ニュー速が祭りになってる。以下このウイルスの概要
(仮)山田オルタナティブ(Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11)
【主な被害】
・2段階の画質でSSを出力し、他の(´・ω・) カワイソスな香具師へ相互リンク
・アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする【主な活動】
・Program filesフォルダにsysフォルダとupdateフォルダを作成する
・最初の時点ではsys.exe、再起動後にupdate.exeとして動く
・update.exeのほうはHDDには現存せず
・起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
・起動時には引数として前述のTripが渡されている
・実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
update.exeのときはupdateフォルダに居座る
・フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
・フォルダの一方は空、もう一方は
他の(´・ω・) カワイソスな香具師らを繋ぐリンク用のキャッシュファイル
・UPnP対応で穴を空ける
・起動はレジストリのスタートアップに下記の2つが登録
・HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS -> CURENTVERSION -> RUN
名前: sys.exe データ: "c:/program files/sys/sys.exe"20060223042347170169115
名前: update.exe データ: "c:/program files/update/update.exe"
・ポート80、ポート8080の空き領域を使う
(そのほかのポートを使う場合もある模様)
・Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は
それぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11
Linkリストは違うものをリスト化する模様(仕組みは不明)
・updateフォルダに2chの板一覧を取得(bbs2ch_bbsmenu_html)、
厨房板(http://tmp6.2ch.net/kitchen/)へ書き込み、ログ保持
・厨房板への書き込みがLinkリスト作成のノードになっている?
なんと今回のウイルスはルータを乗り越えてしまうようだ。山田ウイルスの最大の防護壁であったルータを突破するとは・・・こいつはヤベェ
ƒnƒ}[‚Ìo’£Š
くわしくはハマーさんのとこへ
あとは
google:upnp 外から
google:upnp 外部からのアクセス
google:upnp ポート
http://www.hatena.ne.jp/1088039793
http://www.hatena.ne.jp/1087996078
http://www.ginzado.ne.jp/guide/upnp.html
http://slashdot.jp/security/06/02/28/0832225.shtml
- 現在の感染ルートおよび感染源
世間的に恥ずかしいものをやましいルートで手に入れた時に運悪く".xxx .exe"だったり踏まざるおえない状況になったりした場合
- 予防方法
やましいことをしない。PCにもファイヤーウォールを導入しプログラムのアクセスをコントロール下におく。拡張子に注意する。
- 考えられる最悪の事態
これが一般にも広がってしまったら大変なことになるでしょう
- まとめページができてます
