ拡散。亜種がまだある模様。
まとめるとこんな感じ?

948 :名無しさん@お腹いっぱい。:04/03/18 15:05
>>947
なるほど、参考になる

949 :名無しさん@お腹いっぱい。:04/03/18 15:07
>>947
Good job!!

950 :930:04/03/18 15:18
>>940 >>941
マジ?!やばい、システムウォーカーのプロセスに出る
age.exeのフォルダにあるよ((((;゚Д゚))他のとこにもある
XPhomeSP1

alg(3).exe 2001年8月28日21:00:00 更新2001年8月28日21:00:00
40.0 KB (40,960 バイト) ディスク上のサイズ40.0 KB (40,960 バイト)
alg.exe 2003年8月28日12:42:43 更新2002年9月4日2:26:58
41.0 KB (41,984 バイト) ディスク上のサイズ44.0 KB (45,056 バイト)

キンタマなのかこれ?

951 :名無しさん@お腹いっぱい。:04/03/18 15:18
upされてる圧縮ファイルの中の.exeや.htmlには気を付けていたが、
.folderについて知識がなかった(;´ー`)

解凍した中に.htmlやショードカットその他もろもろ・・・
*.folderってのがあって変更済みのフォルダアイコンだったのでダブルクリックしたところ、
フォルダが開いて中にXPデフォルトのフォルダアイコンで********.exeというのがありました。
これは明らかにアレだと思い*.folderごと削除しました。

.folderについて調べたところ・・・ヒイィィィィ;
というような現在です。


話がズレますが、
.folderにhtml型スクリプトを埋め込み.exe実行はIEのみのバグでしょうか?
バグ報告関連でIEに重大な危険が見つかったと書かれていますが、
mozilla等は大丈夫ということでしょうか?

再起動後、レジストリRUN・TEMP・upフォルタ等こまめにチェックしていますが
感染した様子はありません。


ウイルスの挙動として、危険スクリプトhtmlを*.folderに偽装するという事ですが、
キンタマ本体の*****.exeを*.folderの中に隠し、
危険スクリプトhtmlでそこにリンクする様な挙動は確認されていますか?


俺の****もコンニチハ!!されそうです((((;´ー`)))

952 :947:04/03/18 15:20
>>947
自己レス。メールの文面は一種だった。後二種は詰め合わせられるtxtの文面か。

orz

953 :名無しさん@お腹いっぱい。:04/03/18 15:27
>>947
自分の経験上では
CFB7は>>878の奴だと
Temp にユーザー名.txtではなくて「お得情報.txt」が作成されてた。
あとDドライブでny起動させてたけどそこにReadMeFilesフォルダ作成も無し
Upfolder.txtも変化無し、Upfolder(元々空だったけど)も空のままだったよ。








954 :名無しさん@お腹いっぱい。:04/03/18 15:34
248 :[名無し]さん(bin+cue).rar :04/03/18 15:10 ID:E0iaw+h6
>>230
ひっかかるのとひっかからないのがあるな。
HTMLのobjectタグから実行される亜種はひっかからんかった。(サブフォルダに本体が居るタイプ)
ちなみに「詰めあわせ」内によく居る

けどコイツ実行しても何も起こらん。
レジストリ書き換えてないし、本体もコピーされないし、時限式なのかもしれんが
本体即削除したから終わりかなっと。
256 :[名無し]さん(bin+cue).rar :04/03/18 15:30 ID:wrgJrXt+
検索引っ掛かるのはキンタマの中のぬらりぽんだけじゃね?

257 :[名無し]さん(bin+cue).rar :04/03/18 15:31 ID:lxF6Plf3
もどったらスキャン終わってた。
>>230
とりあえず825では検出されないですね。
@PBG4/WinXPHome

これ、ぬるぽ(reg書き換え)が入ってない奴に感染してる場合があるの?

955 :951:04/03/18 15:41
*.folderじゃなく*.filesってフォルダだった-uo


高速でしごいてきます                 ((((((((*´ー`)

956 :947:04/03/18 15:47
>>953
> Temp にユーザー名.txtではなくて「お得情報.txt」が作成されてた。

 Tempにtxt作成するときにもなんか法則あるのかな?過去ログ読み返してきまつ

> あとDドライブでny起動させてたけどそこにReadMeFilesフォルダ作成も無し
> Upfolder.txtも変化無し、Upfolder(元々空だったけど)も空のままだったよ。

 新たなうpフォルダは名前固定じゃないぽいですね。
 パソ本体再起動した後もUpfolder.txt変化なしでした?

957 :953:04/03/18 16:18
>>956
ちょっと席はずしてました。亀レススマソ。
>パソ本体再起動した後もUpfolder.txt変化なしでした?

初回の再起動時はアイドル状態になるまでかなりHDDが
かりかりなってましたけどやはり変化はありませんでした。
メーカー製のPCで120GのHDDがC:100G、D:5G位に
パーティション切ってあるからですかね。

ちなみにregedit.exeは無題.txtでビンゴでしたけどw


958 :名無しさん@お腹いっぱい。:04/03/18 16:22
スイマセン。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

をだれかもう少しわかりやすく説明してください。

959 : :04/03/18 16:22
スイマセン。

●感染しているかの確認方法●
Upfolder.txtファイルがファイラーでみえているかと、
フォルダ情報に登録したことのない見えないフォルダのBbs2 or Cache2
のフォルダが登録してある。

をだれかもう少しわかりやすく説明してください。

960 : :04/03/18 16:23
二重カキコスイマセン。

961 :名無しさん@お腹いっぱい。:04/03/18 16:27
>>959
ファイラーでWinnyフォルダを開いて、本来UPフォルダが存在する時にあるべき
Upfolder.txtが見えてるかどうか、あるいはWinny起動してフォルダ情報に
設定した事のないフォルダ名があるかどうか確認。

962 :名無しさん@お腹いっぱい。:04/03/18 16:30
>>958
元々Up用フォルダを作っていた人は、それまであったUpfolder.txtが不可視に変更されてないか確認する。
Upfolder.txtが見えているなら、中身を見て登録した覚えのないUp用フォルダ名のパスがないか確認する。



963 :947:04/03/18 16:31
>>957
過去ログ読み返してたら、同じようにUpfolder.txt変化無しの人がいました。
いくつかの機能ごとにトリガーついてるんでしょうかね。
これ相当やらしいキンタマだな。


964 :名無しさん@お腹いっぱい。:04/03/18 16:40
感染したんですが(E837)、こんなことやってみてます

1.LANケーブルを引っこ抜く。スタンドアロンに。
2.ノートンを手動更新
3.ノートンでスキャン→キンタマ多数発見&消せないexe発見
4.消せないexeに該当するものを「プロセスの終了」で終了。
5.消せなかったexeが削除できるので削除。
6.もう一度ノートンでスキャン

で、今スキャン中。この後再起動していろいろ確認するつもりですが、
他に何かやるといいことorやってみて欲しいことありますか?

965 :名無しさん@お腹いっぱい。:04/03/18 16:55
みんなで自分のチンコを自分でフェラするんだ。
そうすればキンタマさんもお怒りにならないぞ

966 :名無しさん@お腹いっぱい。:04/03/18 16:57
>>964
format 脳コロン

967 :名無しさん@お腹いっぱい。:04/03/18 16:59
亜種毎に挙動と変化が違っていたら
今ニュー速やDL板で大丈夫だったと言ってる人たちの中には
危ない人も多いんじゃないのかな…

968 :名無しさん@お腹いっぱい。:04/03/18 17:02
>>967
(・∀・)コンニチハ!!

969 :名無しさん@お腹いっぱい。:04/03/18 17:15
>>967
っていうか、引っかかる奴の方が天然記念物的な珍獣なわけだが・・・

970 :名無しさん@お腹いっぱい。:04/03/18 17:34
まぁそうなんだろうけど、踏んだと騒いでる人DL板に
思うより居たからさ…

971 :名無しさん@お腹いっぱい。:04/03/18 17:34
>>969
オマイモ(・∀・)コンニチハ!!

972 :名無しさん@お腹いっぱい。:04/03/18 17:39
>>970
昔のダウソ板住人だったら絶対に踏まないはずなのにな

973 :名無しさん@お腹いっぱい。:04/03/18 17:41
というか今いるのはダウソ住人じゃないけどね

974 :名無しさん@お腹いっぱい。:04/03/18 17:43
踏まないと感染しないんだもんな。

とかいいつつ俺のこの書き込み直前のデスクトップ画像が晒されないとは言いきれず。
未知の亜種は怖いね。
だれかのスパムが飛んできてるしな、俺のメアド。

975 :名無しさん@お腹いっぱい。:04/03/18 17:43
メール送信機能ってほんとに機能してるのかね

976 :名無しさん@お腹いっぱい。:04/03/18 17:46
>>969
珍獣ですがなにか?
自力で駆除しましたがなにか?
(・∀・)コンニチハ!!

977 :名無しさん@お腹いっぱい。:04/03/18 17:47
ANNTINYだた。(・∀・)サヨウナリ!!!

978 :名無しさん@お腹いっぱい。:04/03/18 17:48
>>974
(・∀・)コンニチハ!!

979 :名無しさん@お腹いっぱい。:04/03/18 18:09
踏まなきゃ感染しない。
踏むな!。
いじょ。

980 :名無しさん@お腹いっぱい。:04/03/18 18:13
はっぱふみふみ

981 :名無しさん@お腹いっぱい。:04/03/18 18:26
うちゃん

982 :名無しさん@お腹いっぱい。:04/03/18 18:28
次スレは?


983 :名無しさん@お腹いっぱい。:04/03/18 18:33
各社完全に対応するまでにはもっと時間かかりそうだよね。
DL板のウイルスだけど、ここもセキュリティ板だしどうしようなあ。

984 :名無しさん@お腹いっぱい。:04/03/18 18:41
他のスレ(ウイルス対策ソフト関連は除く)にまではみ出してキンタマの話題を
やらなければウイルス(ワーム)だし、隔離スレとして次スレを立ててもいいと思う。

985 :名無しさん@お腹いっぱい。:04/03/18 18:48
あの、間違えてhtm踏んだのですが、
ソースみたら
data/000.exeを呼び出してるっぽいのですが、htm以外一切何もありません。
もちろん、隠しフォルダ表示、システムファイル表示してます。

これは、感染していませんよね?

986 :名無しさん@お腹いっぱい。:04/03/18 18:52
感染おめでとう

987 :名無しさん@お腹いっぱい。:04/03/18 18:52
>>985(・∀・)コンニチハ!!!

988 :名無しさん@お腹いっぱい。:04/03/18 18:53
>>985
(・∀・)ワイルド!!!

989 :名無しさん@お腹いっぱい。:04/03/18 18:54
>>985
ω

990 :985:04/03/18 18:55
え?ほんとに?
だって本体がないんだよ?

991 :名無しさん@お腹いっぱい。:04/03/18 18:56
(・∀・)ナインダトヨ!!!

992 :名無しさん@お腹いっぱい。:04/03/18 18:56
亜種な予感

993 :985:04/03/18 18:56
ないっていうか、その、解凍したものにはhtmしかなかったんです

994 :名無しさん@お腹いっぱい。:04/03/18 18:57
>>990 ドゾー( ・∀・)つ「本体」

995 :名無しさん@お腹いっぱい。:04/03/18 19:03
1000だったらnao本人に会いに行く

996 :名無しさん@お腹いっぱい。:04/03/18 19:07
1000だったら俺の生睾丸晒す。


997 :名無しさん@お腹いっぱい。:04/03/18 19:07
1000だったらキンタマに感染

998 :名無しさん@お腹いっぱい。:04/03/18 19:08
次スレマダー?

999 :名無しさん@お腹いっぱい。:04/03/18 19:08
もう感染していいよ

1000 :名無しさん@お腹いっぱい。:04/03/18 19:08
そうかい。

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

241 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)