【警報】Winnyを狙ったワーム・ウイルス情報 Part16
これはええのかい?
名前 Antinny.ms(仮)
Bの亜種? ノートン、バスター共に未対応
サイズ 1.26MB
開発名 SilentToker Delphi製
症状
・Windowsフォルダにsvchost.exeを作成。
無い場合もあり。Systemフォルダのsvchost.exeは問題なし。
・UpFolder.txtに名前BBSでダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。
・アンチウイルスソフト(ノートン、バスター)の自動実行を無効に。
・毎月第一月曜日に発動。なにやってんのかは不明。
・親と子があり、いずれもSystemフォルダに作成される。
・子はms???.exe(248k)。親はms???.exe(282k)
子は消しても再起動すると親が作成する。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可
・親はサービスに登録される。
・親子ともにファイルバージョン5.1.3125.1093、製品バージョン6.00.1800.1007。
対策
1. 親のファイル名が含まれるレジストリキーを削除。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
2. セーフモードで親子ともどもファイル削除。
3. HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4. NyのUpフォルダ設定を元に戻す。
5. ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インスコせずに済む。
名前 Antinny.ms(仮)
Bの亜種? ノートン、バスター共に未対応
サイズ 1.26MB
開発名 SilentToker Delphi製
症状
・Windowsフォルダにsvchost.exeを作成。
無い場合もあり。Systemフォルダのsvchost.exeは問題なし。
・UpFolder.txtに名前BBSでダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。
・アンチウイルスソフト(ノートン、バスター)の自動実行を無効に。
・毎月第一月曜日に発動。なにやってんのかは不明。
・親と子があり、いずれもSystemフォルダに作成される。
・子はms???.exe(248k)。親はms???.exe(282k)
子は消しても再起動すると親が作成する。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可
・親はサービスに登録される。
・親子ともにファイルバージョン5.1.3125.1093、製品バージョン6.00.1800.1007。
対策
1. 親のファイル名が含まれるレジストリキーを削除。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
2. セーフモードで親子ともどもファイル削除。
3. HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4. NyのUpフォルダ設定を元に戻す。
5. ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インスコせずに済む。
|
|
|