パスワードを忘れた? アカウント作成
11949 story

山田ウイルスの新種が登場、UPnPを使いポートを開いてHDD内容をHTTPで公開 52

ストーリー by mhatta
こしゃくなまねを 部門より

Anonymous Coward曰く、"感染したPCから2ちゃんねる等の掲示板に書き込もうとする、通称「山田ウイルス」の新種が登場した。注意点は次の通り

  • UPnP対応でポートを開けるので、OSやルータでポートを開けていなくてもハードディスクの内容がリアルタイムで公開されてしまう
  • ポート 80等を使用する為、他のワームやウイルスのアタックを受ける可能性がある
詳細はこのページに書かれている。"

また、会社休んで2ちゃんねる・・・曰く、"一部書き込みによると、もっとも古い感染は2月18日(タレコミ子確認は2/26)。同ウィルスには、Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11 の3バージョンが確認されており、一部のバージョンには未実装のアップロード機能も確認できる。
尚、対応OS は 現在のところ Windows のみの模様。現在もっともとされているのはリンクページの作成方法。ウィルスはどのようにして同一ウィルスに感染した他PCの情報を取得しているのか?一説によると 2ch 厨房板の一見無意味な書き込み に IP等が含まれるのではないかとの憶測も流れているが、まだこの暗号を解読したものはいない模様。

更に詳しくは、まとめサイトウォッチスレ等を参照のこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • UPnP機能をオフに (スコア:4, 参考になる)

    by Tsukitomo (22680) on 2006年02月28日 19時06分 (#891407) 日記
    自分のマシンはWindows 2000で、OSには機能が組み込まれていないようですが、ルータのほうに機能があったのでさっそくオフにしました。

    Windows XPではデフォルトでオンになっているようです。これを止めるための設定がPCwebで紹介されていました。
    http://pcweb.mycom.co.jp/column/winxp/128/ [mycom.co.jp]
    --
    Your 金銭的 potential. Our passion - Micro$oft

    Tsukitomo(月友)
    • by Anonymous Coward on 2006年02月28日 19時54分 (#891453)
      直接レジストリをいじるのはちょっとという方は,このようなフリーのツールがお薦め
      http://www.grc.com/unpnp/unpnp.htm
      親コメント
      • by Anonymous Coward on 2006年02月28日 23時50分 (#891628)
        トロイが入っているソフトをこのように紹介するという手口もあるので確認は慎重にね。
        #891453がトロイだって言いたいわけじゃなくて、そういう手口もある、という事です。念のため。
        親コメント
  • by Anonymous Coward on 2006年02月28日 19時48分 (#891451)
    山田とは別物だけど、Exerbで実行バイナリ化したRubyスクリプトによるウィルスも最近猛威を奮っているようです。
  • UPnPって (スコア:3, 興味深い)

    by Anonymous Coward on 2006年02月28日 18時10分 (#891374)
    バックドアを開ける、アンセキュアな仕様以外の何者でもないし。
    むしろ今まで出てこなかったのが不思議じゃね?
    • by kgw (29702) on 2006年02月28日 20時05分 (#891460)
      NAT越しにWindows Messenger(SIP)使うためという利用方法が多いんだろうと思いますけど、その他のアプリが初めてポート開けようとしたときに、警告とか出ないんですかね?
      よくわかってないのと確認できる環境がないので、知ってる人いたらプリーズ。
      親コメント
      • Re:UPnPって (スコア:2, 参考になる)

        by do21 (28236) on 2006年02月28日 23時36分 (#891619) ホームページ
        UPnPはルータ側の実装なので、ルータから警告を受け取ろうとしたら、クライアントに別のアプリなどを走らせる必要がありそう。UPnPは、対応している機器へSOAPメッセージを送れば基本的には受け取るしかないでしょうし。

        一番良いのは、パケットフィルタ等でメッセソフト以外がルータへ接続しないようにすることじゃないでしょうか。
        親コメント
        • by typer (9666) on 2006年03月01日 9時08分 (#891766) 日記
          せめて開けることができる/できないポートやアドレスの範囲が指定できたりすれば良いんだけどね。
          デフォルトでwell knownは開けないようにしても問題ないでしょう。
          #で8080が開かれると。
          ##あと、開けたときはsnmpで通知とかもほしいかな。
          親コメント
      • Re:UPnPって (スコア:2, 参考になる)

        by Anonymous Coward on 2006年03月01日 0時33分 (#891652)
        UPnPというものはデバイスと、それを制御するものの2種類ありまして、ルータはUPnPのデバイスとして制御される側になります。
        デバイスとしてはWindows Messanger等のアプリケーションなどから要求が来たら、特段の理由がない限りそのとおりに動くしかないわけでして・・・ルータからすると、クライアントからの要求を鵜呑みにして穴を開けるという仕様が恐ろしくてしょうがありません。
        #つい最近まで某ルータでUPnPやってたのでAC
        親コメント
        • by Anonymous Coward
          つまりとりあえず、ルータのUPnP機能を無効にしてれば大丈夫ってことかな?
    • Re:UPnPって (スコア:1, 興味深い)

      by Anonymous Coward on 2006年03月01日 4時33分 (#891723)
      > バックドアを開ける、アンセキュアな仕様以外の何者でもないし。
      > むしろ今まで出てこなかったのが不思議じゃね?
      予想通り [srad.jp]出てきましたね。
      親コメント
  • by Anonymous Coward on 2006年03月01日 0時43分 (#891661)
    2chにアップされていたので転載。
    ---
    //=============================================================================
    //
    //        山田オルタナティブ 復号化
    //
    //        Copyright 2005. Coded by ナイア◆facelesskk
    //
    //=============================================================================

    #include <stdio.h>
    #include <string.h>

    char basestrings[] = " 、。,.・:;?!゛゜´`¨^ ̄_ヽヾゝゞ〃仝々〆〇ー―‐/\~∥|…‥‘’“”()〔〕[]{}〈〉《》「」『』【】+-±×÷=≠<>≦≧∞∴♂♀°′″℃¥$¢£%#&*@§☆★○●◎◇◆□■△▲▽▼※〒→←↑↓〓∈∋⊆⊇⊂⊃∪∩∧∨¬⇒⇔∀∃∠⊥⌒∂∇≡≒≪≫√∽∝∵∫∬ʼn♯♭♪†‡¶◯0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyzぁあぃいぅうぇえぉおかがきぎくぐけげこごさざしじすずせぜそぞただちぢっつづてでとどなにぬねのはばぱひびぴふぶぷへべぺほぼぽまみむめもゃやゅゆょよらりるれろゎわゐゑをんァアィイゥウェエォオカガキギクグケゲコゴサザシジスズセゼソゾタダチヂッツヅテデトドナニヌネノハバパヒビピフブプヘベペホボポマミムメモャヤュユョヨラリルレロヮワヰヱヲンヴヵヶΑΒΓΔΕΖΗΘΙΚΛΜΝΞΟΠΡΣΤΥΦΧΨΩαβγδεζηθικλμνξοπρστυφχψωАБВГДЕЁЖЗИЙКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯабвгдеёжзийклмнопрстуфхцчшщъыьэюя─│┌┐┘└├┬┤┴┼━┃┏┓┛┗┣┳┫┻╋┠┯┨┷┿┝┰┥┸╂①②③④⑤⑥⑦⑧⑨⑩⑪⑫⑬⑭⑮⑯⑰⑱⑲⑳ⅠⅡⅢⅣⅤⅥⅦⅧⅨⅩ㍉㌔㌢㍍㌘㌧㌃㌶㍑㍗㌍㌦㌣㌫㍊㌻㎜㎝㎞㎎㎏㏄㎡㍻〝〟№㏍℡㊤㊥㊦㊧㊨㈱㈲㈹㍾㍽㍼≒≡∫∮∑√⊥∠∟⊿∵∩∪";

    char basestring2[] = "!#$%&'()=~|QWERTYUIOP`{ASDFGHJKL+*}ZXCVBNM<>?_1234567890-^qwertyuiop@[asdfghjkl;:]zxcvbnm,./";

    int MyStrSearch( int offset, char a, char b) {
        int        i;

        for (i=offset*2;i<strlen(basestrings);i+=2) {
            if (basestrings[i] == a && basestrings[i+1] == b) {
                return i/2 - offset;
            }
        }

        return -1;
    }

    int main(int argc, char *argv[])
    {
        char    *encstring;
        int        nRnd;
        char    decstring[1024];
        char    host[256], user[256];
        int        i, j, val, port;

        if (argc < 2 ) {
            printf( "usage: %1 string\n", argv[0] );
            return 0;
        }
        encstring = argv[1];

        nRnd = MyStrSearch( 0, *encstring, *(encstring+1) );
        if (nRnd < 0) {
            printf( "不正な文字列です。\n" );
            return 0;
        }

        for (i=0,encstring+=6;*encstring;encstring+=2,i++) {
            val = MyStrSearch( nRnd, *encstring, *(encstring+1) );
            decstring[i] = (unsigned char)val;
        }
        decstring[i] = 0;
        for (i=0,j=0;decstring[j]!=0;i++,j++) {
            if (basestring2[i] == 0) {
                i = 0;
            }
            decstring[j] ^= basestring2[i];
        }

        sscanf( decstring, "%s\n%d\n%s\n", host, &port, user );
        printf( "Host: %s:%d\n", host, port );
        printf( "User: %s\n", user );
        return 0;
    }
    • by Anonymous Coward on 2006年03月01日 1時18分 (#891679)
      Copyright 2005 ってことは……犯人はお前だ!
      親コメント
    • by Anonymous Coward on 2006年03月01日 2時10分 (#891695)
      この暗号化アルゴリズムだとCodePage 932の
      重複符号化の影響で一部の情報が喪失する気がする。

      ∪ 0x81be 0x879c
      ∩ 0x81bf 0x879b
      ∠ 0x81da 0x8797
      ⊥ 0x81db 0x8796
      ≡ 0x81df 0x8791
      ≒ 0x81e0 0x8790
      √ 0x81e3 0x8795
      ∵ 0x81e6 0x879a
      ∫ 0x81e7 0x8792
      親コメント
    • by Anonymous Coward on 2006年03月01日 2時25分 (#891702)
      >    char    host[256], user[256];
      >    sscanf( decstring, "%s\n%d\n%s\n", host, &port, user );

      バッファーオーバーフロー脆弱性がありますね。マヌケ。
      親コメント
      • by Anonymous Coward on 2006年03月01日 14時40分 (#892056)
        > char    decstring[1024];

        >     for (i=0,encstring+=6;*encstring;encstring+=2,i++) {
        >         val = MyStrSearch( nRnd, *encstring, *(encstring+1) );
        >         decstring[i] = (unsigned char)val;
        >     }

        引数に2048バイト以上渡せるなら、ここでもバッファ・オーバー・フロー。
        親コメント
    • by Anonymous Coward
      ついにIEでも横スクロールバーのお世話に…
      • Re:おふとぴ (スコア:1, 興味深い)

        by Anonymous Coward on 2006年03月02日 23時38分 (#893058)
        Bookmarkletを使えば対処が簡単です。

        <a href="javascript:void(document.body.style.wordBreak='break-all')">長い行を折り返し</a>

        上記コードをエディタに貼り付けて、ローカルに.htmlファイルとして保存し、ブラウザで開きます。
        表示されたリンクをお気に入りに追加してください。
        (その後、このファイルは削除してかまいません。)

        横スクロールバーが出てしまった画面で、お気に入りからコレを選択すると、横長が解消します。

        ただし、FireFoxでは駄目でした。スタイルシートの word_break:break-all; に対応していないのですね。
        親コメント
      • by Anonymous Coward
        「コード」で投稿すると<TT>タグ入りますよね。
        ここに、<TT style='word-break:break-all;'> とかつけられるといいんですけどね…。

        でも、全部のコメントにこのスタイルシートつけると、それはそれで困ります。英単語の途中で改行されちゃうので。

        なんかいい方法ないですかねぇ。
        モデレータが後からこのタグを追加できるようにするとか。

        コードだから、強制改行入っても問題ないかな…。

        #個人的な対策としては、ユーザースタイルシート使うとか、
        #Proxomitronとかでタグ追加とか。
        #ただし、ユーザースタイルシートの場合はサイト指定できなかった気が…。
        • by Anonymous Coward
          greasemonkeyだとサイトを指定してインストールできますね。でも、やり方がわからない・・・。
        • by Anonymous Coward
          TT{word-break:break-all;}

          とだけ書いたファイルを用意して、ieの
           ツール→インターネットオプション→ユーザー補助→ユーザースタイルシート
          で指定してみました。
          とりあえず横幅伸びるのは直った…。

          他のサイトでも反応しちゃうけど、TTなんて滅多に使ってないからいいかな?

          FireFoxだとサイトごとにユーザースタイルシートを切り替えられるみたいなので試してみた。
          …FireFoxは word-break に対応していなかった...orz
  • 情報不足 (スコア:2, 参考になる)

    by Elbereth (17793) on 2006年02月28日 18時31分 (#891388)
    感染した後の症状と駆除方法はいいとして、どうやって感染するかが
    分からないとなぁ。
    どういうセキュリティホールをついて感染するかとか、どこのサイトに
    アクセスしたら危険とか……まだ情報が集まってないだけかな。

    とりあえず駆除はセーフモードで起動するなどしてウィルスのプロセスが
    動作しないようにしてから該当ファイルを削除、レジストリの掃除の
    2点だけでよさげですね。楽だ。

    最近は、Windowsのシステムプロセスに寄生していてセーフモードでも
    殺せないとか、コマンドラインモードで起動してもダメとか
    そんなのを相手にすることが多いので、こういう簡単なのを見ると
    ほっとしますね(何
    • そ、そんなこと言って (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2006年02月28日 18時41分 (#891394)
      中の人を煽っちゃだめだってば!!!
      親コメント
    • Re:情報不足 (スコア:2, 参考になる)

      by Anonymous Coward on 2006年02月28日 20時23分 (#891481)
      今の所感染経路はWinnyやShareのようなファイル共有で拾ったファイルによるものが主です。でも、いつそれ以外の経路を使うようになるかはわからないので要注意って事ですな。ちらっと友人に聞いた限りではBit Cometというソフトで感染者もいるとか?

      P2Pによる機能進化とかすらあるみたいだし、既に1万人を越える感染者がいるらしいし、この騒ぎはこのままじゃ終わらないでしょうね。
      親コメント
  • VistaにOS内蔵で対策してアップデートを即す?

    OS側でwinny起動できないようにしても誰も大手を振って文句言わないでしょうに。
  • by Anonymous Coward on 2006年02月28日 23時48分 (#891625)
    WindowsファイアウォールでOK?

    #その設定をいじるぐらい、悪意を持ったプログラムには簡単かもしれないけど
    • Windowsファイアウォールって内部から外部に出るのは筒抜けじゃなかったでしたっけ?
      外部からのブロック専用だった気がするのですが・・・

      有識者の方フォローよろ(^^;
  • by Anonymous Coward on 2006年03月01日 1時52分 (#891689)
    今度のは流出元IPが見つかれば
    根こそぎファイルとか取得されてしまいますね。
    たいていの人のOutlookメールの保存場所なんて
    デフォルト通りだし、ファイルはMyDocumentに
    保存してるだろうし。

  • by Anonymous Coward on 2006年03月01日 13時39分 (#892005)
    ところで、鈴木でもなく渡辺でもなく山田なんでしょう? あほな質問ですみません。。。
  • by Anonymous Coward on 2006年03月01日 13時50分 (#892024)
    このウィルス組み込みのウェブサーバって何だろ?オープンソースで転がってる奴を拾ってきたのかな?スクリーンショットをjpegでエンコードしたりとかもしてるけど、これも既存のライブラリを使ってるのだろうか。

    不謹慎ながら、他の人の日常風景、知らないゲームのプレイなんかをリモートで見るのは中々面白い。このウィルスのように全ファイル公開、常時スクリーンショットの無制限公開はさすがに問題があるが、許諾を取った上で友人同士で画面を見せあったりするのはいいかもしれないと思ったな。
  • by Anonymous Coward on 2006年03月01日 15時47分 (#892120)
    なんだか盛り上がらないですが。
    これは、普通にパソコンを買ってきて普通にネットに
    繋いでる人が感染すると確実にHDDの内容をWeb公開
    してしまうという非常に危険なウィルス(トロイ)だと
    思います。

    山田ウィルスはWinnyなどのP2Pをしてなくても
    感染する可能性があるという点で危険でしたが
    今回のウィルスはその危険性を倍加してます。

    そろそろGoogleに危険な情報の入ったファイルの
    キャッシュが転がってるかも。
    # pass.txtとか・・・

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...