半角二次元板ゴミクズ溜まり場荒らし
12/2あたりから、「ロリ、小学生、子供」などロリコン系キーワードを含むタイトルのスレッドを中心に「ゴミク ズ の溜まり 場 はこ こ で す か ?w w 」などと爆撃
↓
山田ウイルスの亜種っぽい
↓
UAをギコナビに偽装、IPは様々
↓
gikoNavi/beta50を規制
↓
巻き添えくらいまくり
↓
gikoNavi/beta50/1.50.2.606を規制中。ギコナビ使ってる人は素直にバージョンアップしましょう。
アップローダーなどにある同人誌の中のアイコン偽装した.exeから感染するらしい。
331 名前:名無しの報告 [sage] 投稿日:2005/12/19(月) 00:02:27 id:YRgBaWdL0
http://strawberry.web-sv.com/Sn2/up3/2.html?1134234277straw2968.zip (同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTG1・2.zip 6.2MB 05/12/10(Sat),02:55:16 application/x-zip-compressed
そのファイルが原因と特定はできたけども、スクリプト投稿自体はもっと前から続いてるんだよね。
最初にうpした物が流れたので再うpしれたって事なのかな。
★051211 半角二次元板ゴミクズ溜まり場報告スレより転載
ウイルス詳細
転載元同上
353 名前:某所の人 ◆Y39/vakKjY [sage] 投稿日:2005/12/19(月) 02:16:58 id:wv9kEkI60
平行して解析中。
実行後は
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
"ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・なんだかIMEの辞書ファイルにアクセスしてます。。。。
・35秒ごとに2chに書き込むような仕組みになっている模様です。
・本体コピーが旨く行ってない?ファイル検索でANTILOを検索してもなし。
・現時点の解析ではとりあえずプロセス殺せばOK
・Windows2000のフォルダアイコンなんでXPは騙されにくいと思う。
・エラー回避が旨く行っていないのか接続できないとエラーメッセージ吐きます
・UAはログ掘りの通りでした。おまけ:プログラム内の文字列
・おすすめ特別企画まちBBSチャットお絵かき運営案内ツール類他のサイト
正規表現で以下の物
・炉利|炉理|[^ポ]ロリ|小学|中学|ランドセル|子供|幼|わはー|カスミン|すじ|さくらたん|CCさくらANTILOの通りロリータ系統のスレを狙ってますね。
今日はこんなもんで勘弁して下さい orz
371 名前:某所の人 ◆Y39/vakKjY [sage] 投稿日:2005/12/19(月) 13:28:20 id:wv9kEkI60
というわけで、仮想マシンに投入
Win32.Troj.PSWLo.c.324608
で検出される模様。
ここまでの集計
・Symantec対応、ウイルス名不明(緊急定義)
・Mcafee対応、Uploader-AAにて検出(ExtraDat)
・TrendMicro現時点で未対応
・NOD32対応、Win32/Delf.QUにて検出
・AVG対応、Generic.LZXにて検出
・kingsoft対応、Win32.Troj.PSWLo.c.324608
etc....
378 :某所の人 ◆Y39/vakKjY :2005/12/20(火) 01:10:21 id:fqUZ4VgH0
一応AntiLoチェッカー作ってみました。
ttp://www.geocities.jp/antiny_virus/
どう見ても急いで作ったようにしか思えませんが一応。
誤爆・バグ等ございましたらメールで。
ここは汚さないようにお願い致します
そして、スレ汚しスマソorz
手当たり次第に苺は甘い?などアップローダーからアイコン偽装されファイルを落として拡張子を確認しないままダブルクリックしたりしなければ感染はしない模様。
まだあまり検索してもひっかからないなあ。