よく訓練されたべとこんの日記

生者の為に施しを、死者の為には花束を。正義の為に銃を持ち、全ての不義に鉄槌を! (by BLACK LAGOON)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

メッセンジャー/バックドアワームTOP

 

★ 01/04更新 ★


・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール

●●の発言:foto http://myspacy.biz/viewimage.php?=受信先メールアドレス

というURL1行のメッセージが送られ、クリックすると「IMG455.jpg-www.photo.com」というCOMファイルをDL。
DOS実行(ダブルクリック/読み込み)すると感染。(当環境ではtxtリネームで感染せず)


・症状
下記のファイルを作成。(★追記あり)
imgs.exeがどこかに潜伏しているらしいが、こっちでは未確認→下記追記
spc.exeが実行ファイルで、アンチが警告するも動作は防げず、メッセンジャーに登録してあるアドレスへ上記の感染元URL1行自動送信を開始する。
PCがフリーズ状態(プロセス独占)し、メッセ窓が確認できないくらい一瞬で開閉(送信実行)。
あわせてWindowsの自動更新やシステムの復元も出来なくなる模様。


★ 注意!ほとんどのファイル名はランダム作成 ★


◆C:\
 spc.exe バスター警告名:PAK_GENERIC.001
◆windows\system32
 Ststvyxx.ini
 Ststvyxx.ini2
 sthauhsh.dll
 4bd9d7dc-.txt
 xxyvtstS.dll
 xxyXpQGa.dll

◆windows\Prefetch
 IMGS.EXE-151EE1F1.pf
◆タスクプロセス
 fxstaller.exe
◆レジストリ
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
★Windows Udp Control Center データ名:fxstaller.exe

----01/04追記初め
 ----朝7時、急にバスターが駆除始めたんで追記

◆imgs.exe
  C:\Documents and Settings\ユーザー\Local Settings\Temp\IXP000.TMP"
 (\Documents and Settings を検索推奨
A0069618.exe(数字はPC別。感染日時のAxxxxxx.exe)
A0069619.com(数字はPC別。感染日時のAxxxxxx.com)
  C:\System Volume Information\_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx}\RPxxx
 (上記の通り復元ポイントのフォルダにあるので、ファイル名とディレクトリはPCによって違います。
◆DC17.com (他のウイルスでDC4.exe等がある模様→★★外部リンク
  C:\RECYCLER\x-x-x-xx-xxxxxx-xxxxxxxxx-xxxxxxxx-xxxx
 (こっちはゴミ箱。ディレクトリは以下略


 ----以下記入忘れ(感染時バスター自動駆除)
 ----IEのTEMPフォルダ検索推奨

◆img20081223085209[1].jpg (もしくはimg20081223085209.jpg)
F:\Temporary Internet Files\Content.IE5\FU7CZJUB
◆file[1].exe (もしくはfile.exe)
F:\Temporary Internet Files\Content.IE5\R29Y0TPG
F:\Temporary Internet Files\Content.IE5\NETX6L9Y
F:\Temporary Internet Files\Content.IE5\JQUTZ3QB

----01/04追記終わり


・手動対処

プロセス独占でフリーズ状態だからLANケーブルぶっこ抜き。

回線が切断されるとプロセスが解放されるので、メッセを終了。
C:\spc.exeを削除、この時点で感染爆発は防げる。この状態ではインスタントメッセージを送信できない。
タスクプロセスfxstaller.exeを停止。インスタント可能。メッセ接続中のユーザーへウイルス警告文を送る。
上記のレジストリをRegEditで削除。
「IMG455.jpg-www.photo.com」を削除するのも忘れずに。(txtリネームしたやつの削除忘れてますた)

windows直下のフォルダに生成されたファイル等を削除。上記以外にもあるかもしれないから詳細表示で更新日時を確認して探すのがオススメ。
アヤシイからって全部削除すると面倒な事になるんで、危険なファイルか裏を取ってから削除推奨。

★重要★
Unlockr導入→http://unlocker.brothersoft.jp/

下の二つはロックされて削除権限がないのでUnlockerを右クリック起動
◆windows\system32
 xxyvtstS.dll
 xxyXpQGa.dll



Unlocker-1-8-7_1.png


左下の選択から削除を選択し、右下の全ロック解除をクリック。
これで自動削除される。もう一つも同じく実行。

これで対処は完了されると思われるが、これ以外のウイルスや残骸が潜伏しているかもしれんのでアンチ全検索を推奨。
俺は面倒だからやんねーけどな!


他の方のブログも参照推奨。
http://azurecolor.blog51.fc2.com/blog-entry-315.html
http://nihonbuson.blog10.fc2.com/blog-entry-970.html
http://valk.blog92.fc2.com/blog-entry-306.html


 
スポンサーサイト
  1. 2010/01/04(月) 09:08:36|
  2. ry
  3. | トラックバック:0
  4. | コメント:0

メッセンジャー/バックドアワーム感染爆発警報2

 

★ 01/04更新 ★


・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール

●●の発言:foto http://myspacy.biz/viewimage.php?=受信先メールアドレス

というURL1行のメッセージが送られ、クリックすると「IMG455.jpg-www.photo.com」というCOMファイルをDL。
DOS実行(ダブルクリック/読み込み)すると感染。(当環境ではtxtリネームで感染せず)


・症状
下記のファイルを作成。(★追記あり)
imgs.exeがどこかに潜伏しているらしいが、こっちでは未確認→下記追記
spc.exeが実行ファイルで、アンチが警告するも動作は防げず、メッセンジャーに登録してあるアドレスへ上記の感染元URL1行自動送信を開始する。
PCがフリーズ状態(プロセス独占)し、メッセ窓が確認できないくらい一瞬で開閉(送信実行)。
あわせてWindowsの自動更新やシステムの復元も出来なくなる模様。


★ 注意!ほとんどのファイル名はランダム作成 ★


◆C:\
 spc.exe バスター警告名:PAK_GENERIC.001
◆windows\system32
 Ststvyxx.ini
 Ststvyxx.ini2
 sthauhsh.dll
 4bd9d7dc-.txt
 xxyvtstS.dll
 xxyXpQGa.dll

◆windows\Prefetch
 IMGS.EXE-151EE1F1.pf
◆タスクプロセス
 fxstaller.exe
◆レジストリ
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
★Windows Udp Control Center データ名:fxstaller.exe

----01/04追記初め
 ----朝7時、急にバスターが駆除始めたんで追記

◆imgs.exe
  C:\Documents and Settings\ユーザー\Local Settings\Temp\IXP000.TMP"
 (\Documents and Settings を検索推奨
A0069618.exe(数字はPC別。感染日時のAxxxxxx.exe)
A0069619.com(数字はPC別。感染日時のAxxxxxx.com)
  C:\System Volume Information\_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx}\RPxxx
 (上記の通り復元ポイントのフォルダにあるので、ファイル名とディレクトリはPCによって違います。
◆DC17.com (他のウイルスでDC4.exe等がある模様→★★外部リンク
  C:\RECYCLER\x-x-x-xx-xxxxxx-xxxxxxxxx-xxxxxxxx-xxxx
 (こっちはゴミ箱。ディレクトリは以下略


 ----以下記入忘れ(感染時バスター自動駆除)
 ----IEのTEMPフォルダ検索推奨

◆img20081223085209[1].jpg (もしくはimg20081223085209.jpg)
F:\Temporary Internet Files\Content.IE5\FU7CZJUB
◆file[1].exe (もしくはfile.exe)
F:\Temporary Internet Files\Content.IE5\R29Y0TPG
F:\Temporary Internet Files\Content.IE5\NETX6L9Y
F:\Temporary Internet Files\Content.IE5\JQUTZ3QB

----01/04追記終わり


・手動対処

プロセス独占でフリーズ状態だからLANケーブルぶっこ抜き。

回線が切断されるとプロセスが解放されるので、メッセを終了。
C:\spc.exeを削除、この時点で感染爆発は防げる。この状態ではインスタントメッセージを送信できない。
タスクプロセスfxstaller.exeを停止。インスタント可能。メッセ接続中のユーザーへウイルス警告文を送る。
上記のレジストリをRegEditで削除。
「IMG455.jpg-www.photo.com」を削除するのも忘れずに。(txtリネームしたやつの削除忘れてますた)

windows直下のフォルダに生成されたファイル等を削除。上記以外にもあるかもしれないから詳細表示で更新日時を確認して探すのがオススメ。
アヤシイからって全部削除すると面倒な事になるんで、危険なファイルか裏を取ってから削除推奨。

★重要★
Unlockr導入→http://unlocker.brothersoft.jp/

下の二つはロックされて削除権限がないのでUnlockerを右クリック起動
◆windows\system32
 xxyvtstS.dll
 xxyXpQGa.dll



Unlocker-1-8-7_1.png


左下の選択から削除を選択し、右下の全ロック解除をクリック。
これで自動削除される。もう一つも同じく実行。

これで対処は完了されると思われるが、これ以外のウイルスや残骸が潜伏しているかもしれんのでアンチ全検索を推奨。
俺は面倒だからやんねーけどな!


他の方のブログも参照推奨。
http://azurecolor.blog51.fc2.com/blog-entry-315.html
http://nihonbuson.blog10.fc2.com/blog-entry-970.html
http://valk.blog92.fc2.com/blog-entry-306.html


 
  1. 2008/12/25(木) 14:43:25|
  2. ry
  3. | トラックバック:0
  4. | コメント:0

バックドア警報

 
MSNメッセンジャー

バルスの発言:
foto http://myspacy.biz/viewimage.php?=受信先メッセアドレス

という一行送信を繰り返してきたから不審に思い「myspacy.biz/viewimage.php?=」で検索

米国シマンテック ノートン先生の脅威サイト登録にヒット
http://www.google.com/search?num=50&hl=ja&safe=off&q=myspacy.biz%2Fviewimage.php%3F%3D&btnG=%E6%A4%9C%E7%B4%A2&lr=

Backdoor.IRC.Botというバックドアが引っかかった
別名: BackDoor-BBB [McAfee], BKDR_FOLLA.A [Trend]

メッセンジャーで登録してあるアドレスへ自動発信、ログアウトを繰り返す模様
RF関係者に感染広がるかもしれんから、各位注意を

感染対応はここがお勧め→http://nihonbuson.blog10.fc2.com/blog-entry-970.html


「Backdoor.IRC.Bot」か別名で検索(追記:IRCBot.AKX)
または以下のURL
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2003-102711-3533-99&tabid=3



なんか日付が変わったあたりから爆発的に拡散してるっぽい
どっかに「とんだクリスマスプレゼントだ」と書いてあったけど、上手い事を言うねぇ


 
  1. 2008/12/25(木) 02:56:38|
  2. ry
  3. | トラックバック:0
  4. | コメント:0

4~7月の無勤数72日(雨天中止含む

んで、今日やった昼仕事で今月は3勤

学生より休んでるぜ!


まぁそれは良いとして、引篭もり生活が基本な人間には
7休→1勤→7休→1勤とか勘弁してもらいたい。
体力低下&夏の日差しがぎーらぎら♪ のコンボがきついです。

あと、現場によって出てくる弁当がクセモノ。
食費が浮くから普通の人は喜ぶだろうが、俺にとっては地獄を味わう事になる。
午前中2㍑水分補給して少し足りなく感じるのに、この弁当のお陰で
水分補給ができる空間が無くなってしまう。
残したら腐るだけだし、「残さず頂く」が信条、故に2時間ほど満腹感と渇きと熱疲労に悩まされる事になった。

ちなみに今日の水分補給は4㍑/8時間ですた
スポドリじゃなかったら病院送りだぜ!(前科有り


スポドリ以外に食塩錠を確保できれば楽になるんだけど、近くの薬局には置いてないという。
だれか何とかしてください
  1. 2008/08/20(水) 20:15:59|
  2. ry
  3. | トラックバック:0
  4. | コメント:2

んー

RFから撤収したし、そもそも普段からネタが無い
FEZで書く事もないしのぅ まぁキャラ晒しでもしとくか

5月6日より開始
A鯖ゲブ ヴィエトナー 称号「デッドランカーNo.1」固定 ♂
ヲリLv33 スカLv32 皿Lv30
レイン厨な短スカ→氷皿→雷皿→純両手→純片手→3種ヲリ

敵ナイトにバッシュが凄く楽しいです
  1. 2008/06/06(金) 02:15:39|
  2. ry
  3. | トラックバック:0
  4. | コメント:1
次のページ

プロフィール

RedFlags

Author:RedFlags
越南解放戦線

平成20年4月
 RFZ/T鯖ベラート軍
  ノバス戦線より撤退

平成20年5月
 FEZ/A鯖ゲブランド軍
  エセスティア戦線へ参戦
 
nico → "368326"

→CoHMOD自作動画
→RF動画
 


「.co」「.ne」「.cn」は書き込み禁止中です。
かな文字にする等の変換を行って下さい。





 

最近の記事

リンク

このブログをリンクに追加する

最近のコメント

カテゴリー

月別アーカイブ

最近のトラックバック

ブロとも申請フォーム

この人とブロともになる

ブログ内検索

RSSフィード

その他

ud

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。