hns - 日記自動生成システム - Version 2.19.7

void GraphicWizardsLair( void ); //

otsune GWL
FreeBSD, AfterEffects, RETAS, animo, DigitalAnime, Linux, Mac OS, Win2k

[Who is otsune?] [title] [message] [Policy] [注目エントリー] [top]
Twitter Status :


Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい

検索式:

先月 2004年09月 来月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30


2004年09月25日() [長年日記]

#1 [win][www] 苺キンタマウイルス祭まとめ_

【警報】Winnyを狙ったワーム・ウイルス情報 Part26

1 :[名無し]さん(bin+cue).rar :sage :04/09/11 12:10:15 ID:j8DDPfNG
Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。 
質問はテンプレを読んでからにして下さい。 
読まずに質問しても「テンプレ嫁」と切り返されるだけです。 
余裕があれば過去ログにも目を通してください。 
なお、ここは初心者の質問スレではありません。 

■流行種 
・元祖Antinny系 ・キンタマ系 ・batファイル ・スクリーンセーバー etc 

■流行感染パターン 
・exeの前にスペースたくさん(例:「秘密の写真.jpg         .exe」等) 
・拡張子が.folderに変更されたHTMLからexeを実行させる 
・autorunからbatファイルを実行させる 
・スタートアップに解凍させ、再起動後exeを実行させる 

■DL後のちょっとした注意 
・落としたファイルは必ずウイルススキャンする 
・exeファイルはうかつに実行しない 
・ファイルのアイコンが偽装されてないか確認する 

■全ての感染者に共通の、絶対確実な対処方法 
ハードディスクをフォーマットした上で、Windowsの再インストールをする。 
上書きインストールではダメです。 
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。 

前スレ 
【警報】Winnyを狙ったワーム・ウイルス情報 Part25 
(p)http://tmp4.2ch.net/test/read.cgi/download/1093270545/l50 

テンプレまとめ (p)http://www.geocities.jp/kemkzuenc/Antinny.html 
Antinny対策サイト (p)ttp://nyweb.hp.infoseek.co.jp/ 
604 :[名無し]さん(bin+cue).rar :sage :04/09/23 00:05:12 ID:uOSTlOvj 
344 名前:分析師はいずこにw(ついでに・・・)[sage] 投稿日:04/09/23(木) 00:01:32 
苺きんたまに感染してみたぞーーーw 
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だwww 
ノートン先生とBitDefenderおよびFWは全てスルーされたw 
もちろんスパイウェア駆除製品も・・・おっとスルーだw 
ちなみネット切断した状態で実験したから俺の画像は多分ないぞwww 

感染するとプロセスが2つ走りどちらか一つを消しても 
片方を復活させる仕組みでプロセスから終了は不可 

感染するとPCのデスクトップのスクリーンが取られ晒され 
【うpろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる 

名前:私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回の(p)ID:1回目] 
私は苺で違法ダウンロードばかりしている犯罪者です 
【コンピュータ名】コンピュータ名が入る 
【ユーザー名】ユザー名が入る(例:Owner) 
【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる 

取った処置 
1:まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除 
2:元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除 
3:普通に再起動してHijackThisでScan以下のエントリーをFixで削除 
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe 

3:のHijackThisの処理で以下が消えてるのも確認できた 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
name:shellsystem.exe data:shellsystem.exe 

若干の祭り状態だからこれからの患者が予想されるw 
とりあえずこれで解決めでたしめでたしwww 
Permalink: http://www.otsune.com/diary/2004/09/25/1.html#200409251
trackback
このエントリーを含むはてなブックマーク del.icio.us livedoor Clip View blog reactions
Last Updated 2004-09-25 00:00:00 By otsune