山田ウイルスの新種が登場、UPnPを使いポートを開いてHDD内容をHTTPで公開 52
ストーリー by mhatta
こしゃくなまねを 部門より
こしゃくなまねを 部門より
Anonymous Coward曰く、"感染したPCから2ちゃんねる等の掲示板に書き込もうとする、通称「山田ウイルス」の新種が登場した。注意点は次の通り
- UPnP対応でポートを開けるので、OSやルータでポートを開けていなくてもハードディスクの内容がリアルタイムで公開されてしまう
- ポート 80等を使用する為、他のワームやウイルスのアタックを受ける可能性がある
また、会社休んで2ちゃんねる・・・曰く、"一部書き込みによると、もっとも古い感染は2月18日(タレコミ子確認は2/26)。同ウィルスには、Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11 の3バージョンが確認されており、一部のバージョンには未実装のアップロード機能も確認できる。
尚、対応OS は 現在のところ Windows のみの模様。現在もっとも謎とされているのはリンクページの作成方法。ウィルスはどのようにして同一ウィルスに感染した他PCの情報を取得しているのか?一説によると 2ch 厨房板の一見無意味な書き込み に IP等が含まれるのではないかとの憶測も流れているが、まだこの暗号を解読したものはいない模様。
UPnP機能をオフに (スコア:4, 参考になる)
Windows XPではデフォルトでオンになっているようです。これを止めるための設定がPCwebで紹介されていました。
http://pcweb.mycom.co.jp/column/winxp/128/ [mycom.co.jp]
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re:UPnP機能をオフに (スコア:2, 参考になる)
http://www.grc.com/unpnp/unpnp.htm
Re:UPnP機能をオフに (スコア:1, 興味深い)
#891453がトロイだって言いたいわけじゃなくて、そういう手口もある、という事です。念のため。
初のRuby製ウィルスも (スコア:4, 興味深い)
Re:初のRuby製ウィルスも (スコア:1)
難読プログラムな可能性もありますけど。
UPnPって (スコア:3, 興味深い)
むしろ今まで出てこなかったのが不思議じゃね?
Re:UPnPって (スコア:1)
よくわかってないのと確認できる環境がないので、知ってる人いたらプリーズ。
Re:UPnPって (スコア:2, 参考になる)
一番良いのは、パケットフィルタ等でメッセソフト以外がルータへ接続しないようにすることじゃないでしょうか。
Re:UPnPって (スコア:1)
デフォルトでwell knownは開けないようにしても問題ないでしょう。
#で8080が開かれると。
##あと、開けたときはsnmpで通知とかもほしいかな。
Re:UPnPって (スコア:2, 参考になる)
デバイスとしてはWindows Messanger等のアプリケーションなどから要求が来たら、特段の理由がない限りそのとおりに動くしかないわけでして・・・ルータからすると、クライアントからの要求を鵜呑みにして穴を開けるという仕様が恐ろしくてしょうがありません。
#つい最近まで某ルータでUPnPやってたのでAC
Re:UPnPって (スコア:0)
Re:UPnPって (スコア:1, 興味深い)
> むしろ今まで出てこなかったのが不思議じゃね?
予想通り [srad.jp]出てきましたね。
暗号化は解読された模様 (スコア:3, 興味深い)
---
//=============================================================================
//
// 山田オルタナティブ 復号化
//
// Copyright 2005. Coded by ナイア◆facelesskk
//
//=============================================================================
#include <stdio.h>
#include <string.h>
char basestrings[] = " 、。,.・:;?!゛゜´`¨^ ̄_ヽヾゝゞ〃仝々〆〇ー―‐/\~∥|…‥‘’“”()〔〕[]{}〈〉《》「」『』【】+-±×÷=≠<>≦≧∞∴♂♀°′″℃¥$¢£%#&*@§☆★○●◎◇◆□■△▲▽▼※〒→←↑↓〓∈∋⊆⊇⊂⊃∪∩∧∨¬⇒⇔∀∃∠⊥⌒∂∇≡≒≪≫√∽∝∵∫∬ʼn♯♭♪†‡¶◯0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyzぁあぃいぅうぇえぉおかがきぎくぐけげこごさざしじすずせぜそぞただちぢっつづてでとどなにぬねのはばぱひびぴふぶぷへべぺほぼぽまみむめもゃやゅゆょよらりるれろゎわゐゑをんァアィイゥウェエォオカガキギクグケゲコゴサザシジスズセゼソゾタダチヂッツヅテデトドナニヌネノハバパヒビピフブプヘベペホボポマミムメモャヤュユョヨラリルレロヮワヰヱヲンヴヵヶΑΒΓΔΕΖΗΘΙΚΛΜΝΞΟΠΡΣΤΥΦΧΨΩαβγδεζηθικλμνξοπρστυφχψωАБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯабвгдеёжзийклмнопрстуфхцчшщъыьэюя─│┌┐┘└├┬┤┴┼━┃┏┓┛┗┣┳┫┻╋┠┯┨┷┿┝┰┥┸╂①②③④⑤⑥⑦⑧⑨⑩⑪⑫⑬⑭⑮⑯⑰⑱⑲⑳ⅠⅡⅢⅣⅤⅥⅦⅧⅨⅩ㍉㌔㌢㍍㌘㌧㌃㌶㍑㍗㌍㌦㌣㌫㍊㌻㎜㎝㎞㎎㎏㏄㎡㍻〝〟№㏍℡㊤㊥㊦㊧㊨㈱㈲㈹㍾㍽㍼≒≡∫∮∑√⊥∠∟⊿∵∩∪";
char basestring2[] = "!#$%&'()=~|QWERTYUIOP`{ASDFGHJKL+*}ZXCVBNM<>?_1234567890-^qwertyuiop@[asdfghjkl;:]zxcvbnm,./";
int MyStrSearch( int offset, char a, char b) {
int i;
for (i=offset*2;i<strlen(basestrings);i+=2) {
if (basestrings[i] == a && basestrings[i+1] == b) {
return i/2 - offset;
}
}
return -1;
}
int main(int argc, char *argv[])
{
char *encstring;
int nRnd;
char decstring[1024];
char host[256], user[256];
int i, j, val, port;
if (argc < 2 ) {
printf( "usage: %1 string\n", argv[0] );
return 0;
}
encstring = argv[1];
nRnd = MyStrSearch( 0, *encstring, *(encstring+1) );
if (nRnd < 0) {
printf( "不正な文字列です。\n" );
return 0;
}
for (i=0,encstring+=6;*encstring;encstring+=2,i++) {
val = MyStrSearch( nRnd, *encstring, *(encstring+1) );
decstring[i] = (unsigned char)val;
}
decstring[i] = 0;
for (i=0,j=0;decstring[j]!=0;i++,j++) {
if (basestring2[i] == 0) {
i = 0;
}
decstring[j] ^= basestring2[i];
}
sscanf( decstring, "%s\n%d\n%s\n", host, &port, user );
printf( "Host: %s:%d\n", host, port );
printf( "User: %s\n", user );
return 0;
}
Re:暗号化は解読された模様 (スコア:3, おもしろおかしい)
Re:暗号化は解読された模様 (スコア:2, 参考になる)
重複符号化の影響で一部の情報が喪失する気がする。
∪ 0x81be 0x879c
∩ 0x81bf 0x879b
∠ 0x81da 0x8797
⊥ 0x81db 0x8796
≡ 0x81df 0x8791
≒ 0x81e0 0x8790
√ 0x81e3 0x8795
∵ 0x81e6 0x879a
∫ 0x81e7 0x8792
Re:暗号化は解読された模様 (スコア:1, 興味深い)
> sscanf( decstring, "%s\n%d\n%s\n", host, &port, user );
バッファーオーバーフロー脆弱性がありますね。マヌケ。
Re:暗号化は解読された模様 (スコア:1, 参考になる)
> for (i=0,encstring+=6;*encstring;encstring+=2,i++) {
> val = MyStrSearch( nRnd, *encstring, *(encstring+1) );
> decstring[i] = (unsigned char)val;
> }
引数に2048バイト以上渡せるなら、ここでもバッファ・オーバー・フロー。
おふとぴ (スコア:0)
Re:おふとぴ (スコア:1, 興味深い)
<a href="javascript:void(document.body.style.wordBreak='break-all')">長い行を折り返し</a>
上記コードをエディタに貼り付けて、ローカルに.htmlファイルとして保存し、ブラウザで開きます。
表示されたリンクをお気に入りに追加してください。
(その後、このファイルは削除してかまいません。)
横スクロールバーが出てしまった画面で、お気に入りからコレを選択すると、横長が解消します。
ただし、FireFoxでは駄目でした。スタイルシートの word_break:break-all; に対応していないのですね。
Re:おふとぴ (スコア:0)
ここに、<TT style='word-break:break-all;'> とかつけられるといいんですけどね…。
でも、全部のコメントにこのスタイルシートつけると、それはそれで困ります。英単語の途中で改行されちゃうので。
なんかいい方法ないですかねぇ。
モデレータが後からこのタグを追加できるようにするとか。
コードだから、強制改行入っても問題ないかな…。
#個人的な対策としては、ユーザースタイルシート使うとか、
#Proxomitronとかでタグ追加とか。
#ただし、ユーザースタイルシートの場合はサイト指定できなかった気が…。
Re:おふとぴ (スコア:0)
Re:おふとぴ (スコア:0)
とだけ書いたファイルを用意して、ieの
ツール→インターネットオプション→ユーザー補助→ユーザースタイルシート
で指定してみました。
とりあえず横幅伸びるのは直った…。
他のサイトでも反応しちゃうけど、TTなんて滅多に使ってないからいいかな?
FireFoxだとサイトごとにユーザースタイルシートを切り替えられるみたいなので試してみた。
…FireFoxは word-break に対応していなかった...orz
横スクロールバーは鬱陶しい (スコア:0)
一瞬Firefoxが壊れたのかと思った;-(
情報不足 (スコア:2, 参考になる)
分からないとなぁ。
どういうセキュリティホールをついて感染するかとか、どこのサイトに
アクセスしたら危険とか……まだ情報が集まってないだけかな。
とりあえず駆除はセーフモードで起動するなどしてウィルスのプロセスが
動作しないようにしてから該当ファイルを削除、レジストリの掃除の
2点だけでよさげですね。楽だ。
最近は、Windowsのシステムプロセスに寄生していてセーフモードでも
殺せないとか、コマンドラインモードで起動してもダメとか
そんなのを相手にすることが多いので、こういう簡単なのを見ると
ほっとしますね(何
そ、そんなこと言って (スコア:2, すばらしい洞察)
Re:情報不足 (スコア:2, 参考になる)
P2Pによる機能進化とかすらあるみたいだし、既に1万人を越える感染者がいるらしいし、この騒ぎはこのままじゃ終わらないでしょうね。
Re:情報不足 (スコア:2)
大方中華サイトから拾ってきた違法なttorrent物(高確率でエロゲーだろうねww)経由といったところでしょうか。
中国でも感染拡大している可能性がありますね。
マイクロソフトがあまり真面目に対策しない理由 (スコア:1)
OS側でwinny起動できないようにしても誰も大手を振って文句言わないでしょうに。
Re:マイクロソフトがあまり真面目に対策しない理由 (スコア:0)
Re:マイクロソフトがあまり真面目に対策しない理由 (スコア:0)
Incoming connectionだし (スコア:0)
#その設定をいじるぐらい、悪意を持ったプログラムには簡単かもしれないけど
Re:Incoming connectionだし (スコア:0)
外部からのブロック専用だった気がするのですが・・・
有識者の方フォローよろ(^^;
情報流出 (スコア:0)
根こそぎファイルとか取得されてしまいますね。
たいていの人のOutlookメールの保存場所なんて
デフォルト通りだし、ファイルはMyDocumentに
保存してるだろうし。
なぜ山田? (スコア:0)
Mell-1-0.x (スコア:0)
不謹慎ながら、他の人の日常風景、知らないゲームのプレイなんかをリモートで見るのは中々面白い。このウィルスのように全ファイル公開、常時スクリーンショットの無制限公開はさすがに問題があるが、許諾を取った上で友人同士で画面を見せあったりするのはいいかもしれないと思ったな。
Re:Mell-1-0.x (スコア:0)
某サイトも軽く触れただけかぁ (スコア:0)
これは、普通にパソコンを買ってきて普通にネットに
繋いでる人が感染すると確実にHDDの内容をWeb公開
してしまうという非常に危険なウィルス(トロイ)だと
思います。
山田ウィルスはWinnyなどのP2Pをしてなくても
感染する可能性があるという点で危険でしたが
今回のウィルスはその危険性を倍加してます。
そろそろGoogleに危険な情報の入ったファイルの
キャッシュが転がってるかも。
# pass.txtとか・・・
Re:他PCの情報取得 (スコア:0)
ny以外も感染するよ。
#スレッドごとマイナスモデよろしく。
Re:他PCの情報取得 (スコア:0)
普通の、アップローダー経由である可能性も十分ある
それが山田
はやくインターネットを使用することを禁止しろ (スコア:3, おもしろおかしい)
政府は緊急になんらかの対策する必要があるだろ。なにぼけっとしてるんだ?
インターネットがインフラだからどうとか言ってる場合ではない。
Re:はやくインターネットを使用することを禁止しろ (スコア:0)
いや (スコア:1)
Can you over the wall?
Re:はやくWinnyを使用することを禁止しろ (スコア:1, すばらしい洞察)
・ダウンロードスロット無制限
・アップロードスロット無し
・常に最高優先度
の亜種を作ってバラ播けばおk。
Re:はやくWinnyを使用することを禁止しろ (スコア:1, おもしろおかしい)
>
>・ダウンロードスロット無制限
>・アップロードスロット無し
>・常に最高優先度
>
>の亜種を作ってバラ播けばおk。
それは身内専用ですw
Re:はやくWinnyを使用することを禁止しろ (スコア:1, 参考になる)
Winnyはポート0設定以外の場合は、他ノードのポート警告によってポートが開いてないと十分に認識されれば自己切断を行う。
これを利用して、ノード情報を手に入れつつポート警告を短時間で大量にばらまけば、一気に多数のノードを切断させて破壊出来るはずだ。
プロトコルは本で公開されているので技術面は問題なし、あとは物資の問題ぐらいだ。
Re:はやくWinnyを使用することを禁止しろ (スコア:1, 参考になる)
包囲網を作るのは並大抵のリソースでは済まないでしょうな。
さらに、作者以外がパッチを当てたバージョンもすでに存在するので、
そんな負荷ばかりあがって、効率が良くないやり方するのは問題。
無差別アタックを許す法律があるなら、スパム業者も簡単に取り締まれそうだが。
>プロトコルは本で公開されているので技術面は問題なし
あの本の情報でなんとかなるなら、ポート警告を無視する技術も問題ないね。
ソースを持ってるんだから、プロトコル云々なんて、あの本には依存してない。
#あ、ネタにマジレス?
Re:はやくWinnyを使用することを禁止しろ (スコア:1, すばらしい洞察)
Re:はやくWinnyを使用することを禁止しろ (スコア:0)