探検


Skype lol is this your new profile pic?

1漆黒のダーク
垢版 |
2012/10/07(日) 13:51:47.86ID:1UYrwAys
lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
449lotus
垢版 |
2012/10/08(月) 15:43:31.81ID:???
>>441
skype_0*10*0*2_********.exeで良ければ感染させてみるけど?
450月代
垢版 |
2012/10/08(月) 15:43:33.67ID:???
>>448 属性変更ツール使えば可能 コマンドでもできる
451sk
垢版 |
2012/10/08(月) 15:44:08.99ID:???
>>445
http://goo.gl/UPhHf?img=(skyp-id)
でまたダウンロードすればいいんじゃないの?
2012/10/08(月) 15:45:27.29ID:???
>>447
もらえません?
453月代
垢版 |
2012/10/08(月) 15:45:44.33ID:???
>>451 それもう消されてるわ
454sk
垢版 |
2012/10/08(月) 15:46:18.78ID:???
マジか いつの間に。
2012/10/08(月) 15:47:03.79ID:???
451です
ウイルス対策ソフトの挙動を見たくて…
456ab
垢版 |
2012/10/08(月) 15:48:26.19ID:???
>>448
>>408のurlのサイトに解決方法がある。
urlをブラウザのアドレスバーにコピペしないと見られないっぽいので気を付けて
2012/10/08(月) 15:49:03.06ID:???
安価間違えた452です
458名無し
垢版 |
2012/10/08(月) 15:52:17.79ID:shH/DNYk
何度消しても消しても何度も何度もまた出てくるんです
全く意味がわかりませんん・・・・・・・・
2012/10/08(月) 15:53:38.16ID:???
http://hp.vector.co.jp/authors/VA032928/
このソフト便利
通信量とか接続先が確認できるから便利
460naz0ya
垢版 |
2012/10/08(月) 16:06:18.17ID:???
spotfluxでIP隠せないか?
461438
垢版 |
2012/10/08(月) 16:08:32.01ID:???
今、対策ファイル持ってる方と交渉してもらった所ですが、
効いたら放流するので、いいのかな、、、、ちょっとまってください。
462lotus
垢版 |
2012/10/08(月) 16:09:45.64ID:???
>>460
何故に?
2012/10/08(月) 16:11:14.24ID:???
>>460
多分これならIP抜かれることは無いと思う
http://www.spotflux.com/
464438
垢版 |
2012/10/08(月) 16:11:23.39ID:???
ファイルの配布許可貰えました。

これからセーフモードはいって、
対策してみます。
465lotus
垢版 |
2012/10/08(月) 16:26:30.79ID:???
とりあえず、下に書いたURLにskype_0*10*0*2_********.exeの激流ファイルを流したから。
パスは目欄な。
http://www1.axfc.net/uploader/Sc/so/384247

466漆黒のダーク
垢版 |
2012/10/08(月) 16:35:06.64ID:XWxnetLk
第二解析を開始
http://live.nicovideo.jp/watch/lv110908987?ref=community
467漆黒のダーク
垢版 |
2012/10/08(月) 16:44:39.59ID:XWxnetLk
Google Apps Scriptに関して知りたいです
これを利用して操作してるんじゃないかと
468438
垢版 |
2012/10/08(月) 16:44:53.78ID:???
こんにちは、結果からいいますと、判断不能です、
僕のパソコンでは起動できませんでした、
ファイル受け渡し中にファイルが破損した可能性も考えられますが、
もらった人に話しかけるの話しかけづらい;

誰かこのファイル試してもらえる方いませんか?
ただ、二つつ条件あります。

・ウイルスバスターか、対策できるセキュリティーソフト持ってる方。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)

条件を満たしていただけるようでしたら、
何らかの形でファイルお渡しします。

469漆黒のダーク
垢版 |
2012/10/08(月) 16:47:54.95ID:XWxnetLk
私が原型に近いファイルを所持し解析をおこなってもらってます
http://live.nicovideo.jp/watch/lv110908987?ref=community
ここでスカイプIDをおしえ送りたいとおもいます
よければ解析お手伝いねがいます
470438
垢版 |
2012/10/08(月) 16:50:43.65ID:???
ぁー、例の方からメッセージ、来ました。
XP以下のPS(?)だた「このファイルいるよー」って、
もう一度試してみようかと思います。
471438
垢版 |
2012/10/08(月) 16:52:35.40ID:???
間違い:XP以下のPS(?)だた「このファイルいるよー」って、

修正:OSがXP以下のPC(?)だと、「このファイルいるよー」って、

472漆黒のダーク
垢版 |
2012/10/08(月) 17:17:56.97ID:XWxnetLk
仮想OS持ってる方元ウイルスファイルありますので
実行してレジストリの変化確かめれる方協力願います
473情弱
垢版 |
2012/10/08(月) 17:30:00.68ID:???
ごめんなさい情弱です。
セーフモードからソフトで消してみたり、色んなソフトで試してウイルスがないって出るのにパソコンがフリーズします。
助けてください…もうどうすればいいかわかりません…
474漆黒のダーク
垢版 |
2012/10/08(月) 17:43:47.23ID:XWxnetLk
>>473レジストリの消去ファイル特定できず、現状100%消去の可能性が低いです
   レジストリの変化確認しないと・・・って感じです
とりあえずIP変更で個人情報の流出と>>50のスカイプの対処で拡散は止まるでしょう
475名無しさん@いたづらはいやづら
垢版 |
2012/10/08(月) 17:43:58.13ID:peg3zZ5S
>>473
システムの復元はした?
2012/10/08(月) 17:47:47.53ID:???
IEが「s15403588.onlinehome-server.info」(213.165.71.153)にずっと接続してる
477漆黒のダーク
垢版 |
2012/10/08(月) 17:50:58.84ID:XWxnetLk
了解です、参考にします
2012/10/08(月) 17:52:55.43ID:???
これは本当?
lol is this your new profile pic?から始まるメッセージのSKYPEウィルスを踏んでしまった場合
PCの電源をいれた直後にF8キーをひたすら連打し セーフモードで起動。
winキー+Rを押して ファイル名指定して実行を開く
入力欄に%appdata%といれてOK その中にある SKYPEのアイコンを右クリックで削除
その他 1.EXEや4桁のファイルでファイルサイズが60KB、もしくは24KBのファイルを削除
PC再起動
USBメモリやほかドライブへの感染もあるようです。
アンチウィルスソフトで すべてのドライブのフルスキャンかけてください。

おつかれさまでした


概要
実行してしまった場合、%appdata%フォルダ内にskypeのアイコンのEXEファイル(ファイル名ランダム)を作成し
そのファイルを実行後、ファイル自体が見えなくなり、コマンドラインからも消すことができなくなります。
また、レジストリのHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに自信のファイルを起動時に
実行するように値を書き込みます。 
レジストリを消しても直後にレジストリの値が復活します。
その後 ランダムのEXEファイルを作成し、起動します。
親exeを削除することができないため SKYPEでの連携をとめてもファイルを作成し続けます。
セーフモードで起動した場合 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runのキーの
ファイルを実行しないため 親のEXEファイルが消えません。 この状態で削除し、次回起動時に親EXEファイルを
実行させないようにして完了です。
親ファイルが作成したEXEは約60KB、もしくは24KBのランダムファイル名が作成される模様です。
479
垢版 |
2012/10/08(月) 17:53:36.37ID:LexniLKa
関係があるかどうかわかんないけど
480漆黒のダーク
垢版 |
2012/10/08(月) 17:53:43.68ID:XWxnetLk
213.165.71.153IP広場の検索によるとドイツだそうです
213.165.71.153の情報願います
踏み台の可能性も考えられますが
481漆黒のダーク
垢版 |
2012/10/08(月) 17:57:33.71ID:XWxnetLk
>>478はさらにIPアドレスの変更で大丈夫になるかと

2012/10/08(月) 17:59:36.24ID:???
パケットキャプチャーで見てみると119.110.94.100ってところにつながるんだが?
2012/10/08(月) 18:00:28.17ID:???
74.125.235.249 アメリカにつながるw
484漆黒のダーク
垢版 |
2012/10/08(月) 18:02:21.88ID:XWxnetLk
ウイルスにかかった人はIEで確認してどこと通信しているか早期に確認お願いします
485漆黒のダーク
垢版 |
2012/10/08(月) 18:04:30.29ID:XWxnetLk
ウイルスかかった人IP変更でも無効の可能性あり!!
不正なIPからの接続を確認しました
486438
垢版 |
2012/10/08(月) 18:04:51.76ID:???
例のファイル実行しましたが、状況改善しました。
完全かどうかはわかりませんが、ダウンロードできるようにしてみます。

下記は同意していただきたいですが、
・ウイルスバスターか、対策できるセキュリティーソフト持ってる方。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)
2012/10/08(月) 18:06:45.32ID:???
60.254.154.96 a60-254-154-96.deploy.akamaitechnologies.com
192.168.3.6
203.175.180.254
488漆黒のダーク
垢版 |
2012/10/08(月) 18:07:13.69ID:XWxnetLk
>>438それよりIEからの見覚えのないIPの確認してください
489漆黒のダーク
垢版 |
2012/10/08(月) 18:07:57.85ID:XWxnetLk
かなりやばい状況です、IP対策とった状態からの現状です
490ここ
垢版 |
2012/10/08(月) 18:09:44.60ID:???
放送どこでやってますか?
2012/10/08(月) 18:10:19.53ID:???
>482
それドワンゴ
492漆黒のダーク
垢版 |
2012/10/08(月) 18:10:58.76ID:XWxnetLk
http://live.nicovideo.jp/watch/lv110944814?ref=community
ここです
493
垢版 |
2012/10/08(月) 18:11:19.57ID:LexniLKa
http://live.nicovideo.jp/watch/lv110944814?ref=ser&zroute=search&orig_filter=+%3Aonair%3A&date=&keyword=%E3%82%B9%E3%82%AB%E3%82%A4%E3%83%97%E3%81%A7
494名無しさん@いたづらはいやづら
垢版 |
2012/10/08(月) 18:11:58.11ID:peg3zZ5S
>>484
確認の仕方を教えてくれませんか
2012/10/08(月) 18:12:20.76ID:???
先ほど急に会議から消えてすいません
にわかな知識で調べてみました。
>>476の続きです

不審なプロセス
「4D99.exe *32」が実行中

実行後更新されたフォルダ
c:\windows\inf\setupapi.dev.log(1248kb)
c:\windows\inf\setupapi.ev1(4kb)
c:\windows\inf\setupapi.ev2(3kb)
c:\windows\inf\setupapi.ev3(31kb)
c:\windows\inf\usbstor.PNF(58kb)
c:\windows\System32\DriverStore\FireRepository\usbstor.inf_amd64_neutral_0725c2806a159a9d\usbstor.PNF(58kb)

IEで一瞬「w6.hotfire.com」(199.7.177.218)に接続されました。1sもなかった

Skypeプロセスを終了後も>>476と同じ接続先に接続されてまー
496漆黒のダーク
垢版 |
2012/10/08(月) 18:12:36.04ID:XWxnetLk
スレ主から緊急自体発生を確認をいたしました
まず、IEから、見知らぬIPから更新が来てます。
で、レジストリの変更さらにシステム復元、IPアドレス変更
できてます
かなりやばいです
2012/10/08(月) 18:13:49.24ID:???
http://live.nicovideo.jp/watch/lv110944814
こいつらが情弱すぎて 面白いww
498漆黒のダーク
垢版 |
2012/10/08(月) 18:14:41.22ID:XWxnetLk
しかもくるIPがちゃんと存在するIPです。
このウイルスの被害の抜き取り被害者?と考えられます
2012/10/08(月) 18:18:32.04ID:???
なんでそうなるんだよ お前らはどうしてそこで被害者とむすびつけられるんだよ
500漆黒のダーク
垢版 |
2012/10/08(月) 18:18:38.73ID:XWxnetLk
IP偽装を1件確認
確信はありませんが早期対策ねがいます
2012/10/08(月) 18:19:30.96ID:???
パスワードはメールアドレス欄です。

ダウンロードする際は、
下記を同意してください、おねがいします。
・ウイルスバスターか、
 対策できるセキュリティーソフト持ってる方が望ましい。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)


アドレスの先頭にhいれてください。
ttp://kie.nu/sEf

>>488 さん
IPですか?
特に・・・IP確認で「なんだろう」という事はないです。
502ここ
垢版 |
2012/10/08(月) 18:21:24.59ID:???
>>495の続きです
関係あるか分かりませんが…
あらたに更新されたファイル
C:\Windows\System32\LogFiles\scm\eaca24ff-236c-401d-a1e7-b3d5267b8a50(1kb)

Skypeがちょくちょく落ちる
503漆黒のダーク
垢版 |
2012/10/08(月) 18:22:39.08ID:XWxnetLk
えーっと、ウイルスにかかったひとがランダムにしかも常に更新する
状態に陥るようです、ただしウイルスとの関係は91%です
504438
垢版 |
2012/10/08(月) 18:30:43.66ID:???
一応の改善はできた対策ソフト(?、スカイプで出回っているウイルス(?))
アップロードしました、
パスワードはメールアドレス欄に書かれています、

ダウンロードする際は
以下の点に同意お願いします。

・ウイルスバスターか、
 ウイルス系に対策できるセキュリティーソフト持ってる方が望ましい。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)

↓ファイル保管アドレス
アドレス先頭へhをいれてください。
ttp://kie.nu/sEf

>>488さん
こんにちは、
IEでの見覚えのないIPですか、
僕の所ではそれらしきものは見当たりませんでした、
情報、ありがとうございました。
505ここ
垢版 |
2012/10/08(月) 18:31:33.07ID:???
仮想PCwin7x64で昨日で1分に1回くらい>>476の接続先にアップリンクしてる
506名無し
垢版 |
2012/10/08(月) 18:41:07.30ID:???
ウイルス起動後、MSSE定義アップデート。
今MSSEでフルスキャン中。
507情弱
垢版 |
2012/10/08(月) 18:45:21.73ID:???
473です。
復元で9月30日の所まで戻しました。
再発防止策としてはスカイプの確認、appdate内確認以外で何かしておくほうがよいでしょうか?
問題解決にいそしんでるときに申し訳ないです…
508438
垢版 |
2012/10/08(月) 18:46:38.06ID:???
あ、>>504は、セーフモードで、使うソフトらしいです
509漆黒のダーク
垢版 |
2012/10/08(月) 19:00:09.97ID:XWxnetLk
>>507は100%OKとは言えません
 こちらは復活をかけてもどこかのIPから接続&こっちからの強制介入が
みられました、そのIPがウイルスとの関係はまだ確認されてませんが
一様気おつけてください
2012/10/08(月) 19:24:16.43ID:???
http://upup.bz/j/my92975tZsYt5G-d8G9PPU_.png
作成されたexeの中身の一部
2012/10/08(月) 19:26:15.95ID:???
ほいもう一つ
http://upup.bz/j/my92979ZjCYtKgf_OhlfFLs.png
2012/10/08(月) 19:28:10.80ID:???
http://upup.bz/j/my92981lfoYtiCSBwB3CtJU.png
513naz0ya
垢版 |
2012/10/08(月) 19:30:03.25ID:???
http://upup.bz/j/my92983BglYtmIqbmPIBxIk.png
514
垢版 |
2012/10/08(月) 19:36:35.43ID:ebKTXWM6
Fドライブって外ずけHDのことですか?
515漆黒のダーク
垢版 |
2012/10/08(月) 19:41:19.07ID:XWxnetLk
>>Fは新しく入れらHDDだそうです
2012/10/08(月) 19:44:12.14ID:???
スレチで申し訳ないですが
さっき3人でウィルス議論してた方たちはもう枠取らないんですか?
517naz0ya
垢版 |
2012/10/08(月) 19:46:40.97ID:???
http://upup.bz/j/my92989nHgYtV6TeqPVBMrY.png
日本語
518漆黒のダーク
垢版 |
2012/10/08(月) 19:57:25.21ID:XWxnetLk
>>516とってくれる人待ちですね。
枠とってた人のPCは隔離するそうなので
519ここ
垢版 |
2012/10/08(月) 19:57:29.55ID:???
http://geocities.yahoo.co.jp/gl/gbmogiki/view/20121008/1349678006
URL短縮サービスにアクセス解析昨日がついてるらしい
それで日本からのアクセス(ry
520漆黒のダーク
垢版 |
2012/10/08(月) 20:03:08.08ID:XWxnetLk
>>519とゆうことはクリックするだけで。。。。
521名無し
垢版 |
2012/10/08(月) 20:11:23.60ID:cFnWr/v6
こういう状態なら安心だっていうのがわかればいいんですけどね
522ここ
垢版 |
2012/10/08(月) 20:13:24.58ID:???
>>521
規模が大きいのにメディアとかでそんなに騒がれてないからね
不思議
こんなのLINEでやられたらどうなることだか
523naz0ya
垢版 |
2012/10/08(月) 20:13:39.41ID:???
http://upup.bz/j/my93031EsDYtM5mCuIMB_RM.png
http://upup.bz/j/my93032uSeYtYTEHmXCwakk.png
524ここ
垢版 |
2012/10/08(月) 20:15:17.32ID:???
>>523
俺のと綴り違うけど影響してることは確かなのは分かった
とりあえずそのソースコードはどのファイルのなの?
525naz0ya
垢版 |
2012/10/08(月) 20:16:38.14ID:???
>>524
例の乱数ファイル
526名無し
垢版 |
2012/10/08(月) 20:17:27.74ID:???
Brnknl.exe
527名無し
垢版 |
2012/10/08(月) 20:18:18.28ID:???
OllyDbgだよね?
特にパッキングとかされてないのか
2012/10/08(月) 20:24:32.20ID:???
ご参考
http://kuku.neko2.net/?num=2793
529naz0ya
垢版 |
2012/10/08(月) 20:28:20.79ID:???
>>524
例のウイルスを起動した時に生成される乱数ファイルのソースコードです
530ここ
垢版 |
2012/10/08(月) 20:29:48.50ID:???
了解ですー
ありがとうございます
531naz0ya
垢版 |
2012/10/08(月) 20:33:18.72ID:???
多分ylsussというのが悪さしているのかも?
っていうのが自分の意見
2012/10/08(月) 20:34:23.20ID:???
ワルサス?
533漆黒のダーク
垢版 |
2012/10/08(月) 21:13:28.07ID:XWxnetLk
で、なぜ日本語になったか
なぜファイルが強制的にDLされたか
それを調べましょう
次があるかもしれませんからね
534にん
垢版 |
2012/10/08(月) 21:39:04.11ID:9A67dMI/
感染したら共有ネットワーク?のPCもやばくなるのか?
535_
垢版 |
2012/10/08(月) 21:41:40.51ID:???
てst
2012/10/08(月) 21:47:03.17ID:???
>>534 いまのところ大丈夫っぽい 検証した人がいる
537そうま
垢版 |
2012/10/08(月) 22:34:07.17ID:K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます

誰か助けてください。
情報を・・・。
538月代
垢版 |
2012/10/08(月) 22:48:00.67ID:???
>>537 現状は消すのみです
IE以外のブラウザを使用してください
539名無し
垢版 |
2012/10/08(月) 22:50:31.80ID:cFnWr/v6
このウイルスにかかったらIE使えなくなるもんなの?
540名無し
垢版 |
2012/10/08(月) 22:50:34.37ID:???
>>537
(Windows Vista以降であれば、管理者権限で起動すること。)
コマンドプロンプトで以下を入力してEnter
「netsh winsock reset」

試してみて。
541そうま
垢版 |
2012/10/08(月) 22:52:45.83ID:K08nCmdd
>月代様
どのブラウザも表示されません
542そうま
垢版 |
2012/10/08(月) 22:53:39.61ID:K08nCmdd
>名無し様
OSは7です
えっともう少し詳しく教えてくださるとうれしいです。
543名無し
垢版 |
2012/10/08(月) 22:57:47.35ID:???
スタートボタンクリック。
「すべてのプログラム」-「アクセサリ」-「コマンドプロンプト」
これを右クリックして「管理者として実行」

黒い画面と白文字のウィンドウが表示されると思うので、
「netsh winsock reset」を入力してEnter
再起動しろとか言われるので、再起動する。
544そうま
垢版 |
2012/10/08(月) 23:00:04.81ID:K08nCmdd
>名無し様
了解しました、やってみます。
ありがとうございます!
545助けて
垢版 |
2012/10/08(月) 23:06:03.74ID:???
すいません、外出していましてスレみてませんでした。
完全に消す方法は見つかりましたか?
また、このウィルスはパソコンにどのような作用がありますか?
546漆黒のダーク
垢版 |
2012/10/08(月) 23:09:37.35ID:XWxnetLk
今、ウイルスexeをアセンブリ言語にしてよめるようになったので
いま、やっております
今のとことIEに関してのプログラムがないです
あとコノプログラム何かと一定時間で何かと更新している模様
それがなになのか不明 わかりしだい報告します
547みつるぎ
垢版 |
2012/10/08(月) 23:17:51.03ID:zDB+bmP1
クリーンインストールしたんですが
そのパソコンで使ってたメールアドレスを使うのってやっぱり危ないですかね?
548漆黒のダーク
垢版 |
2012/10/08(月) 23:24:56.68ID:XWxnetLk
IEのレジストリの場所わかるひといる?
レスを投稿する


ニューススポーツなんでも実況