[過去ﾛｸﾞ] Winnyを狙ったワーム・ニュイルス情報 Part40 (1001ﾚｽ)
上下前次1-新
抽出解除 必死ﾁｪｯｶｰ(本家) (べ) ﾚｽ栞 あぼーん

---

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索 歴削→次ｽﾚ 栞削→次ｽﾚ 過去ﾛｸﾞﾒﾆｭｰ

---

388(5): OTZ 2005/06/18(土) 03:44:47 ID:rexRadrv0(1/3)調 AAS
【使用OS】win2ksp4
【WindowsUpdateしてるか】yes
【使用AntiVirusソフト】NAV
【AntiVirusをUpdateしてるか】yes
【Winnyのﾊﾞｰｼﾞｮﾝ】Winny2b71
【Winny歴、総DL量】1year
【テンプレを読んだか】yes
【テンプレにある対策を実行したか】yes
【使用AntiVirusソフトでのウイルススキャンの結果】no viree found
【オンラインスキャンしたなら結果】not yet
【症状、具体的に分かる限りすべて書く】
・taskmgr.exeが11kbくらいのものに書き換えられえる
・ルートに愚な民C.wavが置かれる(上戸彩のCMの声）
・(ランダムっぽい文字列）.wplというWindows Media 再生リストが
E:\Documents and Settings\Administrator\Application Data\Microsoft\Media Playerに置かれる
・600kbくらいのctfmon.exeがsystem32に置かれる（Office未インスコ）
・jirokichi.docがsystem32に置かれる(0kb)
・tagosakuというフォルダがsystem32に出現
・UNLHA32.DLLがsystem32に置かれる（未検証だが恐らく例のBugFix前のVer）
・Winnyフォルダの中のtxt,iniは全部感染時刻に更新されている
・upload.txtに何か書き足してあった希ガス
・winny.iniの最後に何か書き足してあった希ガス
・downフォルダには援交.zipと.zip（無名）が置かれる（最近ny2に移行したが1のほうのdownフォルダにもあった）

【何をしたらそんなことになったのか】
(18禁ゲームCG) [050527] 輪奸病棟 「やめて…先生、診ないで！」 (jpg).zipの中の .exeをダブルクリックした

---

389(2): OTZ 2005/06/18(土) 03:47:44 ID:rexRadrv0(2/3)調 AAS
【これまでにとった措置】
↑をやったら音が鳴り始めた（ボリューム下げてたのでよくわからなかった）のでとりあえずおかしいと思い
LANケーブルを抜く　タスクマネージャが立ち上がらないのでハードウェアリセットかけて電源落とす　この間2分くらいか

別のPCで情報収集　最初はヌルポースかと思ってた　確かダイアログにﾇﾙﾎﾟｰｽと出ていた希ガス
ここにたどり着き特徴を見たら何か違う　trojanの傾向としてはレジストリ書き換えて既視感のあるファイル名で起動
taskmgr置き換え　等がありがちな事を念頭において感染PCを起動する
エクスプローラでルートを開くと愚な民C.wavが目に入る
別PCで愚な民でググると・・・外部ﾘﾝｸ[html]:nemoba.seesaa.net こんな画面出なかったけどこれっぽい
このスレ検索してもかからないので、感染PCでスタートメニューの検索から今日の日付の検索オプション付けて検索
愚な民C.wavの作成時間は15時頃だったので、14時以降の作成ファイルをソートし見る
taskmgr.exe,xxx.wpl,jirokichi.doc,tagosakuフォルダ、援交.zipなどが見つかる
14時以降の更新ファイルも見るとWinnyフォルダの中のtxt,iniが全部あった
14時以降の作成ファイルは全部削除、更新ファイルは中身見ながら改変部を削除
よく見ると600kbくらいのctfmon.exeはXPのフォルダアイコンになっている
本体っぽいと思い、HijackThis.exeを起動しレジストリから削除

で再起動　今のところ症状は全部出なくなった

未だLANケーブル抜いたままです　解析してまだ何か見落としがあるようなら教えていただけたらと思います
よろしくお願いします

---

394(1): 388 2005/06/18(土) 05:31:06 ID:rexRadrv0(3/3)調 AAS
>>393
レスありがとうございます
山田チェッカはフルチェック通りますた
ひとまず安心かなあ

エロゲーCGのZipを30本くらいまとめてWinRARで解凍してたら途中で同名ファイルの
上書き確認で止まって、ちょっとエロCG見るかと思ってフォルダアイコンがいっぱいある中で
適当にダブルクリックしたらそれだった・・・という感じですOTZ

フォルダアイコンに偽装したのがあるのは知ってたので、解凍終わってから種類順でソートすれば
いいや〜と思ってたんですけどね・・・
途中で止まったのが運の尽きですた

---

上下前次1-新書関写板覧索設栞歴

---

ｽﾚ情報 赤ﾚｽ抽出 画像ﾚｽ抽出 歴の未読ｽﾚ

---

ぬこの手 ぬこTOP 0.596s*