★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 369.html
 ★阿修羅♪
次へ 前へ
【セキュリティーホールmemo】の関連箇所
http://www.asyura2.com/0406/it06/msg/369.html
投稿者 クエスチョン 日時 2004 年 9 月 27 日 19:43:03:WmYnAkBebEg4M
 

(回答先: Symantecのテクニカルノート(抜粋) 投稿者 クエスチョン 日時 2004 年 9 月 27 日 19:13:34)

【セキュリティーホールmemo】の関連箇所
9月25日記事
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/09.html#20040925
イチゴキンタマ関連
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/09.html#20040925__ichigo

 そして、その記事をたどった先のページ。
 株式会社フジデンのデスクトップ画像が流出してしまったとか、わざと「苺きんたまに感染して」みてレポートしているやつとか、もうテンヤワンヤな感じ。(^^;

********************************************************************************

苺きんたま対策(仮)
http://www.geocities.jp/ichigo_kintama/

2chを中心に新種のウィルス(トロイの木馬)が流行しています。
その動作のイヤラシさと最初に発見されたサイト名から[苺きんたま]と呼称されていますが、
3月頃Winnyで流行したきんたまウィルスとの関連はない模様です。

尚、勝手に転載してかまいませんしこんなページは無視して
新しく対策ページを作っていただいてもかまいません。むしろ歓迎。
背景画像は作者様の許可を得て使用させていただいておりますので、
転載、使用等したい場合は作者様にご相談ください。

ぬるいんじゃボケという方はこっち。
症状
・動作が重くなる
・しらないプロセス、タスクがある。
・自分のパソコンのスクリーンショットが公開される。
・つまりメールアドレスや本名、住所などの個人情報が流出する恐れがある。
・等
   _,,.....∩....,,__
   ,.:"{/Vvヽ}ヽ
  {; ; ; ; ; ; ; ; ; }
   ',. ; ; ;(,,゜Д゜);/
   ':, ;ひ; ; ; ;/つ
    ヽ、; ω ノ
     U U
      ∧_∧ パシャッ
     (   )】Σ
.     /  /┘   パシャッ
    ノ ̄ゝ
こんなかんじ。

未確認ですが
・睡眠不足とニコチン中毒でへろへろになる。
・バイクのバッテリーが上がる。
・ギターの弦が錆びまくる。
などの症状が現れる場合があるようです。

発病条件
怪しげなファイルをダウンロードし、その中のEXEファイル(実行形式ファイル)を実行することで発病、感染します。
現在のところ
・(写真集) (ロリータ) 水原友里.exe
・(写真集) (ロリータ) 相田香奈子.exe
・コピー 〜 (写真集) (ロリータ) 河瀬菜美.exe
・patch.exe (スカッとゴルフ パンヤのチートツールを装っています)
・女神様に注意!.exe
・gazo.exe
・ftIndexer002.exe (au by KDDI EZムービー・EZ「着うた(R)」にて確認)
・ちーぽんのエロ画像.exe
・烏丸ちとせ その1.exe
・烏丸ちとせ その2.exe
というファイル名確認を確認しており、いずれもアイコンはフォルダとなっています。
但しこれら以外にも複数の名前でばらまかれているようですので、以下の警戒が必要です。

・EXEファイルはフォルダやテキストなど、無害なアイコンを装っていることがあります。
・OSの設定でファイルの拡張子を表示しないようにしている場合は.exeが見えません。

感染確認方法
・タスクマネージャ等で[shellsystem.exe]というプロセスが無いか確認してください。
・Windowsがインストールされているフォルダ( C:\windows や C:\winnt )以下に[shellsystem.exe]というファイルがないか確認してください。
無ければたぶん大丈夫です。
亜種については感染例が少なくほとんど流通していないので大丈夫だと思いますが、念のため[sugoimonoss.com]も見てください。

亜種情報
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、ラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。

駆除方法
トロイ発見ソフト「ewido security suite」は亜種も検出します。
http://www.ewido.net/en/
   _、_
 ( く_,` )     n
 ̄    \   ( E) Good Job !!
フ ewido /ヽ ヽ_//

Symantec社が苺きんたま(Trojan.Upchan)対応のパターンファイルを公開しました。
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=40477
プロセス名[sugoimonoss.com]に変更された亜種にも対応したようです。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.upchan.html

http://www.caj.co.jp/etrust/antivirus/が対応したみたい。
eTrust Antivirus/eTrust InoculateIT Engine 6.0
23.66.63  WIN32/2CH  DETECTION/SYSTEM CURE

Kaspersky Anti-Virus Personalが[Backdoor.Win32.Delf.rn]として亜種にも対応したらしい。
McAfeeがDAILY DATで[Uploader-T]として対応したって噂。
AVG Anti-Virus http://www.grisoft.com/ で亜種を発見できるとの情報がありますが、これは妙な名前の実行ファイルに反応しているだけですので名前が変更されていたり、感染した後には役に立たないと思われます。
手動駆除方法 (そろそろ各社対応してきたので真面目に書こう。)
この方法は完全なものとは限りませんし、間違った操作でOSを破壊する恐れもあります。
もし壊れても知ったこっちゃないので。

・パソコンをセーフモードで再起動し、OSのインストールされているフォルダ(C:\windowsやC:\winnt等)以下の[shellsystem.exe]を削除する。(削除できない場合は※参照)
終わり。

レジストリにゴミが残るので、嫌な人はそれも削除します。きっとゴミだらけなので気にするほどのもんじゃありません。
・スタートメニューの[ファイル名を指定して実行]からregeditを使用し、[shellsystem.exe]を検索、削除する。
[なんとか\かんとか\Run] にあります。
[なんとか\かんとか\FilesNamedMRU]にあるのは検索履歴なので気にしません。

※ファイルが削除できない場合
http://www.yahoo.co.jpへ行き、[exe ファイル 捨てたい]を検索してください。

なお、この駆除方法はWindows95でしか試していませんので[そんなボロOSと一緒にすんなタコ!]とか[うちのXPちゃんはデリケートなんざます!]とかの人はゲストブックへ情報をお願いいたします。

                \ │ /
                 / ̄\   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
               ─( ゜ ∀ ゜ )< きんたまきんたま!
                 \_/   \_________
                / │ \
                    ∩ ∧ ∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\∩ ∧ ∧ \( ゜∀゜)< きんたまきんたまきんたま!
    きんたま!   >( ゜∀゜ )/ |    / \__________
________/ |    〈 |   |
              / /\_」 / /\」
               ̄     / /

なし崩し的にゲストブックへ

関連スレッド
・半角二次元板
アップローダー exe ファイル 捨てたい
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/
苺ウィルスに新しい名前付けて擬人化しようぜ!
http://idol.bbspink.com/test/read.cgi/ascii2d/1095869195/

・セキュリティ板
ウィルス情報&質問 総合スレッド☆Part24
http://pc5.2ch.net/test/read.cgi/sec/1094383672/
苺 き ん た ま
http://pc5.2ch.net/test/read.cgi/sec/1095928547/

・Download板
【警報】Winnyを狙ったワーム・ウイルス情報 Part27
http://tmp4.2ch.net/test/read.cgi/download/1095939735/
【警報】Winnyを狙ったワーム・ウイルス情報 Part26
http://tmp4.2ch.net/test/read.cgi/download/1094872215/

・ガイドライン
exe ファイル 捨てたい のガイドライン
http://that3.2ch.net/test/read.cgi/gline/1095873352/
 
 
 
苺キンタマウイルス祭まとめ
http://planet-d.hp.infoseek.co.jp/matome/2004/ichigokintama.html

発生源はアップローダでありP2Pではない。
「P2Pやってないから安心」などいうことはまったくない。

P2P系でないために、 祭が長引いているのかもしれない。ちなみに、 名前の由来は発生源のアップローダ名が「苺****」だったから。
INDEX
まとめサイト&スレ
ニュース
経緯
感染の確認方法と対策
エロチャット画像流出
アニメ作画関係資料流出!?
株式会社フジデンのデスクトップ画像流出
まとめサイト&スレ
苺きんたまきんたま:まとめサイト
とろいうpちゃん(;´Д`)ハァハァ:まとめサイト
[ガ板]exe ファイル 捨てたい のガイドライン
[大人の実況]苺きんたま監視所パート37
[DL]【警報】Winnyを狙ったワーム・ウイルス情報 Part27:※苺キンタマはnyで発生したウイルスではない。
[N速]【ネット】デスクトップ画像をあぷろだにUpするトロイの木馬が出現【苺きんたま】
ニュース
ITmedia エンタープライズ:デスクトップ画像をあぷろだにUpするトロイの木馬が出現
経緯
[ガイドライン板] exe ファイル 捨てたい のガイドライン


35 名前:水先案名無い人[sage] 投稿日:04/09/23 02:23:45 ID:ccAq4UYb
簡単な説明

とある人物がうpロダにうpられているexeを実行

そのexeはキンタマウィルスと同じようなデスクトップ画像を晒されるウィルス入り
このウィルスは8分置きに2chうpロダにデスクトップ画像をうpられ角煮のアップローダスレに自動で書き込まれる

そしてこのウィルスにかかっている事を知った当の本人は必死になって削除方法検索
その時の検索ワードが「exe ファイル 捨てたい」
この検索結果の画像を上記に書かれているウィルスによって自動でスレに書き込まれスレ住人を爆笑の渦へ

おわり

【コメント】
WinnyやWinMXが発祥ではない模様。


82 名前:水先案名無い人[sage] 投稿日:04/09/23 03:24:50 ID:hdmIQEk9
ざざっとまとめてみた。

<苺きんたまウィルス(仮称)>
具体的には、とある画像写真集のファイル名がついた
アイコンはフォルダそっくりのexeファイル3点入りzipファイル。
(ちなみにこのexeファイルのサイズはは662KBで3つとも同じもの)

漫画系の板・スレッドにてウイルス入りzipファイルがアップされ、
このファイルの中にあるexeをあっさり実行してしまった初心者が大量発生した。

◎動作
感染すると、約8分おきにデスクトップ画像をキャプチャして
2ちゃんねるアップローダーにアップロードし、
その画像のURLと共に2ちゃんねるの特定のスレへ自動で書き込みされるスクリプトを
実行してしまうというもの。

感染した状態で再起動するとプロセスが2つ走りどちらか一つを消しても
片方を復活させる仕組みでプロセスから終了は不可能に。

| 名前:私は苺で違法ダウンロ−ドばかりしている犯罪者です[ここに晒るされた時の初回のID:n回目]
| 私は苺で違法ダウンロ−ドばかりしている犯罪者です
| 【コンピュータ名】コンピュータ名が入る
| 【ユーザー名】ユザー名が入る(例:Owner)
| 【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる
 ※注:ロックされてるのでダウンロ−ド→ダウンロードと読み替えてください


83 名前:水先案名無い人[sage] 投稿日:04/09/23 03:25:50 ID:hdmIQEk9
【FAQ】
Q1.今回のトロイの木馬は何と呼ばれているの?
A1.「苺きんたま」「YUSUKE」等と呼ばれているようだ。

Q2.YUSUKEって誰?
A2.祭り初期に今回のトロイの木馬に引っかかり、ヲチスレに降臨した神。

Q3.感染した!どうしたらいいの?
A3.http://tmp4.2ch.net/test/read.cgi/download/1094872215/604を参照

Q4.ZIPは展開しても安全なの?
A4.展開はOK。展開して出てくるEXE (フォルダのアイコンで偽装されている) を
   実行するとアウト。

Q5.うpされた画像を見ても安全なの?
A5.世の中にはセキュリティホールを突いてくるjpgファイルもあるが、
   苺きんたまのjpgは今のところ安全のようだ。

Q6.画像が見られないんだけど…
A6.苺きんたま自体が2ちゃんうpロダへのDOS攻撃みたいなものなので、重くなっている。
   ツールを使ってDLするか、諦めて他の人が別のうpロダに転載したものを見よう。


84 名前:水先案名無い人[sage] 投稿日:04/09/23 03:26:26 ID:hdmIQEk9
結局この祭りで埋まったスレ
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095176627/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095857451/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095856132/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095857597/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095857518/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095862777/
ttp://idol.bbspink.com/test/read.cgi/ascii2d/1095863909/
現行スレ
http://idol.bbspink.com/test/read.cgi/ascii2d/1095867037/
命名・擬人化スレ
http://idol.bbspink.com/test/read.cgi/ascii2d/1095869195/


削除対象アドレス:
http://game9.2ch.net/test/read.cgi/gal/1085252107/845
http://game9.2ch.net/test/read.cgi/gal/1085252107/848
http://game9.2ch.net/test/read.cgi/gal/1085252107/865

感染の確認方法と対策
※symantecがすでに対応パターンファイルを公開

[DL板] 【警報】Winnyを狙ったワーム・ウイルス情報 Part26

604 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/09/23 00:05:12 ID:uOSTlOvj
344 名前:分析師はいずこにw(ついでに・・・)[sage] 投稿日:04/09/23(木) 00:01:32
苺きんたまに感染してみたぞーーーw
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だwww
ノートン先生とBitDefenderおよびFWは全てスルーされたw
もちろんスパイウェア駆除製品も・・・おっとスルーだw
ちなみネット切断した状態で実験したから俺の画像は多分ないぞwww

感染するとプロセスが2つ走りどちらか一つを消しても
片方を復活させる仕組みでプロセスから終了は不可

感染するとPCのデスクトップのスクリーンが取られ晒され
【うpろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる

名前:私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回のID:1回目]
私は苺で違法ダウンロードばかりしている犯罪者です
【コンピュータ名】コンピュータ名が入る
【ユーザー名】ユザー名が入る(例:Owner)
【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる

取った処置
1:まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
2:元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除
3:普通に再起動してHijackThisでScan以下のエントリーをFixで削除
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe

3:のHijackThisの処理で以下が消えてるのも確認できた
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name:shellsystem.exe data:shellsystem.exe

若干の祭り状態だからこれからの患者が予想されるw
とりあえずこれで解決めでたしめでたしwww


682 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/09/23 02:59:52 ID:EETLBaqB
苺キンタマに感染したかどうかは
どうやってわかるの?教えてエロい人


685 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/09/23 03:05:08 ID:IFT2b9V5
>>682
タスクマネージャひらいてプロセス見て、
なかにshellsystem.exeってのがあったらアウト。


【コメント】 この>>604以降で話が盛り上がっている。というか、ウイルス作者へのウイルス改良要望がいくつかでているのにワラタ。 またタレコミ人曰く

俺が見始めた頃2ch運営側でも対策,スレへの書き込みを 抑える(2:00頃) ・UPはされ続けているので祭りは継続,今後さらに被害が出る恐れあ り


埋まったスレで晒された画像を見ると笑える。
エロチャット画像流出
苺きんたま監視所パート21:(画像キャッシュ)

475 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/09/24 18:46:11 ID:3Tzs8oN5
【コンピュータ名】COMPUTERNAME
【ユーザー名】Ownar
http://v.isp.2ch.net/up/83966b0fb708.jpg

うわああああああああああああ
ネタだよな絶対ネタだよな絶対ぜったいいい

【コメント】 ネタくさい。
アニメ作画関係資料流出!?
苺きんたま監視所パート21:(画像キャッシュ)

504 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/09/24 18:47:15 ID:DneC9Uzm
http://v.isp.2ch.net/up/434806de305f.jpg
【コンピュータ名】SE-KOMATU
【ユーザー名】seisakubu
マジかよ・・・

546 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/09/24 18:48:17 ID:WFYTXV0i
>>504
http://www.toei-anim.co.jp/animeister/iriya/
これのスタッフか!?

606 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/09/24 18:51:13 ID:bRya0N0t
>>590
作画進捗度合い管理画面だ、おそらく…。

株式会社フジデンのデスクトップ画像流出
【ネット】デスクトップ画像をあぷろだにUpするトロイの木馬が出現【苺きんたま】

38 名前:名無しさん@5周年[] 投稿日:04/09/25 10:53:55 ID:jncNpagE
株式会社フジデン
http://qb5.2ch.net/test/read.cgi/saku2ch/1096013985/

http://qb5.2ch.net/test/read.cgi/saku/1093110460/4

社員が仕事中にヤフオクやら2chやら顧客情報ログイン画面やら
垂れ流した会社さん、削除依頼しても相手にされず。

株式会社フジデン

1 名前:システム部[murakami@fujiden.com] 投稿日:04/09/24 17:20 HOST:211.5.163.102<8080><3128><8000><1080>
対象区分:[法人/団体]管理人裁定待ち
削除対象アドレス:
http://sakura02.bbspink.com/test/read.cgi/erolive/1095983460/
http://sakura02.bbspink.com/test/read.cgi/erolive/1095989356/
http://sakura02.bbspink.com/test/read.cgi/erolive/1095993249/
http://sakura02.bbspink.com/test/read.cgi/erolive/1095997683/
http://sakura02.bbspink.com/test/read.cgi/erolive/1096002786/
http://sakura02.bbspink.com/test/read.cgi/erolive/1096006616/
http://sakura02.bbspink.com/test/read.cgi/erolive/1096009173/
http://sakura02.bbspink.com/test/read.cgi/erolive/1096011901/

削除理由・詳細・その他:
弊社情報がウィルスによりアップされておりますので、迅速な削除お願い致します。


13 名前:あひるちゃん ◆TKBU.nXcBI [] 投稿日:04/09/24 18:04:08 HOST:YahooBB218140060022.bbtec.net
システム管理部が、顧客情報及び社員の管理、
社内からのインターネットアクセスを管理せず、削除依頼の方法も
分からないのを露呈してしまった悲惨な>>1がいるインターネッツは
ここですか?

削除依頼方法は感染した社員に聞くのが一番いいんじゃないの?


15 名前: [] 投稿日:04/09/24 18:09:03 HOST:pd3f7c0.chibnt01.ap.so-net.ne.jp
>>1
削除依頼なんて出さずに、放置してればすぐdat落ちしたのに

(ノ∀`)アチャー

(株)フジデン が金玉に感染しますた
フジデン公式掲示板も祭。

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。