[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03616] Re: ウィルス

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03616] Re: ウィルス
From: HIRAMOTO Kouji <hiramoto@xxxxxxxxxxx>
Date: Wed, 25 Jul 2001 21:38:53 +0900 (JST)

平本です。


In subject: [connect24h:03613] Re: ウィルス
	jeno@xxxxxxxxxxx (jeno) said:

> なにが書いてるドキュメントなんだろう・・・。

  報道では「感染したマシンにある任意のファイルを添付ファイルに使う」
とか書いてありましたが、送られてきたメールに添付されていたファイル
は一つだけだったので、「どうせファイルの先頭がウィルス本体の実行ファ
イルで、末尾にただのゴミとして任意に選んだファイルがくっついてるだ
けだろう」と想像してました。

  で、うちにきたのは「Oracle-Ed.127-626-ext. (DOLLAR).xls.com」で 
Microsoft Excel のファイルがベースになってるようだったので、ちょっ
とファイルをダンプして調べてみましたが、うちにきたのは先頭から 
0x21800 バイト目から Excel ファイルの本体があるようです。

000217e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 :................
000217f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 :................
00021800: d0 cf 11 e0 a1 b1 1a e1 00 00 00 00 00 00 00 00 :................
00021810: 00 00 00 00 00 00 00 00 3e 00 03 00 fe ff 09 00 :........>.......

この「d0 cf ...」の部分が Excel ファイルの先頭です。全然違うタイプ
のファイルの場合は、当然この部分は違うわけなので、各人の解析に任せ
ます。(笑)

-- 
 平本 光二 (HIRAMOTO Kouji) / hiramoto @ flatray.com

------------------------------------------------------------------------
　えっ、友達とのペアで毎日１００万円が当たるチャンス!　　楽ぴた倶楽部
　　                 http://www.rakupita.ne.jp/

Follow-Ups:
- [connect24h:03619] Re: ウィルス
  - From: Masahiro YAMAZAKI

References:
- [connect24h:03589] ウィルス
  - From: tumugu
- [connect24h:03613] Re: ウィルス
  - From: jeno

Prev by Date: [connect24h:03615] Re: ウィルス
Next by Date: [connect24h:03617] Re: telnetd exploit
Previous by thread: [connect24h:03615] Re: ウィルス
Next by thread: [connect24h:03619] Re: ウィルス
Index(es):
- Date
- Thread