忍者ブログ
MASTER →  ADMIN / NEW ENTRY / COMMENT
現代魔法(nearly equal 情報技術)を勉強中な人のメモ(チラシの裏)
/ 2017/04/25 (Tue) / 編集
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

/ 2008/02/23 (Sat) / 編集
さて、久方ぶりにドロップボックスを開いてみたらすっごいおもしろいことになってたんだが



「ダブルクリックしたらお兄ちゃんの負けね!.app」 ってなんだこれww

とりあえずmdlsでファイルの情報をみてみる
[e055717:~/Public/Drop Box]%mdls ダブルクリックしたらお兄ちゃんの負けね!128.app
kMDItemAlternateNames = (
"\U30bf\U3099\U30d5\U3099\U30eb\U30af\U30ea\U30c3\U30af\U3057\U305f\U3089\U304a\U5144\U3061\U3083\U3093\U306e\U8ca0\U3051\U306d\Uff01128.app"
)
kMDItemContentCreationDate = 2008-02-09 10:50:03 +0900
kMDItemContentModificationDate = 2008-02-09 10:50:03 +0900
kMDItemContentType = "com.apple.application-file"
kMDItemContentTypeTree = (
"com.apple.application-file",
"com.apple.application",
"public.executable",
"public.data",
"public.item"
)
kMDItemDisplayName = "ダブルクリックしたらお兄ちゃんの負けね!128"
kMDItemFSContentChangeDate = 2008-02-09 10:50:03 +0900
kMDItemFSCreationDate = 2008-02-09 10:50:03 +0900
kMDItemFSCreatorCode = "aplt"
kMDItemFSFinderFlags = 1296
kMDItemFSHasCustomIcon = 1
kMDItemFSInvisible = 0
kMDItemFSIsExtensionHidden = 1
kMDItemFSIsStationery = 0
kMDItemFSLabel = 0
kMDItemFSName = "ダブルクリックしたらお兄ちゃんの負けね!128.app"
kMDItemFSNodeCount = 0
kMDItemFSOwnerGroupID = 20
kMDItemFSOwnerUserID = -2
kMDItemFSSize = 110861
kMDItemFSTypeCode = "APPL"
kMDItemKind = "アプリケーション"
kMDItemLastUsedDate = 2008-02-09 10:50:03 +0900
kMDItemUsedDates = (
2008-02-09 00:00:00 +0900
)
ふつう自分でダウンロードしたものには「kMDItemWhereFroms」というのがついて
kMDItemWhereFroms = (
"http://www.eonet.ne.jp/~terrasse/sun_s.zip",
"http://cafetera.blog114.fc2.com/blog-entry-64.html"
)
みたいになるんだが、どうやらドロップボックスにだれかがいれたものにはだれからのものかつかないらしいな、、、これじゃだれのしわざかわかんねぇ
だがとりあえず「12/13」に1つ作られ(入れられたのかなんかのアプリケーションでコピーされたのかは不明)、「2/9」に作成されているらしい、いまごろ気づく俺は間抜け野郎ww


そして「ClamXav v1.1.0」を使ってウィルススキャンしてみた。
スキャンを開始しました。
大きなファイルのスキャンには時間がかかりますのでご注意ください。

----------- SCAN SUMMARY -----------
Known viruses: 387532
Engine version: 0.92
Scanned directories: 2
Scanned files: 139
Infected files: 0
Data scanned: 58.69 MB
Time: 281.409 sec (4 m 41 s)

ClamXav v1.1.0 - ClamAV 0.92/5941/Sat Feb 23 07:18:46 2008 - ClamXav

感染ファイルは見つかりませんでした。


ウィルスではないとはんだんされたようだ


とりあえずパッケージの中身を見てみようとしたら、右クリックメニューに「パッケージの内容を表示」がない、どうやらバイナリファイルの拡張子を.appに変更してあるだけのようだ


というわけで、これからネットワークからはずしてあえてダブルクリックしてみようと思います。どうなるのか乞うご期待!!
ノーパソ壊れなかったらまたここで報告します、では逝ってきます



というわけでダブルクリックしてみた
なんかFinder.appがたくさん開かれた

しかたないのでFinder.appを強制終了したらウィンドウがでて「Connection is invalid」とかいわれた

ログファイルをみてもとくにあやしいとこはない

ls-aしてみたがべつにファイルが増えているわけでもない

とりあえずサバ班にウィルスほうこくしてみる←今ここ


どうゆう経路ではいってきたんだろうね?拡張子がappだったり現象がFinderを開きまくることだったりするとこから見てどうみてもMac狙いだよな、、、てことは「ネットサーフィン中に感染した」(ファイル共有とかしてないので自分でダウンロードしたものの中にあったのか?)もしくは「学科内で移った」(学科ではグローバルIPだったりMacユーザがたくさんいたりする)だが
ネットからダウンロードしたなら「ダウンロード」フォルダに入ったり「kMDItemWhereFroms」があったりするからなぁ、あ、「本体は他にいる」って可能性もあるか
ドロップボックスにはいってたってことは俺の共有フォルダが見れないといけない、つまりグローバルIPをつかって外部からポイされた(どっからIP漏れたかはさておき)、もしくは学科内のだれかのパソコンから転送されてきた(故意なのか、その人がウィルスに感染してるのかは不明)可能性が高いねこれ。


とりあえずサバ班に報告してみるか



どうやら他にも置かれてた人がいるらしい、結構前からボチボチいて、実行してみたが今も普通に使えてるとのこと
どうやらジョークソフトのようだ、、、てことはウィルスってよりもだれかがおもしろ半分で大量コピペしたってとこか、なんという暇人wいくらなんでも130こってニート・オブジイヤーだろww

まぁおかげさまでadminに謝罪メールを送るはめになったわけだがまぁ実害といえばそれくらいか、あとは先生がスルーしてくれるのを祈るのみだなwww

拍手[0回]

PR
忍者ブログ [PR]