- 50 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:12 ID:LkxqLp9Q
- 16bitCRC E837のファイルをお持ちの方、おめでとうございますw
CODE:0044A4CA ; トトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトトト
CODE:0044A4CB align 4
CODE:0044A4CC dd 0FFFFFFFFh, 8
CODE:0044A4D4 dword_44A4D4 dd 6D2D7979h, 64642D6Dh, 0, 0FFFFFFFFh, 23h
CODE:0044A4D4 ; DATA XREF: sub_44A20C+5Co
CODE:0044A4D4 ; sub_44A20C+AFo
CODE:0044A4E8 aGlgugGIVGfgxgn db '[キンタマ] 俺のデスクトップ %s [%s]',0
CODE:0044A4E8 ; DATA XREF: sub_44A20C+78o
CODE:0044A50C dd 0FFFFFFFFh, 28h
CODE:0044A514 aGlgugGIVGfgx_0 db '[キンタマ] 俺のデスクトップ %s (%s) [%s]',0
CODE:0044A514 ; DATA XREF: sub_44A20C+CBo
CODE:0044A53D align 4
CODE:0044A540 dd 0FFFFFFFFh, 4
CODE:0044A548 dword_44A548 dd 6B6E6C2Eh, 0, 0FFFFFFFFh, 14h ; DATA XREF: sub_44A20C+12Eo
CODE:0044A558 aGtg@gcglllvNzv db '(ファイル詰め合わせ)',0 ; DATA XREF: sub_44A20C+1B7o
CODE:0044A56D align 4
CODE:0044A570 dd 0FFFFFFFFh, 4
CODE:0044A578 dword_44A578 dd 67706A2Eh, 0 ; DATA XREF: sub_44A20C+227o
確定ですねw
GetWindowLongAとかスクリーンショット取る準備してる部分も見つけたから、
どういう条件でスクリーンショット取るのか調べてみるわ。
E837がきんたまってのをあちこちにコピペして下さい。
- 72 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:15 ID:LkxqLp9Q
- あー、これやばいです。
メッセンジャーとかのパス抜いてるっぽいですね…
CODE:0044BDAC dd 0FFFFFFFFh, 35h
CODE:0044BDB4 aSoftwareMicr_2 db 'Software\Microsoft\Internet Account Manager\Accounts\',0
CODE:0044BDB4 ; DATA XREF: sub_44B4E4+1D7o
CODE:0044BDEA align 4
CODE:0044BDEC dd 0FFFFFFFFh, 12h
CODE:0044BDF4 aSmtpEmailAddre db 'SMTP Email Address',0 ; DATA XREF: sub_44B4E4+1F5o
CODE:0044BE07 align 4
CODE:0044BE08 dd 0FFFFFFFFh, 1Fh
CODE:0044BE10 aSoftwareMicr_3 db 'Software\Microsoft\MSNMessenger',0
CODE:0044BE10 ; DATA XREF: sub_44B4E4+222o
CODE:0044BE30 dd 0FFFFFFFFh, 1Ah
CODE:0044BE38 aUser_netMessen db 'User.NET Messenger Service',0 ; DATA XREF: sub_44B4E4+236o
- 92 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:17 ID:LkxqLp9Q
- つかやばすぎ。パス抜いてるって言うより、
「俺はnyやってるぜ」とメールで宣伝する機能があるみたいw
- 97 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:18 ID:LkxqLp9Q
- 以下の%sってのには使用者名とか組織名が来るみたい。
以下の内容のをあちこちにメールする機能を持っている模様。
CODE:0044C218 aGGtggvkvVVpvsv db 'ソフトがほしけりゃネットで落とせばいいだけ。暇つぶしになる。'
CODE:0044C218 ; DATA XREF: CODE:0044BA3Ao
CODE:0044C218 db 0
CODE:0044C255 align 4
CODE:0044C258 dd 0FFFFFFFFh, 3Ch
CODE:0044C260 aGtghgggvgzgbgv db 'フォトショップとかMSオフィスとか色々あるのでマジでお勧め。'
CODE:0044C260 ; DATA XREF: CODE:0044BA46o
CODE:0044C260 db 0
CODE:0044C29D align 4
CODE:0044C2A0 dd 0FFFFFFFFh, 20h
CODE:0044C2A8 aXLxvkvavsuzvVV db '文句がある奴はここによこせや → ',0
CODE:0044C2A8 ; DATA XREF: CODE:0044BA70o
CODE:0044C2C9 align 4
CODE:0044C2CC dd 0FFFFFFFFh, 1Eh
CODE:0044C2D4 aVvvVrvirvsbvVV db 'いつもお世話になっております。',0
CODE:0044C2D4 ; DATA XREF: CODE:0044BB0Fo
CODE:0044C2F3 align 4
CODE:0044C2F4 dd 0FFFFFFFFh, 0Fh
CODE:0044C2FC aSVSVVBb db '%s の %s です。',0 ; DATA XREF: CODE:0044BB42o
- 113 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:20 ID:LkxqLp9Q
- 送り先にACCSが入ってたらガクガクブルブルですなw
年齢と所持ファイルリストも送ってくれるらしいw 年齢ってどこから引いてくんのかなぁ?
CODE:0044C0B0 aMNPkoavVVvvsgt db '現在所持しているファイルのリスト:',0
CODE:0044C0B0 ; DATA XREF: CODE:0044B985o
CODE:0044C0B0 ; CODE:0044BADBo
CODE:0044C0D3 align 4
CODE:0044C0D4 dd 0FFFFFFFFh, 10h
CODE:0044C0DC aSVSbaDnBb db '%s の %s、%d歳。',0 ; DATA XREF: CODE:0044B9F6o
CODE:0044C0ED align 4
CODE:0044C0F0 dd 0FFFFFFFFh, 2Ah
CODE:0044C0F8 aLofnvVLrcVMnvV db '去年まで金無し君だったけど、WinnyとWinMXで',0
- 215 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:31 ID:LkxqLp9Q
- なんか音ならす機能もあるな。
これが血しぶき機能って奴か?
- 230 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:33 ID:LkxqLp9Q
- 特定のメールアドレスは載ってないので、たぶん
デフォルトのメーラー&メッセンジャーに登録してあるアドレスに
無差別に送りつけると思われ。
ACCS&京都府警じゃなくてよかったなw
- 251 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:37 ID:LkxqLp9Q
- HTMLに埋め込んで踏ませちゃうのはだれかが埋めたんではなくて
こいつ自身が作る模様。
CODE:00449644 aHtmlHeadTitleT db '<html><head><title></title>',0
CODE:00449644 ; DATA XREF: sub_448F78+222o
CODE:00449644 ; sub_448F78+3D4o
CODE:00449660 dd 0FFFFFFFFh, 47h
CODE:00449668 aObjectClassidC db '<object CLASSID=',27h,'CLSID:00000000-0000-0000-0000-FFF0853'
CODE:00449668 ; DATA XREF: sub_448F78+22Eo
CODE:00449668 ; sub_448F78+3E0o
CODE:00449668 db '24649',27h,' CODEBASE=',27h,0
CODE:004496B0 dd 0FFFFFFFFh, 1
CODE:004496B8 dword_4496B8 dd 2Fh, 0FFFFFFFFh, 0Bh ; DATA XREF: sub_448F78+236o
CODE:004496B8 ; sub_448F78+3E8o
CODE:004496C4 dword_4496C4 dd 2F3C3E27h, 656A626Fh, 3E7463h, 0FFFFFFFFh, 28h
CODE:004496C4 ; DATA XREF: sub_448F78+23Eo
CODE:004496C4 ; sub_448F78+3F0o
CODE:004496D8 aScriptWindow_l db '<script>window.location = "./";</script>',0
CODE:004496D8 ; DATA XREF: sub_448F78+25Ao
CODE:004496D8 ; sub_448F78+412o
CODE:00449701 align 4
CODE:00449704 dd 0FFFFFFFFh, 1Bh
CODE:0044970C aHeadBodyBodyHt db '</head><body></body></html>',0
- 276 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:40 ID:LkxqLp9Q
- うわ〜
UpFolder.txtをリードオンリーにすればいいっていう対策でたけど、
それだめぽ。ファイルの属性変更してくれまつw
CODE:00443F8B mov ecx, offset aPath ; "Path"
CODE:00443F90 mov edx, [ebp-10h]
CODE:00443F93 mov eax, [ebp-0Ch]
CODE:00443F96 mov ebx, [eax]
CODE:00443F98 call dword ptr [ebx+4]
CODE:00443F9B push 0
CODE:00443F9D mov ecx, offset aTrip ; "Trip"
CODE:00443FA2 mov edx, [ebp-10h]
CODE:00443FA5 mov eax, [ebp-0Ch]
CODE:00443FA8 mov ebx, [eax]
CODE:00443FAA call dword ptr [ebx+4]
CODE:00443FAD mov eax, [ebp-0Ch]
CODE:00443FB0 mov edx, [eax]
CODE:00443FB2 call dword ptr [edx+54h]
CODE:00443FB5 push 6
CODE:00443FB7 mov eax, [ebp-0Ch]
CODE:00443FBA mov eax, [eax+4]
CODE:00443FBD call sub_4044F4
CODE:00443FC2 push eax
CODE:00443FC3 call SetFileAttributesA
- 330 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:46 ID:LkxqLp9Q
- 感染すると以下のフォルダ名のフォルダを作る模様。
BBS2
BbsCache
Cache2
System Volume Information
.FolderSettingsって文字もあったから、エクスプローラーをWeb表示
にしてると見えないように騙されるのかも。
- 405 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 06:54 ID:LkxqLp9Q
- たぶんレジストリを書き換えてstart,logon,autorunって名前で常駐しようとしてると思われ。
CODE:0044325F mov edx, offset aSoftwareMicros ; "SOFTWARE\\Microsoft\\Windows\\CurrentVersi"...
CODE:00443300 loc_443300: ; CODE XREF: sub_443214+D4j
CODE:00443300 push offset dword_443414
CODE:00443305 push [ebp+var_4]
CODE:00443308 push offset dword_443420
CODE:0044330D mov eax, offset aStart_0 ; "start"
CODE:00443312 mov [ebp+var_34], eax
CODE:00443315 mov eax, offset aLogon_0 ; "logon"
CODE:0044331A mov [ebp+var_30], eax
CODE:0044331D mov eax, offset aAutorun_0 ; "autorun"
- 529 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:05 ID:LkxqLp9Q
- eXescopeでのぞくと、悲鳴のWAVとぬるぽビットマップがありますね。
あと、ぬるぽ・ガッのAAリソースではない文字列として入ってるので
なんかの条件で発動するかもw
- 641 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:15 ID:LkxqLp9Q
- スクリーンキャプチャがどういう条件で発動するのか調べたいんだけど、
スクリーンキャプチャをどのAPIでやるのかがわからん…
ぐぐってきまつ。
- 715 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:25 ID:LkxqLp9Q
- >>701
SSだけではすまない。今のところHDDは消さないっぽいが、
人生があぼーんしかねない。
>>50
>>72
>>92
>>97
>>113
- 736 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:27 ID:LkxqLp9Q
- ny起動して無くてもメールで
自分がnyやってることとか所有ファイルリストをつけて
たぶんランダムに選んだアドレスにメールする機能付き。
しかも所有者名・組織名・年齢までつけてくれるらしい。
これ発動しちゃうとマジで人生終わりかねんな…
- 776 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:34 ID:LkxqLp9Q
- 落とすファイル名でこいつを判別するのは不可能だと思った方がいい。
とんでもない数の擬態様ファイル名を内蔵してる…
- 905 名前:[名無し]さん(bin+cue).rar[] 投稿日:04/03/16 07:51 ID:LkxqLp9Q
- ん〜〜〜
jpeg作ってるところが多分クラスライブラリになってて、
スイッチジャンプしてるのでディスアセンブラでは発動条件がわからん。
デバッガ使わないとな〜〜
デバッガ使うにはウイルス実行させなきゃいかんのでこれ以上はむりぽ。
眠いんでねまつ。