探検


Skype lol is this your new profile pic?

1漆黒のダーク
垢版 |
2012/10/07(日) 13:51:47.86ID:1UYrwAys
lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!
549名無し
垢版 |
2012/10/08(月) 23:26:56.24ID:???
そんなことも分からんで静的解析できんのかよw
てか、IEの"何の"レジストリを知りたいの?
550漆黒のダーク
垢版 |
2012/10/08(月) 23:29:47.31ID:XWxnetLk
exe調べた結果元のファイルをエディタしてやったんだがこれどうだとおもう?
S0040806c: 0040806c db 'ファイルが壊れています!',0
S00408088: 00408088 db 'アーカイブファイルが、オープンできません!',0
551漆黒のダーク
垢版 |
2012/10/08(月) 23:34:07.90ID:XWxnetLk
いやみつけて、exeに検索かけたんだが・・・
0040c080 dd KERNEL32.dll_SetCurrentDirectoryA_name-IMAGEBASE
552名無し
垢版 |
2012/10/08(月) 23:39:06.24ID:???
てか、解析してんのはどのバイナリなの?
553sage
垢版 |
2012/10/09(火) 00:55:06.05ID:???
何このスレ
554そうま
垢版 |
2012/10/09(火) 01:03:38.06ID:gUon89MH
>名無し様
試してみたんですけど
再起動しても何も変化無かったです::
555sage
垢版 |
2012/10/09(火) 01:14:55.92ID:???
書き込んでる人たちの年齢層を知りたい
556名無し
垢版 |
2012/10/09(火) 01:30:30.03ID:???
>>554
あら、LSPを修復すれば直ると思ったんだが。ごめんね。

マルウェア本体の駆除はできてるのかな?
まだマルウェアが動いてる状態だと元に戻されるのかもね。
本当はHijackThisとかでログを見て判断したいけど、ネットつながらないから無理かな・・・
557そうま
垢版 |
2012/10/09(火) 01:37:18.67ID:gUon89MH
> 556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
558そうま
垢版 |
2012/10/09(火) 01:48:24.22ID:gUon89MH
>>556
セーフモードで起動は駄目ですかね?
いま、セーフモードとネットワークで開けてます
559そうま
垢版 |
2012/10/09(火) 01:50:01.22ID:gUon89MH
>>538
対応しているブラウザってなにがあるんですかね?
グーグルもIEも使えませんでした;;
560名無し
垢版 |
2012/10/09(火) 01:56:28.85ID:???
>>558
セーフモードでOKってことはまだ駆除ができてないみたいだね。
http://kuku.neko2.net/intl/data/121007/batch2.zip
ここの駆除用バッチファイルをダウンロードして、実行してみて。
テストしてみたけど、マルウェアさえ駆除すればネットワークも復旧するっぽい。

たぶんTCP/IPレベルで通信できてないから、どのブラウザでも無駄だよ。
561そうま
垢版 |
2012/10/09(火) 02:02:02.65ID:gUon89MH
>>560
分かりました、やってみます。
ありがとうございます。
562そうま
垢版 |
2012/10/09(火) 02:03:30.50ID:gUon89MH
>>560
えっと
貼ってあるURLに行こうとすると拒否されます
「Web サイトによってこのページの表示を拒否されました」
563そうま
垢版 |
2012/10/09(火) 02:07:31.96ID:gUon89MH
>>560
あっ何とか開けました。
ですが実行しても
「処理を終了しました」
となって何もなりません。
564名無し
垢版 |
2012/10/09(火) 02:12:45.99ID:???
セーフモード上で実行しました?
565そうま
垢版 |
2012/10/09(火) 02:14:22.58ID:gUon89MH
はい、「セーフモードとネットワーク」上で開いて実行しました
566名無し
垢版 |
2012/10/09(火) 02:17:29.32ID:???
はて、そのバッチファイルで駆除できてないんかね〜
MBAMでスキャンでもしてみるかな。
ttp://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

このソフト使ってスキャンしてみてください。
567そうま
垢版 |
2012/10/09(火) 02:19:46.86ID:gUon89MH
分かりました、やってみます。
2012/10/09(火) 04:07:20.55ID:???
そもそもこのウィルス rootkitだから 通信の状況とか深くまではみれないはずなんだが・・・
569名無し
垢版 |
2012/10/09(火) 07:08:08.27ID:???
でも、ユーザーモードRootkitでしょ
2012/10/09(火) 08:23:11.09ID:???
ウィルス見てないから分からんけどサービスとかスタートアップは調べたのか?
571漆黒のダーク
垢版 |
2012/10/09(火) 08:24:40.79ID:b/zJW4X4
とゆうか、結局IEが使えなくなったのはなぜ?
見知らぬIPにこちらから送信しているのはなぜ?
って疑問がのこるんだよね
2012/10/09(火) 08:33:39.09ID:???
homepage.infとかmsiexec.exeの書き換えじゃないんかと
IEが繋がらなくなっただけならこの可能性は高いんじゃないかと、exe自体起動しないパターンはIE破損してるとかかなぁ
そういう場合はプログラムの追加と削除のwindowsコンポーネントでIE削除してからまた追加すれば行けるかもしれんがIEのバグで起動しなくなるかもっていう
感染してないから分からんけどそう思う
573漆黒のダーク
垢版 |
2012/10/09(火) 08:33:42.71ID:b/zJW4X4
これが、ウイルスのexeをソースでだし、エディタで返還したやつ
file:///D:/Users/FMV/Desktop/Hbdsdz.exe.asm
574漆黒のダーク
垢版 |
2012/10/09(火) 08:34:45.90ID:b/zJW4X4
↑みすw
2012/10/09(火) 09:43:55.48ID:???
>>573
釣りでもアホ
576a
垢版 |
2012/10/09(火) 11:39:14.13ID:???
これ結局、どういうウィルスなんです?
どんな影響があるんですかね?
577_
垢版 |
2012/10/09(火) 11:41:56.17ID:???
ワーム
578漆黒のダーク
垢版 |
2012/10/09(火) 11:46:59.74ID:b/zJW4X4
>>576いちよう、ウイルスのURLをスカイプチャットで送りさらに
   何かしらのものをかってにDLしている
それがなんなのかはわからないが、一定の時間になると実行する
プログラムかとその他の脅威はないんじゃないかと、IP抜き取りは
まだわからないし、今は公式まち
579漆黒のダーク
垢版 |
2012/10/09(火) 12:01:10.11ID:b/zJW4X4
これでみえるかな?
http://www.dotup.org/uploda/www.dotup.org3500139.txt
580漆黒のダーク
垢版 |
2012/10/09(火) 12:02:37.34ID:b/zJW4X4
>>579がウイルスのexeのソースをエディターで変換したやつ
で、このソースのなかにtimeってのがいくつかあるから
時間式だと、思うんだが
どうだろう?
2012/10/09(火) 12:48:45.67ID:???
対した知識もない奴が リーバスエンジニアリングしたものでいきがるな
おまけに、疑問がのこるんだよね・・とか 公式待ちとか
どこの公式だよwww
2012/10/09(火) 12:56:20.77ID:???
スレ最初から見てれば分かると思うが
にわかがハッカー()気取りしてアホみたいに騒いでるのもいれば
真面目に解決しようと努力してる方もいるしなw
2012/10/09(火) 13:05:20.56ID:???
漆黒のダーク
ウイルスのexeのソースをエディターで変換したやつ wwwwwwwwwwwwwww
これがソースだとでもおもっているの?w
2012/10/09(火) 13:06:07.16ID:???
そして都合の悪いことはすべて無視w
585漆黒のダーク
垢版 |
2012/10/09(火) 13:26:37.38ID:b/zJW4X4
批判するならしてかまわないです。
必死に解決しようとしている人の気持ちが分かんないようですね
それそれで、私はかまわないです。
非常に残念です。
補足、公式はスカイプの公式のことですよ。
586天才ショッカー ◆KjV5V9dJA6Be
垢版 |
2012/10/09(火) 13:29:12.84ID:LQ3QTgWK
漆黒のダークよ。ショッカー軍団に入らないか?
今なら幹部にしてやるぞ・
2012/10/09(火) 13:29:49.18ID:???
>>585
アンタが何したっていうんだよ
どうせ知識ないからわからないだろうがアンタのレス何一つ役立っとらんぞ
2012/10/09(火) 13:31:08.48ID:???
つまんね
589漆黒のダーク
垢版 |
2012/10/09(火) 13:39:23.12ID:b/zJW4X4
>>587そうですか、お役に立てずすみません。
590漆黒のダーク
垢版 |
2012/10/09(火) 13:46:31.85ID:b/zJW4X4
>>589は何をもとめているのやらw
591名無し
垢版 |
2012/10/09(火) 13:48:42.48ID:???
自分で自分でレスするとか恥ずかしくないの?
とっとと死ねよ
592名無し
垢版 |
2012/10/09(火) 13:49:54.18ID:???
>>591
自分で自分にレスするとか恥ずかしくないの?だ
間違えんなカス
2012/10/09(火) 13:56:57.12ID:???
揚げ足取りに必死でわろたw
どうせ例の中学生なんだろうな・・・
594名無しさん@いたづらはいやづら
垢版 |
2012/10/09(火) 13:58:16.56ID:gay2HccI
>>587
それこそおまえは何の役にも立っていないどころか邪魔してるだけなんだけど?
2012/10/09(火) 14:01:08.48ID:???
もうちょっと冷静になれよ?
2012/10/09(火) 14:03:08.09ID:???
>>594
大人なら落ち着こうな?
子供なら仕方ないか
2012/10/09(火) 14:03:18.72ID:???
大手ニコ生コミュ主に放送ミラーされてバカにされてるくらいだからなw
あの大手コミュ主のほうが分かりやすく検証や駆除方法教えてくれたわ

まあ セーフモードの起動ですらめんどいっていうやつだからなww
こいつw
2012/10/09(火) 14:05:26.21ID:???
レジリストをレリジスト()

に馬鹿にしたいとかそういんじゃなくて
分かんないんだったら素直に分かんないと見守ればいいものを
調子乗るわ、大手を馬鹿にしたりとか酷いからな
2012/10/09(火) 14:08:15.13ID:???
あれ 漆黒のダーク だまちゃったぞ
2012/10/09(火) 14:09:15.63ID:???
ごめんごめんw
ちょっといじめすぎちゃったね!

役に立ってるから頑張れ!
早くセーフモードすら知らないおばあちゃんやお爺ちゃんにもできるように
頑張ってくれよ!
生放送でもそうひと達向けにも頑張る!って言ってたじゃん!
2012/10/09(火) 14:17:56.23ID:???
マジレスするとタスクマネージャかコマンドプロンプトからプロセス切ってWinキー+R→msconfigでスタートアップからチェック外せばいいだけだろ
ほとんどのウィルスなんてスタートアップかサービスに寄生するしかない
俺なら「アプリケーションエラー: "0x00000000"の命令が" 0x00000000"のメモリを参照しました。メモリが"read"になることはできませんでした。」
ってダイアログが出てskype.exeが入ってるフォルダに偽装したdll設置してdll優先的に読み込ました上にプロセス見てもexeが起動してないように見せかける
こんなん踏んでる>>1も相当なアホだけど、このウィルス作った奴もIE繋がらないっていうバレバレのウィルス作ってる時点でかなりのアホ
2012/10/09(火) 14:35:18.87ID:???
601 あまいな 今回のウィルスはrootkitだぞ
msconfigではずしたあとに再度msconfig起動するとチェック戻ってるんだぜ
レジストリ消しても、復活する。 親EXEがrootkitなので見えないし消せない
よってセーフモードで起動される前に消すが有効
603名無しさん@いたづらはいやづら
垢版 |
2012/10/09(火) 14:42:14.04ID:qHr/8hav
漆黒のダーク出てこなくなったwwww
2012/10/09(火) 14:59:53.95ID:???
漆黒のダークが日本人かどうかってのも怪しいくらいだわw
スレッド を スレット とか 一応 を いちよう とかw
まぁ、小学生なんだろうけどwww
2012/10/09(火) 15:11:19.34ID:???
ニホンジン ヒドイネ
606漆黒のダーク
垢版 |
2012/10/09(火) 15:15:23.69ID:jzJM1V0J
名前パクリやめて
2012/10/09(火) 15:45:46.75ID:???
結局 名前パクリやめてかw
2012/10/09(火) 15:46:27.12ID:???
むしろこんなこと書き込んでる>1は余計にみんなに混乱を与えてるだけ
2012/10/09(火) 15:48:51.02ID:???
>>607
よく見ろ
IDが違う
2012/10/09(火) 16:09:59.88ID:???
avastでフルスキャン&ブートタイム検査
その後でESETのオンラインスキャン
これで直ったっぽいんだがなぁ・・・どうなんだろ
611ABC
垢版 |
2012/10/09(火) 16:13:17.96ID:B3vEXiWS
スカイプ ウイルス セーフモード この3つでぐぐれ
犯人探ししてもこれだけ広がってたら簡単に見つからんと思うが
2012/10/09(火) 16:14:55.90ID:???
犯人を捜すのは俺たちの仕事じゃない そもそも日本人じゃないだろう
613ABC
垢版 |
2012/10/09(火) 16:16:33.57ID:B3vEXiWS
今回のってウイルス作れるやつじゃないと解決方法わからん内容だよな
2012/10/09(火) 16:22:16.61ID:???
しったか乙
2012/10/09(火) 16:30:57.67ID:???
別にウィルスつくれなくても解決方法わかるやろ
それなりの知識があれば。
616sage
垢版 |
2012/10/09(火) 16:41:48.69ID:brwmDHSw
最近流行ってるSkypeウィルスを綺麗さっぱり消すバッチファイル

ってやつで全部消せるんじゃないの?
2012/10/09(火) 16:43:21.06ID:???
消せるよ
618a
垢版 |
2012/10/09(火) 17:02:56.03ID:???
>>616 これ消せるんですか?やってみよう。
2012/10/09(火) 17:39:56.37ID:???
いよいよ >1は雲隠れか
620助けて
垢版 |
2012/10/09(火) 17:42:20.00ID:???
ちなみにこのウィルスってどのくらいの規模なんですかね?
>>616 これやった人いらっしゃいます?
621ここ
垢版 |
2012/10/09(火) 17:45:30.75ID:???
情報提供ありがとうございます。
SkypeのAPIに関しての問題
ブラウザ(IEかな?)に関しての問題
ウイルスプログラムの自動インストールに関する問題
についてすべてのプログラムのパージョンで感染前の状態に戻せるという事で大丈夫ですか?
2012/10/09(火) 17:56:59.65ID:???
システムの復元をおすすめします
2012/10/09(火) 18:03:05.23ID:???
レベル低いなw
俺なら1秒で解決できないぜw
624w
垢版 |
2012/10/09(火) 18:23:25.69ID:???
外付けに作られた、わざとらしいショートカットを実行しようとして、Nortonに止められたわ。
一応働いてるみたいやな。
2012/10/09(火) 18:45:09.39ID:???
ぬるぽ
626ここ
垢版 |
2012/10/09(火) 18:46:03.39ID:???
>>624
とりあえず私も確認したら高リスク脅威と認められ、exeファイルの中身が完全に削除されたみたいです。
私はNortonなんですけども、他のアンチウイルスソフトを利用している人は、
対応情報をカキコしてくれたらありがたい。
対応している場合は、すべてのドライブをフルスキャンかけた方が良さそうですねw
627w
垢版 |
2012/10/09(火) 18:59:01.96ID:???
>>626
現在、Notonで『システムの完全スキャン』してます。
現在、脅威でひっかかったのは『cookieによる追跡』だけやな。
628漆黒のダークbyby
垢版 |
2012/10/09(火) 19:16:31.61ID:b/zJW4X4
パッチの有効性を実証し確認しました。
解決策が見つかったんで、スレ閉じます。
では、ノシ

629天才ショッカー ◆KjV5V9dJA6Be
垢版 |
2012/10/09(火) 19:36:04.25ID:LQ3QTgWK
よかったね解決して
630 忍法帖【Lv=8,xxxP】(1+0:8)
垢版 |
2012/10/09(火) 20:30:56.01ID:3D6xb/Gg
あっちゃー
俺もこのexe踏んじゃった・・・が
今のところなんの影響もでない
すぐノートンが動いてたから防げたんだろか
ウィルスの確認方法ないですか?
631_
垢版 |
2012/10/09(火) 20:57:10.05ID:???
てst
2012/10/09(火) 21:06:00.24ID:???
>>630
C:\Users\(UserName)\AppData\Roamingの下の方に最近が最終更新日のexeがあったら
感染してると思われ
フォルダーの開き方はwinキー+Rでファイル名を指定して実行を開いて
そこに括弧内(%AppData%)を入力する
633 忍法帖【Lv=8,xxxP】(2+0:8)
垢版 |
2012/10/09(火) 21:14:25.53ID:3D6xb/Gg
さんくす
Skype更新日3分前や・・・
\(^o^)/オワタ
2012/10/09(火) 21:16:43.72ID:???
Fドライブの他にJドライブにも
RECYCRERというフォルダが作られてました
635_
垢版 |
2012/10/09(火) 22:34:12.80ID:???
$Recycle.Bin
636
垢版 |
2012/10/09(火) 22:55:41.83ID:???
skype_09-10-2012_image.zip が飛んできて、内部に
skype_09-10-2012_image.exe を確認しました。
日本語メッセージの亜種も出回っているようです。ご注意を。
637名無し
垢版 |
2012/10/09(火) 23:02:47.33ID:???
>>636
宜しければURLを教えていただきたい。
638
垢版 |
2012/10/09(火) 23:10:29.08ID:???
>>637
>ちょっとこれはあなたの新しいプロフィールの写真ですか?
http://goo.gl/f8p21?profile=USERNAME

というのが送られてきますね。USERNAMEは各自のスカイプIDです。
zipが落ちてくるので、内部のexeを実行で感染します。
639名無し
垢版 |
2012/10/09(火) 23:26:48.32ID:???
ありがとうございます。
でも、削除されちゃいましたね・・・
640x
垢版 |
2012/10/09(火) 23:29:34.55ID:GBeQSNxf
●中国製PC、出荷時マルウェア混入と
 マイクロソフトの調査活動で判明!

中国製PCに出荷時、製造過程でマルウェアが混入されていたという、
マイクロソフトの注意喚起を知らない人、無警戒な人も多いので要注意。

中国にとって都合の悪い情報なのか、中国資本の圧力で情報削除が
されているようなので、注意喚起のために拡散を!

ネット銀行のアカウントを抜き取るもの、PC内の情報取得や漏洩を
行うもの、サイバー攻撃を隠す機能なども持つもの等がある様子。

※ソース
『中国製パソコン 出荷時 マイクロソフト 』
↑上記用語をコピーしてネット検索すれば、多数の注意喚起報告あり。
2012/10/09(火) 23:47:51.24ID:???
東京都足立区
642
垢版 |
2012/10/10(水) 00:05:20.33ID:q624s5wv
ダークさんいますか〜?
643sage
垢版 |
2012/10/10(水) 00:09:42.45ID:???
結局、なんなのこのスレ

ガキが気取ってるようにしか見えんのだけど?
644
垢版 |
2012/10/10(水) 00:38:13.19ID:q624s5wv
ヘルプ ミ〜
645
垢版 |
2012/10/10(水) 00:40:02.84ID:q624s5wv
ウイルスにスカイプ乗っ取られて 
サインインできなくなりました〜
646
垢版 |
2012/10/10(水) 00:40:32.63ID:q624s5wv
ウイルス削除に失敗しました
647そうま
垢版 |
2012/10/10(水) 01:40:08.59ID:n914aYnj
>>566
「クイックスキャン」でスキャンして
出てきた四つを消去したんですけど
現状は変わらず繋がってくれません。
「フルスキャン」じゃないと駄目なんでしょうか?
またそれをスキャンする場所は普通に起動した場所でしょうか?
それともセーフモードでもOK?
648そうま
垢版 |
2012/10/10(水) 01:41:19.01ID:n914aYnj
いろいろ試してみましたが
まったく現状は変わらず
ブラウザが繋がってくれません…。
だれか、助けて。
2012/10/10(水) 02:32:42.11ID:???
恋さんはもう必要なデータ他に移してリカバリ=OS再インストールした方がいいよ
レスを投稿する


ニューススポーツなんでも実況