ウィルス情報 - 1143296547 - したらば掲示板

1：名無しさん：2006/03/25(土) 23:22:27 ID:qFLtiUlM: torrentに必ずウィルスがないとは言い切れないので
もしウィルスにかかったことがあったら
その情報をよろしくお願いします
2：名無しさん：2006/03/25(土) 23:25:14 ID:/yxvdVmk: スパイウェア情報でもいいかな。
AnimeYumeとsaiyaman.netはアクセスするとスパイウェアが
入ってくるみたい。
AnimeYumeの場合、MACでアクセスすると何かDLされて
デスクトップに変なファイルが出てきた。
3：名無しさん：2006/03/25(土) 23:38:32 ID:qFLtiUlM: isoHuntってところでも
winfixerとかいう凶悪なスパイウェアが
あったと思います
4：名無しさん：2006/03/27(月) 10:49:28 ID:VndDqDXg: a●sexってサイトも削除しちゃったから忘れたけどスパイウェアありますね。
他の場所からの情報を見ただけですがa●sexでUPされている成人コミックの
中にはウイルスantinny入りのものがいくつかあるようです。
大量のコミックをまとめて落とされる場合は必ずスキャンかけるようにした方がいいですよ。
ゲームとコミックは容量が多いからスキャンかけるのが面倒とそのまま開く人もいるようですし。
他所のクライアントから輸入したものを流して事が多いようなのでBTだからと甘く見てるとけがします。
気をつけましょうー。
5：Apple Seed：2006/03/28(火) 23:58:13 ID:kpE1E1hg: 流れがウイルスからスパイウェアになってる気もしますが、ひとまずウイルスに関して。

BT関係でｳｲﾙｽ感染等の話は聞かず、またBTから感染したことはないのですが、
予防として参考になればと。(長ﾚｽ覚悟事前反省orz)

まず、TorrentFileからの感染はほとんど考えられないﾓﾉと思っています。
ファイルサイズの大きさから、Downloadするﾌｧｲﾙのサイズやファイル名、
URLや鯖情報のものしか書かれていないと判断できます。
BTに読まれることで感染するタイプのｳｲﾙｽを作り出す人がいるかもしれませんが。
一応、保存してスキャンしてからBTに読ませるのが安全です。

次に、BTからの感染ルートとして考えられるのは↓
◇Down/Upload中のIP表示から直接Hackされる
◇Downloadするファイル自体に感染していて、それを実行して感染
ぐらいかなと。前者はファイアウォールや自前の技術で止める以外に手だて無しかと。
後者はファイル実行前にスキャンすることですね。
なぜ、実行して感染か、というと、BT自体にDownload完了時、ファイル自動実行が無いからです。
つまり、自分の注意の怠りで感染するってことです。
ただBTがDownload完了時ﾌｧｲﾙ自動実行などするようにされてしまうとどうなるか、ホント分かりません。

では、ファイルをスキャンすればそれで終わりか？というと少し甘いかも。
Downloadしたファイルからの感染としてウイルスのある場所と考えられるのは↓
◇圧縮ファイル
◇.exeや.jpg　他の偽装ファイル No○isc化パッチ(もしくは違○パッチとか)
☆ﾀﾞﾐｶされたGameImageなどのDiscImage
の三点は特に注意した方がよいかと。

圧縮ファイルが危険な理由は
「以前、昔のノートンではRAR形式の圧縮ファイルの内部をスキャンできず、素通りしていた」
という実体験があるからです。
現在はどこも出来ると思いますが、圧縮ファイルの内部がスキャン出来ないｳｲﾙｽｷｬﾝﾂｰﾙ等を使っていた場合、乙です。
ｳｲﾙｽｽｷｬﾝﾂｰﾙ等は常に最新にして、スキャンするしか無いですね。
ただ、自分はﾌｧｲﾙをフォルダに解凍し、その中身をスキャンし確認します。
圧縮ﾌｧｲﾙの内部スキャンミスが回避できるからです。
ただ、圧縮の中身を覗いて危なげなﾌｧｲﾙが在ればしませんが。

exeやjpgなどについてはご承知だと思いますが、怖いのはパッチですね。
一度同梱していたNoD○sc化パッチをスキャンした上で使用したことがあったんですが、
本来No○isc化後には何も表示されないのに、実際にはそのパッチ作成者のメッセージが表示されてから、
本体が起動されるようにされていて、少し焦りました(作成者は中国かと)(実体験)。
信用できないものは使わないのが基本ですね…orz。
もちろん、パッチは自作なので、スキャン等にはHitしないわけで…。

最後にﾀﾞﾐｶされたGameImageなどのDiscImageの理由ですが、
DummyCutする際、そもそもDiscに入っていたﾌｧｲﾙをHDDに移し,
サイズのでかいDummyFileをﾃｷｽﾄなどで作成したﾌｧｲﾙで置き換えて
サイズを小さくし、DiscImageに焼き直します。
もしかするとDummyCut作成時点(ﾌｧｲﾙをHDDに一度移すので)でﾌｧｲﾙに感染し、
それがImage化された場合、ImageFileをスキャンしてもウイルスは探知できません。
ましてｲﾝｽﾄｰﾗｰに感染していた場合、Disc読み込みで自動再生など設定されてたら…
Discﾏｳﾝﾄ時点でﾊﾟｿに感染します。これはかなり怖いかと。
実際にﾏｳﾝﾄ時点で動作し、Discが本物か偽物か判断し、偽物だった場合
破壊活動を行うﾌﾟﾛﾃｸﾄを作っていた知り合いがいるので、
いつもﾏｳﾝﾄ時はﾄﾞｷﾄﾞｷです。(そのﾌﾟﾛﾃｸﾄは自作らしい)
過去の事実に、ｴﾛｹﾞ等の元ﾃﾞｨｽｸのﾌｧｲﾙに感染していて実行して遊んでたらｳｲﾙｽ感染した、
そのｳｲﾙｽの発信元はそのｹﾞｰﾑのﾒｰｶｰだった、
（ｳｲﾙｽ二次感染ですかね。ｳｲﾙｽ作者はもちろんﾒｰｶｰでは無い。ﾒｰｶｰがｳｲﾙｽに感染していて、
ｹﾞｰﾑのﾏｽﾀｰﾃﾞｨｽｸ作成時にﾌｧｲﾙに感染してしまい、それを販売してしまった。）
ということも在ったそうです。（ｹﾞｰﾗﾎﾞ（本当に何年も前の話ですが）
ﾏｳﾝﾄ時も気をつけなければならないんでしょう…orz

と、自分なりのBTからのｳｲﾙｽ感染対策ですかね。
もち、ただの参考にしかならない訳で、対策の仕方も人それぞれかと。
ただ、OSの修正ﾌｧｲﾙの更新やｽｷｬﾝﾂｰﾙは常に最新にしておくことが大事ですね。
長ﾚｽすみませんでした（ﾎﾝﾄに）orz
6：名無しさん：2006/03/29(水) 22:09:30 ID:vI042U4s: >5
長いけど私的には役立った。ご苦労様。
でもここにはファイルが開けません等と発言のある初心者さんも多そうなので
初心者に長文はキツイかも。
7：名無しさん：2006/03/31(金) 19:38:43 ID:/yxvdVmk: >>5
ご苦労様です。
8：名無しさん：2006/07/01(土) 12:07:39 ID:bHGoLEk.: ２９日に図書館であがっていた
アニメのファイルの拡張子が「.wma .scr」という偽装ファイルでした。
(アニメ) 機神咆吼デモンベイン第05話「THE SHADOW OVER INNSMOUTH」 (D-WOWOW1 1280×722 WMV9 VBR )
というファイルです。
現在削除されたようですが・・、これは今話題になっている動画偽装ウイルスなんでしょうか・・？
9：名無しさん：2006/07/01(土) 12:11:30 ID:bHGoLEk.: すいません。。拡張子は「.wmv .scr」の間違いです。。
10：名無しさん：2006/07/02(日) 17:51:22 ID:bjZ4iIJ.: ウイルスです。
輸入してくれるのはいいが未確認放流は怖いね。気をつけて欲しい・・・
11：名無しさん：2006/07/02(日) 21:33:47 ID:QREmabZs: あれは、あからさますぎて誰もクリックしないでしょ。
12：名無しさん：2006/07/03(月) 20:19:54 ID:bHGoLEk.: 最初に気がつかずにプレーヤーにドラッグしたり、
拡張子をwmvに変更してクリックしてしまったのですがこれはアウトでしょうか・・？？
おかしな反応もなく、幾つかのオンラインスキャンでも反応がなかったのですが・・(;-_-)
13：名無しさん：2006/07/03(月) 20:34:57 ID:dLJyIMYE: 確証はないけど元の拡張子のままクリックしてないんだったら大丈夫そうだけど？
14：名無しさん：2006/07/03(月) 21:10:50 ID:QREmabZs: scrの拡張子はスクリーンセイバーじゃなかったっけ？scrに感染するウィルスもあるが。
＞最初に気がつかずにプレーヤーにドラッグ
って図書のほとんどがトレファイルじゃん。直接、プレーヤーにドラッグは普通しないよな。
15：名無しさん：2006/07/03(月) 21:46:08 ID:dLJyIMYE: >>14
落としてからの話でしょ？
ウィルスの主な拡張子は、exe、scr、vbr、pif、bat等。
16：名無しさん：2006/07/03(月) 21:49:32 ID:bHGoLEk.: プレーヤーにドラッグしたのは完全に落とした後のファイルです。
torrentファイル自体はURLみたいなものなので多分問題ない思います。

調べてみたら動画偽装のウイルスは原田などの最新のやつが多いっぽいですね。
今のところ大丈夫そうですが、少しウイルス定義の更新を待ってみることにします。
BTにもnyやshare由来のファイルがあるだけにやっぱり気をつけなきゃいけませんね・・；
ありがとうございました＾＾
17：名無しさん：2006/07/03(月) 21:54:32 ID:dLJyIMYE: ハッシュを調べると、トレントの新作アニメのほとんどがnyからの輸入ですよ
18：名無しさん：2006/07/03(月) 22:39:01 ID:QREmabZs: >>15 ウィルスの拡張子ではなく、ウィルスが入っている、感染する可能性がある拡張子。
19：名無しさん：2006/07/06(木) 21:57:48 ID:QREmabZs: ネット繋げたままの人は注意！トレをやっている人はその間、常に不正アクセスされるから、
バックドアなどが入りやすい。まぁ、簡単に防げるけど。
20：名無しさん：2006/08/07(月) 19:01:45 ID:FLhTNTdg: みんな詳しいんだね、色々と勉強になるよ。
>>拡張子をwmvに変更してクリックしてしまったのですがこれはアウトでしょうか・・？？
書き換えた元の拡張子、つまり本来のファイルの種類に開いたアプリ、
つまり書き換えた拡張子を開くアプリが対応していなければ、
そもそもファイルを開けないので、大丈夫なんじゃないかな。
そういえば以前、某画像掲示板でうｐされた.gifをクリックしたら実際は.htmで
アダルトサイトに飛ばされたことがあったよ。
ブラウザから.gifを開けるからそういう事が起こったんだと思う。

アーカイブファイルは解凍してからスキャン。
イメージファイルはドライブの自動再生を切っておいて、
マウントしてからスキャン。
これで大丈夫だと思う。
とにかく、DLしたものは必ずスキャンして使う、実行ファイルは慎重に。
これでほとんど心配はないと思うけど、今のところ。
21：名無しさん：2006/08/07(月) 19:38:19 ID:FLhTNTdg: そういえばいい忘れたけど、ネットワーク経由の直接攻撃は
ファイル共有特有の問題じゃない気がする。
繋いでいる人は常にその危険が付きまとうし、ファイル共有などで
ポートを開けている人は特に注意しないといけない、ネトゲなんかも一緒。
FWソフトは必須。
最近じゃ共有ソフトが有名になって、使わばければ大丈夫、なんていう人もいるけど、
それを本気で信じてネットやってる人のPCをスキャンしてみたいよ。
きっとマルウェアがゴロゴロしてるんだろうな・・・
22：名無しさん：2006/08/08(火) 22:45:44 ID:QREmabZs: ところがどっこい、ファイル共有の問題もあるのだ。
ネットだけの人と違って、より多くの人や虎と繋がるから、そのタイミングでアクセスされる。
19の「トレをやっている人」はファイル共有だけという意味ではない。ここでは、トレやっている人が多そうだから、そう書いてあるだけ。
要は最初に書いてあるように「ネット繋げたままの人は注意！」ってこと。
23：21：2006/08/09(水) 21:36:01 ID:z.thfsk2: >>22
すまない、俺、勉強不足だからよく分からないんだけど
＞ネット繋げたままの人
これは常時接続のことじゃないの？
もしそうなら共有やってようがやってまいが不正アクセスの危険は常にあると思うんだけど。
だから「ファイル共有特有」の問題じゃない、っていったのね。
「特有」、これは「両方含まれる」という意味になるんだけど。
もちろん、共有やっている人の方が危険度は増すというのはＲｅ；２１でも書いたつもり。
「ポートを開けている人は特に注意しないといけない」←これのことね。
アクセス数についてはあえて書かなかった。数が増えれば確率が増えるのは当然だから。

以上補足、というかほとんど重複なんだけど、なにか誤認とか勘違いがあったら教えて下さい、後学の為にも。
24：Apple Seed：2006/08/10(木) 08:32:24 ID:ptOEw5L.: 横やりみたいな形で意見を述べますと、
P2Pが広まる以前から常時接続がよく狙われていたし、
それとは別に固定IPと変動IPによっても狙われやすさが変わります。
ただ、P2Pウェアを使用すると、IPが互いに晒しあう形になるため、
不正アクセス等のターゲットにされる可能性は非常に高くなると思います。

ポート解放を行うと、P2Pでは速度を上げられますが、
それとは裏腹に進入口としても使われるため、リスクが伴います。
FWがあるからと安心していても、事実、突破してくることもあります。
串を刺しているのは当たり前！なんて思っている方もいますが、
串を刺していても不正アクセスできるスキルのある方もいますし、
串を刺してなくても狙われないこともあります。
むしろ串を刺してP2Pを行い、鯖Downさせたりすると、串鯖からIPを晒されたりetc...

話に出てきていましたが、ネトゲーをやっている方はあまり感じないと思いますが、
ネトゲーもまたIPを晒しています。構造上P2Pとあまり変わりません。
プログラムの解析や開発などを経験してる方は分かると思いますが、
ネトゲーから解析なり、鶴を挟んだりでIPを拾って、
不正アクセスする場合もあります。
ネトゲーのガードが甘ければ、ネトゲーを通して進入してくる場合もありますし、
ネトゲーやP2P利用が危ないのは当たり前ですし、
P2Pで流れてる物なんて違●物ばかりなのですから、何があっても、
それくらいのリスクを背負っての使用をしてるんでしょ？と思ってます。

nyやMX、shareとはまた違うので逮捕の危険性はかなり少ないはずと思い込みやすいけど、
あと２～３年もすれば対策の話もちらほら浮上してくるのではないでしょうか。
まぁ、torrentの使用についての謳い文句が「健全利用・合法物ネット配布」なんで、
簡単には出てこないだろうと予測はしていますが。
nyやMX対策ソフトウェアでupしてる物が丸わかりになるような奴が出てくるか否か次第ですね。
25：21：2006/08/10(木) 14:57:36 ID:ncSsUyf.: ＞Apple Seed 氏
レス有難うございます。
横槍でも結構ですよ。自分が無知なことは十分承知ですし、
色々と突っ込まれる事くらい覚悟の上ですから。
むしろ勉強になりありがたいです。
26：Aki：2006/08/11(金) 18:03:29 ID:SEx6l6Wo: BTからの感染・・とは思えませんが、
（添付のファイルがもしかすればそうだったのかもしれないです）
一週間前には感染していなかったあたしのPCに4つのWormが発見されました

Dloaderというものの亜種2つ
Startpaというものが1つ
VBというものが1つ

まぁウイルス対策ソフト入れてないので手動除去をしましたが
感染ルートがよくわからなかったので報告しておきます。
BTと関係0でしたらもうしわけありません
27：名無しさん：2006/08/12(土) 00:07:42 ID:ViP8zXKM: このスレ参考になります。
28：名無しさん：2006/08/27(日) 11:00:14 ID:9JiKzY1U: ウィルスバスターかノートンセキュリティを入れてないと
つ【回線を揉まれます】
意味はP2Pで接続してる間は　家の扉を開けっ放しで買い物にいくようなもの
FWはその見えない魔手の辛うじて防いでくれる、番犬のような存在です。
７０００円ほどのお金を惜しんで　そのままにするのは
俺はアホだから、なんでも持っていってくれと張り紙をして
泥棒を誘い込んで　荒らされて初めて困るということです。
29：名無しさん：2006/08/28(月) 00:20:49 ID:fIPxqJ1s: >>28
つ【回線を揉まれます】
この言葉、初めて聞きました。なるほど・・・勉強になりました。

セキュリティーを導入しないで"共有"やっている人ってある意味すごいと思いますね。
自分で全て対処できるのか、もしくは・・・(((( ;゜Д゜)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
30：名無しさん：2006/11/21(火) 23:19:35 ID:DSymGwBg: tes
31：名無しさん：2006/11/22(水) 21:47:13 ID:G9L5smRw: FWだったら、ZoneAlarmおすすめ･･･だと思う。。
32：名無しさん：2006/11/23(木) 14:41:49 ID:1cXa7/WI: 【落し物専用】ﾄﾚﾝﾄﾌｧｲﾙを書き込んでいくｽﾚ【18禁】

99 名前：cross 投稿日： 2006/11/22(水) 22:34:22 [ a4w8qFtg ]
ときたまふぁんたずむ
ttp://www.datorrents.com/download.asp?id=16092&name=%5B060414%5D%20%5BAtu%5D.torrent

ウィルス感染している可能性あり
WINDOWS Live OneCare PCセーフティで駆除しちゃったんで、詳細は不明。
もう一度ダウンロードして別駆除ソフトで詳細確認します。
33：名無しさん：2006/11/23(木) 15:40:33 ID:ksZCPiqE: >>32
ノートン先生は無反応だったよ。
isoファイルの中に同名の.mpgファイルが３個有ったけどね。
34：名無しさん：2006/11/23(木) 18:42:30 ID:CdprKll.: >>33
たしかにノートンでは無反応でした。
おかしいですねぇ・・・
お騒がせしました。
35：名無しさん：2006/11/25(土) 14:01:12 ID:ZoFbk5sw: 【落し物専用】ﾄﾚﾝﾄﾌｧｲﾙを書き込んでいくｽﾚ【18禁】
118　遥かに仰ぎ、麗しの初回限定版 [3.3G]
ttp://bt.twbbs.biz/index.php?dl=1Zdt1Ud5xH

これを解凍してISOファイルを
avast!4　VPS: 0650-2で検査した所
AUTORUN.EXE　Win32:Warezov-MF [Wrm]
と出ました。
ググった所、日本語場所で2箇所誤認だったというのがあったのですが
これもそうなのかどうか判りませんが、一応報告しておきます。
36：名無しさん：2006/11/25(土) 14:14:11 ID:ZoFbk5sw: 追記
OHPを見た所、avast!を使用すると誤認すると
TOPにありました。
しっかりと確認せず書き込み失礼しました。
37：報告ご苦労様です：2006/11/26(日) 08:30:53 ID:C.oGAPC6: >>35-36
イメージを解凍してからチェックしているのですか？
わざわざ解凍しなくてもマウントしてから、ドライブをスキャンすればいいんですよ。
解凍できる時とエラーが出る場合がありますし、磯以外だと、より面倒くさそうです。

ただし、オートランは完全にオフにしておかなければなりません。
38：失礼しました：2006/11/26(日) 08:50:17 ID:C.oGAPC6: 私も追記です。
avast!って確か、磯はそのままスキャンできたような憶えがありましたが、違いましたっけ・・・？
39：名無しさん：2006/11/27(月) 01:02:12 ID:ZoFbk5sw: >>37-38
落としたファイルはpart1-2の分割rarでして
その状態でスキャンしても特に無く解凍してISOをマウントしたら
警告が出たので解凍したISOをスキャンしたら上記になりました。
なので、解凍～と書いたのですが、混乱させてすみません。
40：名無しさん：2006/11/28(火) 01:09:53 ID:8SDflq2w: >>35
うちもavast使ってて遥かに仰ぎをマウントしたら同じワーム警報が出た。
nyで2種（mdsとiso）落としてみたがやはり同じ警報。
が、トレンドマイクロオンラインスキャンではスルー。

マウント後のサイズはどれも全く同じものだしnyスレでは真として扱われているので
誤報の可能性が高いかと。
41：名無しさん：2006/11/28(火) 01:34:20 ID:HWG8gNMA: 一部セキュリティーソフトによる誤検出に関しまして

現在、ウイルス対策ソフト「avast!」を用いると
『遥かに仰ぎ、麗しの』内の「autorun.exe」より「Win32:Warezov-MF [Wrm]」が検出されるという
ご報告を一部のお客様より頂いております。

弊社にて「ウイルスバスター」「ノートンアンチウイルス」等複数のソフトでチェックいたしましたが、
「avast!」以外のソフトではウイルスは検出されませんでした。

以上のことから、ご報告頂きましたウイルス検出に関しましては、「avast!」の誤検出であると思われます。

実際にソフト内にウイルスが混入しているわけではございませんので、ご安心下さいませ。

また、「avast!」をご利用のお客様はお手数ではありますが「avast!」の常駐を切ってから
「autorun.exe」を実行していただくようお願いいたします。
（「autorun.exe」はディスクをDVDドライブに入れたときに自動実行されるプログラムです）

尚、この症状に関しましては将来「avast!」のパターンファイル更新等で改善される可能性もございます。

ttp://www.pulltop.com/main/
42：返信遅れて申し訳ありません：2006/11/30(木) 23:10:16 ID:C.oGAPC6: >>39
こちらこそ、うっかり勘違いをしていたようで・・・
申し訳ありませんでした。