※ウィルス※ Windows Live Messenger で感染!?

1 ：Steam：2007/07/30(月) 16:20:01

Windows Live Messenger の知人リスト宛に、メッセンジャーの会話ウィンドウを利用したファイル転送でアヤシいファイル(***.scr)を送りつけてくるウィルスが流行っているようです。

友人の会社では、社内連絡の一手段として Windows Live Messenger を利用しているのですが、あっという間に感染拡大してしまったようです。
感染源は上海の工場という話もあります。
ファイルの受信を拒否、または、受信したファイルを解凍しない(zip形式になっている)、または、解凍してもスクリーンセーバーを実行しない、とすれば感染はしないようです。

2007/07/30 現在、Symantec ではなんのアラートも発していません。
ウィルスとして検出できません。

933 ：名無し~3.EXE：2008/12/27(土) 09:15:46

>>932
うん、えっと、とりあえずだ
そんな話もしない知り合いに自分の画像渡すなっ！
吹いたじゃねーかｗｗｗ

934 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 09:49:49

MicroSoftの返答 今朝の9:28。OneCareなら「ssqOHYSJ.dll」以外消せるかも。
他にも未知のもの落とされてる可能性があるので、やっぱりOS再インストールが最適解。

20081226.zip [Container]
+---IMG455.jpg-www.photo.com [VirTool:Win32/CeeInject.gen!J]
+---(SfxCab) [VirTool:Win32/CeeInject.gen!J]
+---imgs.exe [VirTool:Win32/CeeInject.gen!J]
+---ssqOHYSJ.dll [Changes to detection currently undergoing testing]
+---spc.exe [Trojan:Win32/AgentBypass.gen!I]
+---awtTjgHy.dll [Trojan:Win32/Vundo.gen!C]
+---cbXQgfcb.dll [Trojan:Win32/Vundo.gen!C]
+---ewulmrrn.dll [Trojan:Win32/Vundo.gen!Y]
+---InstallAVg_770522156649.exe [Trojan:Win32/FakeXPA]
+---xxywWpoo.dll [Trojan:Win32/Vundo.D]

935 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:04:43

ssqOHYSJ.dllに関しては、ウィルス本体に使用されるライブラリで、
それ自体はウィルス的活動をせず、実害はないのかもね。

936 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:22:04

本体削除、バスター、OneCareでスキャン
正常っぽい状態に復帰したけど、ネット接続切ってると
知らんタスク（バックグラウンド）がオフライン作業or再接続を聞いてきた　orz


あきらめて再インスコ　やっとオワタ

937 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 10:24:00

クリーンインストールなんか30分で終わるな。
64bit Windows Vista HomePremium SP1で

938 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:02:22

バックアップとってＯＳ入れなおそうと思うんだけど
このウイルスＵＳＢ感染とかした例ありますか？

939 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:07:41

>>933
占い好きなやつからだったし、おれのメッセアドで占ったかと思った。
いきなりURL出すようなウィルスみたいな奴だから、開いた。

たぶん今回引っ掛かった人はほとんどがウィルスが出回ってることを知ってた人だと思う。
状況によっては油断するもんだよ。
自分は絶対感染しないとか思わないで明日は我が身と思うべきだなと思う。

940 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:08:22

明け方にも書いたけど、もう少し簡単に詳しく

セーフモードでスキャンかけると、システムに掴かませて削除出来ないウイルスが削除出来る可能性が高い

他の自己複製型ウイルスもこのタイプのものが多く、マカフィーの公式でも、このタイプはセーフでスキャンすれば隔離出来ると書いてあったとおもう

それとは別にアクティブにならないと検出されにくい物もあるので、こちらは通常起動でスキャンしたほうがいいかも

セーフして自己複製型消してからが一番手早いさばき方と推測してるど、一部消えない＆鬼沸きな人はこの手順で試してみて

最後にワクチン配布されたらウイルス全部消えていても実行すれば、不要に書き込まれたレジストリを戻してもらえるかもしれない

941 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:30:50

アドレスとファイル名であからさますぎな時点で絶対に引っかからないなｗ
さすがにこれに引っかかるやつはどうかしてる。

942 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:36:53

引っ掛かるひっかからない言ってるやつはここからカエレ。人間誰にでも間違えはあるんだよ。あんたみたいないっつも家に引き込もってパソやってるやつはそりゃひっかからないだろうな(笑)

943 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:36:55

そんなにあからさまか？

944 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:43:59

>>941みたいなのがいっぱいいるから専門家は奔走するんだよな
こういう手合いはウィルス感染して撒き散らしていることにまったく気づかない

945 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 11:59:08

ssqOHYSJ.dllの検索結果 2 件中 1 - 2 件目 (0.07 秒)

946 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:01:52

imgs、fxstallerのexe削除、sys32内のランダム生成dllも消した
レジストリも掃除した

なのになぜか自動更新の警告が未だに出てくる

947 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:08:09

年末だから気をつけないと第二第三の…。

948 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:08:53

>>947
そうねえ・・・起動しっぱなしの人はスケジューラで更新したほうがいいね

949 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:35:44

なんか感染した自分が恥ずかしいな

950 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:44:07

メッセはずっとつけてるのに、そんなの送られてこなくて逆に寂しい。
全員に送ってるわけではないのね。

951 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:57:13

友人が感染してないのはいいことじゃないか

つか俺は同じ奴から３回届いたぜ
悪いとは思いつつ吹いた

952 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 12:57:40

C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\system32\byXPIcaY.dll",ShellPath
これはなにー？

953 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:05:08

>>951
なるほど、
ウイルス制作者→誰か　の他にも
感染者→誰か　でも移るんだもんな。

そしてﾜﾗﾀｗ

954 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:19:46

で、今回のばい菌はどんな悪さをするので？

955 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:22:20

・インチキセキュリティソフトのインスコ
・IRC-Botで遠隔操作(何でも可能)

956 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:26:06

遠隔操作…だと？あと50程で満スレ

957 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:33:24

遠隔操作というか、指令センターからの指令待ち。
https://www.ccc.go.jp/bot/

958 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 13:54:00

25日に落としたIMG〜〜.comと、たった今落としたIMG〜〜.comのファイルサイズが違うぞ！？
ウィルスのバージョンアップでもしたのかなぁ？

959 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:21:32

今年のウイルス、今年のうちに〜

960 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:23:22

年末年始は気をつけてね
http://www.antivirushell.com/2008/12/post-37.html

961 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:25:13

Aviraは土日入るとどうしようもないな
休みのおかげでまったくアップデートしない

962 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:38:06

どっかでみたO4エントリーだと思ったら今年の初め頃のVundoだった

963 ：958：2008/12/27(土) 14:42:19

IMG〜〜.comの中身が
今までは　imgs.exe　だったのが、
今回のは　myspace.exe　となっていました

不確か過ぎる情報になるが、古いタイプの物ならonecareとかだけでも対処できたっぽい（？）

964 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:45:21

>>963
ほとんど検知せず全滅の状態
ttp://www.virustotal.com/jp/analisis/c23355a77b30e86467723f2689cea033

ちなみにVTではスルーだけどPanda2009でも検出できます

965 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:53:06

OneCareで今やってるが出てくる出てくる同じ名前のやつがwこれ何時間くらいでおわるん？

966 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:54:36

>>963
またお寒い検出率。

myspace.exe(4/39)
http://www.virustotal.com/jp/analisis/afb8e49c32fb4bf3fd8d758f61e8c484

IMG455.jpg-www.photo.com(6/39)
http://www.virustotal.com/jp/analisis/9e2f3a26c0eae08fcbb3ef65ec423924

===== myspace.exe(4/39) =====
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J

===== IMG455.jpg-www.photo.com(6/39) =====
a-squared 4.0.0.73 2008.12.27 Backdoor.Rbot!IK
BitDefender 7.2 2008.12.27 MemScan:Backdoor.RBot.YBJ
GData 19 2008.12.27 MemScan:Backdoor.RBot.YBJ
Ikarus T3.1.1.45.0 2008.12.27 Backdoor.Rbot
Microsoft 1.4205 2008.12.27 VirTool:Win32/CeeInject.gen!J
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.Packed.gen (v)

967 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 14:57:02

>>966
GDATAがカスペ捨ててBitDefenderを選ぶのはわかるような気がする
でもBitDefenderって一度スルーするとどうしようもないんだよな・・・
その後の対応にかなり時間かかる

968 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 15:45:32

ウイルス？そんなもの来ませんでした
だって、友達がいないんだもん・・・

969 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 15:51:33

なんでメッセ入れてるの？？？？？？

970 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:19:39

とりあえずOneCareでセーフモードと通常でスキャンした…これで事が治まればいいのだが…

971 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:41:08

WIN2000でもいけるのないかな…＿|￣|○

972 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:46:29

>>971
@niftyウイルスチェック(カスペエンジン)
ttp://www.nifty.com/security/vcheck/

973 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:47:10

OSの上書きインストールくらいじゃどうにもならなかった・・・

974 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:49:11

さっきPCショップでウイルス対策ソフトのとこ見てたらマカフィーがWIN2000でもいけますってあった

975 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:50:43

Spyware Doctorを使っている者なのですが
大体5分毎位に、

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Time

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Count

脅威名 - Trojan.Virtumonde
感染 - HKEY_USERS\S-1-5-21-2531736852-615379459-2095100843-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}\iexplore, Type

が出てきて困ってます。
IMG〜〜.comかかったのが26日の7時なのですが
このスレの最初から割と丹念に見て、
ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
未だに残っている状況です。

スレも最後の方なのですが、よろしくお願いしたいです・・。

976 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 16:59:43

うーむ、これ引っかかったやつは不注意すぐるぞ

977 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:03:22

感染したＨＤＤを他のＰＣでスキャンしても、完全に除去できないの？

978 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:04:11

>>973
そりゃあ、OS自体は壊れている訳でないから当たり前といえば当たり前の結果だな
根本を削除しない限りもと通りにはならんよ

979 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:04:12

971です！ありがとう！！がんばってくる!!!
お前ら大感謝だっ（ ´Д⊂

980 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:29:22

>>975

>>940を試してみて

＞ Spyware Doctorを使っている者なのですが
＞ 大体5分毎位に、
＞ ランダム生成の.dllを日付見て消したり、起動させる.exeを消したりしていたのですが
＞ 未だに残っている状況です。
＞
＞ スレも最後の方なのですが、よろしくお願いしたいです・・。

981 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:52:08

超亀だが俺も>>903と同じ症状だわ
逆に不安になる

982 ：名無しさん＠お腹いっぱい。：2008/12/27(土) 17:54:17

>>981
んー、一応クリックはしちゃった感じ？