■掲示板に戻る■

トロイの木馬についておしえてください。
1名無しさん@1周年 :2000/09/13(水) 11:35
トロイの木馬などで不正アクセスされてしまうことってよくあるんですか?
また、トロイに感染しているかどうかは、どうすれば解かりますか?

2超一流ハッカー :2000/09/13(水) 12:03
ポートスキャン

3名無しさん@1周年 :2000/09/13(水) 12:08
トロイの木馬というのはたとえばメールで届いてそこに
添付されていた実行ファイルを実行してしまったら
寄生されるとか、そういう風にとにかくまず自分のマシンに
自分で入れて実行してしまうというたぐいのやつだから、
どんなことでも可能です。一々アクセスなんかしないで
いきなりHDDフォーマットだって可能だし、要するに実行
しなければ良いだけなんだけど、そこは色々誤魔化して、
たとえば「現在〜というウィルスが出回っています。この
最新のウィルスを除去するには添付したプログラムを動かす
必要があります」とか嘘八百書いておいてとにかく実行を
促すと。(Windowsのメーラーではいきなりスクリプトが
実行されてしまうというのがあるらしいが、そんなのを
使うのは論外)。


で、市販のウィルスチェッカーでたいていは分かると思う。


4名無しさん@1周年 :2000/09/13(水) 16:12
ポートスキャンのやり方を初心者でも分かるよーに、説明おねがいします。



5名無しさん@1周年 :2000/09/13(水) 20:57
sub7ほしいですか?

6はい。 :2000/09/13(水) 21:16
http://www.tlsecurity.net/subseven/

あげます。



7一流ハッカー :2000/09/13(水) 21:35
>3
いやいや、Nortonでも駆除できないトロイがたくさんあります
moosoftのTheCleanerはトロイ専門のワクチン・駆除ソフトで、
トロイ駆除能力に関してはNortonや鉄壁を上回ります。
http://www.moosoft.com/


8名無しさん@1周年 :2000/09/14(木) 03:01
ウイルスバスター2001はつかえるソフト?


9名無しさん@1周年 :2000/09/14(木) 03:06
差はあっても、完璧なウィルス駆除ソフトなどない。
ウィルスバスターも同様。

10名無しさん :2000/09/14(木) 04:10
パターンデータをこまめにアップデートすれば皆使えるよ


11>7 :2000/09/14(木) 04:28
使い方がわからないんだけど。

12名無しさん@1周年 :2000/09/14(木) 12:01
トロイを仕掛けられた人、または仕掛けた人っていますか?

13トロイ仕掛人 :2000/09/14(木) 14:23
トロイはしょうゆを掛けて食うからうまいんだよ!

14オデュッセウス :2000/09/14(木) 17:23
ワシが考えたんじゃ、ワシが。

15シュリーマン :2000/09/14(木) 22:06
私が見つけたんだって

16イペイオス :2000/09/18(月) 00:29
作ったのはオイラだよ

17名無しさん@そうだ選挙にいこう :2000/09/19(火) 04:38
某サイトでネカマを発見しました。
しかもDQI02611@nifty.ne.jpというアドレスがわかったので攻撃したいのですがいい方法あったら教えてください。
連続書き込みソフトとかでもいいのですが・・・。

18名無しさん@1周年 :2000/09/19(火) 04:47
BackOlifficeあげる


19名無しさん@そうだ選挙にいこう :2000/09/19(火) 05:48
それくださいな。。。

20やられたぁ :2000/09/20(水) 00:39
らるちーVB5版にトロイが仕込まれているやんけーっ。EXEファイルを実行して数時間後から
例の猫の鳴き声みたいなのが四六時中聴こえるようになりやがるうっ。
誰か何とかしてくれえー。うぐうっ。
ぼくがダウンロードしたのは http://www2.lint.ne.jp/~lrc/ からだけどもうそこにはらるちー置いてないし、
どこに文句言っていいのかも分からんよ。
しかしマジでこのファイルやばいって。放っておくとウィンドウズを起動できなくしやがる、ちいいっ。
上の7のザ・クリーナーってやつで治るかなあ?多分無理のような気がする。

21名無しさん@そうだ選挙にいこう :2000/09/20(水) 10:20
>20
まじで?

22名無しさん@1周年 :2000/09/20(水) 12:57
http://dreamcity.gaiax.com/home/barondansyaku/main

23名無しさん@そうだ選挙にいこう :2000/09/20(水) 14:16
誰かウィルスチェッカーで検査されないトロイ持ってない?
BO駆除されちゃうんだよ

24名無しさん :2000/09/20(水) 18:50
Outlookを使ってるターゲットに最も効率的にBOを仕込む
方法を教えてください

25やられたぁ :2000/09/20(水) 21:44
>21 まじだっての!今日システムレジストリを破壊されたぜ。バックアップも同時にやられたら終わってしまうぜえ。
>23 これは検出できませんでしたよ。ザ・クリーナーの2352種類のトロイのいずれにも該当せず。一応新型トロイです。
しかし、lrcは何でシマンテック社とかに「新しいトロイを発見したよ。」って報告しないんだあ?ファイル消して後は知らん振りかよ!
むかつくのでらるちーVB5版をばらまいてくれる人を募集します。問題はEXEファイルをどうやって実行させるか、だけど。
らるちーの跡 http://www.geocities.co.jp/SiliconValley-SanJose/1690/
なお、もしかすると解凍しただけでトロイが作動するかも知れませんのでご注意を。




26名無しさん@そうだ選挙にいこう :2000/09/20(水) 22:32
ホントにそのらるちにトロイ仕込まれてるのか?
だれか調べてちょーだい。


27>26 :2000/09/20(水) 23:47
>ホントにそのらるちにトロイ仕込まれてるのか?
>だれか調べてちょーだい。

オマエがやれ

28名無しさん@そうだ選挙にいこう :2000/09/21(木) 01:00
やだよ、こわいもん。
こないだ自爆したばっかりなのに

29>25 :2000/09/21(木) 01:05
http://www.geocities.co.jp/SiliconValley-SanJose/1690/ru169gv5.lzh
にもトロイはいってるの?lrcのだけじゃなくて?


30 :2000/09/21(木) 18:04
両方とも入ってません。

31無し人間 :2000/09/22(金) 17:17
http://www3.justnet.ne.jp/~jyakkaru/index.htm
まんこ


32やられたぁ :2000/09/22(金) 23:43
>30 実際にraruty.exeをダブルクリックしてみましたかあ?ウィルス検出ソフトでHITしなかったから入っていないだろう、ということですか。
とある人に相談したら次のような返答が。
ども、初めまして。
まぁ、前々から知ってたんですけどね(笑)
…サーチエンジンで。

>そんで実害が少ないので放っておいたら、ウィンドウズの起動時に「IOシステムなんとかが
>破壊されているか、又はメモリーが不足しています。」と表示が出て、何度電源を入れ直して
>もそこで止まってしまうので、Cドライブをフォーマットし直してウィンドウズを
>再インストールしたのですが、そのらるちー似のプログラムはまだ消えずに生き残ってます。
FORMAT C:
ではなく、
FDISKで完全にパーティション単位で削除してみるというのも手かと。
ただ、ブートセクタ潜伏型ウイルスの場合はその程度の方法じゃ除去できませんけど…。

>何だか不気味なのでシマンテック社かどこかに駆除ファイルを作ってもらいたいのですが
>連絡先が分かりません。どなたかご存知でしたら教えて下さい。
シマンテックは分かりませんが、ウイルスバスターの開発元のトレンドマイクロなら、
http://www.trendmicro.co.jp/ から行くことができますよ。

では。
      >>>それで、FDISKコマンドでFAT32の1パーティションだけのドライブをきれいにするにはどうすりゃあいいんですか?
トレンドマイクロのサイト・・・なんか、手抜きっぽい作りだね。
そんで、LRCのらるちーVB5版がまだ生きているようなのですが、これには絶対にトロイが仕込まれています。
もしくはぼくのパソコンがよっぽど特殊でらるちーに対して拒絶反応を引き起こしているのか?そんなわけないっちゅーの。
猫の鳴き声のような、まるちの「うぐぅ〜」と叫ぶ声が聴こえた時点でそのPCはトロイにやられてます。
これやられたらまじでこっちが泣くっての!すでにぼくの友人が一人還らぬ人となりました。ちーん。誰か助けてー。
 www2.lint.ne.jp/~lrc/fi_archiver.htm#raruty




33名無しさん :2000/09/23(土) 01:31
>ブートセクタ潜伏型ウイルス
FDISKで駆除できるっつーの。

34>あほ :2000/09/23(土) 02:30
あんまり嘘ばっかりつくなよ。。。
すごい迷惑掛けてるぞ。

35やられたぁ :2000/09/24(日) 00:44
>34 あほは無いだろ。こっちは意図的に嘘をつく積もりは全然無いんだよ。試しにLRCに置いてあるらるちーをDLして実行してみな。
文句を垂れるならそれくらいやってからにしろっての。
>33 どうやって?ブートセクタをいじったらPCが起動しなくなるんじゃないの?
それから、普通のらるちーは392キロバイトでLRCのらるちーは390キロバイトでした。このサイズの違いをどう説明するんだよ。
ええい、もう直リンじゃあ!落とせるもんなら、落としてみなー。
 http://www2.lint.ne.jp/~lrc/fi_archiver.htm#raruty




36名無しさんといつまでも一緒 :2000/09/24(日) 01:50
390キロバイトバージョン
RarUty.txt 2,762 00/04/07 23:26:02
RarUty.exe 353,280 00/04/07 22:04:16
RarUty.hlp 60,652 00/04/07 23:02:34
RarUty.cnt 356 00/04/07 23:02:30

392キロバイトバージョン
RarUty.txt 3,515 00/06/02 19:53:50
RarUty.exe 353,792 00/06/02 19:29:20
RarUty.hlp 61,255 00/06/02 19:51:44
RarUty.cnt 356 00/06/02 19:51:40

このサイズの違いって・・・

37名無しさんといつまでも一緒 :2000/09/24(日) 02:07
390キロバイトバージョン
RarUty.txt 2,762 00/04/07 23:26:02
RarUty.exe 353,280 00/04/07 22:04:16
RarUty.hlp 60,652 00/04/07 23:02:34
RarUty.cnt 356 00/04/07 23:02:30

392キロバイトバージョン
RarUty.txt 3,515 00/06/02 19:53:50
RarUty.exe 353,792 00/06/02 19:29:20
RarUty.hlp 61,255 00/06/02 19:51:44
RarUty.cnt 356 00/06/02 19:51:40

同じ物のはずなのにこのサイズの違いってやっぱりなのか?
サイズでかい=よけいな物がくっついているってことかな??

38名無しさんといつまでも一緒 :2000/09/24(日) 02:12
36=37
2重カキコになった
すまん

3933 :2000/09/24(日) 02:35
>どうやって?ブートセクタをいじったらPCが起動しなくなるんじゃないの?
PCが起動できなくなるって…(BIOSがあったらPCは起動するような…)
そりゃHDDからOSは起動できなくなるわな。
BIOSでブートデバイスをCD-ROMやFDとかウイルスに感染したHDよりも優先させて、
適当なOSを起動させて、そこでFDISKしたらええでしょ。

あと、ブートセクタといっても、ディスク全体の最初の部分と
パーティションの最初の部分と二種類あるな(多分)
そこら辺で、感染したパーティションだけをFDISKしただけでいいか?
というのも変わってくると思う。

40名無しさん :2000/09/24(日) 13:09
全然問題ないが…

41名無しさん@timupo :2000/09/24(日) 14:25
知り合いにサブ7冗談で送ったんだが、案の定ウィルスチェックにひっかかって
やんの(藁
でも面白いからやろ〜って話になったんだけど、俺馬鹿だから英語読めないし
適当にボタン押し捲ったら相手のパソぶっこわれちまった(藁
それでも許してくれた知り合いに感謝
結構 画面反転とか キャプチャーとか笑えた、キー操作無効とかわ笑えない
かもしんない。知り合いでお験しあれ♪

42名無しさん :2000/09/24(日) 15:15
>41
何処にあるんだ?

43名無しさん@timupo :2000/09/24(日) 15:35
>42
ん?SUB7っていったらトロイのなかではメジャーっすよ。メジャーすぎて
トロイにならないんじゃないかな?
確かフリーですからお探しあれ、なんかある場所観るのめんどくさい。
ついでにハッカー系(?)の本についてるから買ってみたら。

44  :2000/09/24(日) 15:41
http://www.p-well.co.jp/~pipichn/cgi-bin/light.cgi
○○依頼板

45名無しさん :2000/09/24(日) 15:59
>43
ありがとね。
探してみます。

46名無しさん@1周年 :2000/09/24(日) 18:30
>42
6がリンク張ってますんでそこから落とせます。


47名無しさん :2000/09/24(日) 22:53
>46
かさねがさねありがとう。

48名無しさん :2000/09/24(日) 22:54
>46
かさねがさねありがとう。

49名無し :2000/09/25(月) 04:56
sub7の使い方、わからん。。。
相手におくらないとダメなのか?そうするには何を送ればいいんだ?
マジレスきぼーん

50>49 :2000/09/25(月) 05:38
shine

51 :2000/09/25(月) 05:57
>49ネタだよな。
早く寝ろ。

52小僧 :2000/09/25(月) 06:04
人のパソコンの前に、自分のパソコンの、キーボ―ド入力の記録取るツールしりませんか?
どうしても、自分の留守中の行動が知りたい・・・


53 :2000/09/25(月) 06:06
>52最初の方意味不明。

54・・ :2000/09/25(月) 06:41
>52
KeyStrokeでLog File作成可能。

55名無しさん@1周年 :2000/09/25(月) 07:33
sub7ってもともとなんのツールなの?
バージョン色々あるけど全部やばいのかな?

56>49 :2000/09/25(月) 11:58
EditServerで環境設定しオフラインでServer起動。
netstat -aで使用ポート確認しSubSevenで127.0.0.1:portに接続。
あとはいろいろ試せ。
困ったらAlt+F4
やめた後でレジストリ&win.ini書き換えて終了。
言ってることが解らなければやめとけ。

57名無しさん@timupo :2000/09/25(月) 18:56
56> たぶんほとんどの人がわからないんじゃないかな。
初心者は知り合いと共同でセッティングして、IPを正確に打ちこんで試したほうが、
よくわかると思うよ。
これも言ってることがわからない人はやめとけ(藁

58金玉 :2000/09/25(月) 20:44
BO2kとSubSevenってどこが違うんですか?
BO2kを昔仕込んだ人のところからいまだにメールが送られてきてるんですが
止められません。指定したポートは開いていますが繋がりません。
どうしたらいいでしょう?

59a :2000/09/25(月) 20:56
http://users.skynet.be/keersmaekers/electro/smpp04.mpg

60名無しさん@1周年 :2000/09/26(火) 05:24
ハック本が売れまくっています。どうしましょう。

61RiVer :2000/09/26(火) 05:25
おい、アナキン野郎なににげてんだ?
びびってんじゃね〜よ。どこのもんなんだよ、てめ〜はよ
IRCでなめた態度とったうえ、チャンコロはしねなど、ゆったあげく
チャンコロは学歴が低いだとほざきやがった。<あっさりおとされてんじゃね〜よ
なにが #ツンツンするんだ だだぁ〜?、へんなチャンネルつくってんじゃね〜よ
おめ〜童貞の引きこもりだろ?
このオタで、引きこもりで、もてない厨房に愛の手を
HIRcc-02p16.ppp.odn.ad.jp ⇔これってどこの地域なのかな?

62名無しさん@1周年 :2000/09/26(火) 05:27
>61


63名無しさん@1周年 :2000/09/26(火) 06:16
>>61
62と同じく?なんだけど、
>HIRcc-02p16.ppp.odn.ad.jp ⇔これってどこの地域なのかな?
は広島のODNだよ。俺もそうだから、確実。


64名無しさん@1周年 :2000/09/26(火) 06:25
あのですね〜相談があるんですが、先日
http://enokun.ug.to/tool4/haktekj.lzh
これを落としたんですね。興味本位で。それで
僕はお金が無いから、いつもトレンドマイクロの
オンラインスキャンを使ってるんですが、上で落とし
たやつがひっかっかったんですよ。解凍してEXEファイルを
実行したんですが、上のLHZの圧縮ファイルしか引っかからな
くて、それを削除して、またオンラインスキャンをしたら
もうウィルスは見つからなかったのですが、解凍してEXEファイルを
実行したのに見つからなかったという事は大丈夫なのでしょうか?
誰か教えてください。お願いします。m(_ _)m


65名無しさん@1周年 :2000/09/26(火) 07:07
大丈夫。
スキャンって意外と当てにならないから。
ただ、基本的には、スキャンはあくまでも
判断の予備道具ぐらいにした方が吉。
つーか、ウィルス対策ソフトぐらい買え。


66小僧 :2000/09/26(火) 13:48
>54さんありがとう
でもKeyStrokeってなに??


67KuRaGe :2000/09/26(火) 14:12
>キーストロークとは。
相手が打ったキーのログをとっておく奴のことだ。

68KuRaGe :2000/09/26(火) 14:16
ん。DPtrojanなるものをこの間拾ってきた。
トロイはviagra.exe
おっさんの驚嘆の声とともにアイコンが勃起する。

レジストリにボリッと食い込むわけでないので削除は比較的楽。
つうか、VBのトロイは珍しいです。
AcidShiverもVBだったな。

いっつもみんなDelphi~~☆ミ
come.to/skatan(今はない
ベースだからね。

69dd :2000/09/26(火) 20:17
KuRaGeさんって有名な菌収集家の方?

7064 :2000/09/27(水) 03:03
>>65さん
ありがとうございました。っていうことはこのままでいんですよね?
ありがとうございました〜。

71雅子 :2000/09/27(水) 09:01
http://clubmania.office-server.co.jp/jet/
http://clubmania.office-server.co.jp/jet/index2.html


72小僧 :2000/09/28(木) 05:56
ネット関係無しに自分のマシンのログを取りたい。
起動から終了まで・・・。
正確に言うと、数人で一台のPCを使ってるんですけど、
どうしても、自分以外の奴のPASSを盗みたい・・・。
たとえば、ヤフーメールのPASSとか・・・。
俺がいない間、どんなことやっているのか?とか・・・。
そんなツールあります??

73名無しさん@1周年 :2000/09/28(木) 08:16
>72
そんなの簡単。
ただし、バレたら始末書では済まない可能性もあるので、
簡単だと思ってなめない方が良いとは思う。


74名無しさん@初級ネットワーカー :2000/09/29(金) 07:17
>72
PCの傍らに監視カメラをセット!
これでOK ъ( ゚ー^)

75やられた :2000/09/29(金) 08:24
W32.HLLW.Qaz.A
っていうウイルスに感染したんですけど、もう進入されてるんでしょうか?
調べる方法とかってありますか?もうウイルスは削除済みなんですが、。
メールで送りつけられてexeは起動してないんですが触れただけで感染してしまいました。
感染時間は数時間といったところなんですが、この間にHDDの情報を抜くことは
可能ですか?ご存じの方教えて下さい。
お願いします。びびってます。

76名無しさん@1周年 :2000/09/30(土) 01:23
え?
まじ?
触れただけで感染なんてあるの?

77名無しさん@1周年 :2000/09/30(土) 01:31
触れただけ(一クリック)で起動するようにWinodowsが設定してあるという
オチでな(´ー`)y-~~

7875 :2000/09/30(土) 02:09
>76.77
感染しましたよ。プロパティは見ましたけど。
なんならexeいります?


7976 :2000/09/30(土) 03:02
>78
うーむ。普通に考えたら実行しない限り感染はしないと
思うんですけどねぇ。ってことでアップきぼーんです。
スタンドアローンのマシンがあるんでそれで試してみます。
んだけどそのマシンにどうやって移動させるかが問題。
DOS窓でやればいいのかね(笑)

8075 :2000/09/30(土) 03:46
>79
ごめんなさい。。安易に「いります?」とか言ってしまいましたが
感染するとLAN全部に回っちゃうので出来ればupは避けたいのですが。。
しかもココで公表すると被害者が増えそうなので。。
めちゃめちゃ言い訳がましくてごめんなさい。

>普通に考えたら実行しない限り感染はしないと思うんですけどねぇ。
私もそう思ってました。


8175 :2000/09/30(土) 04:24
前言撤回。
只今、再感染していたので、もし本当にご希望でしたらアップします。
送りつけられたメールを後生大事にとっておいたら、知らない間にまた感染してました。
こんなの初めて。

82名無しさん :2000/09/30(土) 06:11
ぜひアプして下さい。
知りたいもん。

83名無しさん@1周年 :2000/09/30(土) 06:53
もしくはメールで送ってください。
必要とあらばアド書きます

8475=81 :2000/09/30(土) 07:16
了解しました。アプだと悪用されると嫌なのでメルでいいですか?


85 :2000/09/30(土) 08:33
文字山

86名無しさん@1周年 :2000/09/30(土) 09:47
>75
ケーブルのLANでも、感染するようです。
プロバイダから次のようなメールが送られてきました。

○ 「不正アクセス」ウィルス対策のお知らせ

 最近、システム終了時に「他のユーザーが1名接続しています。終了しますか。
 終了すれば 接続が切れます。」といったメッセージが出るなどの、お問い合わせが
 多くあります。
 これは、ウイルス「TROJ_QAZ.A」に感染している可能性があります。
 皆様のPCが踏み台とされて、ウイルスをばらまく事となってしまいます。
 このウィルスに感染されている場合、ウィルス駆除ソフト等での駆除を行って
 いただきますようお願いします。

私も2度感染した。

87kei :2000/09/30(土) 10:46
>75
メールで送って下さい。

8875 :2000/09/30(土) 11:12
>87
ユーザーアンノウンになりましたが・・?

89木村 :2000/09/30(土) 22:44
83の木村です。メアド記載しました
ぜひよろしくお願いします。<m(__)m>

90まんこまん :2000/09/30(土) 22:48
OE使うから感染するんじゃないの?

91kei :2000/09/30(土) 22:51
>88
失礼しました。繋がるようになりましたので、よろしくお願いいたします。

92送り主=84 :2000/09/30(土) 23:24
>89 91
お送りしました。削除方法も記載しておきましたので。

>90
私も、その通りだと思いました。OEにメールがあっただけで再発しましたから。


93  :2000/09/30(土) 23:33
つーか 良く考た果てにOEを愛用してる人っている??
変えるのが面倒とかってのが大半だと思うけど。

94kei :2000/10/01(日) 00:13
>92
お手数をおかけして申し訳ございません。メール・アドレスを間違えておりました。

95  :2000/10/01(日) 01:49
http://www.ocn.ad.jp/abuse/20000929.html
これかな

96送り主=84 :2000/10/01(日) 01:57
>94
はい、送りました。結果報告よろしくお願いします。

97  :2000/10/01(日) 08:20
おい!送り主=84
おまえ、相手がメルで送れって言ったからって、ウィルス添付したメールを
簡単に送るんじゃねぇよ。騙りだったらどーすんだ?
別に89や94がどうのこうのという事ではないけどな。


9884 :2000/10/01(日) 11:26
>97
はぁ、念のため「このメールに覚えがなければ即刻削除してください」
と書いておきました。。圧縮しておいたので自動発火することはないと思うんで。。
騙りの可能性も頭をよぎりましたが。。。
しかし結果的に…レスがないってことは…騙りだったか。。。
ごめんね、送っちゃった人。

99木村 :2000/10/01(日) 12:20
いえ、送っていただいてありがとうございました。
ただ、ちょっと実際どうしようか、考えあぐねてまして、
返信が送れてまして、申し訳ないです。


100kei :2000/10/01(日) 13:27
>98
レスが遅れてすみませんでした。今、出先から戻りました。
送っていただき、ありがとうございました。
システム関係に詳しいわけではないのですが、本社及び出張所のシステム関係も担当しています。
これまでは、ウイルスバスターのコーポレイト・エディションの他、各種市販のアンチ・ウィルスソフトも部署、出張所ごとに使用してきました。
しかし、最近、ウィルスに感染する事故が多発しているため、1,2種類のソフトに統一しようと検討中です。
各ソフト会社にお願いしていろいろ資料を集め、インターネットからも情報収集しましたが、いまいち、各ソフトの能力が実感できませんでした。
そのため、各ソフトの能力を自分なりに検証してみようと考え、ウィルスの送付をお願いした次第です。
結果として、ご迷惑をおかけし、又、他の方々にも不快感や不安をお詫びいたします。

嶌田 圭

101送り主 :2000/10/01(日) 14:07
とりあえず(騙りは)大丈夫だったと思ってよいのでしょうか?

>木村さん
責任は持てませんのが、捨てるなりなんなりご自由にどうぞ。

>keiさん
>各ソフトの能力が実感できませんでした。
その通りだと思います。このトロイも感染・発症後に初めてチェックに
ひっかかりました。(ソフト駆除は不可だった
明らかにあやしいファイル名だったので、ノートンをアップデート後
exeをスキャンしましたが、素通りでした。(私の場合)
あっけなく感染した私が言える事じゃありませんが、
検知ソフト以外でのセキュリティが必要だと思います。



102名無しさん@1周年 :2000/10/01(日) 20:59
ちょっとまった嶌田 圭さんよ

企業なら感染力の無い検体がベンダから入手できるのに
こんなとこでそんなことやってるなんて、イカレてるとしか
思えないなあ。NortonAntiVirusE.S.の場合、Virusを発見しても
ユーザに告知することなく駆除する機能がDefaultだったと思うけど
それと素通り(スルー)はユーザでは区別つきにくいと思ったりもします。



103名無しさん@1周年 :2000/10/01(日) 21:08
上の続き
メールサーバでサーバ用ウイルス駆除ソフト(インタースキャンなど)
を実行し、クライアントサイドのソフトは別会社のものを使います。
同じスキャンエンジンだとサーバでスルーしたものが検知できない
可能性があるためです。それでも、ウイルスが発動すると一度に何千通
ものメールが動くため、サーバ側の検出可能な閾値を越えてしまうこと
もあり、ユーザまで到達することも稀にあります。クライアントで検出
された場合は、どのように処理するのかマニュアル化、またその啓蒙が
重要です。仕掛けだけに頼っていると本当に新種が出た場合、甚大な
被害につながります。以上 某メーカーの管理者の呟きでした。

104  :2000/10/02(月) 03:36
そういうのって社員とかが仕込んだりしてないのかな?

105おいおい・・・・ :2000/10/05(木) 00:46
これマジだ!!!!

8 名前: ブッチモニ 投稿日: 2000/10/04(水) 00:26

某所より転載

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
これからトロイを撒きます。
ICQ ID 93260327 PWD 4400111
自動的に通知がきます。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

ほんまかいな?


106 :2000/10/08(日) 13:39
>102>企業なら感染力の無い検体がベンダから入手できるのに
ベンダから提供されるのはすでに対策済みのものなので
なま物を通してみないと分からないってことはあります

107名無しさん :2000/10/08(日) 14:15
自分の環境はCATVネットで
ウィルスバスター2001をインストしてる
パーソナルファイヤーウォールのログを見ると

ウイルスバスター2001 ログ リスト
時刻|侵入活動|プロトコル|送信元IPアドレス|送信先IPアドレス|送信元ポート|送信先
ポート|TCPコントロールビット

21:49:02|出力|TCP|xxx.xx.x.xxx←自分のIP|xxx.xxx.xxx.x←見知らぬIP|1243|80|
0x2

↑のような
ログが毎日のように残ってるんですけど。これはどういうことでしょうか?
自分がインターネットしているときしかこのようなログは残らなくて
PCにファイルのダウンロードだけをさせているとき時などはログが残ってないです
しかし、ウィルスバスター2001は常駐させてるんですけど。
昨日ウィルスバスターで検索しましたが、何も検出されませんでした
これってトロイに感染してるのでしょうか?

108名無しさん@1周年 :2000/10/08(日) 15:55
その見知らぬIPってどんなのなのさ。

109107 :2000/10/08(日) 16:05
>>108
IPドメインサーチすると株式会社〜〜〜というのが出てきました
netstat -aをしましたが特にぁゃιぃポートは開いてませんでした

110trojaner :2000/10/08(日) 21:18
rootkitつかえばPortなんかいくらでも誤魔化せるよ。
今の主流はWebのバグを利用した仕込みだから、一番の解決法はJAVA等切っとくことだね。
添付けで仕込まれるような馬鹿はいないだろうけど..

111107 :2000/10/08(日) 21:55
結局わたしは安全なんでしょうか?

112107 :2000/10/08(日) 22:26
ウイルスバスター2001 ログ リスト
時刻|侵入活動|プロトコル|送信元IPアドレス|送信先IPアドレス|送信元ポート|送信先ポート|TCPコントロールビット
22:15:58|出力|TCP|xxx.xx.x.xxx←自IP|xxx.xxx.xxx.x|1243|80|0x2

↑のようなログがまた残ってます。
調べるとポート1243はSubSevenのポートのようなんですが・・・

113trojaner :2000/10/08(日) 23:46
sub7のPortのデフォルト値は27374です。
VB2001のPortDateBaseにはTroyのデフォルト値が登録されていると
思われるのでそれは多分違います。それに最新の定義を更新していれ
ばSUB7だったら確実引っかかります。
多分それは馬ではなく、他のネットワークサービスプログラムがポート
をlistenしてると考えるのが妥当かと思います。

114 :2000/10/09(月) 00:59
>107自分もウイルスバスター2001なんですけど、侵入活動のところが、入力になってるんですけど大丈夫でしょうか?

115名無しさん@1周年 :2000/10/09(月) 15:45
>107
ポート1024以上(ワイルドカードポート)から80(www)へのTCP接続。
ごくふつうのwebアクセス。なんの心配もなし。


116107 :2000/10/09(月) 17:40
>>113
>>115
二人ともありがとうございます。
これで安心してネットが出来ます。

117TROJ_QAZ.A :2000/10/09(月) 17:42
QAZ.TROJAN, W32.HLLW.Qaz.A, NOTEPAD.Trojanとろ〜いの名前
これはネットワークワームの特性を持ったサーバー=クライアント型の
ハッキングツールです。サーバープログラムとクライアントプログラムに分かれており、
サーバープログラムはトロイの木馬としてマシンのシステムに潜入します。
サーバープログラムが潜入したPCはクライアントプログラムを使用してリモート操作を行うことができます。
このようなハッキングツールを一般に「バックドア型」と呼びます。
他のファイルへの感染活動は行いませんがネットワークを介して自分のコピーを増殖させるワーム的活動を行います。


118TROJ_QAZ.A :2000/10/09(月) 17:42
このハッキングツールのサーバープログラムが起動されるとWindowsのレジストリに以下のキーを登録し、システム起動時に自分が自動起動されるように設定を行います。

 場所: \HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
 値: startIE=<サーバープログラムが起動されたディレクトリ> \notepad.exe qazwsx.hsq

 この改変後にシステムが再起動されサーバープログラムが自動起動されると、以下のシステム改変を行います:

1)Windowsフォルダ(デフォルトではc: \windows \notepad.exe)のノートパッドのファイル"notepad.exe"を"note.com"にリネームします。
2)自分のコピーをWindowsフォルダに"notepad.exe"のファイル名で作成します。

 

119TROJ_QAZ.A :2000/10/09(月) 17:42
これにより、ユーザーがノートパッドを使用すると代わりにサーバープログラムが起動されることになります。サーバープログラムは自分が起動されたあとノートパッドを呼びだして起動するのでユーザーはこのシステム改変に気付きません。このようなシステム改変方法を一般に「コンパニオン型」と呼びます。
 また、ローカルネットワークの共有フォルダを検索し、フルアクセス可能な共有フォルダに"notepad.exe"が存在した場合も同様にリネームして自分のコピーを作成します。したがってローカルネットワーク内でWindowsフォルダをフルアクセスで共有にしているマシンはすべてにシステム改変を受けます。

 

120TROJ_QAZ.A :2000/10/09(月) 17:42
サーバープログラムは起動後タスクに常駐し、ポート7597を監視してクライアントプログラムからの接続を待ちます。ハッカーはクライアントプログラムを使用することによってサーバープログラムが常駐中のマシンをリモートコントロールできます。
備考: このハッキングツールは2000年8月9日前後にWeb、インターネットニュースグループ、IRCなどで大量に配布されているのが確認されました。配布されたオリジナルは"notepad.exe"のファイル名ですがファイル名は変更されても動作します。

121TROJ_QAZ.A :2000/10/09(月) 17:43
・手動削除手順:

1)不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(REGEDIT.EXE)を使用してレジストリから以下のキーエントリを削除してください。

 場所: \HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
 値: startIE=<サーバープログラムが起動されたディレクトリ> \notepad.exe qazwsx.hsq

2)エクスプローラなどでWindowsフォルダ内を検索し、"note.com"が存在するか確認します。存在した場合はシステムが改変されていますのでWindowsフォルダ内の"notepad.exe"を削除し、残った"note.com"ファイルを"notepad.exe"にリネームしてください。

3)マシンを再起動し、発見したファイルをすべて削除してください。



122a :2000/10/09(月) 17:54
http://members.fortunecity.com/medmic/vid/monica4.mpg

123a :2000/10/09(月) 17:55
http://members.aol.com/someslack/sseeww/Jenna_J_fire01_DivX.avi
http://members.aol.com/strangerange/here2929/Jenna_J_fire02_DivX.avi
http://members.aol.com/mrstar2k/wweess/Jenna_J_fire03_DivX.avi
http://members.aol.com/latersator/yayarace/Jenna_J_fire04_DivX.avi
http://members.aol.com/matterfatter/wazup/Jenna_J_fire05_DivX.avi
http://members.aol.com/saynomorejoe/vvff/Jenna_J_fire06_DivX.avi



124a :2000/10/09(月) 18:17
http://195.154.210.38/fdunant/MariaCheca4.mpeg
http://195.154.210.38/fdunant/n2s3d/Carmen_and_Carla_Morrel.mpeg



125ルイ :2000/10/09(月) 18:50
121に補足
>\HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
プラス、Run-,RunOnce,RunOnceEX,RunServies,RunServies-,RunServiesOnceの怪しいエントリを調べること。
調べ終わったらDosModeにて再起動、そして format c:\


126名無しさん@そうだ選挙にいこう :2000/10/10(火) 01:49
ウイルスバスター2001のシリアルおせーて!!

127ウイルスバスター :2000/10/10(火) 02:50
>126
ひろゆきにメール送りました。
今まで楽しかったですか?さようなら

128Reget1.7 :2000/10/12(木) 01:50
Reget1.7使用している環境でウィルスバスター2001を
最新のにしたら"TROJ_TSADBOT"に感染していると言われました。
マトリックスの変形かと思ったら、「CONDUCENT TECHNOLOGIES」社
が作成した広告用プログラムでスパイウェアだという話です。
どんな情報が漏れてたんでしょ?
Regetってつかえねーってことになるんでしょうか。

129@@ハァ〜ハァ〜 :2000/10/12(木) 06:19
>128
りゲット1.7は最新です。
気にする事はないよ。仕様ですから。


130名前をいれてちょ :2000/10/12(木) 13:28
netstat -aを実行して見るのは
Local AdressとForeign Adressのポートのどちらを見ればいいでしょうか?
どなたかお願いします

131timpo :2000/10/12(木) 14:00
昔のトロイ戦争の話だな。
孤島トロイを攻めあぐめていたギリシアはトロイに兵を満載した木馬を送ったんだ。
それに兵が入ってるとも知らず、トロイの人々はそれを幸福の証だと思って喜んでたんだ。
すると夜になり、木馬から兵がうじゃじゃ出てきてトロイは戦争に破れたんだ。

132128 :2000/10/12(木) 20:56
>129
ありがと。
でもVB2001がウィルスだって言い張ってうるさいから
Regetはやめにしたよ。

133 :2000/10/12(木) 22:11
>128私も128さんと同じウイルスに感染しました。
Regetだったのか・・・・。
Regetはやめたほうがいいんですか?
あと、ウイルス駆除できなかったのですが、どうすればいいでしょう?


134>133 :2000/10/12(木) 22:23
c:\profram files\TimeSink (フォルダ名うろ覚え)
をファイルごとあぼーん。
システム設定ユーティリティー→スタートアップで
tsadbot.exe(TimeSink Ad Client)がチェックされているだろうから、
このチェックもはずす。


135ななしこなでしこ :2000/10/13(金) 03:55
Regetには不正シリアルを使ってレジストしてないか
監視するためのトロイが入ってるよ。

136名無しさん@1周年 :2000/10/13(金) 05:09
mobmanは生きているのか?

137ウイルス監視ソフトを常駐させる奴は素人 :2000/10/13(金) 12:28
ウイルス監視ソフトを常駐させる奴は素人

138名無しさん@そうだ選挙にいこう :2000/10/13(金) 15:41
>137
ウイルス監視ソフトを常駐させてない奴は玄人
なわけ?(大藁




139あっくん :2000/10/13(金) 19:45
まず論理というものから勉強しなおしてね。>>138

140論理を勉強しました :2000/10/13(金) 20:24
0+0=0 0×0=0
0+1=1 0×1=0
1+0=1 1×0=0
1+1=1 1×1=1
それで?


141名無しさん :2000/10/13(金) 20:27
論理=2進数と思ってる奴もいるのか、、
論理和、論理積、否定などのことな。

142128=134 :2000/10/13(金) 20:27
一応訂正
ファイル→フォルダ

スマソ

143名無しさん :2000/10/13(金) 20:28
対偶、逆、裏もな。逆、裏は必ずしも真じゃない。

144ななし :2000/10/14(土) 00:32
スレッド違いですみません。
メールボムの送り方を教えて下さい。
パソコンのメールに悪戯メールが沢山来て困っています。

145名無しさん@1周年 :2000/10/14(土) 02:40
>>143
>対偶、逆、裏もな。逆、裏は必ずしも真じゃない。
必ずしも真偽が一致しないだろ?



146>144 :2000/10/14(土) 11:21
悪いこといわねえからやめとけよ。
中途半端な知識でそんなことしたって自分が損するだけだよ。

147名無しさん@そうだ選挙にいこう :2000/10/14(土) 11:35
>144
敵バイダに訴えられるぞ。
素直にメッセージルールで即削除に設定しなさい。

148a :2000/10/14(土) 15:12
http://i10.yimg.com/10/b4e3da10/h/9b65be84/tango_trinity-milk.mpg.001
http://i10.yimg.com/10/b4e3da10/h/d51cd231/tango_trinity-milk.mpg.002
http://i10.yimg.com/10/b4e3da10/h/2d7438fa/tango_trinity-milk.mpg.003
http://i10.yimg.com/10/e25117c7/h/30ca7aba/tango_trinity-milk.mpg.004
http://i10.yimg.com/10/e25117c7/h/2ec3ec08/tango_trinity-milk.mpg.005
http://i10.yimg.com/10/e25117c7/h/d1902a3f/tango_trinity-milk.mpg.006
http://i10.yimg.com/10/e25117c7/h/fefdf152/tango_trinity-milk.mpg.007
http://i10.yimg.com/10/e25117c7/h/4b94c1e7/tango_trinity-milk.mpg.008
http://if.yimg.com/f/9f3311ed/h/97641200/tango_trinity-milk.mpg.009
http://if.yimg.com/f/9f3311ed/h/b7b8e681/tango_trinity-milk.mpg.010
http://if.yimg.com/f/9f3311ed/h/e81b0d56/tango_trinity-milk.mpg.011
http://if.yimg.com/f/9f3311ed/h/6d2e712f/tango_trinity-milk.mpg.012

巨乳(各5M弱 Total 194M)
http://i10.yimg.com/10/e0b0806c/h/7f2addf7/tango_letha-sna_01a.mpg
http://i10.yimg.com/10/e0b0806c/h/1299f7ce/tango_letha-sna_01b.mpg
http://i10.yimg.com/10/e0b0806c/h/8240793d/tango_letha-sna_01c.mpg
http://i10.yimg.com/10/e0b0806c/h/f9ce89d5/tango_letha-sna_01d.mpg
http://i10.yimg.com/10/e0b0806c/h/33c93b5d/tango_letha-sna_01e.mpg
http://i10.yimg.com/10/ce3f22fc/h/cf8b1334/tango_letha-sna_01f.mpg
http://i10.yimg.com/10/ce3f22fc/h/ac8add57/tango_letha-sna_01g.mpg
http://i10.yimg.com/10/ce3f22fc/h/625d8ea5/tango_letha-sna_01h.mpg
http://i10.yimg.com/10/ce3f22fc/h/ebb6fe01/tango_letha-sna_02a.mpg
http://i10.yimg.com/10/ce3f22fc/h/3fdc84cd/tango_letha-sna_02b.mpg
http://i10.yimg.com/10/5ba721ef/h/43de7531/tango_letha-sna_02c.mpg
http://i10.yimg.com/10/5ba721ef/h/5a3e28ba/tango_letha-sna_02d.mpg

149名無しさん@1周年 :2000/10/14(土) 17:17
ちくしょ〜俺もTROJ_QAZにやられた!!
メモ帳(notepad)が常駐してたら要注意!!!!!!!

150 :2000/10/15(日) 03:13
ReGetのTROJ_TSADBOT注意報。

151千葉賢人 :2000/10/15(日) 04:12
以外にまとまな奴がいっぱいいるスレだなー。

152関連付け :2000/10/15(日) 04:53
ReGetでトロイに感染
http://saki.2ch.net/test/read.cgi?bbs=news&key=971539231

これと同じ>>128


153若葉名無しさん :2000/10/15(日) 13:10
http://kame.tadaima.com/2ch/

154149 :2000/10/15(日) 17:56
ちくしょ〜TSADBOTにもやられてた!!
しかもウイルスバスター98は検出しないし
Regetに要注意!!!!!!!


155名無しさん@いたづらはいやづら :2000/10/24(火) 18:34
気を付けます

156名無しさん@いたづらはいやづら :2000/10/24(火) 18:36
http://www.interquick.co.jp/

157名無しさん@いたづらはいやづら :2000/10/25(水) 07:51
http://www.interquick.co.jp/


158確率変動名無しさん :2000/10/26(木) 19:45
↑なにこれ??

159名無しさん@いたづらはいやづら :2000/10/28(土) 00:21
トロイってサーバーの設定するときに自分にも感染してるんですか?



160名無しさん@いたづらはいやづら :2000/10/28(土) 01:58
自分にサーバーの方入れてるのか?(;´Д`)

161159 :2000/10/29(日) 06:29
いいえ、、、Back Orifice200はbo2kcfg.exeを起動してのサーバーの設定を
するみたいなんですが
このbo2kcfg.exeもウイルスバスターで見てみると感染してるみたいなんで。

162名無しさん@いたづらはいやづら :2000/10/29(日) 20:40
atarimaedaro boke!

163>162 :2000/10/29(日) 23:14
ターゲットのpcで設定するの?

164若葉名無しさん :2000/10/30(月) 06:57
くらげ呼んでくればワラ
つーか、あいつ死んだのかなワラ


165名無しさん@1周年 :2000/10/30(月) 07:12
>161
SUBSEVENなんかでもそうだけど、トロイの設定するファイル
も感染してるって出るんだよ。


166名無しさん@いたづらはいやづら :2000/10/30(月) 20:04
トロイの木馬を使えば、ODIGOでナンパしてくるしつこい
馬鹿のPCを落とせます???

167名無しさん@1周年 :2000/10/30(月) 20:12
warezが入手できるところ
WinAppli(warez)・WinGame・mp3(邦楽やアニメ)・EmuROM、アダルト動画、同人などがたくさんある。
http://e.ug.to/cgi-bin/ipbbs.cgi Please Tell me your IP
http://hyper1.amuser-net.ne.jp/~present2/usr/unity/brd1/dengon.cgi FREE FTP!!
http://neo.zipang.ne.jp/cgi-bin/home?osaka03/43 有得亜事


168名無しさん :2000/10/30(月) 22:46
スレが違ったらごめんなさい。
どうやらPCがウイルスに感染したみたいです。
私の送るメールに必ず添付ファイルが一緒についているらしく、
それを開けると送った人にも感染するらしいです。
また、ウイルス関係のHPを見ようとすると強制終了されます。
有名なウイルスなんでしょうか??どうすれば直るのでしょう??
教えて下さい。お願いします。

169161 :2000/10/31(火) 00:08
165さんありがとう。

170名無しさん@いたづらはいやづら :2000/10/31(火) 01:21
>166
落としたらつまらねーだろ(藁

171名無しさん@いたづらはいやづら :2000/10/31(火) 01:54
>>168
MTXじゃないの?
ウイルス駆除ソフトで駆除できるけど完全には無理かも。
http://www.qr.cas.uec.ac.jp/~anti/info/data/W32-MTX.html
参考までに

172名無しさん@いたづらはいやづら :2000/10/31(火) 02:03
BOとかNetBusってウィルスチェックに引っかかるけど
あれって性質上仕方ないもんなの?
それとも誰かが仕込んで配布してんの?


173>>172 :2000/10/31(火) 06:26
あほですか?

174165 :2000/10/31(火) 19:42
161とか172とか、その程度の知識ならそういうツール使うの
やめといた方がいいですよ。ヘタにシロウトが使うと逆に攻撃
されちゃいますよ。
もう少し勉強してから、そういうツールは使おうね。


175だから大人って嫌い :2000/11/02(木) 05:33
RarUtyに本当にトロイあるの?
ずっと使っててすばらしいソフトだと作者を尊敬すらしてたのに。
作者でない人がウイルス入りの別ファイルに置き換えてアップすることなどは可能なんだろうか。
やっぱり本人が仕込んだんだろうか。
使い続けるの不安になってきた。


176名無しさん@いたづらはいやづら :2000/11/03(金) 06:01
>>175
可能どころか、大体そうじゃねぇかよ。。

177名無しさん@いたづらはいやづら :2000/11/03(金) 11:50
大体本家サイトがしっかりと存在しているのに
それとは別にアップしていることにおまえは不信感を抱かないのか?