• ウィルス問題 追加報告3
  • ウィルス感染に関する追加報告、3

    少しずつ解析を進めている訳だが、幾分素人なのであまり詳しいところまでは解析出来ていない。

    まずこのウィルスの特徴を見ておこう。

    1.アクティブXに偽装している。
    2.今の所セキュリティに引っかからない。
    3.古いノートンウィンドクターや、Glary Utilitiesなら検出・削除が可能
    4.検出される際は、無効なアクティブXや不正なレジストリエントリとして検出される。
    5.症状としては、日本語入力システムをマイクロソフトIMEに変更しようとするほか、
      ブラウザをインターネットエクスプローラーに変更しようとする。
      その際、入力を受け付けなくしたりする。
      ほかには感染したサイトの画面表示に異常が見られる。
      また解析して分かった範囲ではログインパスワードを流出させる。
    6.非常に感染力が強い(ほぼ100%感染する)
    7.感染は、既に汚染されているサイトを一定時間以上見た場合か、
      一定文字数以上の書き込みをした場合に限られる。
      (ただ、近い将来にはそのページを開いただけでも感染する様になる可能性がある)
    8.なろうだけでなく、ほかの掲示板にも感染が拡大している(既にパンデミック状態)
    9.感染に気が付かず、知らず知らずに感染を拡大している事例がかなりあると見られる。

     なお、最新の解析結果で分かってきた事がある。
    ウィルスはABファイル型で、今の所どんなセキュリティーを持ってしても検出が出来ない。
    まず、131KBのAファイルを差し込んでくる。
    これが展開されるとBファイルを呼び込んでウィルスとして活動を始める様だ。
    ただ、活動を始めるまでには時間が5~15分程度掛かる様だ。
    Aファイルは、一時ファイルの形式をしており、これが展開される条件が今の所分かっていない。
    Bファイルが呼び込まれてからどういう風に結合してアクティブXになるかも解明出来ていない。
    ただ言える事は、その際に日本語入力システムを麻痺させる事があると言うだけ、
    これは私のPCに限った事かも知れないし、他のPCで起きているかどうかは分かっていない。
    ただ、入力や、画面表示に異常が出た場合は、100%感染を疑った方が良いという話だ。
  • 2012年 04月16日 (月) 21時27分

コメント

その可能性は無くはないが、極めて低いとしか言いようがない。
それは感染方法にある訳で、このウィルスは、画面常駐型で、
一定時間以上同じ画面を見ていたり、書き込みを行ったりしない限りは感染しないという特徴がある。
私の感染は、書き込みから始まっていた。
つまり、私がこのサイトで感染した可能性の方が遙かに高い。
ただ、その後バラ撒いてしまった結果は否定出来ない。
要は感染の仕方につじつまが合わないのだ。
投稿者:酔仙  [ 2012年 04月17日 (火) 17時26分 ]
なろうのサーバーがウィルスに感染している疑いが高いという事ですが、万が一になろうがウィルスに感染しているのなら。

この場合は酔仙氏がトレントで違法ダウンロードをした時にウィルスが混じっていた為にPCが感染→ウィルス感染したPCでなろうに接続→なろうのサーバーが感染と言う事になるのでは?

余所の掲示板に行った時も同様の事が起きている所があるというのは、つまり酔仙氏がウィルスに感染したPCで彼方此方行く為に感染が広がっているという可能性もありますよね?
投稿者:盾無  [ 2012年 04月17日 (火) 17時06分 ]
トレント使ってエロビデオ違法ダウンロードして、それにウイルスがついてきたからってなろうのせいにするとは……責任転嫁もいいとこだね
投稿者:凹凸  [ 2012年 04月17日 (火) 15時33分 ]
え? これマジで信じてるやついんの?

というマジレス。
これは釣られたな。
投稿者:凹凸  [ 2012年 04月17日 (火) 13時05分 ]
まず、私の使っているブラウザはグーグルクロームであります。
状況ですが、まず気が付いたのは、緋石 橙さんの活動報告が異常に大きく表示された事でした。
そのときはサーバーの異常かな?と思ったのですが、どおやら違うみたいで、
その後私の個人ページが異常小さく表示されて読み取れないほどだったり、
活動報告が、緋石 橙さん同様に異常に大きく表示されたりしました。
それでも活動報告を書いていたら、突然入力を受け付けなくなるわ、入力システムがATOKからMS-IMEに勝手に変更するわ、おかしな動きをし始めました。

この時点で、これは明らかにウィルスの動きであると判断し、原因究明に乗り出しました。
そして、いろいろ解析を進め、対処法を見つけたり、ウィルスの特性を分析したりした結果をこうして報告している次第です。
余所の掲示板に行っても同様の事が起きていたりするところがあるので、もうパンデミック状態といえるでしょう。
ただ、対処法は報告したとおりなので、サーバーの管理者及びユーザーが一斉に対処すれば、ウィルスは根絶出来る物と思います。
投稿者:酔仙  [ 2012年 04月16日 (月) 22時22分 ]
そういえば、なろうのサーバーってマイクロソフトと同じアメリカにあったよね...

追伸、おかげさまでパソコンを買えました。
ウイルス騒ぎが収まるまではパソコンからはインしない気ですが(まだウイルス対策とかしてないです)
投稿者:口日目 瞳  [ 2012年 04月16日 (月) 22時12分 ]
ふむふむなるほど
投稿者:冥府の死神  [ 2012年 04月16日 (月) 22時05分 ]
アクティブXということはある程度ブラウザに依存しますか?
もしそうならアクティブXを使わないIE、FIREFOX以外のブラウザを使えば症状が発生しないのでは?
あと古いPC(2005より前)やゲーム機はほぼかかることは無さそうですね。(前者はともかく(古すぎると新しいウィルスには反応しないこともありますから)後者はアクティブXに対応していないブラウザが多いから。)
しかし厄介ですね。
もしなろうのサーバーが感染していたらいろいろ大変ですね。
感染した場所と状況、ブラウザ等もう少し詳しく教えてもらえますか?
投稿者:needle mouse  [ 2012年 04月16日 (月) 22時03分 ]
コメントの書き込みはログインが必要です。