探検


Skype lol is this your new profile pic?

1漆黒のダーク
垢版 |
2012/10/07(日) 13:51:47.86ID:1UYrwAys
lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
474漆黒のダーク
垢版 |
2012/10/08(月) 17:43:47.23ID:XWxnetLk
>>473レジストリの消去ファイル特定できず、現状100%消去の可能性が低いです
   レジストリの変化確認しないと・・・って感じです
とりあえずIP変更で個人情報の流出と>>50のスカイプの対処で拡散は止まるでしょう
475名無しさん@いたづらはいやづら
垢版 |
2012/10/08(月) 17:43:58.13ID:peg3zZ5S
>>473
システムの復元はした?
2012/10/08(月) 17:47:47.53ID:???
IEが「s15403588.onlinehome-server.info」(213.165.71.153)にずっと接続してる
477漆黒のダーク
垢版 |
2012/10/08(月) 17:50:58.84ID:XWxnetLk
了解です、参考にします
2012/10/08(月) 17:52:55.43ID:???
これは本当?
lol is this your new profile pic?から始まるメッセージのSKYPEウィルスを踏んでしまった場合
PCの電源をいれた直後にF8キーをひたすら連打し セーフモードで起動。
winキー+Rを押して ファイル名指定して実行を開く
入力欄に%appdata%といれてOK その中にある SKYPEのアイコンを右クリックで削除
その他 1.EXEや4桁のファイルでファイルサイズが60KB、もしくは24KBのファイルを削除
PC再起動
USBメモリやほかドライブへの感染もあるようです。
アンチウィルスソフトで すべてのドライブのフルスキャンかけてください。

おつかれさまでした


概要
実行してしまった場合、%appdata%フォルダ内にskypeのアイコンのEXEファイル(ファイル名ランダム)を作成し
そのファイルを実行後、ファイル自体が見えなくなり、コマンドラインからも消すことができなくなります。
また、レジストリのHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに自信のファイルを起動時に
実行するように値を書き込みます。 
レジストリを消しても直後にレジストリの値が復活します。
その後 ランダムのEXEファイルを作成し、起動します。
親exeを削除することができないため SKYPEでの連携をとめてもファイルを作成し続けます。
セーフモードで起動した場合 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runのキーの
ファイルを実行しないため 親のEXEファイルが消えません。 この状態で削除し、次回起動時に親EXEファイルを
実行させないようにして完了です。
親ファイルが作成したEXEは約60KB、もしくは24KBのランダムファイル名が作成される模様です。
479
垢版 |
2012/10/08(月) 17:53:36.37ID:LexniLKa
関係があるかどうかわかんないけど
480漆黒のダーク
垢版 |
2012/10/08(月) 17:53:43.68ID:XWxnetLk
213.165.71.153IP広場の検索によるとドイツだそうです
213.165.71.153の情報願います
踏み台の可能性も考えられますが
481漆黒のダーク
垢版 |
2012/10/08(月) 17:57:33.71ID:XWxnetLk
>>478はさらにIPアドレスの変更で大丈夫になるかと

2012/10/08(月) 17:59:36.24ID:???
パケットキャプチャーで見てみると119.110.94.100ってところにつながるんだが?
2012/10/08(月) 18:00:28.17ID:???
74.125.235.249 アメリカにつながるw
484漆黒のダーク
垢版 |
2012/10/08(月) 18:02:21.88ID:XWxnetLk
ウイルスにかかった人はIEで確認してどこと通信しているか早期に確認お願いします
485漆黒のダーク
垢版 |
2012/10/08(月) 18:04:30.29ID:XWxnetLk
ウイルスかかった人IP変更でも無効の可能性あり!!
不正なIPからの接続を確認しました
486438
垢版 |
2012/10/08(月) 18:04:51.76ID:???
例のファイル実行しましたが、状況改善しました。
完全かどうかはわかりませんが、ダウンロードできるようにしてみます。

下記は同意していただきたいですが、
・ウイルスバスターか、対策できるセキュリティーソフト持ってる方。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)
2012/10/08(月) 18:06:45.32ID:???
60.254.154.96 a60-254-154-96.deploy.akamaitechnologies.com
192.168.3.6
203.175.180.254
488漆黒のダーク
垢版 |
2012/10/08(月) 18:07:13.69ID:XWxnetLk
>>438それよりIEからの見覚えのないIPの確認してください
489漆黒のダーク
垢版 |
2012/10/08(月) 18:07:57.85ID:XWxnetLk
かなりやばい状況です、IP対策とった状態からの現状です
490ここ
垢版 |
2012/10/08(月) 18:09:44.60ID:???
放送どこでやってますか?
2012/10/08(月) 18:10:19.53ID:???
>482
それドワンゴ
492漆黒のダーク
垢版 |
2012/10/08(月) 18:10:58.76ID:XWxnetLk
http://live.nicovideo.jp/watch/lv110944814?ref=community
ここです
493
垢版 |
2012/10/08(月) 18:11:19.57ID:LexniLKa
http://live.nicovideo.jp/watch/lv110944814?ref=ser&zroute=search&orig_filter=+%3Aonair%3A&date=&keyword=%E3%82%B9%E3%82%AB%E3%82%A4%E3%83%97%E3%81%A7
494名無しさん@いたづらはいやづら
垢版 |
2012/10/08(月) 18:11:58.11ID:peg3zZ5S
>>484
確認の仕方を教えてくれませんか
2012/10/08(月) 18:12:20.76ID:???
先ほど急に会議から消えてすいません
にわかな知識で調べてみました。
>>476の続きです

不審なプロセス
「4D99.exe *32」が実行中

実行後更新されたフォルダ
c:\windows\inf\setupapi.dev.log(1248kb)
c:\windows\inf\setupapi.ev1(4kb)
c:\windows\inf\setupapi.ev2(3kb)
c:\windows\inf\setupapi.ev3(31kb)
c:\windows\inf\usbstor.PNF(58kb)
c:\windows\System32\DriverStore\FireRepository\usbstor.inf_amd64_neutral_0725c2806a159a9d\usbstor.PNF(58kb)

IEで一瞬「w6.hotfire.com」(199.7.177.218)に接続されました。1sもなかった

Skypeプロセスを終了後も>>476と同じ接続先に接続されてまー
496漆黒のダーク
垢版 |
2012/10/08(月) 18:12:36.04ID:XWxnetLk
スレ主から緊急自体発生を確認をいたしました
まず、IEから、見知らぬIPから更新が来てます。
で、レジストリの変更さらにシステム復元、IPアドレス変更
できてます
かなりやばいです
2012/10/08(月) 18:13:49.24ID:???
http://live.nicovideo.jp/watch/lv110944814
こいつらが情弱すぎて 面白いww
498漆黒のダーク
垢版 |
2012/10/08(月) 18:14:41.22ID:XWxnetLk
しかもくるIPがちゃんと存在するIPです。
このウイルスの被害の抜き取り被害者?と考えられます
2012/10/08(月) 18:18:32.04ID:???
なんでそうなるんだよ お前らはどうしてそこで被害者とむすびつけられるんだよ
500漆黒のダーク
垢版 |
2012/10/08(月) 18:18:38.73ID:XWxnetLk
IP偽装を1件確認
確信はありませんが早期対策ねがいます
2012/10/08(月) 18:19:30.96ID:???
パスワードはメールアドレス欄です。

ダウンロードする際は、
下記を同意してください、おねがいします。
・ウイルスバスターか、
 対策できるセキュリティーソフト持ってる方が望ましい。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)


アドレスの先頭にhいれてください。
ttp://kie.nu/sEf

>>488 さん
IPですか?
特に・・・IP確認で「なんだろう」という事はないです。
502ここ
垢版 |
2012/10/08(月) 18:21:24.59ID:???
>>495の続きです
関係あるか分かりませんが…
あらたに更新されたファイル
C:\Windows\System32\LogFiles\scm\eaca24ff-236c-401d-a1e7-b3d5267b8a50(1kb)

Skypeがちょくちょく落ちる
503漆黒のダーク
垢版 |
2012/10/08(月) 18:22:39.08ID:XWxnetLk
えーっと、ウイルスにかかったひとがランダムにしかも常に更新する
状態に陥るようです、ただしウイルスとの関係は91%です
504438
垢版 |
2012/10/08(月) 18:30:43.66ID:???
一応の改善はできた対策ソフト(?、スカイプで出回っているウイルス(?))
アップロードしました、
パスワードはメールアドレス欄に書かれています、

ダウンロードする際は
以下の点に同意お願いします。

・ウイルスバスターか、
 ウイルス系に対策できるセキュリティーソフト持ってる方が望ましい。
 (受け渡しの際の安全性も考えて。)
・以後、結果いかんにしても、条件を提示しない方。
 (安全確保)

↓ファイル保管アドレス
アドレス先頭へhをいれてください。
ttp://kie.nu/sEf

>>488さん
こんにちは、
IEでの見覚えのないIPですか、
僕の所ではそれらしきものは見当たりませんでした、
情報、ありがとうございました。
505ここ
垢版 |
2012/10/08(月) 18:31:33.07ID:???
仮想PCwin7x64で昨日で1分に1回くらい>>476の接続先にアップリンクしてる
506名無し
垢版 |
2012/10/08(月) 18:41:07.30ID:???
ウイルス起動後、MSSE定義アップデート。
今MSSEでフルスキャン中。
507情弱
垢版 |
2012/10/08(月) 18:45:21.73ID:???
473です。
復元で9月30日の所まで戻しました。
再発防止策としてはスカイプの確認、appdate内確認以外で何かしておくほうがよいでしょうか?
問題解決にいそしんでるときに申し訳ないです…
508438
垢版 |
2012/10/08(月) 18:46:38.06ID:???
あ、>>504は、セーフモードで、使うソフトらしいです
509漆黒のダーク
垢版 |
2012/10/08(月) 19:00:09.97ID:XWxnetLk
>>507は100%OKとは言えません
 こちらは復活をかけてもどこかのIPから接続&こっちからの強制介入が
みられました、そのIPがウイルスとの関係はまだ確認されてませんが
一様気おつけてください
2012/10/08(月) 19:24:16.43ID:???
http://upup.bz/j/my92975tZsYt5G-d8G9PPU_.png
作成されたexeの中身の一部
2012/10/08(月) 19:26:15.95ID:???
ほいもう一つ
http://upup.bz/j/my92979ZjCYtKgf_OhlfFLs.png
2012/10/08(月) 19:28:10.80ID:???
http://upup.bz/j/my92981lfoYtiCSBwB3CtJU.png
513naz0ya
垢版 |
2012/10/08(月) 19:30:03.25ID:???
http://upup.bz/j/my92983BglYtmIqbmPIBxIk.png
514
垢版 |
2012/10/08(月) 19:36:35.43ID:ebKTXWM6
Fドライブって外ずけHDのことですか?
515漆黒のダーク
垢版 |
2012/10/08(月) 19:41:19.07ID:XWxnetLk
>>Fは新しく入れらHDDだそうです
2012/10/08(月) 19:44:12.14ID:???
スレチで申し訳ないですが
さっき3人でウィルス議論してた方たちはもう枠取らないんですか?
517naz0ya
垢版 |
2012/10/08(月) 19:46:40.97ID:???
http://upup.bz/j/my92989nHgYtV6TeqPVBMrY.png
日本語
518漆黒のダーク
垢版 |
2012/10/08(月) 19:57:25.21ID:XWxnetLk
>>516とってくれる人待ちですね。
枠とってた人のPCは隔離するそうなので
519ここ
垢版 |
2012/10/08(月) 19:57:29.55ID:???
http://geocities.yahoo.co.jp/gl/gbmogiki/view/20121008/1349678006
URL短縮サービスにアクセス解析昨日がついてるらしい
それで日本からのアクセス(ry
520漆黒のダーク
垢版 |
2012/10/08(月) 20:03:08.08ID:XWxnetLk
>>519とゆうことはクリックするだけで。。。。
521名無し
垢版 |
2012/10/08(月) 20:11:23.60ID:cFnWr/v6
こういう状態なら安心だっていうのがわかればいいんですけどね
522ここ
垢版 |
2012/10/08(月) 20:13:24.58ID:???
>>521
規模が大きいのにメディアとかでそんなに騒がれてないからね
不思議
こんなのLINEでやられたらどうなることだか
523naz0ya
垢版 |
2012/10/08(月) 20:13:39.41ID:???
http://upup.bz/j/my93031EsDYtM5mCuIMB_RM.png
http://upup.bz/j/my93032uSeYtYTEHmXCwakk.png
524ここ
垢版 |
2012/10/08(月) 20:15:17.32ID:???
>>523
俺のと綴り違うけど影響してることは確かなのは分かった
とりあえずそのソースコードはどのファイルのなの?
525naz0ya
垢版 |
2012/10/08(月) 20:16:38.14ID:???
>>524
例の乱数ファイル
526名無し
垢版 |
2012/10/08(月) 20:17:27.74ID:???
Brnknl.exe
527名無し
垢版 |
2012/10/08(月) 20:18:18.28ID:???
OllyDbgだよね?
特にパッキングとかされてないのか
2012/10/08(月) 20:24:32.20ID:???
ご参考
http://kuku.neko2.net/?num=2793
529naz0ya
垢版 |
2012/10/08(月) 20:28:20.79ID:???
>>524
例のウイルスを起動した時に生成される乱数ファイルのソースコードです
530ここ
垢版 |
2012/10/08(月) 20:29:48.50ID:???
了解ですー
ありがとうございます
531naz0ya
垢版 |
2012/10/08(月) 20:33:18.72ID:???
多分ylsussというのが悪さしているのかも?
っていうのが自分の意見
2012/10/08(月) 20:34:23.20ID:???
ワルサス?
533漆黒のダーク
垢版 |
2012/10/08(月) 21:13:28.07ID:XWxnetLk
で、なぜ日本語になったか
なぜファイルが強制的にDLされたか
それを調べましょう
次があるかもしれませんからね
534にん
垢版 |
2012/10/08(月) 21:39:04.11ID:9A67dMI/
感染したら共有ネットワーク?のPCもやばくなるのか?
535_
垢版 |
2012/10/08(月) 21:41:40.51ID:???
てst
2012/10/08(月) 21:47:03.17ID:???
>>534 いまのところ大丈夫っぽい 検証した人がいる
537そうま
垢版 |
2012/10/08(月) 22:34:07.17ID:K08nCmdd
やっぱり何度試しても
「Internet Explorer ではこのページは表示できません」
というページに飛ばされ
インターネットが開けなくて…。
非常に困ってます

誰か助けてください。
情報を・・・。
538月代
垢版 |
2012/10/08(月) 22:48:00.67ID:???
>>537 現状は消すのみです
IE以外のブラウザを使用してください
539名無し
垢版 |
2012/10/08(月) 22:50:31.80ID:cFnWr/v6
このウイルスにかかったらIE使えなくなるもんなの?
540名無し
垢版 |
2012/10/08(月) 22:50:34.37ID:???
>>537
(Windows Vista以降であれば、管理者権限で起動すること。)
コマンドプロンプトで以下を入力してEnter
「netsh winsock reset」

試してみて。
541そうま
垢版 |
2012/10/08(月) 22:52:45.83ID:K08nCmdd
>月代様
どのブラウザも表示されません
542そうま
垢版 |
2012/10/08(月) 22:53:39.61ID:K08nCmdd
>名無し様
OSは7です
えっともう少し詳しく教えてくださるとうれしいです。
543名無し
垢版 |
2012/10/08(月) 22:57:47.35ID:???
スタートボタンクリック。
「すべてのプログラム」-「アクセサリ」-「コマンドプロンプト」
これを右クリックして「管理者として実行」

黒い画面と白文字のウィンドウが表示されると思うので、
「netsh winsock reset」を入力してEnter
再起動しろとか言われるので、再起動する。
544そうま
垢版 |
2012/10/08(月) 23:00:04.81ID:K08nCmdd
>名無し様
了解しました、やってみます。
ありがとうございます!
545助けて
垢版 |
2012/10/08(月) 23:06:03.74ID:???
すいません、外出していましてスレみてませんでした。
完全に消す方法は見つかりましたか?
また、このウィルスはパソコンにどのような作用がありますか?
546漆黒のダーク
垢版 |
2012/10/08(月) 23:09:37.35ID:XWxnetLk
今、ウイルスexeをアセンブリ言語にしてよめるようになったので
いま、やっております
今のとことIEに関してのプログラムがないです
あとコノプログラム何かと一定時間で何かと更新している模様
それがなになのか不明 わかりしだい報告します
547みつるぎ
垢版 |
2012/10/08(月) 23:17:51.03ID:zDB+bmP1
クリーンインストールしたんですが
そのパソコンで使ってたメールアドレスを使うのってやっぱり危ないですかね?
548漆黒のダーク
垢版 |
2012/10/08(月) 23:24:56.68ID:XWxnetLk
IEのレジストリの場所わかるひといる?
549名無し
垢版 |
2012/10/08(月) 23:26:56.24ID:???
そんなことも分からんで静的解析できんのかよw
てか、IEの"何の"レジストリを知りたいの?
550漆黒のダーク
垢版 |
2012/10/08(月) 23:29:47.31ID:XWxnetLk
exe調べた結果元のファイルをエディタしてやったんだがこれどうだとおもう?
S0040806c: 0040806c db 'ファイルが壊れています!',0
S00408088: 00408088 db 'アーカイブファイルが、オープンできません!',0
551漆黒のダーク
垢版 |
2012/10/08(月) 23:34:07.90ID:XWxnetLk
いやみつけて、exeに検索かけたんだが・・・
0040c080 dd KERNEL32.dll_SetCurrentDirectoryA_name-IMAGEBASE
552名無し
垢版 |
2012/10/08(月) 23:39:06.24ID:???
てか、解析してんのはどのバイナリなの?
553sage
垢版 |
2012/10/09(火) 00:55:06.05ID:???
何このスレ
554そうま
垢版 |
2012/10/09(火) 01:03:38.06ID:gUon89MH
>名無し様
試してみたんですけど
再起動しても何も変化無かったです::
555sage
垢版 |
2012/10/09(火) 01:14:55.92ID:???
書き込んでる人たちの年齢層を知りたい
556名無し
垢版 |
2012/10/09(火) 01:30:30.03ID:???
>>554
あら、LSPを修復すれば直ると思ったんだが。ごめんね。

マルウェア本体の駆除はできてるのかな?
まだマルウェアが動いてる状態だと元に戻されるのかもね。
本当はHijackThisとかでログを見て判断したいけど、ネットつながらないから無理かな・・・
557そうま
垢版 |
2012/10/09(火) 01:37:18.67ID:gUon89MH
> 556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
558そうま
垢版 |
2012/10/09(火) 01:48:24.22ID:gUon89MH
>>556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
559そうま
垢版 |
2012/10/09(火) 01:50:01.22ID:gUon89MH
>>538
対応しているブラウザってなにがあるんですかね?
グーグルもIEも使えませんでした;;
560名無し
垢版 |
2012/10/09(火) 01:56:28.85ID:???
>>558
セーフモードでOKってことはまだ駆除ができてないみたいだね。
http://kuku.neko2.net/intl/data/121007/batch2.zip
ここの駆除用バッチファイルをダウンロードして、実行してみて。
テストしてみたけど、マルウェアさえ駆除すればネットワークも復旧するっぽい。

たぶんTCP/IPレベルで通信できてないから、どのブラウザでも無駄だよ。
561そうま
垢版 |
2012/10/09(火) 02:02:02.65ID:gUon89MH
>>560
分かりました、やってみます。
ありがとうございます。
562そうま
垢版 |
2012/10/09(火) 02:03:30.50ID:gUon89MH
>>560
えっと
貼ってあるURLに行こうとすると拒否されます
「Web サイトによってこのページの表示を拒否されました」
563そうま
垢版 |
2012/10/09(火) 02:07:31.96ID:gUon89MH
>>560
あっ何とか開けました。
ですが実行しても
「処理を終了しました」
となって何もなりません。
564名無し
垢版 |
2012/10/09(火) 02:12:45.99ID:???
セーフモード上で実行しました?
565そうま
垢版 |
2012/10/09(火) 02:14:22.58ID:gUon89MH
はい、「セーフモードとネットワーク」上で開いて実行しました
566名無し
垢版 |
2012/10/09(火) 02:17:29.32ID:???
はて、そのバッチファイルで駆除できてないんかね〜
MBAMでスキャンでもしてみるかな。
ttp://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

このソフト使ってスキャンしてみてください。
567そうま
垢版 |
2012/10/09(火) 02:19:46.86ID:gUon89MH
分かりました、やってみます。
2012/10/09(火) 04:07:20.55ID:???
そもそもこのウィルス rootkitだから 通信の状況とか深くまではみれないはずなんだが・・・
569名無し
垢版 |
2012/10/09(火) 07:08:08.27ID:???
でも、ユーザーモードRootkitでしょ
2012/10/09(火) 08:23:11.09ID:???
ウィルス見てないから分からんけどサービスとかスタートアップは調べたのか?
571漆黒のダーク
垢版 |
2012/10/09(火) 08:24:40.79ID:b/zJW4X4
とゆうか、結局IEが使えなくなったのはなぜ?
見知らぬIPにこちらから送信しているのはなぜ?
って疑問がのこるんだよね
2012/10/09(火) 08:33:39.09ID:???
homepage.infとかmsiexec.exeの書き換えじゃないんかと
IEが繋がらなくなっただけならこの可能性は高いんじゃないかと、exe自体起動しないパターンはIE破損してるとかかなぁ
そういう場合はプログラムの追加と削除のwindowsコンポーネントでIE削除してからまた追加すれば行けるかもしれんがIEのバグで起動しなくなるかもっていう
感染してないから分からんけどそう思う
573漆黒のダーク
垢版 |
2012/10/09(火) 08:33:42.71ID:b/zJW4X4
これが、ウイルスのexeをソースでだし、エディタで返還したやつ
file:///D:/Users/FMV/Desktop/Hbdsdz.exe.asm
レスを投稿する


ニューススポーツなんでも実況