朝起きると、とても嬉しいことに、沢山の一度ぐらいしかお話したことのない人たちが、
流行のウィルスの検体を大量に提供してくださっていました。
ありがとうございます。ぜんぜんいりません。

せっかく検体をいただいたので、対策をご説明します。

なお、自分からメッセージを送っている状態が感染であり、
他人からメッセージが届いている状態はまだ感染ではありませんので素数を数えて落ち着いてください。
不審なURLを開いて、しかもファイルをダウンロードして、さらにzipを解凍し、挙句の果てにexeを実行しなければ感染しません。
下記の「感染しているか調べる方法」で問題なければ対策は不要です。


[10/09 20:48更新] 「外付けドライブ等のデータが消えた方へ」のバッチファイルを更新しました。
ドライブの一番上にある半角スペースを含むフォルダが見えない場合は最新版でお試しください。
[10/08 16:05更新] 日本語でメッセージを送る亜種を確認しましたが、
メッセージが日本語である以外は挙動が同じことを確認したのでそのままご利用いただけます。
[10/08 02:00更新] いつのまにか攻撃者のサーバからダウンロードされるコードがアップデートされ、
WindowsVista/7でもrootkitが動くようになっているので、挙動と対策方法を修正しました。




【ウィルスが何をするか(読み飛ばして大丈夫です)】

--------------
1. zip圧縮されたものを解凍して実行すると、まず自身を%AppData%直下に(A)として保存して元の場所から削除します。

2. (A)は、下記を実行します。
2-A-a. WIPmaniaのAPIにアクセスし、IPアドレスから国情報を取得します。
2-A-b. hotfile.comからウィルスコード(B)を取得し、%AppData%直下に保存します。
2-A-c. 「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に自身をスタートアップとして登録します。
2-A-d. rootkit(usermode)の手法で(A)の実行ファイルとレジストリを隠蔽、IEの通信もフックして妨害します。
2-A-e. Windowsルート以外のドライブのファイルをシステム&隠し属性にして、削除されたように見せかけます。
2-A-f. (B)を実行します。

3. (B)は、下記を実行します。
3-B-a. SkypeにSkypeAPI要求を出し、キーボードエミュレーションでそれを許可します。
3-B-b. Skype経由で友達に対して相手のIDを含むURLの記載されたチャットを発行します。
このとき、チャットの言語が英語ではなく2-A-a.によって取得された言語になるバージョンが存在します。

4-A. (A)は(B)の終了やレジストリの変更を検知し、検知した場合2.を繰り返します。
--------------

※ これは現状の攻撃者サーバに保管されているウィルスコードを私が解析したもので、
downloader(プログラムがネット経由で別のプログラムをもってくるタイプのウィルス)であるために、
攻撃者がウィルスコードを変更した場合は挙動も変更になります。
亜種についても同様です。明らかに挙動が異なる亜種を見つけた際はURLを教えていただければ解析します。
kuku9n@gmail.com

★ポイント(ここが期末テストに出ます)

・通常起動したWindowsではrootkitで隠蔽された(A)のファイルや、実行中の(A)プログラム、
(A)が監視しているレジストリ登録を削除するのはかなり面倒です。
消したつもりでも、Windowsを再起動すると、まるで何事もなかったかのように涼しい顔をして再び現れます。
⇒セーフモードで起動することで簡単に駆除できます。(バッチファイル後述)

・IEでサイトが見れなくなった場合は、「すべてのプログラム」から
「InternetExplorer」を右クリックして「管理者として実行」から起動します。



【感染しているか調べる方法】

1. こんなチャットをつい最近見たことがあるか思い出します。



2. Skypeの「ツール」の「設定」を開きます。



3. 「詳細」の「詳細設定」から「他のプログラムからSkypeへのアクセスを管理」を開きます。



4. 見覚えのないプログラムがあり、その場所が「AppData\Roaming」(Vista/7の場合)、
「Application Data」(XP/2000の場合)の直下なら感染決定です。
見覚えのないものはぜんぶ「削除」してください。ひとまず他人に迷惑をかけることはなくなります。





【駆除する方法】

お友達が感染して、IEでサイトのアクセスやファイルのダウンロードができない場合も、
Skype経由ではファイルの送受信ができるため、Skypeでこの説明とファイルを送ってあげるといいかもしれません。


なお、IEでの接続ができなくなっても、スタートメニューの「すべてのプログラム」から
「InternetExplorer」を右クリックして「管理者として実行」することでIEが使用できます。

〔WindowsVista/7の場合〕

rootkitの手法でファイルが隠されてしまうため、セーフモードでの実行が必要です。

1. 下記のファイルをダウンロードして解凍し、デスクトップあたりに保存します。
http://kuku.neko2.net/intl/data/121007/batch2.zip

2. パソコンを再起動します。

3. 起動中は「F8キー」を連打してください。起動モード選択画面が出るので、キーボードの矢印キーで「セーフモード」を選択してEnterキーを押します。



4. Windowsが起動して、もしダイアログが出れば「はい」をクリックします。



5. 最初のバッチファイルを実行してから、Windowsを再起動します。





〔WindowsXP/2000の場合〕

rootkitの手法でファイルが隠されてしまうため、セーフモードでの実行が必要です。

1. 下記のファイルをダウンロードして解凍し、デスクトップあたりに保存します。
http://kuku.neko2.net/intl/data/121007/batch3.zip

2. パソコンを再起動します。

3. 起動中は「F8キー」を連打してください。起動モード選択画面が出るので、「セーフモード」が選択されていることを確認してEnterキーを押します。



4. Windowsが起動して、もしダイアログが出れば「はい」をクリックします。



5. 最初のバッチファイルを実行します。エラーが表示されても問題ありません。
その後、Windowsを再起動して通常起動します。



このバッチファイルは起動中のプロセスから%AppData%直下で実行されている怪しいものを探し、
強制的に停止させたのち、ファイルを削除するものです。
WindowsVista/7版はレジストリも綺麗にしてくれます。
心配な場合は右クリックして「編集」をクリックするとコードが見れます。



【外付けドライブ等のデータが消えた方へ】

Windowsルートドライブ(通常Cドライブ)以外にDドライブなどが存在していた場合、
ウィルスがファイル属性をいじって隠してしまい、データが消えたように見えることがあります。
この症状に遭遇した場合は、上記の駆除を完了後、下記のバッチファイルで属性を書き換えてください。

1. バッチファイルをダウンロードして解凍します。
http://kuku.neko2.net/intl/data/121007/attrfix4.zip

2. 解凍した「attrfix.bat」をデータが消えてしまったDドライブなどの最上層に移動し、右クリックして「管理者として実行」します。
(Windows2000/XPの場合はそのまま実行してください。)



3. よろしいですか?と聞かれるので「Enter」キーを押します。



4. しばらく時間がかかります。(ファイル量が多い場合は数十分以上かかることもあります。)
エラー(パスが見つかりません等)が表示されることもありますが正常です。終了するまで待っていてください。
「処理は終了しました。」が表示されれば完了です。



5. 消えたはずのファイルが出てくれば大いに喜びましょう。今夜は焼肉です。





【よくいただいているご質問への回答】

Q. 駆除したはずが、「RECYCLE」とか「System Volume Information」とか
「Thumbs.db」とか「Desktop.ini」ってファイルが勝手にできます!!

A. それは正常なWindowsでも勝手に生成されるファイルです。
ウィルスとは無関係なので落ち着いてください。

Q. スマホで開いたんですが感染ですか?!
A. Windowsにしか感染しません。スマホやゲーム機で開いても無害です。ドリームキャストは知りません。

Q. URLを開いただけで感染するって聞きました。どこまでがセーフでしょうか?キスだけなら大丈夫ですよね?
A. exeを実行すると感染です。URLを開いただけ、zipを解凍しただけ、では感染しません。

Q. exeを実行して感染してるはずなのにSkypeのAPIリストに出ません。この場合はセーフでしょうか?
A. アウトです。攻撃者のサーバが混雑していて実行が遅くなる場合がありますが、
exeを実行していればrootkitは入っていると思われます。駆除してください。

はい、ランク分けです


アノニマス


インターネット上の匿名掲示板 のようなオンラインコミュニティの利用者を中心に構成される、祭り・抗議行動・DDoS攻撃クラッキング といった行為(ハックティビズム:Hacktivism )を行う集団、またはそうした一連の活動を指すインターネットミーム である。広義に分類すれば、インターネット上のサブカルチャー 用語のひとつといえる。「anonymous」という単語は「匿名の」という意味の形容詞 である。

P2P 規制やポルノ規制への反撃、ウィキリークスアラブ騒乱 を抑圧する各国政府への攻撃など、情報の自由に対する脅威と彼らがみなしたものに対して大規模な攻撃を突発的に行っている。2008年 に行われた、サイエントロジー 公式ウェブサイトへのDDoS攻撃 で有名になった。匿名掲示板、関連ウィキ サイトや、Encyclopædia Dramatica 、その他の多数のインターネットフォーラムが、アノニマスに関係している。


アノニマスという名前それ自体は、匿名掲示板 に画像やコメントを投稿する時の匿名性と言うところから来ている。この共有人格的な意味での使われ方のアノニマスは匿名画像掲示板・4chan が発祥である。この掲示板では、名を名乗らずコンテンツを投稿する人に対して(名無しさん匿名の臆病者 等のように)「アノニマス」というタグがつけられる。4chanのユーザは時に冗談でそのアノニマスというのを本物の人間の如く扱うことがあった。4chanが流行するにしたがって、名もなき個人の集団としてのアノニマスという考え方は一種のインターネットミームとなった[1]

アノニマスは広く、名付けられていない集団を示している。その定義では、簡単に一括りに出来ないと言うことが強調され、その量の大きさを示す警句 で示される。

[アノニマスは] 最初のインターネットを基礎にした集合的無意識 である。アノニマスは、烏合の衆が集団であるという意味で集団である。その集団をどう認識するかって? 彼らが同じ方向を向いて動いてるからだ。いつでも参加し、離れ、どっかへ行ってしまう—クリス・ランダース, バルチモア・シティ・ペーパー , April 2, 2008.[2]

アンノウン


アンノウンアンノーン ( : unknown) は、英語で「不明な」「未知の」の意味。


未だ世界に走れておらず、未知のハッカー集団

未だ謎。


プレザー

この組織はオンラインネットワークでの個人として活動している

一応ハッカー集団である。


ファルコム(falcom)

またの名をファルコン


一番最初のハッカー軍団です。

オンラインコミニケーションサイトにのみ出現

未だ謎が多い。


これぐらいでしょうか

みなさんも知らないこともあるでしょう

上からの順で下に行くに連れてハッカーのpcスキルが低いです