×

[PR]この広告は3ヶ月以上更新がないため表示されています。
ホームページを更新後24時間以内に表示されなくなります。

更新:2006/03/30
山田オルタナティブ まとめ
〜全HDD共有化・リアルタイムSS・超危険ウイルス出現の巻〜

リンク
山田について
予防法
ツール
プロキシ
テンプレ
・ 過去ログ
 news/1/2/3
 vip/1/2/3
 download/
 1/2/3/4/5/6/7

外部リンク
ハマーの出張所
まとめWiki
ニュイルス日誌

アプロダ
山田アプロダ
VIPろだ
pandora
Beロダ
ファイルアプロダ
RSS
以下ヒットキー
AA
Adobe
ATOK
BBS
CD
CD-R
comic
CPU
Download
DS
DVD
EmEditor
exe
Fate
Flash
FW
Google
HDD
HP
IME
JOJO
kwk
kwsk
Macromedia
Microsoft
MSN
NHK
OS
P2P
PC
Photoshop
PlayStation
PlayStation3
PSP
SBR
Share
Sleipnir
SMAP
SONY
TV
URL
VIP
VIPPER
Virus
Windows
WinMX
Winny
Yahoo!
いぬ
うp
お笑い
お父さん
お母さん
かわいい
かわいいよ
ぐーぐる
にちゃん
にちゃんねる
アクセス
アニメ
アプロダ
棒 山田について:

1) キャプチャ画像
2) 表示の見方
3) 脅威の全HDD共有
4) 相互リンクについて
5) 宇宙語について
6) Mellバージョン
7) ドライブにディスクがありません
8) 名前の由来について
9) アドレスについて
10) 503 Service Unavailable
11) hostsについて
12) svchost.exeについて
13) updatenv.exeについて



1)キャプチャ画像:
キャプチャ

2)表示の見方:

C:/ D:/ G:/ ドライブレーター。Aは見えませんが直接アドレスを打つとエラーが出ます。
SS(Low/High) スクリーンキャプチャが見ることが出来ます。
LINK LINKで相互リンクを見ることが出来ます。
Parent Directory 上位フォルダに移動します。
search ファイルを検索します。
cur/sub カーレントフォルダ検索 か サブフォルダも検索
and/or and検索 or検索。複数のワードを検索するとき両方ヒットか 片方だけでいいか
name/path 検索結果を 名前順 パス順
up/copy/cat 現在は全く機能しません。
Mell-1-0.11 ウイルスのバージョン。バージョンによって能力が少し違います。
 
ファイル、フォルダ名  ファイルサイズ  更新日時 
boot.ini 194B 2006/01/27 20:13:09


3)脅威の全HDD共有:

ブラウザからアクセスするだけで
上の画像のようにCドライブルートから全て共有されます。つまり丸裸状態です。

IEのお気に入り、メールのやりとり、年賀状データ、仕事の書類、デジカメ写真、
人には見られたくないファイル…1つぐらいは心当たりがあると思います。
それら全てがインターネットに流出してしまいます。
流出したら最後、消すことは誰にも出来ません。永遠に残り続けます。

山田オルタナティブ(仮)は
あなたの生活を脅かすかもしれない脅威のウイルスのです。


4)相互リンクについて:

感染者同士が相互リンクをつくり、行き来できるようになります。
ユーザーネームとアドレスがずらーっと書かれています。1MBを超えるhtmになることも。
しかし、その多くがリンク切れで繋がりません。ウイルス駆除済みの場合や
再起動によりIPが簡単に変わってしまうためです。(リンクチェックするには?)

相互リンクは2ch厨房板(http://tmp6.2ch.net/kitchen/)に
暗号化されたIPアドレスとユーザーネーム(宇宙語)を拾って作られていきます。

現在、宇宙語をエンコード出来るツールがあるため
面白半分で偽アドレスを載せる人がおり、
山田オルタナティブに感染していないYahoo!やGoogleがリンクされている場合があります。

例:仝々〆■⊆→∈《\/→∩)》″℃≪≠>』≦♂¥÷{∈<】≪▽♪★か}て□『
これを書き込んだ場合、このサイトがリンク集に加えられることになる。


5)宇宙語について:

山田オルタナティブに感染すると
暗号化されたユーザー名とアドレスを厨房板に自動で書き込みます。リンク集の元になるものです。
意味不明な文字の羅列なため宇宙語と呼ばれるようになりました。
→宇宙語 解析ツールはこちら

95 名前:名無しさん :2006/02/25(土) 13:06:36 ID:LP98dvmo
HすSわぼdcYdmmaVToろoくくかわuxをRSたみよだzur

96 名前:名無しさん :2006/02/25(土) 13:07:36 ID:/drGTFKL
aΛΨへsvswkとむゆymよろそぢちぞせささおbqィつがえきぢげぇがfぬぅせオごずんかつそgpぼろぺのぼのな

97 名前:名無しさん :2006/02/25(土) 13:15:28 ID:r9xT9ggw
♀5あ◎○◆J◇●〒7*‡2∪SiPm≒⊆npN4〒∂⊂∨U∠∧⊆⊇O♪59∀⊃◯ae♭▽pUi★


6)Mellバージョン:

現在確認されているバージョンは
Mell-1-0.11Mell-1-0.12Mell-1-0.12AMell-1-0.12Bの四種類。
0.12はsearch、up、copy、catなどの項目が増えています。
しかしながらup、copy、catは機能していません。

バージョンの後ろに付いている"5"は現在5人アクセスしていることを表しています
Mell-1-0.12には"5/10"など10人の制限が書かれています。

今後も亜種が増えると思われ、アンチウイルスソフトに対応が遅れると思われます。
注意していきましょう。

(※Mell-1-0.12Cが一時見つかりましたが、バージョン部分のバイナリをいじって故意に感染させた偽物だと考えられています)


7)ドライブにディスクがありません:


http://xxx.xxx.xxx:8080/A:/のようにアクセスすると
「ドライブにディスクがありません」とエラーダイアログが表示される。
通称:ドライブシュート(←元ネタはキャプテン翼?)

これを利用して任意の文字。
例えば
http://127.0.0.1:8080/A:/virus/ni/kansen/shiteruyo/
と打つと同じようにエラーが表示されると言う情報があるが、詳細不明。

※ドライブシュートと山田砲とは別の物です。


8)名前の由来について:

友人の山田がメッセ(MSNメッセンジャー)でyoujo.exeを送ってきて感染したことが始まり。
山田ウイルスの誕生である。

その後、今までの山田ウイルスとは少し違う新たなウイルスが発見される。
新種のウイルスの感染者の多くが
マブラブ オルタナティブ】(http://www.muvluv.com/alternative/)を所有していたため
感染源はこれではないか?と言う意味合いから
この新種を「山田オルタナティブ」と名前が付けられた。

(※マブラブ以外に【おしかけスクランブル】(http://www.marigold.co.jp/marine/osirum/)の所有者も多い)
発売されてから間もないためウイルス制作者、または愉快犯が狙ってイメージファイル(iso)に混入させたと思われる。)


もう一つは
今までの「山田ウイルス」を取ってかわる新しいウイルス(=Alternative)から来ている模様。
そして聞こえもいいのでスグに広まった模様。

また「山田オルタナティブ」は通称の名前です。
シマンテックでは「BackdoorTrojan」
トレンドマイクロでは「TROJ_DROPPER.AMI」と呼び、これでは解りにくく
ウイルスを特定出来ないのでウイルス名には通称名が付くことがよくあります。
名前の付き方は「ウイルスの能力・系統」「バイナリの中の隠し文字」から大体付けられます。
なんと言っても覚えやすいのが大切です。


9)アドレスについて:

http://localhost/
http://127.0.0.1/
http://127.0.0.1:80/
http://127.0.0.1:8000/
http://127.0.0.1:8080/

http://127.0.0.1/?cmd=ss スクリーンショット低画質 (※サーバーに優しい 基本はこちら)
http://127.0.0.1/?cmd=ss&i=100 スクリーンショット 高画質
http://127.0.0.1/?cmd=link 相互リンク集
http://127.0.0.1/?cmd=node ノードに関わるもの(?)
http://127.0.0.1/?cmd=search&s=sys.exe&k=1&j=0&i=0 検索

http://127.0.0.1/C:/ Cドライブにアクセス
http://127.0.0.1/A:/ フロッピーにアクセス(中身が空の場合エラーダイアログ)


10)503 Service Unavailable:

アクセスが集中して表示できない状態です。10人を超えていると思われます。
時間をおいてから再度アクセスしてください。


11)hostsについて:

hostsはインターネットの地図帳のようなものでアクセスに重大に関わっているファイルです。
しかしその実態はメモ帳でも簡単に開け編集できるテキストです。
これを勝手に置き換えるウイルスが多く出現しています。山田ウイルスも例外ではありません

とりあえずhostsファイルを開いてきましょう

hostsの場所
Windows XPの場合→「C:\WINDOWS\system32\drivers\etc\hosts」
Windows 2000の場合→「C:\WINNT\system32\drivers\etc\hosts」
Windows 95/98/MEの場合→「C:\Windows\hosts」
見つかりましたか?エクスプローラのアドレスにそのまま貼り付けてもいいです。
その時【プログラムの選択】になるかもしれませんメモ帳を選んで開きましょう。

hosts中身
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
# 略

127.0.0.1 localhost
こんな感じになっていると思います。
#より右側はコメントです。アクセスには影響しません。好き勝手に書き込んだり
一時的に無効にするのに便利です。

さて、通して見て127.0.0.1以下にも何か分からない数字がいっぱいありますか?
もしあったらその行を消しても大丈夫です。消しちゃってください。
悪意をもった人がフィッシング詐欺に利用しようと嘘のアドレスをhostsに加えることもあります。
消してもインターネットに接続されなくなることはありません。
心配ならバックアップをとって消す。もしくは#をつけてコメントにすると良いでしょう。

またhostsを使って
悪質だと思われるサイトを接続不可にしてセキュリティを向上させる方法があります。
以下の行をコピーして127.0.0.1の下に追加するとJ-Wordを無効に出来ます。

0.0.0.0 www.jword.jp search.jword.jp www.j-word.jp download.jword.jp search.jword.jp
何故無効になるかと言うと
j-wordにアクセスしに行こうとしても0.0.0.0に向かいアララ〜と迷子になるためです。

他にもおすすめのコードを公開しているサイトやツールがあるので
よく調べた上で使ってみるといいと思います。

参考:
アダルトサイト被害者対策の部屋(http://www.higaitaisaku.com/search.html)


12)svchost.exeについて:

タスクマネージャーの中に自分で起動した覚えがないのに
幾つもの「svchost.exe」を見つけてウイルスじゃないの!?と驚くかもしれませんが
Windowsのバックグラウンドで働いている裏子さんです。
利用しているサービスによって数は変わります。通常3〜10ほどです。

しかしこれと同じ名前のウイルスで紛れ込ませてある場合があります。
裏子さんなのかウイルスなのか確認する方法は
タスクマネージャーでsvehost.exeの横にユーザー名かシステムかで判断します
ユーザー名】がある場合ウイルスの可能性が非常に高いです。
すぐに[右クリック]-[プロセスの終了]してください。

場合によっては終了出来ない場合があります。
セーフモードで起動しなければいけないものもあり非常にやっかいです。
詳しくはこちらのサイトを参照してください。

http://winfaq.cool.ne.jp/
http://support.microsoft.com/default.aspx?scid=kb;ja;JP250320


13)updatenv.exeについて:

FUJITSU FMVシリーズのPCに
アップデートナビ(updatenv.exe)と言う名前の手軽に更新が行えるツールが入っているようです。
山田オルタナティブではありませんのでプロセスを切る必要はありません。



-このサイトについて-
管理人:山田おるた ◆ro/ooVzSvo
連絡:yamada.alternative@gmail.com
URL:http://yamada.xxxxxxxx.jp/