mhattaによる
2006年02月28日 17時46分の掲載
こしゃくなまねを部門より。
こしゃくなまねを部門より。
Anonymous Coward曰く、"感染したPCから2ちゃんねる等の掲示板に書き込もうとする、通称「山田ウイルス」の新種が登場した。注意点は次の通り
- UPnP対応でポートを開けるので、OSやルータでポートを開けていなくてもハードディスクの内容がリアルタイムで公開されてしまう
- ポート 80等を使用する為、他のワームやウイルスのアタックを受ける可能性がある
また、会社休んで2ちゃんねる・・・曰く、"一部書き込みによると、もっとも古い感染は2月18日(タレコミ子確認は2/26)。同ウィルスには、Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11 の3バージョンが確認されており、一部のバージョンには未実装のアップロード機能も確認できる。
尚、対応OS は 現在のところ Windows のみの模様。現在もっとも謎とされているのはリンクページの作成方法。ウィルスはどのようにして同一ウィルスに感染した他PCの情報を取得しているのか?一説によると 2ch 厨房板の一見無意味な書き込み に IP等が含まれるのではないかとの憶測も流れているが、まだこの暗号を解読したものはいない模様。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
UPnP機能をオフに (スコア:4, 参考になる)
Windows XPではデフォルトでオンになっているようです。これを止めるための設定がPCwebで紹介されていました。
http://pcweb.mycom.co.jp/column/winxp/128/ [mycom.co.jp]
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re:UPnP機能をオフに (スコア:2, 参考になる)
http://www.grc.com/unpnp/unpnp.htm
親コメント
初のRuby製ウィルスも (スコア:4, 興味深い)
UPnPって (スコア:3, 興味深い)
むしろ今まで出てこなかったのが不思議じゃね?
Re:UPnPって (スコア:2, 参考になる)
一番良いのは、パケットフィルタ等でメッセソフト以外がルータへ接続しないようにすることじゃないでしょうか。
親コメント
Re:UPnPって (スコア:2, 参考になる)
デバイスとしてはWindows Messanger等のアプリケーションなどから要求が来たら、特段の理由がない限りそのとおりに動くしかないわけでして・・・ルータからすると、クライアントからの要求を鵜呑みにして穴を開けるという仕様が恐ろしくてしょうがありません。
#つい最近まで某ルータでUPnPやってたのでAC
親コメント
暗号化は解読された模様 (スコア:3, 興味深い)
---
//=============================================================================
//
// 山田オルタナティブ 復号化
//
// Copyright 2005. Coded by ナイア◆facelesskk
//
//=============================================================================
#include <stdio.h>
#include <string.h>
char basestrings[] = " 、。,.・:;?!゛゜´`¨^ ̄_ヽヾゝゞ〃仝々〆〇ー―‐/\~∥|…‥‘’“”()〔〕[]{}〈〉《》「」『』【】+-±×÷=≠<>≦≧∞∴♂♀°′″℃¥$¢£%#&*@§☆★○●◎◇◆□■△▲▽▼※〒→←↑↓〓∈∋⊆⊇⊂⊃∪∩∧∨¬⇒⇔∀∃∠⊥⌒∂∇≡≒≪≫√∽∝∵∫∬ʼn♯♭♪†‡¶◯0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyzぁあぃいぅうぇえぉおかがきぎくぐけげこごさざしじすずせぜそぞただちぢっつづてでとどなにぬねのはばぱひびぴふぶぷへべぺほぼぽまみむめもゃやゅゆょよらりるれろゎわゐゑをんァアィイゥウェエォオカガキギクグケゲコゴサザシジスズセゼソゾタダチヂッツヅテデトドナニヌネノハバパヒビピフブプヘベペホボポマミムメモャヤュユョヨラリルレロヮワヰヱヲンヴヵヶΑΒΓΔΕΖΗΘΙΚΛΜΝΞΟΠΡΣΤΥΦΧΨΩαβγδεζηθικλμνξοπρστυφχψωАБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯабвгдеёжзийклмнопрстуфхцчшщъыьэюя─│┌┐┘└├┬┤┴┼━┃┏┓┛┗┣┳┫┻╋┠┯┨┷┿┝┰┥┸╂①②③④⑤⑥⑦⑧⑨⑩⑪⑫⑬⑭⑮⑯⑰⑱⑲⑳ⅠⅡⅢⅣⅤⅥⅦⅧⅨⅩ㍉㌔㌢㍍㌘㌧㌃㌶㍑㍗㌍㌦㌣㌫㍊㌻㎜㎝㎞㎎㎏㏄㎡㍻〝〟№㏍℡㊤㊥㊦㊧㊨㈱㈲㈹㍾㍽㍼≒≡∫∮∑√⊥∠∟⊿∵∩∪";
char basestring2[] = "!#$%&'()=~|QWERTYUIOP`{ASDFGHJKL+*}ZXCVBNM<>?_1234567890-^qwertyuiop@[asdfghjkl;:]zxcvbnm,./";
int MyStrSearch( int offset, char a, char b) {
int i;
for (i=offset*2;i<strlen(basestrings);i+=2) {
if (basestrings[i] == a && basestrings[i+1] == b) {
return i/2 - offset;
}
}
return -1;
}
int main(int argc, char *argv[])
{
char *encstring;
int nRnd;
char decstring[1024];
char host[256], user[256];
int i, j, val, port;
if (argc < 2 ) {
printf( "usage: %1 string\n", argv[0] );
return 0;
}
encstring = argv[1];
nRnd = MyStrSearch( 0, *encstring, *(encstring+1) );
if (nRnd < 0) {
printf( "不正な文字列です。\n" );
return 0;
}
for (i=0,encstring+=6;*encstring;encstring+=2,i++) {
val = MyStrSearch( nRnd, *encstring, *(encstring+1) );
decstring[i] = (unsigned char)val;
}
decstring[i] = 0;
for (i=0,j=0;decstring[j]!=0;i++,j++) {
if (basestring2[i] == 0) {
i = 0;
}
decstring[j] ^= basestring2[i];
}
sscanf( decstring, "%s\n%d\n%s\n", host, &port, user );
printf( "Host: %s:%d\n", host, port );
printf( "User: %s\n", user );
return 0;
}
Re:暗号化は解読された模様 (スコア:3, おもしろおかしい)
親コメント
Re:暗号化は解読された模様 (スコア:2, 参考になる)
重複符号化の影響で一部の情報が喪失する気がする。
∪ 0x81be 0x879c
∩ 0x81bf 0x879b
∠ 0x81da 0x8797
⊥ 0x81db 0x8796
≡ 0x81df 0x8791
≒ 0x81e0 0x8790
√ 0x81e3 0x8795
∵ 0x81e6 0x879a
∫ 0x81e7 0x8792
親コメント
情報不足 (スコア:2, 参考になる)
分からないとなぁ。
どういうセキュリティホールをついて感染するかとか、どこのサイトに
アクセスしたら危険とか……まだ情報が集まってないだけかな。
とりあえず駆除はセーフモードで起動するなどしてウィルスのプロセスが
動作しないようにしてから該当ファイルを削除、レジストリの掃除の
2点だけでよさげですね。楽だ。
最近は、Windowsのシステムプロセスに寄生していてセーフモードでも
殺せないとか、コマンドラインモードで起動してもダメとか
そんなのを相手にすることが多いので、こういう簡単なのを見ると
ほっとしますね(何
そ、そんなこと言って (スコア:2, すばらしい洞察)
親コメント
Re:情報不足 (スコア:2, 参考になる)
P2Pによる機能進化とかすらあるみたいだし、既に1万人を越える感染者がいるらしいし、この騒ぎはこのままじゃ終わらないでしょうね。
親コメント
Re:情報不足 (スコア:2)
大方中華サイトから拾ってきた違法なttorrent物(高確率でエロゲーだろうねww)経由といったところでしょうか。
中国でも感染拡大している可能性がありますね。
親コメント
マイクロソフトがあまり真面目に対策しない理由 (スコア:1)
OS側でwinny起動できないようにしても誰も大手を振って文句言わないでしょうに。
はやくインターネットを使用することを禁止しろ (スコア:3, おもしろおかしい)
政府は緊急になんらかの対策する必要があるだろ。なにぼけっとしてるんだ?
インターネットがインフラだからどうとか言ってる場合ではない。
親コメント
Re:はやくWinnyを使用することを禁止しろ (スコア:1, すばらしい洞察)
・ダウンロードスロット無制限
・アップロードスロット無し
・常に最高優先度
の亜種を作ってバラ播けばおk。
親コメント