Skype lol is this your new profile pic?

： 漆黒のダーク [] 2012/10/07(日) 13:51:47.86

:1UYrwAys

lol is this your new profile pic? とSkypeから送られて指定されたURLに行くと
ZIPをDLされ、開くと強制的にほかの人にメッセージを送られる現象について
じょうほうが欲しい。誰から始まったかそれを知りたいし
解決方法も求む!!

： 漆黒のダーク [] 2012/10/07(日) 13:54:02.61

:1UYrwAys

このスレットの主です。
lol is this your new profile pic?
と送られしかもかなりの人が被害に遭っていると思われる
悪質な悪戯だ!!
情報と誰が始めたかも知りたいが、被害にあった人向けに
解決方法を検討と被害人数の想定
をしたい

： ゲーム放送部 [] 2012/10/07(日) 13:59:53.97

:Ug3zgaxb

こいつの解除方法はね
%appdata%（だっけな）￥ローミング（スペル忘れた）￥skype　の中にある
shared.lckを削除して　PC再起してくれれば　この意味不明送信被害はなくなる
わからないことは　自分生やってるから　聞いてくれい
以上！

： 漆黒のダーク [] 2012/10/07(日) 14:08:51.18

:1UYrwAys

↑解決方法ありがとう。

： 漆黒のダーク [] 2012/10/07(日) 14:10:17.32

:1UYrwAys

↑解決方法ありがとう。

： 最近調子がいい男 [] 2012/10/07(日) 14:16:03.28

:InBwlTtO

lol is this your new profile pic? 外部リンク

ttp://http://goo.gl/UPhHf?img=(skyp-id)
のようなチャットがスカイプにて送られてきたら無視してください
このURLに飛ぶと強制的にファイルがダウンロードされます
そのファイルを開くとウィルスに感染し、
自分の持っているコンタクト全員に同じ内容のスパムチャットが送られます
できる限り知っているコンタクトの方々にこの回覧板を送ってください

： 漆黒のダーク [] 2012/10/07(日) 14:17:09.90

:1UYrwAys

はい、できればスレの情報も教えてあげてください

： ゲーム放送部 [] 2012/10/07(日) 14:19:37.77

:Ug3zgaxb

んーっと　３コメのところの　shared.lckが　BOSS的な存在のようです
こいつさえ削除してしまえば　平和にもりますよん
再発したら　生へきて　言ってくれれば　対処します

： 漆黒のダーク [] 2012/10/07(日) 14:22:13.12

:1UYrwAys

↑了解です。助かります

： 漆黒のダーク [] 2012/10/07(日) 14:23:15.57

:1UYrwAys

このスレに情報を集めたいと思います。
スレッドする人は責任もって情報提供お願いします。

：ほげ [sage] 2012/10/07(日) 14:25:08.21ID:???

で、これ実行するとどうなるん

： 漆黒のダーク [] 2012/10/07(日) 14:25:45.06

:1UYrwAys

このファイルはいろいろな形の症状があると思われます。
情報もとみます。
症例もとみます

： 漆黒のダーク [] 2012/10/07(日) 14:26:51.24

:1UYrwAys

実行すると、自動的に次のメッセに送ってくる症状や
ほかにもあるかもしれません。
情報もとみます

：ｓｋ [] 2012/10/07(日) 14:49:00.56

:0ngbLoe3

shared.lck
の他に
shared（XMLドキュメント）
shared_dynco（ファイルフォルダ）
shared_httpfe（ファイルフォルダ）
もskypeフォルダにありますが、これらも削除すべきものでしょうか？

： 漆黒のダーク [] 2012/10/07(日) 14:51:11.72

:1UYrwAys

現状、全く情報ないので断定はできないです。

： 名無しさん＠いたづらはいやづら [] 2012/10/07(日) 14:51:56.44

:8ODhG+sM

これ色々詰め込まれてるな

： 漆黒のダーク [] 2012/10/07(日) 14:52:52.71

:1UYrwAys

とりあえず、スカイプは落として公式の発表を待ちましょう。
できれば症例教えてください

：暇神 [] 2012/10/07(日) 15:01:24.11

:B3Lb9NVW

やられた～
みなさんとりあえず拡散しないように個チャとかに勝手にしろ」書かれたやつとか消しておいては？

：ｓｋ [] 2012/10/07(日) 15:01:46.53

:0ngbLoe3

同じく定型文の送信。
取った対策は、
・%appdata%で思わしき.exeの削除（削除不能なもの、削除しても復活するものもアリ）
・%appdata%でskypeファイルごと一旦削除、アンインストールした後、再インストール
・スカイプの設定の他のプログラムからのskypeへのアクセスを管理で.exeを削除（復活する）

： 漆黒のダーク [] 2012/10/07(日) 15:04:52.10

:1UYrwAys

ありがとうございます。
復活はできるんですね
とりあえず、来たら絶対に行かないように注意していってください

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:12:58.27ID:???

Fドライブに大量にショートカットを作られていました。
ショートカットの中身はコマンドを叩いてウィルスを起動させるためのもののようです。

： 漆黒のダーク [] 2012/10/07(日) 15:13:29.33

:1UYrwAys

↑復活するんですか

：ｓｋ [sage] 2012/10/07(日) 15:13:56.02ID:???

復活はプログラムが復活ね。
根本的な解決に全然なってない。

： 漆黒のダーク [] 2012/10/07(日) 15:15:47.12

:1UYrwAys

なるほど・・・

： 漆黒のダーク [] 2012/10/07(日) 15:18:17.46

:1UYrwAys

今までの情報をまとめると
・ファイル消しても復活する
・起動すると拡散する。
・悪質なネットウイルス

： 名無しさん [sage] 2012/10/07(日) 15:21:00.78ID:???

前にMSN Messengerで似たようなのがあったな
突然友人からURLが送られてきて、URL内には自分のID(～～@hotmail.com)が入っていた。
開いたらウィルスをダウンロードされて自動実行。
メンバリストの上から順に、次から次に会話画面が開かれウィルスURLを送信しまくっていく。
それと同時に別のウィルスを次々にダウンロード。
クリスマスイヴに突然広まりだして2chでも祭りになった。とんだプレゼントだったよ
クリーンインストールしてやったわ

： 名無しだ [] 2012/10/07(日) 15:21:32.60

:tpRLr/2C

ウイルス開いてしまいました。

shared.lck削除しましたが、これで完全にウイルス駆除できたのでしょうか？

とても心配です。助けてください。

：ｓｋ [sage] 2012/10/07(日) 15:25:17.70ID:???

>>27

完全には出来てないと思います。
何度も復活してますし。

： 漆黒のダーク [] 2012/10/07(日) 15:26:31.05

:1UYrwAys

現在わかっている情報
・lol is this your new profile pic?とチャットが来て
　下にＵＲＬが張ってあり、そこに行くとファイルがＤＬされる。
・ＤＬされたファイルを解答し実行すると同じ様な内容が自動送信される
・スカイプのファイルを消しても復活
以上です

： 名無しだ [] 2012/10/07(日) 15:28:13.69

:tpRLr/2C

復活してる・・・
今のところ完全に削除する方法はないということですか？

： 漆黒のダーク [] 2012/10/07(日) 15:30:15.75

:1UYrwAys

>>30

まだ、見つかってないです

： くぁｗせｄｒｆｔｇｙふじこｌｐ；＠：」 [] 2012/10/07(日) 15:30:39.38

:3QQJRAdx

shared.lckを削除してスカイプの
「ツール」→「設定」→「詳細」→「他のプログラムからのスカイプアクセス管理」
で、そのソフトと思わしき物を削除。

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:31:12.80ID:???

一定時間が経つごとにウイルスファイルをダウンロードしてきているようですね。
ダウンロードにはiexplore.exeを利用しているようです。
ダウンロード元サイトも分かりますが、念のため記載はひかえておきます。

：ｓｋ [sage] 2012/10/07(日) 15:33:36.35ID:???

>>33

だからIEは重いんでしょうかね。
janeとかは余裕なのに、IEは直接じゃなくて、何か経由しないと重いです。
理由はよく分かりませんが。

とりあえず今度はshared（XMLドキュメント）を削除してみました

： スマホユーザーＡ [] 2012/10/07(日) 15:34:43.32

:NEMvTAZ/

スマホ（アンドロイド）でリンク踏んでダウンロードしてしまったのですがどうしたらいいのでしょう？
パスワードは変更しました。

： 漆黒のダーク [] 2012/10/07(日) 15:35:26.27

:1UYrwAys

>>32

完全に消去できてるのでしょうか？

>>21

さんがＦにショートカットがかなりあるそうで

： 名無し [sage] 2012/10/07(日) 15:35:33.19ID:???

これDLしちゃっただけでアウト？
開いてはいないんだけども

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:36:49.79ID:???

>>36

Fはショートカットだけではなく、exeファイルなども有りました。
とりあえず見つけたものは全部消去しましたが。

：ｔ [] 2012/10/07(日) 15:38:03.54

:F4dOKRpn

オペラでも他のブラウザでも何かdlしてる形跡がある

これ俺も感染しちゃったのか？
落とす直前でアンチソフトが反応して隔離したんだが

： 漆黒のダーク [] 2012/10/07(日) 15:38:43.58

:1UYrwAys

>>36

なるほど

： くぁｗせｄｒｆｔｇｙふじこｌｐ；＠：」 [] 2012/10/07(日) 15:40:01.15

:3QQJRAdx

>36
私は引っかかってなく、今旅行中でラップトップ一台しか持ってないのでこれ以上確認のしようがないんです。
お力になれなくてすみません。
とりあえずひっかかった友人と協力して色々試してみてますが...

： 漆黒のダーク [] 2012/10/07(日) 15:41:10.39

:1UYrwAys

>>39

kwsk

： 漆黒のダーク [] 2012/10/07(日) 15:42:47.25

:1UYrwAys

>>41

たすかります

： ゲーム放送部 [] 2012/10/07(日) 15:45:17.35

:Ug3zgaxb

なんか　復活してるようですね
自分のところだと復活してないです
ショートカットも作成されてませんし
んー
この方法はDLされた時のファイル名でｸﾞｸﾞってでてきたやつを試しただけなので
確実ではないです　ごめんなさい

： 漆黒のダーク [] 2012/10/07(日) 15:46:20.01

:1UYrwAys

>>44

なるほど

： 名無しだ [] 2012/10/07(日) 15:47:42.14

:tpRLr/2C

スカイプごと削除しようと思ったけど

なんかのファイルを開いてるらしく無理でした。

どこのプログラムが開いているのかわかりますか？

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:47:42.41ID:???

一旦再起動したらダウンロードされてこなくなったりしてｗ

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:48:24.81ID:???

>>46

問題のウィルスファイルであれば、
タスクマネージャーで同名のプロセスを落としてから削除してください。

： 漆黒のダーク [] 2012/10/07(日) 15:49:06.25

:1UYrwAys

zip、7zipで送られてくるそうで
情報もとみます

：紅月 [] 2012/10/07(日) 15:49:13.08

:Bu6p7bFT

ウインドーズボタンとRを同時に押して出てきたところに
%appdata%
これを入力して
凍結したデータを消す
ゴミ箱からも削除
これでもう回ることはないと思う
skypeのツール⇒設定⇒詳細の一番下に他のプログラムからのskypeへのアクセス管理にあるやつを削除してください！！お願いします！
そうすれば直ります！！

：ｓｋ [] 2012/10/07(日) 15:49:58.85

:0ngbLoe3

英数字４桁のアプリケーションはもちろん、
shared.lck （LCKファイル）
shared（XMLドキュメント）
shared_dynco（ファイルフォルダ）
shared_httpfe（ファイルフォルダ）
これら全て削除しても、再起動したら復活しますね…。

： 漆黒のダーク [] 2012/10/07(日) 15:50:36.05

:1UYrwAys

>>50

ありです

： 名無しだ [] 2012/10/07(日) 15:50:42.12

:tpRLr/2C

ウイルスファイルが表示されてないです。なぜ？

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 15:52:39.62ID:???

>>51

それはskype本体が自動作成するファイルなので、
skype起動時に無い場合は作成されるはずです。

： 名無し [] 2012/10/07(日) 15:53:23.48

:uhYK3ABD

システムの復元で感染前に戻ったら治りました

： 漆黒のダーク [] 2012/10/07(日) 15:55:43.27

:1UYrwAys

>>55

　その方法だと、戻る可能性あります
　　　気おつけてください

：ｓｋ [] 2012/10/07(日) 15:56:52.69

:0ngbLoe3

>>54

だとこれを削除することには意味が無いのでしょうかね…？

>>55

私は復元がエラー出てしまうんですが、復元できる人はそれが良さそうですよね。

： からしめんたいこ [sage] 2012/10/07(日) 15:57:30.11ID:???

参考になるかわかりませんが・・・自分の現在の状況です。

【感染状況】
Skypeの友人から来たのを踏んで解凍、exeも開き感染したところ、フリーズが頻発。
開く前にウィルスバスター、マカフィーでのチェックをしましたが問題なしと診断。
開くとPCの挙動が重くなり、HDDおよびネットワークがビジー状態、フリーズを頻発。
3度ほど再起動しましたが、状況改善せず（この再起動時に友人等にメッセージは送られなかったようです）。
最終的には再起動から3分ぐらいでマウスカーソル含め無反応に。

【対処】
一時的な対処として、セーフモードで起動→3日ほど前のバックアップデータに復元。
「スカイプの設定の他のプログラムからのskypeへのアクセスを管理で.exeを削除」を実施（1つだけでした）。
shared.lckの削除を実施。

【現状】
現在のところ症状は出ず、怪しいネットワークの動作もフリーズも起きていません。
「他のプログラムからのSkypeへのアクセス管理」に思しきファイルの復活なし。
shared.lckについてはSkype立ち上げるたびに再生されるようです。

友人等にメッセージが送られているか確認したところ、送られてきていないとのこと。
またネットワークの通信状況からもデータ送受信をしている形跡なし。

参考になるかわかりませんが、一応ご報告です。

： とあるフォボス [] 2012/10/07(日) 15:58:10.03

:+QXs6vRl

結構引っかかっちゃうんだよね・・・まったくコメントくれない人がくれたりして引っかかるｗｗｗ

： 漆黒のダーク [] 2012/10/07(日) 15:59:01.41

:1UYrwAys

>>58

ありです、助かります

： まんｋ [sage] 2012/10/07(日) 15:59:30.39ID:???

AVGでもウイルス検知なし
とりあえず更新日が今日になってるデータは全部消すがよろし

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:05:54.12ID:???

>>57

ウイルスによって変更された内容がそのファイルにあれば、
初期状態に戻るので、意味が有ると思います。

： 漆黒のダーク [] 2012/10/07(日) 16:06:10.97

:1UYrwAys

解決策

>>50

参照です
復活現象はこれで抑えられるようです

： ゲーム放送部 [] 2012/10/07(日) 16:08:52.41

:Ug3zgaxb

解決策でてよかったぁ

： 名無しさん [sage] 2012/10/07(日) 16:09:14.63ID:???

%AppData%\Roaming\Skype内の
shared.lckやshared.xmlは元からSkypeに存在するファイルだよ
消して再生成されるのは元々そういう仕様。

問題はファイルが存在することではなく、中身が異常に改竄されているかされてないかってところ。

： yolu [sage] 2012/10/07(日) 16:12:30.55ID:???

Macでの対処法って、ありますか？
MikuInstallerで開いてしまったのですが、
X11の画面が出た瞬間にMikuInstallerが強制終了しました。
これで感染してるのかは、分からないのですが念のため。

： 漆黒のダーク [] 2012/10/07(日) 16:12:48.27

:1UYrwAys

>>65

なるほど

： 漆黒のダーク [] 2012/10/07(日) 16:15:56.90

:1UYrwAys

>>66

>>50

はＷｉｎ版らしいので
MacもWin版もシステム復元でＯＫらしいですが
　何かの拍子で復活する可能性あるので

>>50

を参照です
　Win版限定ですが

： くぁｗせｄｒｆｔｇｙふじこｌｐ；＠：」 [] 2012/10/07(日) 16:16:29.86

:3QQJRAdx

>>66

今のところmacでの症状は確認されてないみたいです。

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:17:00.90ID:???

>>66

これでダウンロードされてくるのはexeファイルだから、
Macでは実行できなさそうだけど・・・

最近のMacは実行できるのだろうか。

>>63

>>50

で解決にならなかったので、色々実験しています。
今、考えられる対策を相当数打って、
新しいskypeアカウントを開いて問題が解決しているか実験中です。

問題なさそうであればフィードバックします。

： sun [] 2012/10/07(日) 16:19:04.54

:WU+EFSQN

mikuいれてる人はそれで起動してしまうのかな？
exeは基本MACじゃ動作しないから普通は大丈夫そうだけどね

：ｓｋ [] 2012/10/07(日) 16:19:18.31

:0ngbLoe3

「凍結したデータ」とは何でしょうか？
目ぼしいものは削除しましたが、復活して解決になりませんでした。

： yolu [sage] 2012/10/07(日) 16:19:41.35ID:???

>>68

わかりました。ありがとうございますm(_ _)m

： まんｋ [sage] 2012/10/07(日) 16:21:23.41ID:???

最悪の場合こうなる

ttp://http://www.youtube.com/watch?v=D_9mRUNQlBo
↑開いちゃった人のお話

： 名無しさん [sage] 2012/10/07(日) 16:23:05.27ID:???

ここまでクリーンインストール無し

： 漆黒のダーク [] 2012/10/07(日) 16:24:17.60

:1UYrwAys

疑わしきものすべて消し、ゴミ箱完全消去で行ける可能性もあるそうです

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:27:40.04ID:???

Fフォルダに作成されたショートカットファイルの件ですが、
これはクリックすると、ショートカット先に飛ぶのと同時にウィルスファイルの.exeを実行するものだということが分かりました。
今日作成されたショートカット類は念のため削除しておいた方が良いでしょう。

： 名無しさん [sage] 2012/10/07(日) 16:30:41.73ID:???

>>77

じゃあウィルス本体のexeはPCに残ってるってこと？
なんか裏でプロセスが動いたままとかじゃない？

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:31:40.89ID:???

>>50

に加えて、

>>77

の実行をやった後、再起動するのが良さそうですね。
出来る人はシステムの復元もした方が良いでしょう。
更にできる人は、システムのクリーンインストー（ｒｙ

： 漆黒のダーク [] 2012/10/07(日) 16:35:43.44

:1UYrwAys

>>79

情報ありがとうです

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:36:31.80ID:???

>>78

FフォルダにRECYCLERとかいうフォルダを作られて、
そこにexeファイルが置かれていました。
ショートカットを踏んだ時に実行されるexeファイルはこれです。

： さっきおなにーしてきた [sage] 2012/10/07(日) 16:42:14.56ID:???

復元したら直った
これが簡単で確実だわ

： 名無しさん [sage] 2012/10/07(日) 16:42:20.87ID:???

>>81

なるほど
RECYCLERっていうフォルダは「ゴミ箱」の実体フォルダだから、
ゴミ箱の中にウィルスを置いたんだろうね。他のウィルスにもときどきある。

OSはXPかな？Vista以降のゴミ箱はRECYCLERではなく隠しフォルダの$RECYCLE.BINフォルダなので、
探したい・消したい人はそっちも探してみてね

： おなぬーますたー [] 2012/10/07(日) 16:44:25.82

:moyYDNz/

で
このウイルスは何をするんだよ
個人情報でも流出させんの？

： 名無し [sage] 2012/10/07(日) 16:47:57.17ID:???

MSSE:駆除
Norton:"脅威なし"

： 漆黒のダーク [] 2012/10/07(日) 16:48:49.23

:1UYrwAys

>>82

復元は突発的に復活する可能性あるので

>>50

参照

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:49:07.05ID:???

>>83

なるほど。ご参考までに、自分のOSはWin 7 64です。

： 名無しさん [sage] 2012/10/07(日) 16:50:42.66ID:???

>>84

>>33

が事実なら、他のウィルスをダウンロードしている可能性がある。
俺は

>>26

だけど、そのときはVundoとかいろいろDLされた

決して、
SkypeでのURL拡散が止まったからウィルス駆除完了したとは考えないこと。
裏で怪しいプロセスが動いていないか、ネットワークが動いていないかをきちんと見守ること。

： 名無しさん＠いたづらはいやづら [] 2012/10/07(日) 16:51:59.61

:p1F7I01z

>>3

某サイトでは消すのはshared.xmlであって
shared.lckは消すなって書いてあるが・・・。

ていうかそもそも今回の件でいうと感染した場合
roaming内に直接スカイプアイコンのexeが生成されるらしいから
それを消すのがとりあえずの方法じゃねーかな

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 16:54:41.47ID:???

自分はavastとMSSEとNortonの3重でスキャン中です。
まだ見つかっていないウィルスが後々検出される可能性もありますが。

： 漆黒のダーク [] 2012/10/07(日) 16:55:19.19

:1UYrwAys

>>90

結果まってます

： 名無しさん [sage] 2012/10/07(日) 16:56:50.60ID:???

感染した人のshared.lckってファイルサイズがいくらかあるの？
通常は中身は何もないと思うんだけど。消して意味があるのか疑問。

shared.xmlはSkypeに接続できない不具合のときに消すと復旧するっていうファイルだし、
ということは接続先とか各種設定を保存したものなんじゃないのかな
だからそのファイルが改竄されて悪用とかならありそうだけど。

： 名無しさん [] 2012/10/07(日) 17:04:14.89

:ZaH1LBxg

exe.を踏まなければいいのか？
それともzip.を開いた時点でアウト？

： 名無しさん＠いたづらはいやづら [sage] 2012/10/07(日) 17:04:56.84ID:???

>>91

目ぼしいファイルを削除した後なので、ウィルスは殆ど見つかりませんね。
唯一見つかったのは、

>>77

で見つけたショートカットのコマンドをコピー・保存していたテキストファイルのみですｗ

ひとまずはこれで対処は終わりとしたいですが、
まだウィルス対策ソフトが対応していないウィルスが後で見つかることもあるので、
油断は禁物ですね。

やはりできる人はクリーンインストー（ｒｙ

： 名無しさん＠いたづらはいやづら [] 2012/10/07(日) 17:05:09.07

:p1F7I01z

>>93

exe開いた時だよ

まぁ念のためにスキャンはやっとくべき