Mini Report
− ミニ特集記事 −

Ami_lala情報ページ

作成日:2004/03/13 更新日:2004/03/26

「Ami_lala」に関する情報が少ないと思われるのでこのページを作成・公開しています。


このページは2ちゃんねるなどの掲示板で皆さんの「Ami_lala」に関する書き込みを引用し、編集して載せています。
「中の人」さんが作成した貴重なページの情報AA略 ◆.AwAwARK.Yさんテキスト186(一服中)さん[web]memoを勝手ながら引用させて頂いています。
817 名前: 名無しさん? [sage] 投稿日: 04/01/09 01:36 ID:???
ttp://tinyurl.com/3xtvh?YPatch_32
おながいしま

821 名前: うしゃしゃ ◆Ul/aT0wR4I [sage] 投稿日: 04/01/09 01:42 ID:???
>817
怪しげなexeファイルが落ちてきました。
実行してみますので、しばしお待ちを。

829 名前: うしゃしゃ ◆Ul/aT0wR4I [sage] 投稿日: 04/01/09 02:07 ID:???
>817
とりあえず、激しく有害です。

Cドライブ直下にReadMe.htmlファイルをつくりますがこの、ファイルがVBScriptのようで、
Cドライブ直下に「WINDOWS.AMILALA..(数字)..DLL」なる1KBのファイル
(中身は「Hiya Every1 from AmiLaLa :)」とか書かれただけのテキストファイル)
を、おびただしい数、作っていってます。

とりあえず再起動してみましたが、やはり何か重いです・・・
とにかく、絶対にexeを実行しないでください。

C直下の6000枚以上(当方の環境では)のDLLファイルは 
消しましたが、regeditが使えない、起動時にエラーが出るetc...
何かまだ害が残ってるようです。。。








108 名前: うしゃしゃ ◆Ul/aT0wR4I [sage] 投稿日: 04/01/09 02:48 ID:???
とりあえず、本スレ>817、無駄なファイルを吐き出すだけでなく、
autoexec.batとかを書き換えてることが分かりました。。。
PCが動くだけ、まだいいのですが。。。








335 名前: ◆JBUBBLET5w [sage] 投稿日: 04/01/16 09:58 ID:???
本スレ375ですが、HTMLファイルを展開しようとするとIEがフリーズし、
PCの調子がおかしくなったので再起動をかけました。
PCが立ち上がったときにはデスクトップの模様が替わっていて、
マウスは使えない状態でした。
セーフモードからのシステムの復元も出来ず、起動ディスクで
やっと復元して復帰しました・・・_| ̄|○
取りあえずバックアップだけでも取っておこうと思ってDドライブを開いたら、
27kバイト程のファイルが数百個ほど出来ていました。
これは一体何なんでしょうか・・・

338 名前: 名無しさん? [sage] 投稿日: 04/01/16 12:13 ID:???
自分は全く素人ですが amilala_light.htmlの途中にある

lalavbsa+='lalaflwfilea01= unescape("%43%3A%5C%41%55%54%4F%45%58%45%43%2E%42%41%54") \n';
lalavbsa+='lalaflwfilea02= unescape("%43%3A%5C%43%4F%4E%46%49%47%2E%53%59%53") \n';
lalavbsa+='lalaflwfilea51= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%57%49%4E%2E%49%4E%49") \n';
lalavbsa+='lalaflwfilea52= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%53%59%53%54%45%4D%2E%49%4E%49") \n';
lalavbsa+='lalaflwfilea53= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%53%43%41%4E%44%53%4B%57%2E%45%58%45") \n';
lalavbsa+='lalaflwfilea54= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%53%43%41%4E%52%45%47%57%2E%45%58%45") \n';
lalavbsa+='lalaflwfilea55= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%52%45%47%45%44%49%54%2E%45%58%45") \n';
lalavbsa+='lalaflwfilea56= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%55%53%45%52%2E%44%41%54") \n';
lalavbsa+='lalaflwfilea57= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%53%59%53%54%45%4D%2E%44%41%54") \n';
lalavbsa+='lalaflwfilea58= unescape("%43%3A%5C%57%49%4E%44%4F%57%53%5C%53%59%53%54%45%4D%5C%4D%53%47%53%52%56%33%32%2E%45%58%45") \n';
 をコード変換すると

339 名前: 名無しさん? [sage] 投稿日: 04/01/16 12:14 ID:???
lalavbsa+='lalaflwfilea01= unescape("C:\AUTOEXEC.BAT") \n';
lalavbsa+='lalaflwfilea02= unescape("C:\CONFIG.SYS") \n';
lalavbsa+='lalaflwfilea51= unescape("C:\WINDOWS\WIN.INI") \n';
lalavbsa+='lalaflwfilea52= unescape("C:\WINDOWS\SYSTEM.INI") \n';
lalavbsa+='lalaflwfilea53= unescape("C:\WINDOWS\SCANDSKW.EXE") \n';
lalavbsa+='lalaflwfilea54= unescape("C:\WINDOWS\SCANREGW.EXE") \n';
lalavbsa+='lalaflwfilea55= unescape("C:\WINDOWS\REGEDIT.EXE") \n';
lalavbsa+='lalaflwfilea56= unescape("C:\WINDOWS\USER.DAT") \n';
lalavbsa+='lalaflwfilea57= unescape("C:\WINDOWS\SYSTEM.DAT") \n';
lalavbsa+='lalaflwfilea58= unescape("C:\WINDOWS\SYSTEM\MSGSRV32.EXE") \n';

になります。かなりヤバそう

386 名前: うしゃしゃ ◆Ul/aT0wR4I [sage] 投稿日: 04/01/18 04:00 ID:???
さしあたり、再起動できました。
くれぐれも、>>416は激しく有害なので絶対踏まないでください。
多数のシステムファイル等が消えます・・・踏んでしまった方は、
少なくともCドライブのautoexec.batだけは
削除とかリネームとかしてください。
そのまま再起動するとC・Dドライブあぼーんのような気がする。
記述のファイルに変更されてます。
当雑談スレ>>108よりも更にタチが悪いです・・・・

387 名前:◆GPKeyR503k [sage] 投稿日: 04/01/18 04:44 ID:???
>>386
そんなにやばいですか?
踏んでみようかと思ってるんだけど、やめた方が良い??

441 名前: うしゃしゃ(アク禁中 ◆Ul/aT0wR4I [sage] 投稿日: 04/01/20 03:10 ID:???
当方、>>108,>>386に続き、3回目のamilala(>>338-339)被弾....
いい加減、気づかなくちゃ、ですね。。。

443 名前: うしゃしゃ(アク禁中 ◆Ul/aT0wR4I [sage] 投稿日: 04/01/20 03:31 ID:???
今回はc:\autoexec.batだけでなく、
c:WINDOWS\system.batもあぼーんコマンドでした。
ご丁寧にc:WINDOWS\win.ini,system.iniファイルから
シェルでこれ呼んでるし。。。更に極悪度が増してる悪寒。
再起動させるたびに、見落としがあったら。。って、心臓止まります。。。

>>442
いい加減に、そう願いたいです。。。htmlファイルごときに。。。
勿論過去3回ともノートン先生はピクとも反応しませんでした。

444 名前: 博物館の中の人 [sage] 投稿日: 04/01/20 03:32 ID:???
トリップ無いけど本人です。
本スレ>405、誰か保存して博物館のMailToに添付して送って下さいな。
朝一でトレンドマイクロに打診してみるんで。
(今PC使用不可なもので…)暇人いたら宜しくでし。

445 名前: うしゃしゃ(アク禁中 ◆Ul/aT0wR4I [sage] 投稿日: 04/01/20 03:42 ID:???
>>444
依頼URL通り、zipファイルでいいですか?
あと、ブラクラとはちと違うので、そちらの役には立たないかも。

446 名前:(ry [sage] 投稿日: 04/01/20 03:48 ID:???
うぃ、圧縮ファイルでOKです。
誰か動かなきゃトレンドマイクロも動かないですし、
当方以前ブラストの時もメールしたからアド残ってるんで。

447 名前: うしゃしゃ(アク禁中 ◆Ul/aT0wR4I [sage] 投稿日: 04/01/20 03:56 ID:???
では、送信しました。くれぐれも開かぬよう・・・

451 名前:◆GPKeyR503k [sage] 投稿日: 04/01/20 09:38 ID:???
>>447
戴きますた。有り難うございます。
流石にちょっとびびりますですね。

で、件のHTMLですが、先程トレンドマイクロ社様にメールに添付して
調査を依頼しました。現在返答待ち状態です。

(´-`).。oO(・・・返信してくれるかなぁ?)

455 名前: 名無しさん? [sage] 投稿日: 04/01/20 17:10 ID:???
たまに鑑定してる博物館の中の人、
ttp://profiles.yahoo.co.jp/ami_lala_018いります?

456 名前: 名無しさん? [sage] 投稿日: 04/01/20 17:21 ID:???
ttp://profiles.yahoo.co.jp/ami_lala_018
が404になってます。
>>506のttp://mbspro11.uic.to/user/chokoのほうはもう消されてますが
>>482のほうのttp://mbspro11.uic.to/user/puropozu.htmlはまだ消されてませんね。
両方とも桜華という人の書き込みです。┐(´ー`)┌

458 名前:◆GPKeyR503k [sage] 投稿日: 04/01/20 18:18 ID:???
トレンドマイクロ社から返信ありました。
会社のメールフォームが混雑している為調査結果はちょっと待ってて、という
感じです。なんでトレンド様の報告は今しばしお待ち下さい状態。

563 名前:◆GPKeyR503k [sage] 投稿日: 04/01/23 21:05 ID:???
ちょいと御免なすって。
件のHTMLに関してトレンド様から返信がありましたので報告に参ったとな。


トレンドマイクロ・ウイルスバスタークラブセンターです。
ご連絡が遅くなりましたこと深くお詫び申し上げます。

今回お問い合わせいただいておりますウイルスの件ですが、
下記手順にて最新版のウイルスバスター2003でウイルス検索を
いただき、ウイルスが検出されるかご確認をお願いいたします。

ウイルスバスターにて全ドライブ検索を行い、ウイルスが発見されない場合は、
その旨ご連絡をお願いいたします。

ウイルスが検出され対処方法がご不明な場合は、お手数ですがウイルスログを、
メールの添付ファイルにてお送りいただきますようお願いいたします。








592 名前:◆GPKeyR503k [sage] 投稿日: 04/01/24 19:18 ID:???
で、件のHTML開いてからやっとPCが元に戻ったですよ。
マイクロさん、全然ヴァスター反応しないじゃんよ_| ̄|○

笑い事ではありませんぞなもし。
どうやら何かのトロイのようですぞ例のアレ。

593 名前: Chelsea @ No.3 ◆Chelseag6c [sage] 投稿日: 04/01/24 19:42 ID:???
>>592
ちょっとHTML開いて見ます。
博物館の更新が途絶えたら、俺のPCがあぼんしたと思いねぇw








643 名前: うしゃしゃ ◆Ul/aT0wR4I [sage] 投稿日: 04/01/25 23:58 ID:???
ええっと、ただいま帰りました。

本スレ>>113
当雑談スレ>>108のamilala踏んだ際とのことですね・・・
当方もその後、音が出なくなったりregeditコマンドが
通用しなくなったり、起動時に3回エラーボックスが出たりしました。
非常に情けない話ではありますが、当方の場合、その後
別途鑑定依頼のあったPGPソフトをインストールした後は
音は修復、エラーボックス出現は無くなりました(regeditは現在も使用できません)

決して、PGPをインストールすることで解決した、というわけではないですが、
一応念のため。。。http://www.hizlab.net/pgp/658ij.htmlのpgp658ckt08ja3.exe でした。

以上、あくまでご参考まで。。。

644 名前: AA略 ◆.AwAwARK.Y [sage] 投稿日: 04/01/26 01:01 ID:???
>>>643
> (regeditは現在も使用できません)

ウイルスのSwenと似てますね、挙動が・・・
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A
レジストリをいじられてregeditが使えないのなら上の修復方法試してみたら治るかも・・・
それともregedit自体削除されたのかな??

例の奴ってほんと挙動がわかりませんよね

私も某マイナーセキュリティー会社に解析依頼したら「このファイルはクリーンです。
お客様のPCに何かしらの被害があるのは他のウイルスによるものかもしれません。
一度オンラインスキャンをお試しください 以下製品アピール」だって
もうね、アフォか(ry








725 名前: ◆vTORiPJx8M [sage] 投稿日: 04/01/26 19:43 ID:???
半角の鑑定スレの
http://okazu.bbspink.com/test/read.cgi/ascii/1074844619/822
なんですが、解凍してみると5つのファイルが入っています
そのなかの dat.xsl がかなりぁゃιぃです

アスキーコード化された文字列が出てくるのが
Ami-lalaに似てるような気がします
どんなもんなんでしょう

728 名前: 名無しさん? [sage] 投稿日: 04/01/26 20:18 ID:???
>>725
 昨日その中の .xml をクリックしてしまいました。
 ごみ箱がいっぱいできたりした後、NTLoader があぽーんしました。

745 名前: 名無しさん? [sage] 投稿日: 04/01/26 23:56 ID:???
>>725
デコードしてみたらどのような記述がかいてあります?
ここでも使ってやってみて
ttp://www.umechando.com/tips/09.htm
>>338といっしょになったらビンゴ

756 名前: ◆vTORiPJx8M [sage] 投稿日: 04/01/27 08:12 ID:???
やはり >>725も Ami-lala と同じ物と思われます
コード化して書かれているファイル名が違いますが
前回のAmi-lalaウイルス本体が置かれていたのと同じ場所でした

758 名前: ◆vTORiPJx8M [sage] 投稿日: 04/01/27 08:33 ID:???
また半角の鑑定スレでAmi-lalaの亜種はっけん
http://okazu.bbspink.com/test/read.cgi/ascii/1074844619/940

実行するとAmi-lalaと同じようにJSファイルを実行しようとします
javascript:document.write(String.fromCharCode(60,115,99,114,105,112,116,32,108,97,110,103,117,97,103,101,61,34,74,97,118・・・・
私の環境ではスクリプトエラーで実行がストップしたので助かりました(汗

761 名前: 名無しさん? [sage] 投稿日: 04/01/27 09:04 ID:???
://www5e.biglobe.ne.jp/~yb_net/clip/img/8377.zip
://www.42ch.net/UploaderSmall/source/1075112684.zip
://profiles.yahoo.co.jp/ami_lala_018
とりあえず今まで確認されたami_lalaの亜種








784 名前: AA略 ◆.AwAwARK.Y [sage aaryaku@hotmail.com] 投稿日: 04/01/27 18:41 ID:???
>>758
今回はswf単体でもAmi-lala発動しますね

再起動したら"Your Computer Has Just Been Terminated by Amilala"
と書かれたDOS窓が開きHDD消去が始まりました。

圧縮swfの中身が見れないのでなんともいえないのですがいままでのAmi-lalaのコードを
swfに放り込んでいるみたいです。
んでswfがIEにスクリプトを手渡して発動ってかんじなのかな?

そこでお願いなんですが初期のAmi-lalaをお持ちの方、
よかったらzipにでも固めてメールに送ってもらえないでしょうか?
(うしゃしゃさんとかお持ちでないかな?)
もしかしたら初期の奴ならhtmlのほうに本陣のコードが書かれているかもしれませんし。

(60,11〜)のtmpjs01.jsのほうは404でした。
ただ同時にいくつかのIEが開くので夏に見つかった大穴とちょっと似ていますね。
(404アドレス→任意のスクリプトを放り込み実行)

785 名前:◆GPKeyR503k [sage] 投稿日: 04/01/27 18:54 ID:???
>>784
トレンドマイクロに送った奴なら手元にありまっせ。
ttp://cyberdyne-co-ltd.hp.infoseek.co.jp/a9c40120011300.zip
これでDL出来るかな?

786 名前: AA略 ◆.AwAwARK.Y [sage] 投稿日: 04/01/27 19:32 ID:???
>>785
ごめんなさい それも持っていますm(_ _)m

具体的にいうと>>338-339が記述されたhtmlが欲しいのです
段階的にhtmlの記述が簡素になるにつれswfの容量が増えてきているみたいなので
最初の奴ならhtmlにもっと本陣のスクリプトがないかなぁ〜っと思ってお願いしたのです

入手できたとして理解できるとは思えませんが一度気になったらどうしようもなくなるたちなので・・・

お詫びといっちゃあれですがAmi-lala発動のDOS窓キャプってきました
Kerioでcmd.exeの活動を中断させているので実際とは少し違うかもしれませんが
ttp://up.isp.2ch.net/up/7d2e488bf568.jpg








814 名前:◆GPKeyR503k [sage] 投稿日: 04/01/28 06:48 ID:???
トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。

さて、このたびお問い合わせいただきました件に関して以下にご回答申し上げます。
ご連絡が遅くなり、申し訳ございませんでした。

弊社にてファイルの解析を行いました。
不正プログラムを検知することはできませんでした。

詳細な結果は下記のとおりとなります。

・Index.html  :正常なHTMLファイル
・loading.gif  :正常な画像ファイル
・menu.xml    :正常なXMLファイル
・rapej017.swf :THE_RAPE_2.htmlファイルを実行する [Macromedia Shockwave flash] ファイル
・THE_RAPE_2.html:リモートサイトのスクリプトを実行するHTMLファイル。

検証の時点ではリンク先サイト「http://free.hostdepartment.com/u/u01/tmpjs01.js」が
ダウンしているため、何も実行されない状態です。

今後何かご不明なファイルなどがございましたら、
再度ご連絡いただきますようお願い申し上げます。

HTML本体じゃ無いみたいね悪玉は。

832 名前:◆GPKeyR503k [sage] 投稿日: 04/01/28 18:31 ID:???
おいっす、博です。
昨日から考えてたんだけど、件のHTMLって、
>>784
>圧縮swfの中身が見れないのでなんともいえないのですがいままでのAmi-lalaのコードを
>swfに放り込んでいるみたいです。
>んでswfがIEにスクリプトを手渡して発動ってかんじなのかな?

>(60,11〜)のtmpjs01.jsのほうは404でした。
>ただ同時にいくつかのIEが開くので夏に見つかった大穴とちょっと似ていますね。
>(404アドレス→任意のスクリプトを放り込み実行)

ここら辺を考える辺り、やっぱスクリプティングホストがIEの穴を攻撃してるんじゃ無いかね?
相手ホストに勝手に操作を実行されるって奴。
もし相手がHDDあぼんやクラッシュミーに飛ばすようにスクリプト組んでたら・・・
だとしたら、相手サーバーが完全に404(擬餌404じゃなくサーバーから削除)に
なっている間に踏んだ数人のPCが無事なのも理由が付くってもんでぇ。

ならば、Win+IEじゃない環境や、回線を物理的に遮断した状態で
HTMLを開いたらどうなるんだろうね。マク+ネスケとか・・・
これで無事が確認されれば、「IEの穴を攻撃されてる」って事でFAじゃないかな。
因みにノートンはどうやら定義ファイルを更新してアミララに対応したモヨリ。

835 名前: 名無しさん? [sage] 投稿日: 04/01/28 19:16 ID:???
>>832
>Win+IEじゃない環境
Win + Opera
Win + Mozilla
Win + Netscape
この環境でも、「IEの穴を攻撃されてる」かが解るのでは?
Winの穴ならどうしようもないが。

836 名前:◆GPKeyR503k [sage] 投稿日: 04/01/28 19:20 ID:???
あきゃさぁ〜さ。
今ヴァスターのうpでーとが来たけど、やっぱアミララには反応しませんのぅ。

837 名前: 名無しさん? [sage] 投稿日: 04/01/28 19:32 ID:???
ノートン先生もアミララに無反応な罠(w

838 名前: ◆vTORiPJx8M [sage] 投稿日: 04/01/28 19:35 ID:???
すぐ出かけたので2時間ほど前に名無しで鑑定したファイル
http://ex.2ch.net/test/read.cgi/entrance/1075186819/521-522

かなりぁゃιぃ・・・
自分にはこのファイルを開く勇気はありませんです。

839 名前:◆GPKeyR503k [sage] 投稿日: 04/01/28 19:55 ID:???
>>838
専門知識を持ってるだろうと思われる板の住人の召喚を試みております。

***すれ立てるまでもない質問はここで 第49刷***
ttp://pc2.2ch.net/test/read.cgi/tech/1074245277/l50

845 名前: 名無しさん? [sage] 投稿日: 04/01/28 20:31 ID:???
>839
ム板から来た。解読方法だけとりあえず教えるわ。
・mecute.txtをmecute.jsに変名してメモ帳とかで開く。
・とタグを除去する
・最後のdocument.write(t)をWScript.Echo(t)にする。
・コマンドラインから、cscript mecute.jsを実行する。
すると、解読された状態でずらずら出てくる。

>cscript mecute.js
...略...
setTimeout('amilalaDelDirExploit01()',1*1000);
</script>
</head>
<body onunload="amilalaDelDirExploit01();window.open('./mecute.html','amilalawin
delc','top=4444,left=4444');">
</body>
</html>








847 名前: 名無しさん? [sage] 投稿日: 04/01/28 20:37 ID:???
本スレ616の
http://tool-ya.ddo.jp/2ch/trash-box/contents.jsp?file=20040128201833588.zip
を解凍後のファイル


> ならば、Win+IEじゃない環境や、回線を物理的に遮断した状態で
> HTMLを開いたらどうなるんだろうね。マク+ネスケとか・・・
> これで無事が確認されれば、「IEの穴を攻撃されてる」って事でFAじゃないかな。
gomeito lmao
iexplorer.exe no unpatched bugs o tsukatteru dake
trojan dewa nai yo microshit ga dumbfuck na dake lol
> 因みにノートンはどうやら定義ファイルを更新してアミララに対応したモヨリ。
yaku hantsuki ijo mae no mono nomi niwa taio shiteru yo
ima no niwa taio shitenai
demo neee norton no hoho dewa chimeiteki na kekkan ga atte teigi ga ikagen dakara damepo
eternal, majo wa mukankei nai
flash no bug o tsukatteru dake
//////// 
> 具体的にいうと>>338-339が記述されたhtmlが欲しいのです 
zuibun mae no development yori
[......]
a_m_i_l_i_l_a_l_a+='l_a_l_a_f_l_w_f_a_01=\"C:\\AUTOEXEC.BAT\" \n';


以下略








859 名前: AA略 ◆.AwAwARK.Y [sage] 投稿日: 04/01/29 06:16 ID:???
>>847
Self-Executing HTML Part III- Remote Compromise( requiring viewing an HTM file)
これじゃない?

lalavbs+='set amilala = CreateObject(\"Adodb.Stream\") \n';
lalavbs+='amilala.Type = adTypeText \n';
lalavbs+='amilala.Open \n';・・・・・・ここの記述がDemoのjelmerをamilalaに変えているだけだし

一行目にラテン文字コードでしょうもない言葉をいれてるのもそっくり・・・

なんかこの作者の動作テストさせられてるような気がする。 

860 名前: AA略 ◆.AwAwARK.Y [sage] 投稿日: 04/01/29 07:13 ID:???
>>843
これはIEの穴じゃなくただのvbsをつかったHDD消去じゃないかな
マイコンピューターゾーンといえどもIE経由のvbsの実行には基本的に確認ダイアログがでます。

今回のようにHDD消去のvbsでも実行してもいいですか?って確認ダイアログがでるんですが

コード化されてvbsの確認が容易でない。
マイクロソフトからのメッセージに似せたダイアログを使い、
確認ダイアログの「はい」を押させようとしている、
という点ではかなり悪質だね
すべての記述がWSHの正規表現を使っているので
さすがにノートンやバスターでもこれには対応しないかも








86 名前: 名無しさん? [sage] 投稿日: 04/01/31 17:34 ID:???
そうそうアミララで思い出した。
トレンドマイクロから、アミララに関して回答があったとな。

IEの穴なら、まめにWinうpでーとして下さい。VBでは対応しかねます。
だって。ちゃんちゃん。

87 名前: 名無しさん? [sage] 投稿日: 04/01/31 17:41 ID:???
つまりアミララの苦情はマイクロソフトにしろって事か








231 名前: 名無しさん? [sage] 投稿日: 04/02/03 13:12 ID:???
WindowsUpdateが来ましたので、告知sage。
ttp://headlines.yahoo.co.jp/hl?a=20040203-00000001-cnet-sci

ami_lalaもこの脆弱性だったのかな?
ttp://www.excite.co.jp/world/url/body/?wb_url=http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1026&wb_lp=ENJA

234 名前:◆GPKeyR503k [sage] 投稿日: 04/02/03 13:18 ID:???
>>232
そうみたいね。古いアミララには対応してるみたい。
バージョン新しいのはどうか試してないけど。

ってかもう踏みたくありませぬアミララは。

247 名前: ◆vTORiPJx8M [sage] 投稿日: 04/02/03 19:51 ID:???
http://ex.2ch.net/test/read.cgi/entrance/1075186819/521(※DAT落ち) の
Ami-lalaに関して、トレンドマイクロから返事が来ました。


トレンドマイクロ・ウイルスバスタークラブセンターです。
ご連絡が遅くなりまして、誠に申し訳ございません。

ご提供いただきました「mecute.html」を解析いたしましたところ、
次の最新パターンファイルにて、新ウイルス「JS_AMILALA.A」として
対応いたします。

次回のアップデートを実行後、ウイルス検索にて「JS_AMILALA.A」として
検出されるかご確認をお願いいたします。

249 名前: キリクチ ◆tvtRGUNDAM [sage] 投稿日: 04/02/03 20:13 ID:???
なんだかメーカーが喜びそう。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A

250 名前: 名無しさん? [sage] 投稿日: 04/02/03 20:21 ID:???
>>249
確かにダメージ度はMAXですな(・∀・)b








256 名前: 名無しさん? [sage] 投稿日: 04/02/03 22:02 ID:???
>>247
mecute.htmlじゃないほうのアミララには対応してるの?

257 名前: 名無しさん? [sage] 投稿日: 04/02/03 22:13 ID:???
>256
攻撃パターンが一緒なら包括的に対応出来るんじゃない?
ま、被害が出てから「亜種」対策するだろうさ。

258 名前: 名無しさん? [sage] 投稿日: 04/02/03 22:27 ID:???
>>256
amilala自体仕組みが毎回違うし、
破壊コードも微妙にかえてるから多分無理

259 名前: 名無しさん? [sage] 投稿日: 04/02/03 22:43 ID:???
IEの最新UPデートしておけば大丈夫なんじゃないの???

260 名前: 名無しさん? [sage] 投稿日: 04/02/03 22:46 ID:???
俺もさっきうpデートしたとこ
でも試す勇気無い
誰か人柱キボンヌ

261 名前: 名無しさん? [sage] 投稿日: 04/02/04 00:01 ID:???
>>259-260
今回のupdateでは対応してないらしい(「.folder」の脆弱製も直ってない)。

> 46 名前:AA略 ◆.AwAwARK.Y :04/02/03 (火) 15:31 ID:???
> 途中で書き込んじゃった^^;
> 今回のうpデートでもまだ対応してないようです
> 全部思いっきり発動します

そして、アンチウイルスで止めるのも、かなりだめぽらしい。

> yahooでの話ですが、amilala-exploitは、複数のモジュールの組み合わせによって
> 実行内容も毎回変るようです。各スクリプトの記述もどんどん更新され
> (PHPやASPで動的ランダム乱数付き出力のものもあったと思う)、
> ウィルスベンダーやフィルタリングが過去のものに対応しても、
> 最新のものには指紋とパターンマッチしないということになります。

262 名前: 名無しさん? [sage] 投稿日: 04/02/04 00:16 ID:???
鑑別所のレスは読んだけど、
結局flashplayerがスクリプトを取ってきてIEに渡すってことかな、
だったらいくらセキュリティホール塞いでもダメなわけだ・・・









-------勇気が無くて見られない画像解説スレpart521inラウンジより-------

749 名前: 名無しさん? 投稿日: 04/02/15 21:00 ID:OS58x/So
http://www.charmy-rika.gotdns.com/uploder/rika01/charmy406.jpg 
ダウソ後に拡張子をzipに変えるみたいです。 
尾根 

757 名前: 名無しさん? 投稿日: 04/02/15 21:37 ID:rznrWrf9
>749 
調子に乗ってロクに安全確認もせず 
拡張子変更、中のファイル(なんか見覚えのある拡張子)を起動すると 
見事にWinMe落ちました、普通の方法では再起動も不能っぽい(泣 
ただいまサブのPCからアクセス中・・ 








-------鑑定人雑談スレinラウンジより-------

280 名前: 名無しさん? [sage] 投稿日: 04/02/15 22:08 ID:???
これって、既出の amilala の亜種でしょうか?。 
http://ex2.2ch.net/test/read.cgi/entrance/1076716985/749 
http://shorl.com/govirykihyfry にアクセスして 
http://shorl.com/tmp3burg.js をダウンロードして実行する? 
本スレで一人逝ってるようですので、ご注意下さい。 

285 名前: /名無しさん[1-30].jpg [sage] 投稿日: 04/02/15 22:40 ID:???
>>280 
jsに↓書いてありました。OS再インスコ必要のようです。 
Feel Free To Steal These Codes And Bomb People Now for No Reason YAY ;) 
(c) 2003 [AmiLaLaFlower :)] 

286 名前: 280 282 [sage] 投稿日: 04/02/15 22:44 ID:???
>>285 
 懐石ありがとうございます!!。 
 ちなみに、自分は [イントラネットゾーンのセキュリティ設定→カスタマイズ 
&ダミープロキシをかましていた] のでセーフでしが、みなさんもご注意ください。 

287 名前: 名無しさん? [sage] 投稿日: 04/02/15 22:44 ID:???
>>280踏んで立ち上がらないから再インスコしちゃった・・・ 
逝った人2人目ヽ(´ー`)ノ 

288 名前: TEN MINUTE@ nimda.tokyo-nazo.net [sage] 投稿日: 04/02/15 22:54 ID:???
>>280を怖いもの見たさで踏もうとしたら、jsが見つからないと蹴られました。 
削除されたのでしょうか・・・・ 

289 名前: 285 [sage] 投稿日: 04/02/15 23:01 ID:???
jsではありませんでした。失礼。 
ブラクラチェッカでソースを見たらありました。 

290 名前: 280 282 [sage] 投稿日: 04/02/15 23:02 ID:???
>>288 
 ここに抽出したファイルも含めアップしてみました。 
 ttp://marmotfarm.com/cgi-bin/upload2/source/up31399.zip 
 注! 中のファイルはむやみに実行しないで下さい。 

291 名前: TEN MINUTE@ nimda.tokyo-nazo.net [sage] 投稿日: 04/02/15 23:09 ID:???
>>290 
ダウンしました。今から研究してみますね。 

292 名前: 285 [sage] 投稿日: 04/02/15 23:15 ID:???
どうやらファイルが削除されたようです。でもいつ復活するか・・・ 

293 名前: TEN MINUTE@ nimda.tokyo-nazo.net [sage] 投稿日: 04/02/15 23:17 ID:???
最終的にamilalaのjsが実行されるというわけですね。 
virus warning出なかったです_| ̄|● 

294 名前: 280 282 [sage] 投稿日: 04/02/15 23:21 ID:???
>>290 の readme.txt の内容が少し間違えてしまいました。 
 直したやつは、↓です。ハズカシイ(^^;。 
ttp://marmotfarm.com/cgi-bin/upload2/source/up31400.zip 
(基本的に中身は >>290 と同じです。) 

296 名前: 名無しさん? [sage] 投稿日: 04/02/15 23:39 ID:???
この再うpを種にして、またあらたな亜種が生み出され、 
各地で Amilala の花が咲く罠でつね 

297 名前: TEN MINUTE@ nimda.tokyo-nazo.net [sage] 投稿日: 04/02/16 00:00 ID:???
>>296 
それは怖いですね。 
消さないと。 

298 名前: 280 282 [sage] 投稿日: 04/02/16 00:10 ID:???
>>296-297 
 消せないUP板のようです_| ̄|○。 
 でも、参照できるログ件数が少ないので、すぐにログ流れて 
落とせなくなるようです。激しく申し訳ないです。 

299 名前: 名無しさん? [sage] 投稿日: 04/02/16 00:26 ID:???
やっちまったな・・・・ 
激しく拡散のヨカソだな・・・ 

300 名前: 名無しさん? [sage] 投稿日: 04/02/16 00:46 ID:???
うっかりは誰にでもある事だから強くは咎めたく無いけど、 
amilalaは現実で例えるとケミカルウェポン。 
ネットではそんな凄いものを軽々しく素人が手に出来る世界なのです。 
取り扱いには気をつけてね。 

301 名前: 280 282 [sage] 投稿日: 04/02/16 00:57 ID:???
>>300 
 わかりまひた。 
 件のファイルですが、ログが流れて落とせなくなったようです。 
 以後、名無しに戻ります。 

302 名前: 名無しさん? [sage] 投稿日: 04/02/16 01:21 ID:???
ごめんなさい、いまさらのように聞きたいのですが 
amilalaは解凍まではOKなんですよね? 
中の.htmlとか.swfを実行しなきゃ大丈夫なんですよね? 
踏んだこと無いので伝聞でしか中味を知らないんですけど・・・ 

303 名前: 名無しさん? [sage] 投稿日: 04/02/16 01:21 ID:???
>>302 
そうですよ 









--------別館より---------------

33 名前:名無害:04/01/16 16:40 ID:???
誘導されてみる

367 :名無しさん? :04/01/16 04:11 ID:???
おながいします
SECRET PIX 2003
ttp://tool-ya.ddo.jp/2ch/trash-box/contents.jsp?file=20040116040627107.zip

369 : ◆JBUBBLET5w :04/01/16 04:28 ID:???
>>367
解凍するとHTMLファイルが2つとswfファイルが1つ入ってました。
何度も見ようと思って実行しようとしたのですが、フリーズしてしまいます。
他の鑑定人をお待ちください。
PC調子悪くなったので落ちます。

34 名前:33:04/01/16 16:42 ID:???

335 : ◆JBUBBLET5w :04/01/16 09:58 ID:???

HTMLファイルを展開しようとするとIEがフリーズし、
PCの調子がおかしくなったので再起動をかけました。
PCが立ち上がったニきにはデスクトップの模様が替わっていて、
マウスは使えない状態でした。
セーフモードからのシステムの復元も出来ず、起動ディスクで
やっと復元して復帰しました・・・_| ̄|○
取りあえずバックアップだけでも取っておこうと思ってDドライブを開いたら、
27kバイト程のファイルが数百個ほど出来ていました。
これは一体何なんでしょうか・・・

35 名前:33-34に補足:04/01/16 18:54 ID:???

http://ex.2ch.net/test/read.cgi/entrance/1073400793/338-339も参照

36 名前:( ´ー`) ◆LAsIrAneyo :04/01/30 00:21 ID:GAVEPnnY

拡張子が「.folder」のファイルを実行すると、
そのファイル内にHTMLによる記述があった際、
内容が実行されると言うセキュリティホールが公開されました。
ttp://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040129/139063/
アイコンの画像がフォルダのものと同じであるため、
「.folder」の拡張子があるものは、テキストエディタなどで開くことにより
判別することを推奨します。
また、拡張子が表示されない場合、以下の設定を適用して下さい。

1、適当なフォルダを開き、「ツール」から「フォルダオプション」を選択。
  (適当なフォルダを開いて「Altキー」「T」「O」の順番に押しても同じように開きます)
2、「フォルダオプション」の「表示」というタブをクリックする。
3、「詳細設定」の欄の『登録されている拡張子は表示しない』という項目のチェックを外す。

テストファイル
ttp://www.zatsudan.org/x/up/gazou/img/1063046526013.zip

37 名前:がんばる(ry ◆WxGANBALHM :04/01/30 00:51 ID:???
>>36
さっそく乙です
---何となく話題に乗り遅れているのでここで---
近頃話題にのぼっているHDDあぼーんファイル回避策(事前の確認策)とかないのですかいね?

38 名前:名無害:04/01/30 00:51 ID:???

ttp://ex.2ch.net/test/read.cgi/entrance/1073400793/938 の追記

5枚の新規ウインドウが開くものをテストとして開いてみたが、
「.folder」のウインドウは(当然ながら)IEとは別扱いになるようで、
IEを殺すだけでは消えず、同タイミングでexproler.exeを殺す必要がある。

簡単に言うと、IEだけを殺しても対処できず、またIEが開かれるという厄介な仕様。
「folder」がIEを大量に開き、IEが「.folder」を大量に開き、「.folder」でIEを大量に開けば、
(・∀・)ジサクジエン、イイ!!
という具合に、対処が間に合わないくらい強烈なブラクラが作れるかも知れない。

ちょっと危険なので、雑談スレには貼れなかった。


39 名前:がんばる(ry ◆WxGANBALHM :04/01/30 01:16 ID:???
>>38
なんか凄そうですね
タスクマネージャーで、IEと.folderフォルダをまとめて終了すればOKということですよね

40 名前:◆VIRUSzXyeo :04/02/02 10:33 ID:???

ami-LaLaのスクリプトなんですが、最近ネットから少々離れていたのでワケワカラン(AA略なのれす。
25P氏の半角雑スレの説明だと
[踏む]→[C¥あぼーん] で確認ダイヤログすら出ないと言うことなんですが、詳細をキボンヌでつ。

これから検索の旅に逝ってきます。

41 名前:がんばる(ry ◆WxGANBALHM :04/02/02 23:57 ID:???
>>40
わたしも詳細キボンヌ

42 名前:( ´ー`) ◆LAsIrAneyo :04/02/03 07:53 ID:???
じ、実は私も…

43 名前:中の:04/02/03 13:51 ID:???
>>40-42
簡単に言うと、IEのホール
ttp://headlines.yahoo.co.jp/hl?a=20040203-00000001-cnet-sci
を利用したトラップ。
大抵Zipに入ってて、解凍すると2つのHTML、1つのGif、swf、XMLが
入ってます。そのうちHTMLを踏むと・・・
症状:
踏むとまずOSが落ちます。
で、再起動しようとすると出来ません。のでセーフモードで起動して
PCの状態を確認するとC,Dドライブ直下にゴミファイルを数百個ほど
作られてます。
更にはレジストリエディタがシボンヌしてます。
色々なバージョンがあって、Cドライブアボンヌする奴やレジストリエディタと
Cドライブが両方アボンヌVer.とか、5種類位あり。

最終Verでは、スクリプトがswfの中に埋め込まれてて、フラッシュを
再生しただけでPCアボンヌです。

IEのセキュリティホール「404を返したスクリプティングホストからの
操作を実行してしまう」って奴でしょうね。トレンドマイクロ社と
メールでやり取りしましたが、結局VBでは対応しかねますと言われて
がっくり・・・
今日のWinうpでーとで、古いVerには対応してくれたモヨリです。

44 名前:◆VIRUSzXyeo :04/02/03 14:22 ID:???
>>43
なるほど。まだ持っていたらパスワード付けてうpキボンヌ。
激しくキケーンなモノなので、パスワードはメールでおながいします。
漏れの捨てメアドは自治スレにあります。

45 名前:AA略 ◆.AwAwARK.Y :04/02/03 15:27 ID:???
アミララについて色々と調べたことについてのtxtをうpしました

46 名前:AA略 ◆.AwAwARK.Y :04/02/03 15:31 ID:???
途中で書き込んじゃった^^;
今回のうpデートでもまだ対応してないようです
全部思いっきり発動します
アミララを皆さんにお渡しいたいんですがうしゃしゃさんからいただいたものなので
一応OKかどうか確認します

長いんでテキストにしておきました
皆さんの意見もぜひ聞きたいです
ttp://www.zatsudan.org/x/up/gazou/img/1063046526015.txt








-------AA略 ◆.AwAwARK.Y さんのテキストの内容です。--------

>いつもおせわになっております
>ami-LaLaの件ですが足りない頭を使っていろいろ調べてみました

>アミララがPCをどう弄るかはうしゃしゃさんが鑑定されています

>んで仕組みなんですがIEの穴を使ってhtml中にかかれたvbs(HDDあぼーん)
>を強制実行させるものです

>IEの穴は下の
>Self-Executing HTML Part III- Remote Compromise( requiring viewing an HTM file)です
>ttp://www.safecenter.net/UMBRELLAWEBV4/ie_unpatched/

>ローカルでhtmlを開かせるのもえげつないやり方で
>インターネットオプションでいくらセキュリティーレベルを上げていても
>マイコンピューターゾーンでは適用されず
>素っ裸なセキュリティーレベルのままというIEの仕様も悪用しています

>鑑定時あやすい奴はソースを確認すればド派手な記述なんですぐわかるんですが
>作者もかなりの性格の持ち主のようでzipにhtmlとswfを同封させ
>htmlはまったく無害(swfを呼び出すだけ)に見せかけています
>呼び出されたswfにスクリプトが仕込んであって
>IEに外部のスクリプト(ami-LaLa)を取りに逝かせあぼ〜んという流れです

>私自身swfの中身を確認する方法をしらないため結局危ない橋を渡たっている状況です…
>swfの解析ツールはあるようですが無料なのは見つけられませんでしたし^^;

>あまりオススメできませんが今まで出たami-LaLaを安全に確認する方法として

>作者が毎回少しずつ仕組みを変えてきています
>鑑定スレを見ているようでこっちの反応をみて楽しんでいるようですが…
>@、exeが一つ
>  exeを実行するとC直下にhtml(ami-LaLaスクリプト)を作成し、
>  このhtmlをIEで開かせご臨終
>A、zipの中にhtmlやxml,swfなどが同封。
>  色々入っていますがswfなどはダミー。
>  htmlにラテン文字ー1コードで暗号化された外部のスクリプト(ami-LaLa)を
>  呼び出す記述がありご臨終
>B、htmlとswfがzipに同封 
>  htmlはswfを呼び出すだけ。
  んでswfがIEにami-LaLaスクリプトを取りに逝かせご臨終
>C、番外編になるけどzipにhtmlが一枚 
>  内容はvbsで記述されただけのHDD消去 ソースが暗号化されているので確認は
>  容易ではないですけどIEから危険かも知れんけど実行してもいい?って警告がでます
>  これはIEの穴を使っていません

>@はさすがにどうしようもないけど問題はAとB


>Aについて

>htmlに記述されたJavaScriptを追っていけばアミララが置かれているアドレスが分かります
>Irvineなどでダウン後中をメモ帳などで確認
 
>document.write(String.fromCharCode(60,115,99,114〜って感じで暗号化されていますが
>ttp://external.pcc.jp/~biso/bagongbayani/latin-1_lihim.htmlここでデコードできます


>Bについて

>swfの中を確認できれば最高なんですが・・

>セキュリティーレベル関係なくIEで開くと即死なためSleipnirを使います
>このタイプのアミララは数種類ありますが仕組みは基本的にAと一緒です

>ラテン−1 文字コードはJavaScriptを使って暗号、
>解読をしているためSleipnirのJavaScriptを切ります
>その後swfをSleipnirで開きます
>こうするとブラウザが暗号の復元を行わないため、アドレスバーに
>document.write(String.fromCharCode(60,115,99,114〜
>って文字が並ぶだけという間抜けな状態にできます
>あとはこれをコピペしてデコード、出てきたアドレスからダウン、確認

>Operaを使えば100%安全にできるはずなんですが残念なことにアドレスバーに
>document.write〜って出てこないためami-LaLaスクリプトのアドレスを抽出できませんでした・・・ 
>ネスケは個人的に嫌いなので検証していません

>一番安全に確認する方法は
>オミトロンでIEの穴をつく記述を適当な文字に置換するフィルタを作ればいいのかなと思いますが
>今まで総計2時間くらいしか使ったことないので作れません、テストできません^^;

>これらのことは当然今までのアミララについての話です
>次出てくるアミララにも有効な確認方法とは思えません
>Bの確認方法も危険な橋を渡っているのには間違いないので安全は保障はできないですし

>ただこれらの危険なファイルを再利用するアフォなお方もいると思うので参考までに

>色々と検証結果を報告してくれた博物館の中の人さんや
>私のクレクレに快く応じてくれたうしゃしゃさんなど
>いろいろな方の意見を参考にさせてもらって素人の私がだした結論です。
>当然自分に力不足な点があり致命的な間違いがあるかもしれません。

>長文、乱筆、支離滅裂失礼でした








47 名前:◆VIRUSzXyeo :04/02/03 16:10 ID:???
>>46
読ませて戴きますた。
今回のWindowsupdateでも関係無く発動する訳ですか。
読みこみに逝く?URLが判明したらオミトロンで防げるか実験して見ます。

48 名前:◆VIRUSzXyeo :04/02/03 16:42 ID:???
分らない…今回のうpでーとでクロスドメインの脆弱性は改善されているみたいだし。
ソース:ttp://internet.watch.impress.co.jp/cda/news/2004/02/03/1964.html

激しく詳しい人の降臨キボンヌ!!!

49 名前:名無害:04/02/03 19:56 ID:???

確かamilalaはもともと本家Yahooを活動拠点にしているひとの
別ハンドルで、最近日本のYahooにも出現しているようですが・・。

HDDあぼーんスクリプトも、Yahooゲリラで使われている
多数のamilala-exploitモジュール群のひとつだったと思います。
IEにweb上のスクリプトをマイコンピュータゾーンで実行させてしまう脆弱性があって、
確かそれをついたモジュールも群の中にあり、
Yahooチャットでのゲリラでは組み合わせで実行されていました。
今までのamilalaの典型的な方法は、Yahooチャットの画面や
メッセンジャーのインスタントメッセージにIEを開かせるコード打ちこんで送信し、
メッセンジャーのバグを使って、彼女のゲリラサイト
(すぐに消されてしまい、URLもどんどん変る・・)を自動的に開かせ、
そこからexploit群を実行させるものです。
複数のチャット部屋にいる人や強制的にあの人を友達追加させられた多数の人が、
瞬時にして被害者になります・・。
2ちゃんのは、単にYahooやその他での被害者・2次摸倣製作者から流れているのでは。
少なくとも今までのあの人のターゲットはもっぱらYahooです。
今までのamilalaからすると、もし2ちゃん向けならフシアナみたいに
多数の被害が臨場的にわかることをするように思いますが。

yahooでの話ですが、amilala-exploitは、複数のモジュールの組み合わせによって
実行内容も毎回変るようです。各スクリプトの記述もどんどん更新され
(PHPやASPで動的ランダム乱数付き出力のものもあったと思う)、
ウィルスベンダーやフィルタリングが過去のものに対応しても、
最新のものには指紋とパターンマッチしないということになります。
(しかもPCが立ち直れない状況だと報告自体遅くなるという罠)

51 名前:がんばる(ry ◆WxGANBALHM :04/02/04 02:34 ID:???
>>43-49
読めば読むほど複雑怪奇な・・・
しかもVBが対応したとか最新はまだしていないとか・・・
つまり、鑑定専用マスィーンを使えば(ry

52 名前:うしゃしゃ ◆Ul/aT0wR4I :04/02/04 03:53 ID:???
>46を拝見した時点で、当方よりはおそらく
AA略さんの方が詳しいとは思いますが・・・

アミララがPCをどう弄るか・・・とっくにガイシュツかもですが
念のため当方の知ってる範囲で書いておきます。
基本的には、JavaScript?等でC:\autoexec.bat(C:\WINDOWS\system.batや
Windowsアップデートのbatファイルも狙われてるようです)を、
「FORMAT C:\」とかに書き換えて、再起動時にあぼーんさせる、
という仕組みです。ちなみに最初に踏んだときは
そこまで極悪ではなく、autoexecは amilala flower:) って感じの
無意味な文字列に変わっただけでした(それでも他の各種システム
ファイルがあぼーんしたり、音が出なくなったりしましたが)。
yahooのプロフにあったamilalaは、crashmeを呼び出すことで
強制的に再起動させようとする点で、最凶かと。

あと、うp等についてはAA略さんにお任せいたします。
(一応、当方もメアド晒しておきますが、返事は明日の深夜になります)

53 名前:◆VIRUSzXyeo :04/02/04 09:14 ID:???
ブツを戴いたのであぼーんさせてみるテスツしてしまいました。
うpでーと済みでしたがあぼーんしますた。
htmlとswfをOperaに関連付けてJavascript切っておくと発動しなかったですね(ONにしては未確認)
再インスコする暇が出来たらもう少しチャレンジしてみます。

尚、このレスの上から3行目を実行するなら自己責任でおながいします。
この板の人なら漏れの環境は知っていると思うので環境は省略します。

54 名前:AA略 ◆.AwAwARK.Y :04/02/04 10:02 ID:???
>>49
なるほど〜
想像以上のキれっぷりですね、アミララ嬢は
あぶないおもちゃはまだまだありそうですね…
ひとつ伺いたいのですがamilala-exploitのなかにexeを利用したものは見たことあります?
IEの穴をついてexeを強制実行ってかんじの・・・

いくつか出てきた奴はすべてスクリプトを使って破壊活動を行うものだったので
彼女になにか拘りでもあるのかなと・・・
>>53
◆VIRUSzXyeoさん、俺のもっている奴はどうしましょう?
一応送りましょうか?

55 名前:◆VIRUSzXyeo :04/02/04 11:31 ID:???
>>54
>>49氏の言う通りならいたちごっこな感じもしますが、コレクション用に下さい。
メアドは自治スレにあります。

つーかですね。明らかに実害のある穴であるのでこの板の有志だけでもM$にメールしませんか?
(#゚Д゚)ゴルァ!!でも注意勧告でもやらないよりは(・∀・)イイ!!のではと。

TM社はウィルスとして対処したみたいだし。
ソース:ttp://ex.2ch.net/test/read.cgi/entrance/1075439116/247
ソース:ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A

N$もイパーイメールが来れば対処せざる負えないのではないかと。

57 名前:49:04/02/04 22:15 ID:???
>>54
結論からいうとありました。これらも本家Yahooでのことですが・・・
昨年の秋口にあったのは、多数のiframeやframeでしつこくダイアログを表示させて、
最終的に強制実行されてしまうタイプで、
これは今はもうMS社でパッチ済だったように思います。
ただ他のブラクラと同時に使われていたので、
実際には実行される前にOSが落ちてしまいましたが。

次に今年1月頭くらいのものは、通常exeだとダウンロードするか
実行するかのダイアログが出ますが、これは全く出ず、
自動ダウンロード後勝手に実行されてしまうというものでした。
関連すると思われる無効なclassidのMS社のパッチ後でしたが、自動実行されました。
そのときamilalaはこれをシステム破壊活動ではなく、
yahooメッセンジャー用バックドア系トロイのインスコに使っていましたが、
当方は火壁で発見されて実害は防げました。

ゲリラURLは捨てアドのようで、ゲリラ後すぐ404になってしまう
(自主的か、ゲリラ時の異常転送量で削除されるのかは不明)ので、
ダウンロードさせるものが今も同じトロイなのかは分かりません。
また、他のexe系amilala-exploitがあるかはわかりません・・

※TMが対応したとしているものはこれも確かamilala-exploitモジュールですが、
ブラクラの一部として呼び出されたり、amilalaからのメッセンジャー
ファイル送信で送られてくるものだったかと。
あからさまなVBSで、TM社はこうしたものに逐一対応しているようでは・・(ry

長文スマソ









-------【正式】ウィルス情報&質問 総合スレッド☆Part16スレより-------

41 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/25 11:09
画像掲示板で、リンク踏んだらイキナリ何かがダウソされて 
セーフモードみたいな画面になり 
MS-DOSプロントが表示されPASSを要求するんです。 
PASSは解らないし、強制再起動しても同じ状態が続き 
キーボードも受け付けないし電源も落とせません。 
立ち上がるときに「××ファイルが見つかりません」とも出ます。 
ウィルスバスターは導入してます。 
結局、色々試しても同じ状態が続くので再インストで復旧しました。 
私が踏んだのは、ウィルスの種類ですか?悪質なブラクラですか? 

45 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 12:46
>>41 
まずそれがどのURLか h 抜きで書けよ 
つかamilalaじゃないの? 
そうならDOSでファイル削除とフォーマットされるだけ 
OS再インスコで問題ないだろ 
ウィルスでもトロイでもないから反応もしないのあたりまえ 

53 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 16:38
>>45 
amilalaってなんぞ? 

55 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 17:11
>>53 
WindowsとIEの機能・仕様を組み合わせて実行されるプロセスの2chでの俗称。
名称は作者の名前から。 
実行内容は環境により様々だが、主なものは、 
・ゴミファイルの大量生成(数百〜数万) 
・フォルダ・ファイルの削除(最大で全消去) 
・各種プログラムの上書き(REGEDIT.EXE・MSCONFIG.EXE・SCANDSKW.EXE など)
・ドライブのフォーマット(Cのみ、もしくはA-Z全ドライブ) 
ファイル形式: EXE SWF HTML MHTML XML XSL など。
Website上のものは、アクセスしただけでマイコンピュータゾーンに
強制移動・上記プロセスが実行される。
マスターブートレコードに影響ある場合もある。マスメール等ワーム活動報告なし。
要するに特にどうってことない軽いいたずらのようなもの。昔からよくあるだろ。 

70 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/25 22:12
>>55 
俺も昔、amilala踏んだかもしれない。 
状況が似てる。 
マウスもキーボードも機能しないから 
仕方なく再インストしたけど。 
もし「amilala」踏んだら再インスト以外元に戻せないの? 

71 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 22:19
>>70 
発動しちまったら再インスコするしかないと思われ。 

72 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 22:57
amilala、バスターしか対応してないみたいだな。 
他はどうしてやらない? 

73 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/25 23:12
>>72 
マイナーだから。 
あと、>>55にも書いてあるが、WindowsとIEの穴を使っているんで、 
MSの対応待ちって事らしい。 

74 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/25 23:25
822 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/02/22 17:13 
2ch で俗に amilala と言われているものには、
Norton は一部の古い型にだけ 1月中旬に Trojan Horse のひとつとして対応。 
VB が 1月に JS_AMILALA.A として対応しているのは、
いわゆる amilala とは全く別物のファイル・フォルダ削除 VBS。
これは実行前に警告・確認が出るが、いわゆる amilala は警告なしに強制実行される。
最新 amilala には Norton も VB も全く反応しない。
そもそも amilala は Virus でもTrojan でもなく、大したことのないごく軽い Exploit。
実際、昨年秋の出現以降、各社とも根本的に対応する気配は見られない。
実行内容は PC環境・タイミングによりさまざま。
最悪のシナリオではA-Zドライブ内容全消去 & フォーマット。
時限発症・MBR 改竄については不明だが、OS 再インスコでも
完全には復旧不可能なケースも実際に出ている。

Web 版は普段はごく軽いブラクラになっているか無害の場合が多い。
米国 Yahoo chat に出入りしているのでない限り遭遇する可能性は低い。
Yahoo側も特に経営に影響はないのでこれを無視。 

75 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/25 23:47
2ちゃん来たばかりの頃 
amilala踏んでパニックになった。 
MS−DOSの表示に「amilala」と表示されてたのを今でも覚えてる。 
おかげでHDDが半年後クラッシュした。 
amilala踏んだ時、慌てて電源引っこ抜いたのが原因だったかも… 
あれ踏んだら死にたくなるよ。 

80 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/26 00:39
amilala怖いじゃん。 
画像掲示板とかで、見分ける方法教えて下さい。 

82 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/26 01:25
>>80 
踏む前に身構えて踏む、各鑑定スレの鑑定人たちが 
何人もあぼーんしてきている実情。。。 
べつに画像掲示板やうpろだに限定されないぞ。 
昨日まで無事だったごく普通のページに紛れて仕込まれてあったりもするんだから。 
フラッシュの中に書かれているものはソースすら見ることができやしない。 

101 名前: MyDoom被害者(当時は深刻) 投稿日: 04/02/27 01:04
AmilalaってOSの再インスコでも完全復旧できない場合があるのですか! 
ボクの自宅サーバが感染したMyDoomの場合は大丈夫でしょうか? 
ちゃんとフォーマットして再インスコしました。
駆除ソフトは重くなるので相変わらず入れていません。
NT4.0時代のサーバには重過ぎるじゃありませんか。 
重いのはウィルスにかかるのと同じ位嫌です。
ならば金をかけない方を選択して当然じゃありませんか。 

234 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 10:09
「amilala」踏んでしまいました。 
再起動しても、MS−DOSの画面のままでパスを要求してきます。 
マウスもキーボードも全く受け付けません。 
電源が切れないので、家のPCは、そのままの状態にしてネットカフェでカキコしてます。 
ディスクトップなので、修理店持っていく事が出来ません。 
再インストするとデーターが消えてしまうので再インスト以外で 
復旧する方法を教えて下さい  m(_ _)m  

235 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 10:49
アミララは今のところ再インストール以外に完全復旧する手段がなかったはず。 
データに関しては涙を飲んで諦めていただきたいところです。 

237 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 11:23
>>235 
マジっすか!! 
半年、バックアップしてなかった ガ━━(゜Д゜;)━━━ン!!!!! 
なにやら、凄いメンドクサイ作業しなければならないようだ。 

248 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 15:58
amilalaはヤヴァイScriptをエンコードしておいて 
ページを開くときにデコードするexploitって認識でいいの? 

253 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 18:15
>>248 
エンコードしてあるかどうかはコードの実行内容とは関係ないよ。 
A、B、C、それぞれの命令・その他を単独で見ると正常、あるいは仕様どおりだしな。 
だがそれらを組み合わせることによってコードが実行されるのだよ。 
ウィルスだトロイだなんて勘違いもいいとこだ。 
ベンダ各社も全く問題視してないし、所詮再インスコすりゃいいだけの代物じゃないか。 

254 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/03 18:35
あれはブラクラのレベルにすら達していない 
ごくごく一部のヤシ(超初心者)が大袈裟に騒いでるだけのこと 

274 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/04 00:24
>>254 
>239(ここ)のサイトで、「メッセンジャーのバクを使って」って言ってるけど 
そのバグは、「いまさら何を…」ってレベルの古いバグなの? 
既に修正されているとか。 
ブラクラとかそう言うのとは全く別で、自分の意思(URLクリックやファイルDL等) 
に関係無く、強制的に実行させられてしまうように思えたんだが。 
アミララってヤツ、今日初めて知ったんだけどね。w 

285 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/04 02:25
>>274 
意思に関係ないな 
v5.6r1358ではまだ放置されているのは有名なわけだがw 

288 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/04 12:43
>>285 
だったら『トロイ』呼んでももOKって感じだよね。 
だって、PCに入り込んで破壊活動を行うわけでしょ? 
一応SWFファイルや、HTMLファイルに偽装されているみたいだし 
本人の意思に関係無く実行可能なんだし。 
その事を踏まえた上で、 
ごく普通の1パソコンユーザーとして、>>253>>254に反論したいワケなんだが。 
まぁ 
> 所詮再インスコすりゃいいだけの代物じゃないか。 
と言うのは最もな話ではあるが、再セットアップの深刻度は人それぞれじゃない? 
“所詮”と言い切れるのは、普段から警戒してバックアップ取ってる人間で、 
大多数のユーザーは取ってないと思うんだよ。 
『いかに多くの人間が被害に遭う可能性があるか=ヤツの危険性』なんじゃないかな? 
> あれはブラクラのレベルにすら達していない 
> ごくごく一部のヤシ(超初心者)が大袈裟に騒いでるだけのこと 
大多数のユーザーにしてみれば、充分ブラクラなんじゃないか? 
それもかなり凶悪な。 

289 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/04 13:20
>>288 
> 一応SWFファイルや、HTMLファイルに偽装されているみたいだし 
リモートのコードを呼び出すだけだから、そのファイル自体は無害。 
つかローカルにファイルを作る前になんらかのダイアログなりは出るの? 
教えてえろい人 

290 名前: 288 [sage] 投稿日: 04/03/04 13:34
>>289 
すまん、表現が間違ってた。 
『偽装』では無いね。 
上の方に出て来たサイトの、04/01/30の書き込み情報によると、 
何のダイアログも出ないで自動的に実行されるらしいよ? 

341 名前: 名無しさん@お腹いっぱい。 投稿日: 04/03/06 02:47
先ほどamilala.blogなんとかって言うリンクを踏んでしまいました。 
そして今autoexec.batを見てみると0バイトなんですがやばいですか? 

342 名前: 341 投稿日: 04/03/06 02:51
すみません、追伸です 
サイト開いた時になんかダイアログが出てきて 
そのときはOKを押さずに×で閉じました 
過去ログ見てみるとその場でPCが何か変なリアクションするらしいのですが 
うちでは全くそういう事も無くネット出来ています。 
WIN2000SP4 IE6.0です 










-------------セキュリティ初心者質問スレッドpart36より-------------

184 :名無しさん@お腹いっぱい。 :04/01/30 21:56
気が付いたらwindows security AmiLaLaってファイルがびっちりなんです。
開けようとしたらすごい勢いでデータが消えてなんかメアドとか全部無くなっちゃいました。
ウィルスバスターにもひっかからないんですけど、これってウィルスでしょうか?

186 :名無しさん@お腹いっぱい。 :04/01/30 22:26
>>184
┐(´ー`)┌ ・・・・・・・言ってる意味サパーリワカラン

187 :名無しさん@お腹いっぱい。 :04/01/30 22:28
>>184
http://www.google.co.jp/search?q=cache:Cf_ERp54LMIJ:pc.2ch.net/test/read.cgi/sec/1072675686/301-400+AmiLaLa&hl=ja&ie=UTF-8

>365 :名無しさん@お腹いっぱい。 :04/01/13 14:25
>>>364
>おお。ありがとうございます。ウィルススキャン直りました。
>でも、regegitやらフォルダオプションやらは開けず・・・。
>ついでに、なにやら、FUCK YOU!AmiLaLa Flowerとやらに感染してるらしいんですが、
>なんか、セキュリティが検出してくれないっす・・・。
>しかしfuck you!とは失礼な・・・。

ググってもこれだけしかでてこん









-------【赤紙】ウイルスバスター2004 Part12【来たよ】 スレより-------

174 :名無しさん@お腹いっぱい。 :04/02/03 23:41
トレンド、AMILALAの対応遅かったけど、やっと対応してくれたね。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A

177 :名無しさん@お腹いっぱい。 :04/02/03 23:52
>>174
まだ日本語の情報が不完全みたいだったので英語のほうも見てみたんだが、
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A&VSect=T

これって日本語が表示されるScriptのウイルスなのか!?
パターン752だから次のアップデートで反映されるのか。うーむ。
それにしても片っ端からハードディスクを掃除してくれるなんておぞましいなアミララ

180 :名無しさん@お腹いっぱい。 :04/02/03 23:56
>>177
ついでにSymantecとNAIでもAMILALAって名前のものがあるか調べて
みたんだけどないね。他のベンダーでは何と呼ばれているものなんだろう?
というかトレンドが遅かったってことはもう他は対応してるんだよね?

182 :名無しさん@お腹いっぱい。 :04/02/03 23:58
>177
2chの結構出回ってるみたいだね、それ。
亜種もいくつかあるみたいだからねぇ…。

187 :174 :04/02/04 00:12
>177
済みません。誤解を与える書き方でした。
「対応が遅かった」というのは、
以前某所でamilalaをトレンドに送った人が
「それはウイルスとして認められない」という感じの返答を受けて
なかなか認められなかった(らしい)。ということです。
他のアンチウイルスが対応しているかどうかは…。

191 :名無しさん@お腹いっぱい。 :04/02/04 00:26
amiLaLa 日本語のみで検索すると

http://pc.2ch.net/test/read.cgi/sec/1072675686/の、

>365 名前:名無しさん@お腹いっぱい。[] 投稿日:04/01/13 14:25
>>>364
>おお。ありがとうございます。ウィルススキャン直りました。
>でも、regegitやらフォルダオプションやらは開けず・・・。

>ついでに、なにやら、FUCK YOU!AmiLaLa Flowerとやらに感染してるらしいんですが、
>なんか、セキュリティが検出してくれないっす・・・。
>しかしfuck you!とは失礼な・・・。

これ1件だった。

192 :名無しさん@お腹いっぱい。 :04/02/04 00:37
アミララは、2ch内で出回り始めたのは3週間程度みたいね。

193 :名無しさん@お腹いっぱい。 :04/02/04 00:37
出回り始めたのは→出回り始めてから

201 :名無しさん@お腹いっぱい。 :04/02/04 01:25
>>187
なるほどそういうことでしたか。
トレンドに報告してくれた人にカンシャ!
いっそのこと他のHD破壊系プログラムも全部検出するようになってくれればいいのに。
まあそんなもんに触れる可能性があるのは割れ(ry

202 :名無しさん@お腹いっぱい。 :04/02/04 01:32
>>192
アンミラが出回り始めたのは何週間前ぐらいからですか?

210 :名無しさん@お腹いっぱい。 :04/02/04 01:43
>202
私が見た感じだと、亜種(と思われるもの)も含めると、zipに固めてあったり
色々な形で存在しています。「鑑定スレ」では最近良く依頼が来ているようです。
勇気を持って踏んだ人物の中には被害を確かめるため数回
PCあぼんしたそうな。アンチウイルスが効かなかったため混乱していたみたいですね。









57 :名無し~3.EXE :04/02/05 20:46 ID:U0hOABF4
自作機でWindows2000 SP4を使用しています。

最近、Cドライブを開くのに異常に時間がかかると感じていました。
(マイコンピュータ→CドライブのWクリックでCドライブが開くのに10秒近くかかります。)

HDDの異常かと思い、診断ツールを使用しましたがエラーはありませんでした。

その後、ふと気づいたのですが、Cドライブ直下に
WINDOWS.AMILALA0.***.DLL(***は19桁の数字)
というファイルが3000個ほどできていました・・・

これはどういったファイルなのでしょうか?また削除してしまっても問題ないのでしょうか?

58 :名無し~3.EXE :04/02/05 20:57 ID:T+Jlb36f
そんなファイルがあること自体異常

59 :名無し~3.EXE :04/02/05 21:20 ID:uJnaIm/o
FUCK YOU!AmiLaLa Flower<-ウィルスらしいよ

62 :57 :04/02/05 21:32 ID:U0hOABF4
>>58
やっぱり異常ですよね・・・
>>59
ノートンは全く反応しませんでした・・・
OSのクリーンインストールしかないのでしょうか?









-------セキュリティ初心者質問スレッドpart36より-------

582 :名無しさん@お腹いっぱい。 :04/02/08 02:20
>http://profiles.yahoo.co.jp/aya_baby_bitch
>↑絶対に踏まないように!

このアドレス踏むと大変なことになったんだが
これって何なの?

583 :名無しさん@お腹いっぱい。 :04/02/08 02:25
>>582
ブラクラらしい。
それで、何が起こったの?

584 :名無しさん@お腹いっぱい。 :04/02/08 02:26
>>582
http://pc.2ch.net/test/read.cgi/sec/1075653072/452

585 :名無しさん@お腹いっぱい。 :04/02/08 02:34
>>582
あぼーんしちゃうのかよ・・・・
ヤヴァイ・・

589 :名無しさん@お腹いっぱい。 :04/02/08 02:46
直リンはやめるべき。

591 :名無しさん@お腹いっぱい。 :04/02/08 02:55
>>589
スマソ直リンは軽率だった。
アミララっぽい名前のファイルは削除したんだがそれで助かるかな・・・

594 :名無しさん@お腹いっぱい。 :04/02/08 05:50
アミララは先月も引っかかった奴が2chでカキコして俺も調べたけど、
そのカキコ主よりも前に引っかかった方のカキコによると、その
時点で最低3サイト危ない所があったみたいだ。
記憶が定かでないが、いっぱいファイルが増えるとか何とか・・・・
オリジナルのスペルでぐぐれば、2chのカキコは引っかかると思う。
というか、俺が調べたときは2chしか引っかからなかった。
で、その時のカキコにあったけど、
どっかのアンチウイルスソフトメーカー辺りに問い合わせた結果、新種とのことだったらしい。









--------くだらない質問でもべっちょ偉そうに聞いていいスレより------

695 :名無し~3.EXE :04/02/16 05:24 ID:ztAEujXA
つーかAmiLaLaって何?
ちょっと興味があるんだが…。
何でそんな変なのに感染したの?

697 :名無し~3.EXE :04/02/16 05:34 ID:C/tl9EUC
>>695
AmiLaLa
ami_lala等色々ある(亜種も含めて)
あまり話題になってないがかなり危険

698 :名無し~3.EXE :04/02/16 05:37 ID:mrkhCw5i
>>695
なんか知らんがいきなりDOSのウインドウが開いて動き始めた。
とりあえず閉じて再起動したら、途端そのウインドウが開いた。
txtファイルは何も開けない。office関連もダメ。
再インストールはきついなぁ。データもったいないし、DVDないからCDRとんでもない枚数になるし…

699 :名無し~3.EXE :04/02/16 05:37 ID:C/tl9EUC
415 /名無しさん[1-30].jpg sage 04/01/30 18:50 ID:oE4rf7VS
本スレの874っす
皆さんいつもありがとうです
ところでAmi-lalaウイルスってなんすか?ぐぐってもわかりません
よろしくっす

416 25P。 ◆25P/xaaPnk sage 04/01/30 19:00 ID:LHGxpWtQ
>>415
どこかの誰かが開発し、ラウンジ鑑定スレにて実験を試みた新型の攻撃スクリプトです。
踏むと何のダイアログも無しにCドライブとレジストエディタが削除されます。
下手なウイルスより有害です。

700 :名無し~3.EXE :04/02/16 05:47 ID:ztAEujXA
>>697-699
ありが?d
激しくシステムが逝きそうな感じのヤツですな…。
そりゃ、再インスコなわけだ…。

701 :名無し~3.EXE :04/02/16 05:51 ID:C/tl9EUC
ttp://pc2.2ch.net/test/read.cgi/pcqa/1067837089/684-696
ttp://ex.2ch.net/test/read.cgi/entrance/1073400793/338-339

702 :名無し~3.EXE :04/02/16 05:55 ID:mrkhCw5i
AmiLaLaなんとかならんか?
再インスコは嫌。

703 :名無し~3.EXE :04/02/16 06:23 ID:C/tl9EUC
>>702
読めたら701読んでみて下さい。

一部抜粋
 696 うしゃしゃ ◆Ul/aT0wR4I sage 04/01/26 01:30 ID:???
 当方でお役に立てるか分かりませんが・・・

 当方、amilala系は計3回踏んでおり、厳密にはそれぞれ異なるものです。
 googleで引っかかったものはY_PATCH32.exeという実行ファイルを
 実行して発症しましたが、残り2回はhtmlファイルです。
 更に、>>682にあるものは、これもhtmlですが、更に別のものです。
 (クラッシュミーというブラクラ&ウィルスを踏ませる模様)

 さしあたり、
 http://ex.2ch.net/test/read.cgi/entrance/1073400793/338-339
 に該当するファイルを疑ってください。
 まず、C:\autoexec.batをメモ帳とかで(ダブルクリック不可)開いてみて、
 'FORMAT C'とか書かれてたら、即、その内容を消去してください

705 :名無し~3.EXE :04/02/16 07:04 ID:mrkhCw5i
>>703
読めないけど、何とかなるかも?ってことだな。

706 :名無し~3.EXE :04/02/16 07:45 ID:ETdN0L+V
昨日、flash板の勇気鑑定スレにamilalaが貼られたようですが…。
再インストールどころか、PCが逝去する可能性も高いようですね。

((( ;゚Д゚)))ガクガクブルブル

713 :名無し~3.EXE :04/02/16 08:54 ID:jcPHbhkC
VirtualPCでAmiLala動作検証しようと思ってFlash板行ってみたけど
もうリンク先404だった・・・。

716 :名無し~3.EXE :04/02/16 09:03 ID:mrkhCw5i
http://charmy-rika.gotdns.com/uploder/rika01/charmy411.gif
zipに変えて解凍するとamilalaになると思う

722 :名無し~3.EXE :04/02/16 09:36 ID:V+JZ/X/I
>>716
解凍したら膨張するファイルがたくさん入ってるだけでしたが。
VPC上のWin98さえ落ちないので嫌がらせにもならないかと。









-------くだらねえ質問はここに書き込め! Part68 in linux板-------

958 : ◆iOiJ8g2MYE :04/02/01 23:46 ID:c4T55Bsm
すみません私FLA板のほうで鑑定士をしているのですが依頼の中に
このようなものがありました。
ttp://www.42ch.net/UploaderSmall/source/1075617759.bz2

このファイルを落としてWinXP+Lhazで解答したところまず
image.lzhという500k程度のファイルができました。
それを解答したところ1個100M程度の壊れたgifファイルがが次々と
作られました。途中でハードディスクがいっぱいになったので打ち切り
ましたがその時点で17Gありました。

このファイルが壊れたgifファイルを次々に作り出す悪意のあるファイルなのか、
それともWinでは正しく解凍できないだけで、Linux、Unixでは正しく解凍できるのか
わかりません。そこでLinux板のみなさまのお力をお借りしたいのです。
これをLinuxで解凍するとどうなるどうなるのか試していただけませんでしょうか?

959 :login:Penguin :04/02/01 23:51 ID:Z/3lbJDC
>>958
http://www.secunia.com/advisories/10596/
この件かな。
単にやたらと圧縮率が高いだけでは。

960 :login:Penguin :04/02/01 23:53 ID:0SBuDLKN
>>958
明らかに悪意があると思うけど。
>>959
それはbzip2。これはlha。

961 :login:Penguin :04/02/01 23:57 ID:ZZZhHooj
>>958
lzhファイル中で示された圧縮率について、まずは調べてみたら?
圧縮率のきわめて高いファイルなのか、プログラムのバグを利用したのか。
どちらにしろ、悪意はたっぷりあるだろうけど。

962 :login:Penguin :04/02/01 23:59 ID:Z/3lbJDC
>>958
今解凍してるけど、
122850047バイトのファイルが 288 個ある模様。
# この場合は「解凍」でいいんだよな……。

963 : ◆iOiJ8g2MYE :04/02/02 00:00 ID:IkFFrdKd
>>959-960
やはり悪意のあるファイルのようですね。ありがとうございます。
Linux向けのファイルがbz2で圧縮されているのは見たことあるのですが
Win向けでは見たことないのでWinでは正しく解凍されないのかな?
と思ったので質問させていただきました。
ありがとうございました。

964 :login:Penguin :04/02/02 00:07 ID:S98REloN
>>963
lha x images.lzh a01.gif で a01.gif だけとりだして
strings でみたら、
GIF89a
you idiot :@) (c) 2003 [AmiLaLaFlower :)]
ってかかれてたよ。
# 全部展開できるほど HD がない。

966 : ◆iOiJ8g2MYE :04/02/02 00:11 ID:IkFFrdKd
>>961
圧縮率1%未満というのもおかしいのでやはりプログラムのバグを利用したものだと
思います。
>>962
やはりLinuxでもそうなりますか・・・
検証してくださってありがとうございました。

967 :login:Penguin :04/02/02 00:15 ID:IkFFrdKd
>>964
やはりそういう目的で作られたものでしたか。
拡張子が間違っているのかと思い極窓で拡張子を
調べることまではやったのですがさすがLinux板。
ありがとうございます。お世話になりました。

968 :login:Penguin :04/02/02 00:16 ID:GLt5eB/c
>>966
バグじゃないんじゃない。
圧縮しても同じ状態になるし。
>>959みたいなものじゃないか。

969 :964 :04/02/02 00:23 ID:S98REloN
>>967
Win でも Cygwin ってのいれれば、strings コマンドは使える。
いろいろいれちゃうと HD 容量結構使うけど。
Cygwin 以外でも手段があるかもしれない。









22 名前: 東日本 投稿日: 2004/03/03(水) 16:31
http://amilala.blogspot.com
 【JS_AMILALA.A作成者のサイト[2004/03/01]】

これですが、つい今ブラクラ詰め合わせになりました。

23 名前: 囲 (xR7Qi8nM) 投稿日: 2004/03/03(水) 21:05
>>22
こちらではJAVAスクリプトonのIE直踏みではなんともなかった。
なぜ?
JAVAスクリプトoffのドーナッツでは怪しいっぽい↓に飛ばされた、中身はないけど。
ttp://chat.yahoo.com/c/admin/AmiLaLa/YahooFinal.EXE?mode=latentInfection&days=66&autodetect=yes

ソースチェカーオンラインと飛び先のチェック(Unicode)ではソース表示が違うね。
http://so.7walker.net/index.php?site=http://amilala.blogspot.com
http://www.kakiko.com/check/?http://amilala.blogspot.com 

25 名前: 東日本 投稿日: 2004/03/04(木) 00:51
どうやらここは頻繁に更新してる模様
昨日の午後、ここがブラクラ詰め合わせであることが
FLASH板鑑定スレで確認されています。
ちなみにcrashme,strangeworldなどの組み合わせでした。
なくなったようですが、また復活するに違いない。 

26 名前: 囲 (xR7Qi8nM) 投稿日: 2004/03/06(土) 01:11
>>25
今度はこんなのいれている・・・

<script id="**********" language="JavaScript" type="text/javascript">
/*____JUST_FUCK_OFF_OKIE_SHITTYBROWSERS____*/
//<![CDATA[
if((navigator.***********************age.indexOf('ja')>-1)
||(navigator.***************************.indexOf('ja')>-1)){
alert("Y'S UR BR0WSER DATS SHIT? GETTA L1FE, ASSH0LE :@)");
document.write('\<************\>location.href=\"http:\/\/localhost/Recycled\"\<*********\> ****);
}
//]]>
</script>

いやーな感じのアラートをださせて消してもOK押しても
ttp://localhost/Recycled (ページ表示なし)に飛ばされる
ドーナッツでも同じところへ飛ばされました。
ソースから↑のスプリクトを抜くと昨日と同じなんだけど、
いつ>>22のようになっても不思議ではないので危険アドレス指定でいいですね。

29 名前: 東日本 投稿日: 2004/03/06(土) 15:00
しかも、今度は404になったと思いきやトロイ入れてやがる、、、、









272 名前: 通りすがりの七四散 ◆ZWBzu182uo [sage] 投稿日: 04/03/07 02:23 ID:???
>38 名前: 名無しさん? [sage] 投稿日: 04/03/07 01:43 ID:??? 
>ヨロスク 
>ttp://amilala.blogspot.com 
>39 名前: もにゃー(´∀`) ◆nL/vqfIofA [sage] 投稿日: 04/03/07 01:49 ID:??? 
>>>38 
>元はアミララ作者と思われる人物のサイトですた。 
>現在ウイルス&ブラクラです。有害!閲覧注意です! 

これなんですが、ウイルス反応ありましたか? 
当方こないだ(前スレか2つ前くらい)踏んだところ、反応はありませんでした。 
また、システム完全スキャンしましたけどウイルス検出されませんでした。 

273 名前: もにゃー(´∀`) ◆nL/vqfIofA [sage] 投稿日: 04/03/07 02:52 ID:???
>>272 
お待たせしますた。結果から言うと今、直踏みしてみると404ですた。 
誤鑑定です。 
当方フラ板で鑑定していたところ、初めてコレが出回った時は 
アミララのデータ&YAHOOへの挑発のような物が書かれていますた。 
漏れはそれを踏みまくっていたところ、
窓が沢山開くブラクラとHTML_SUAR.Aを検出しますた。 
この時の日付は3月2日ですた。 

そして3月3日にコレを再び鑑定してみたところ
Flash&crashme&HTML_SUAR.A&PE_MTX.A 
をコテ鑑定士さんと確認しますた。 
3月4日の時点でも確認されてます。 
さらに3月5日、HP内ソースを解析したところVBS/Psymeが確認。 

で、現在逝ってみると何やら初めに怪しげなダイヤルログが出ますたが、 
OKを押すと404になりますた。でも怪しいサイトに変わりは無いので有害かと。 
誤鑑定スマソです。m(´∀`)m 

274 名前: もにゃー(´∀`;) ◆nL/vqfIofA [sage] 投稿日: 04/03/07 03:08 ID:???
>>273 
>そして3月3日にコレを再び鑑定してみたところFlash&crashme&HTML_SUAR.A&PE_MTX.A 
FlashとはFlash/youの事です。 
誤鑑定…吊ってきます…∧‖∧ 

277 名前: 通りすがりの七四散 ◆ZWBzu182uo [sage] 投稿日: 04/03/07 03:42 ID:???
>>273 
長い時間とらせてしまって申し訳ないです。乙でした。 
ちなみにこちらがこないだ踏んだときはクラッシュミー 
とフラッシュユーの複合ブラクラ(ウイルス無し)でした。 
これからはとりあえず有害指定にしてOKでしょうか? 

278 名前: 名無しさん? [sage] 投稿日: 04/03/07 12:02 ID:???
>277 
そうした方がいいでしょう。 
「今は無害だが、ブラクラ&ウイルスだったこともあり」みたいな感じに書けば 
「踏んだけどウイルスなんて無かったぞ。誤鑑定だ。」などと言いがかりつけられることも 
少ないでしょうし。 
私が踏むと、Javaスクリプトで警告アラートみたいなものを表示させてから 
マイクロソフトのIEのダウンロードページに飛ばされました。 
ウイルス反応はありません 

とまあ、名無しの一意見ですので 

281 名前: 186(一服中) ◆smokehSQt. [sage] 投稿日: 04/03/07 13:30 ID:???
>272-273と>277 
現状ではMSIE6でリファラ隠して見れば404には飛ばされない。 
HTML+TIMEで怪しいことされてるかも知れないけど。 
HTML+TIMEは良く分からない。 
で、AmiLaLaの人のブログはBlog*Spotの規約違反なので管理者に通報することが出来たりする。 
詳しくはhttp://d.hatena.ne.jp/smoking186/20040307#1078632444。 









-------186(一服中)さんの[web]memoの内容です-------

■ [web] memo AmiLaLaの人のblog 13:07
実はRSACに従って自主規制している。
r (n 4 s 4 v 4 l 4)。PICS-Labelでぐぐれ。 
<meta name="HATENA" content="DIFFLENGTH=0, NODIFF, NOINDEX" />
なのではてなアンテナで詳細だけ読むのは無理。 
現時点では、JavaScriptで飛ばされる先の404はApacheの404。 
MSIE6以外+JavaScriptONだとMSのサイトの飛ばされるぽい。 
<noembed><script以下略でブラウザ簡易判別か。 
リファラがjpドメインだと404頁に飛ばされる 
使用ブラウザの言語がja+JavaScriptONだとプロンプトが出る。
パスワードは "? 2003 AmiLaLaFlower @ LaLaLand?"。
当てようが当てまいが404頁に飛ばされる 
HTML+TIME発見(toc氏のフィルタが反応)。 
CSSの書き方は見やすくて良い。この方式良いな。 
blogspotのバナーをcssで消している 
FOAFは無い。 
RSSリーダーなら比較的安全に更新状況が分かるかも。(確かめてない) 

で、Blog*Spot - terms of serviceの4. MEMBER CONDUCTの所を見ると
You agree to not use the Service to:
(a) upload, post or otherwise transmit any Content that is unlawful,
 harmful, threatening, abusive, harassing, tortious, defamatory, vulgar, obscene, 
libelous, invasive of another's privacy, hateful, or racially,
 ethnically or otherwise objectionable;
(中略/186)
(f) upload, post or otherwise transmit any material 
that contains software viruses or any other computer code, 
files or programs designed to interrupt, 
destroy or limit the functionality of any computer software
 or hardware or telecommunications equipment;

(i) "stalk" or otherwise harass another; 

Blog*Spot - terms of service 4. MEMBER CONDUCT より
と書いてある。この規約に反しているかどうかは微妙。

You also agree that you will not attempt to block or otherwise interfere 
with advertisements displayed on your BlogSpot site via 
JavaScript or any other means. 
Doing so is grounds for immediate termination of service. 

Blog*Spot - terms of service 10. ADVERTISEMENTS AND PROMOTIONS より
とあるので、

 table, tr, th, td { /* kill a_d_s */
 /*
display: none !important;
position: absolute !important;
top: -4444px !important;
left: -4444px !important;
width: 1px !important;
height: 1px !important;
color: transparent !important;
font-size: 1px !important;
 */
 }

amilalaの人のblogのCSSより
としているAmiLaLaの人のblogはアウト。

Blog*Spotのスタッフに通報しすることは可能。英語書くの面倒だ。










122747 「AmiLaLa」って一体…? まる  2004/3/11-01:19
ヤフーで登録しているプロフィールの一部に「cracke by AmiLaLa」で始まる英語の
スラングだらけの文章が勝手に書き込まれていました。
ウイルスか!?と思い、早速amilalaを検索してみたのですがなかなか思うように情報が集まらず…。
とりあえずオンラインスキャンを試してみたのですがウイルスは検出されませんでした。
しかし、とある掲示板で「最新型のamilalaはNortonでもウイルスバスターでも検知されない」
というような内容の書き込みを見てしまい不安が募る一方です。
おまけにパソコンに関してまだまだ初心者なので、どうしたらいいのかわからず混乱するばかりです。
自分で気づいていないだけなのかもしれませんが、
今の所プロフィールを勝手にいじられた以外は異常は無い様に思われるのですが…
どなたか、対処法等教えて下さる方がいましたら是非お願いします…!  


122751 Re:「AmiLaLa」って一体…? 原子心母  2004/3/11-02:02
記事番号122747へのコメント
アミララ自体も脅威だが、Yahoo!のパスワード・クラックの方が深刻じゃないか?
Yahoo!IDを取得した際のアカウントのPWをクラックされたんだろうけど、
幸いPWの変更可能なので、即!新規PWへチェンジ。
それと(おそらく対応なんてしないだろうが)Yahoo!Japanに連絡。
プリントスクリーン等でクラック画面を記録しておくべし。
Yahoo!BB顧客情報漏洩は内部犯行かつ人為的なんで有り得る事だが(困る事では有るが)、
改竄は外部からのアクセスなので白黒ハッキリ付けた方が、今後の為にも大吉。

PW自体が考え付き易い物だったか?
Yahoo!BBSやチャット等で安易にヒントになるカキコをしなかったか?
何故クラックされたか?
を総括して自己批判するべき処在ればすべし。

んで、アミララ。
トレンドマイクロで対応してるのは「JS_AMILALA.A」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A

HDDあぼ〜んっちゅ〜か、フォルダあぼ〜ん&起動不能化みたいな感じだね。
(何故にシマンテックは対応してないのだろうか?)
JavaScript許可してなきゃ発動不可なのか?Blospotの方も同じなのか?と疑問も有るなぁ。
(人柱きぼんぬ…とか不謹慎なギャグも飛ばせんなぁ。)

アミララの危機から逃れ易くするにはアンチウイルス最新定義を保持はモチロンの事、
ソースチェッカー導入。
http://so.7walker.net/

JavaScriptやActivX等を自らの意思で自由自在に操るタブブラウザ導入。
「タブブラウザ推奨委員会」でググる。
「amilala」な文字列を含むWebサイトに逝かない。
(あやしいわーるど=strangeworld系列と同じ回避策)
常日頃からのバックアップ体制を確立する。
(アミララに限らず色々な意味でWindowsな毎日は危険と隣り合わせ)

#個人的にはBIOS破壊みたいなオイタするアミララ情報(チェルノブイリの再来??)に興味深々。
#な事言ってると、自分が嵌る罠。
 

122785 Re:「AmiLaLa」って一体…? まる  2004/3/11-11:46
記事番号122751へのコメント
回答して下さってありがとうございます!
>Yahoo!IDを取得した際のアカウントのPWをクラックされたんだろうけど、
>幸いPWの変更可能なので、即!新規PWへチェンジ。

異常を発見した時点で、怖くなってすぐ変えました

>それと(おそらく対応なんてしないだろうが)Yahoo!Japanに連絡。
>プリントスクリーン等でクラック画面を記録しておくべし。
>Yahoo!BB顧客情報漏洩は内部犯行かつ人為的なんで有り得る事だが(困る事では有るが)、
>改竄は外部からのアクセスなので白黒ハッキリ付けた方が、今後の為にも大吉。

「何これ!?」と思って文を削除してしまいました…
一応、どんな文章であったかは別に残してあるのですが(←紙に書いておいた)
それでも一応連絡してみます 

>PW自体が考え付き易い物だったか?
>Yahoo!BBSやチャット等で安易にヒントになるカキコをしなかったか?
>何故クラックされたか?
>を総括して自己批判するべき処在ればすべし。

これだけは全く見当がつかなくて悩んでます…

>んで、アミララ。
>トレンドマイクロで対応してるのは「JS_AMILALA.A」
>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_AMILALA.A
>
>HDDあぼ〜んっちゅ〜か、フォルダあぼ〜ん&起動不能化みたいな感じだね。
>(何故にシマンテックは対応してないのだろうか?)
>JavaScript許可してなきゃ発動不可なのか?Blospotの方も同じなのか?と疑問も有るなぁ。
>(人柱きぼんぬ…とか不謹慎なギャグも飛ばせんなぁ。

MEとXPでの対処法が載っているようなんですが、私のは98SEなんです。
一応、MEの対処法の英文を何とか解読して途中まで試したのですが、
マイコンピュータのプロパティを開いてから
パフォーマンスタブ
    ↓
ファイルシステムボタン
    ↓
トラブルシューティングタブ

…まではわかったのですが、そこから先に進む事が出来ず…
(一体、どの項目をチェックしていいのかわからない→
パソコンに詳しくない人間はいじらない方がいい…
みたいな文まであって、ますます怖気づいてます)
もう泣きそうです。うぅ…      


122794 Re:「AmiLaLa」って一体…? 原子心母  2004/3/11-12:22
記事番号122785へのコメント
 
トレンドマイクロのWebサイトに有る「WinMe&XP用対処法」ってのは
「システム復元の無効化・有効化」の方法を英文で記述してるだけ。
Win98SEに復元機能ナイので、あの通りに実行しても出来ないのは仕様だから、大丈夫。

アミララAに対する対処方だけならば、アンチウイルス導入していて最新定義ファイルを保持。
JavaScriptは切っておく。→ソレはWebブラウジング上、色々な意味でツライ物が有る。

そこでタブブラウザ導入して、個別にJavaScriptもActivXも切り替える。
タブブラ導入すれば「Win9X系永遠の恋人@システムリソース」対策的にも大吉。
(タブブラウザ推奨委員会ROMれば判るが、Eroい人にも最適アイテム)

タブブラ導入しておけば、Webサイトを10開こうが20開こうがWindowsは陥落しない。
常時ソースチェッカーのサイトを開いておいて、あやすぃサイトのURLをコピペしてチェック。
自分のメインブラウザはSleipnir Ver1.30(現行Verより軽くてヨサゲ)だ。
デフォルトでGoogle日本語検索用ツールバーがブラウザ上に存在するので、
不明なURLや用語をチェックするのも楽々。
ブラウザ終了時にIEキャッシュもクッキーも閲覧URLも検索使用の文字列も
”お掃除”出来るのでナニかと便利。

他にもスパイウェア除去ソフトやスパイウェア予防ソフトの使用も有るが、
アミララに直接関わらないので割愛。
「アダルトサイト被害対策の部屋」でググって、ROMると大吉。

基本的に「君子危うきに近寄らず」なスタンスでヤバ目な場所には逝かない&逝く時は覚悟しとく。
直リンなハリコはURLをGoogle様に奉げて、何か情報はナイか?とリサーチ入れる余裕を持つ。
(早喰いしても、誰も誉めてくれないしね。)

#色々と気を使って対策していても、Windows自体が崩壊するのは「MSの仕様」では在るが。

普通にブラウジングしていてアミララに遭遇するのはUSA Yahoo!チャット位らしいので、
そんなにビクビクする事も無し。
ただし、そういう危険地帯の存在は理解した上で「クリック前に一旦ググる」慎重さは持つべき。  









289 名前: 名無しさん? [sage] 投稿日: 04/03/24 01:26 ID:???
http://amilala.blogspot.com 
ブラクラらしいんですが本当ですか? 
ウイルスはありますか? 

290 名前: 215 ◆olVWILd3v. 投稿日: 04/03/24 01:31 ID:+KaI3gfI
>>289 
小さいウィンドウが開いて英語で何かを訊かれます。 
それを閉じるとユーザープロンプトというウインドゥが開きます。 
行かぬが吉。 

296 名前: 前奏曲 ◆C.TDJpDcz. [sage] 投稿日: 04/03/24 01:37 ID:???
>>289 
補足です。 
そのページは今の所無害のようです…が、 
JS_AMILALA.Aの作成者と何か関連があるのかもしれません。 
時間によってはブラクラの報告も出ています。 
よって、閲覧注意とさせて頂きます。 
あくまでこの鑑定は現時点でのものなので、 
今後変わる場合や、環境によっても変化するかもしれません。 
十分注意してください。 

297 名前: でつ ◆detuTn.ez2 [sage] 投稿日: 04/03/24 01:40 ID:???
>>289 
補足 
そのページはアミララウィルスの作者(?)のページでつ。 
環境やアクセスする時期によって404やPC有害になったりしまつ 
まぁ>215さんの言うとおり踏まぬが吉と(´・ω・`;) 








557 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/20 20:02
amilalaってなんでしょうか? 
踏んでしまいました・・・ 

558 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/02/20 20:09
>>557 
amilalaのも亜種がでたからね。 
amilalaオリジナルも亜種もHDDにゴミファイル大量に作ったうえ、
レジストリ書き換えだった気がする。 

560 名前: 第17使徒ゲパチエル ◆CgRMNK8cWw 投稿日: 04/02/20 21:23
っか 
基本的に 
ウィルスは元々アメリカのデイン=フォーカスがPCのアップデート用に開発した 
データがウィルスだったがそれを使った奴等のPCが逝ったのでウィルスは 
PCを破壊する物と言う事になってしまった 

561 名前: 557 [sage] 投稿日: 04/02/20 23:06
>>558 
なんかやばそうですね 
ノートンはいってるんですが、ウイルスチェックする度にブートレコード警告が出て 
ブートレコードに変更があったといわれます。 
amilalaとやらが関係してるんですかね・・・・ 
スキャンしたけどウイルスは見つかりませんでした 
このままほっといて大丈夫でしょうか? 

562 名前: 名無しさん@お腹いっぱい。 投稿日: 04/02/20 23:19
>>561 
危険だって。 
まヂ危険 
なんとかした方がいいよ 
検疫してあるの? 
予防接種とか・・・・ 
何か入れた方がいいよ 

578 名前: 名無しさん@お腹いっぱい。 投稿日: 04/03/04 21:13
ttp://amilala.blogspot.com 
これ踏んだらブラクラだったんだけど、 
560あたりで言ってるamilalaですよね。ウイルス感染するんですか? 

646 名前: 名無しさん@お腹いっぱい。 投稿日: 04/03/19 20:52
>>561 
>ノートンはいってるんですが、ウイルスチェックする度に 
ブートレコード警告が出てブートレコードに変更があったといわれます。 
スキャンしたけどウイルスは見つかりませんでした 
漏れもです。 
ググってみたけどだめ。 
大事な時は家族のPCを借りる事にして、 
気長に対処していくしかないかな。

647 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 04/03/20 02:52
>646 
amilala 踏んでそう(ブートレコード警告)なったということ? 
そうでなければ、スマンテックのページを。参考までに。 
Situation 
「マスターブートレコード(重要な起動情報が入っている項目)が変わりました。」 の警告に関して。 
ttp://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/7c3ff4677729271685256c470046ed2e/c7d1acae01be591988256b5f0071e3f2 

649 名前: 646 投稿日: 04/03/21 19:35
>>647 
ありがとうございます。参考になります。 
リンクを踏む時は先に検索して慎重にしていたので、 
編みららは踏んでないと思います。 
教えていただいたページを見て、もしかしてwindows updateで 
「ie6の重要な更新」がなかなかインストールできない 
(ノートンを切ってもだめでした)ことが関係あるかもしれないと思いました。 
とりあえず頑張ってみます。 










543 名前: ひよこ名無しさん 投稿日: 04/03/11 22:38 ID:tKEBAa20
ある日パソコンを起動させるといつもと違う画面が最初に出てきて 
なにやらいろんなデータが書き込まれていってるみたいで、 
しばらくすると普通に起動しだしました。 
そして、立ち上がったと同時にエラーが3つでて、見てみると 
パソコンがおかしくなっていました。 
症状としては、ネットに繋がらない、ソフトをインストールできない、 
起動できないソフトがある、ネットワーク接続が開けない、 
ユーザーアカウントが開けない、USB2.0とフロッピーディスクドライブの 
ドライブが壊れていて、しかも修復できない、システムの復元が開けない、 
HDDのエラーチェックが実行できない、ルータにアクセスしようとすると 
パスワードの入力が出来ずエラーになる、などです。 
ネットに繋がらないのでオンラインスキャンも出来ず、友達からパソコンを 
借りて今調べているけど何も手がかりが無く困っています。 
メールによる感染は無いはずなのですが、ウイルスソフトを使用してなかった 
のが原因でどこかのサイトから感染したのでしょうか? 
もうウイルスソフトもインストールできないので、どのウイルスに 
感染しているか調べているのですが誰か分かる方がいましたら 
教えてほしいのですが・・。よろしくお願いいたします。 


546 名前: ひよこ名無しさん [sage] 投稿日: 04/03/12 00:54 ID:???
>>543 
amilalaか?それ 

578 名前: ひよこ名無しさん 投稿日: 04/03/13 13:55 ID:sdLss4e/
返事遅れてすみません。 
>>546  
教えてもらってありがとうございます。 
LAN経由でANTIDOTE 簡易版は試すことが出来ましたが 
ウイルスは発見されませんでした。やはりamilalaなのですかね。 
直す手段はやっぱり再インストールしかないのでしょうか? 
上書きインストールで直る可能性は無いのでしょうか? 
ちなみにこの上書きインストールってのは説明にはアプリやユーザデータなども 
消える可能性があるみたいに書いていたけど、これはOSのシステムファイルの 
修復をするだけみたいだから、めったに他のデータは消えたりしないですよね? 

585 名前: (゚Д゚≡゚Д゚)良スレドコー [sage] 投稿日: 04/03/14 00:55 ID:???
アミララってやばいんでしょ? 

586 名前: 543 投稿日: 04/03/14 01:48 ID:JLa069NC
>578の続きですけどあれからずっとアミララのことについて調べているんですけど 
トレンドマイクロが1月のJS_AMILALA.Aに続き3/9にJS_AMILALA.Bという名で 
対応したみたいだけど、これもすべて英語で書かれてる為分からなかったけど 
これはどうなんでしょうか? 
もう1週間くらい調べ続けてるけど、再インストールしかダメっぽい 
情報しか見つからないから半分あきらめてるけど・・・・・・(^^;)