起きたら15時半。うぐ。17時からラーメン屋のハシゴしようという話があったのだが・・・。遅刻。ごめん。

6月にオープンした無鉄砲に行ってみる。
18時開店なのに、18:10には列が出来てるよ…。待ち人おおよそ15人程度。

ほえちゃんと一緒に食したけど、私はもう・・・。お腹いっぱい。
ラーメンのハシゴ、見事に崩れた也。

注文は、普通、こってり、ネギ大盛り。くー。全部汁を飲めなかったのがくやすぃ。

ストレス無く通話出来た。母親と実質タダ電話出来るようになった。ムフフフフ

次の実験は、MCUにフレッツフォンから接続が出来るかどうかだね。

お腹壊した。痛い。ぴーぴーな状態orz

trojanと戯れて遊ぶという危険な行為なので充分注意した上、隔離ネットワーク及び端末でご自由に行ってください。これにより感染した等、クレームは一切当方では受付いたしません。自己責任にて楽しくお遊びくださいますよう宜しくお願いしますm(__)m

次のようなspamが届いたため、調査していたところ、かなり危険なサイトだと判明。
晒し挙げ。（ｗ
DoSるなり、scanするなり、好きにやってください。

で、なにがヤバイかというと、「 Trojan.Myftu」というトロイの木馬が仕掛けられていること。これを実行してしまうと、 メールアドレスを盗み取り、無断でポルノサービスに登録されてしまいます。

IMPRESSのインターネットウォッチには、次のような記事が出ていました。
see : アダルトサイトに勝手に登録し、日本語で入会金を要求するウイルス

■┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓■
■┃素┃┃人┃┃動┃┃画┃┃コ┃┃レ┃┃ク┃┃シ┃┃ヨ┃┃ン┃■
■┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛■
　　今晩限定！完全無料で無○正素人動画が見れる【完全時間限定】
　　　　　　　　  http://99-movie.com/?s5

m y f t p u s e r c o d e n a m e  S O F T W A R E  9 9 M C N A p p l i c a t i o n D a t a \ M i c r o s o f t \ A d d r e s s B o o k , D o c u m e n t s a n d S e t t i n g s  h t t p : / / 0 I n t e r n e t A c c o u n t M a n a g e r $ S M T P E m a i l A d d r e s s  P U T  Q U I T  E X P  O U T Z P r o g r a m F i l e s \ I n t e r n e t E x p l o r e r \ I E X P L O R E . e x e C L O S E  . w a b & . D E F A U L T \ I d e n t i t i e s D O f f i c e \ O u t l o o k \ O M I A c c o u n t M a n a g e r \ A c c o u n t s \ 0 0 0 0 0 0  E R R  9 9 - m o v i e . c o m * m y f t p u s e r s p a s s c o d e e x e . i m l o o k i n _ g f o r w a r d t o t h a t  H    kernel32  GetWindowsDirectoryA P'@ `'@  <邸 ｡D邸 ﾀt��濾x'@ ｸ0@ ��ﾐ��・ shlwapi.dll SHGet

動画navi99 : 架空請求事業者データベース ( Fictitious claim swindle data base )

tomo@tomo@linuxsrv08:~$ host 99-movie.com
99-movie.com has address 219.103.152.51


tomo@tomo@linuxsrv08:~$ host 219.103.152.51
51.152.103.219.in-addr.arpa domain name pointer z51.219-103-152.ppp.wakwak.ne.jp.

tomo@linuxsrv08:~$ telnet z51.219-103-152.ppp.wakwak.ne.jp 80 |nkf
HEAD / HTTP/1.0

Trying 219.103.152.51...
Connected to z51.219-103-152.ppp.wakwak.ne.jp.
Escape character is '^]'.
HTTP/1.1 200 OK
Date: Sun, 24 Jul 2005 17:16:14 GMT
Server: Apache/2.0.52 (Unix) PHP/4.3.9
X-Powered-By: PHP/4.3.9
Connection: close
Content-Type: text/html; charset=shift_jis


tomo@linuxsrv08:~$ telnet z51.219-103-152.ppp.wakwak.ne.jp 22
Connected to z51.219-103-152.ppp.wakwak.ne.jp.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.9p1


tomo@linuxsrv08:~$ telnet z51.219-103-152.ppp.wakwak.ne.jp 25
Trying 219.103.152.51...
Connected to z51.219-103-152.ppp.wakwak.ne.jp.
Escape character is '^]'.
220 localhost.localdomain ESMTP Postfix
quit
221 Bye
Connection closed by foreign host.


tomo@linuxsrv08:~$ telnet z51.219-103-152.ppp.wakwak.ne.jp 110
Trying 219.103.152.51...
Connected to z51.219-103-152.ppp.wakwak.ne.jp.
Escape character is '^]'.
+OK Qpopper (version 4.0.5) at localhost.localdomain starting.
quit
+OK Pop server at localhost.localdomain signing off.
Connection closed by foreign host.


# nmap -P0 -p 1-1024 z51.219-103-152.ppp.wakwak.ne.jp
PORT STATE  SERVICE
21/tcp  open   ftp
22/tcp  open   ssh
23/tcp  closed telnet
25/tcp  open   smtp
80/tcp  open   http
113/tcp open   auth

Nmap finished: 1 IP address (1 host up) scanned in 70.221 seconds

VMWAREで独立-読み取り専用のディスクで遊んでみた。このVMWAREのディスクモードは、シャットダウン時に書き込んだ内容を全て破棄するという機能。その為、ウィルスに感染しようが何しようが、修了すれば元に戻る。うひひひひ。

で、検証用のWindows NT4.0とWindows2000の環境で試してみた。結果としてはWinNT4.0はランタイムエラーが出て、最終的には動かなかった。

このtrojanは、ダブルクリックしたら、c:\programs files\ にtrojan単体のプログラムをコピーするようだ。そのtrojanそのものはWinNT4.0ではうまく動作しないようだ。

試しに、バックグラウンドでEtherealを起動してパケットを見てにまにまとしてみた。この辺は後で追記することにする。尚、InternetWatchの様なバナーは表示されなかった。しょぼ〜ん。見たかったのにｗ

あと、yuukyさん曰く、OLLYDBG で遊ぶとさらにおもしろいらしい。一種のデバッガね。
時間があったら遊んでみよう。

起動した後、デスクトップに次のような「ご請求書.txt」が出来る。

動画navi99にご入会ありがとうございます。

ご利用期間　90日
ご利用料金　48,000円
お振込み期日　4日以内
*5日目からは通常料金の80,000円になります。

□お振り込み口座
　三井住友銀行
　ドットコム支店
　普通　４６３５５８３
  名義　イーバンクギンコウ（カ
　振り込みID= 3617015

サイトを利用されたにも関わらず、支払い期限を過ぎても、
入金が確認出来ない場合は、「お客様情報」を元に、
プロバイダーに対して法的な手段を経て、情報の開示を求めます。
ご利用料金は通常48000円となります。
ご利用期間は90日間です。
番組が90日間見放題でご利用になれます。


ご利用上での不明点、ご質問は、下記までお気軽にお問い合わせをお願い致します。

お問い合わせ 受付時間平日12:00〜20:00
payment@99-movie.com
090-3135-5154

退会希望　resign@99-movie.com

あなたのIPアドレス= 221.184.xxx.xxx

動画navi99
http://99-movie.com

そして、その後、

http://99-movie.com/regist.php?mov503548cdxxxxxx.wmv

に飛ばされ、個人情報を取得していますとかほざき、

http://99-movie.com/payInfo.php

に飛ばされ、「ご入会ありがとうございます」

その後、wmvのエロ動画が始まるようだ。つーか、trojanにやられるの覚悟でいじってみるのも良いかもね。>わしゃＨが大好きなんじゃ！びっくり爺さん♪

ちなみに、こういう事をしても、楽しいかも知れませんよ。>エロイヒト達

#!/bin/bash

for i in `seq 503000 504000`;
        do wget -c http://99-movie.com/mov/$i.wmv
done

家出をしてから、自宅を中心とし、大学、家出先他、四拠点でVPNを張っている。
自宅にファイルサーバ等があるので、自動バックアップをVPN越しに走ったり...

現在は、VMWAREのイメージ、キャプチャデバイスで録画したビデオのダウンロードをしている。

ということで、HTTP越しに四セッション、VPN越しにExplorerでD&Dでコピーを2セッション。それ以外にもサービスとして色々とＢフレッツを使っている。

さくらインターネットさん、酷使させていただいております。ありがとうございますm(__)m
家出してから、トラフィックが十数倍にふくれあがりました（ｗ

ルータがボトルネックになっているようですので、遅いです。10Mbps-30Mbps位しか出ません。
ルータ置きかえたら、80Mbpsぐらいでてくれたらいいんだけど・・・。
それにしてもRTX1000の登りが遅いですな。(登りが遅い。下りは早いけど)

朝：絶
昼：キムチチャーハン
夜：無鉄砲ラーメン