【警報】Winnyを狙ったワーム・ウイルス情報 Part29
1 :[名無し]さん(bin+cue).rar:
Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。
なお、ここは初心者の質問スレではありません。
■流行種
・元祖Antinny系 ・キンタマ系 ・batファイル ・スクリーンセーバー etc
■流行感染パターン
・exeの前にスペースたくさん(例:「秘密の写真.jpg .exe」等)
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・スタートアップに解凍させ、再起動後exeを実行させる
■DL後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルはうかつに実行しない
・ファイルのアイコンが偽装されてないか確認する
■全ての感染者に共通の、絶対確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。
前スレ
【警報】Winnyを狙ったワーム・ウイルス情報 Part28
http://tmp4.2ch.net/test/read.cgi/download/1096694962/
テンプレまとめ http://www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。
なお、ここは初心者の質問スレではありません。
■流行種
・元祖Antinny系 ・キンタマ系 ・batファイル ・スクリーンセーバー etc
■流行感染パターン
・exeの前にスペースたくさん(例:「秘密の写真.jpg .exe」等)
・拡張子が.folderに変更されたHTMLからexeを実行させる
・autorunからbatファイルを実行させる
・スタートアップに解凍させ、再起動後exeを実行させる
■DL後のちょっとした注意
・落としたファイルは必ずウイルススキャンする
・exeファイルはうかつに実行しない
・ファイルのアイコンが偽装されてないか確認する
■全ての感染者に共通の、絶対確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。
前スレ
【警報】Winnyを狙ったワーム・ウイルス情報 Part28
http://tmp4.2ch.net/test/read.cgi/download/1096694962/
テンプレまとめ http://www.geocities.jp/kemkzuenc/Antinny.html
Antinny対策サイト ttp://nyweb.hp.infoseek.co.jp/
|
|
|
2 :[名無し]さん(bin+cue).rar:04/10/28 20:17:58 ID:GdfpZ1GA
■質問テンプレ
質問の際、あなたのPC環境やウイルスソフトがわからないと対処できません。
テンプレに沿って答えることで解答が出やすくなります。
【使用OS】
【WindowsUpdateしてるか】
【AntiVirusは】
【ちゃんとUpdateしてるか】
【スキャンした結果】
【オンラインスキャンしたならその結果は】
【Winnyのバージョン】
【Winny歴、総DL量は】
【テンプレを読んだか】
【テンプレにある対策を実行したか】
【症状か具体的に、分かる限りすべて書く】
【何をしたらそんなことになったのか】
【これまでにとった措置】
質問の際、あなたのPC環境やウイルスソフトがわからないと対処できません。
テンプレに沿って答えることで解答が出やすくなります。
【使用OS】
【WindowsUpdateしてるか】
【AntiVirusは】
【ちゃんとUpdateしてるか】
【スキャンした結果】
【オンラインスキャンしたならその結果は】
【Winnyのバージョン】
【Winny歴、総DL量は】
【テンプレを読んだか】
【テンプレにある対策を実行したか】
【症状か具体的に、分かる限りすべて書く】
【何をしたらそんなことになったのか】
【これまでにとった措置】
3 :[名無し]さん(bin+cue).rar:04/10/28 20:18:34 ID:GdfpZ1GA
■推奨無視リスト
このままIgnore.txtにコピペしてください。
.exe,,0,0,,0,1,0
.jpg,,0.0085,0.0088,,0,1,0
.jpg .lzh,,0,0,,0,1,0
.g .lzh,,0,0,,0,1,0
.avi .lzh,,0,0,,0,1,0
.m .lzh,,0,0,,0,1,0
.w .lzh,,0,0,,0,1,0
.txt .lzh,,0,0,,0,1,0
.rar .lzh,,0,0,,0,1,0
.cab .lzh,,0,0,,0,1,0
.exe .lzh,,0,0,,0,1,0
※無視リストを追加しすぎるとマシンに負荷が掛かります。
このままIgnore.txtにコピペしてください。
.exe,,0,0,,0,1,0
.jpg,,0.0085,0.0088,,0,1,0
.jpg .lzh,,0,0,,0,1,0
.g .lzh,,0,0,,0,1,0
.avi .lzh,,0,0,,0,1,0
.m .lzh,,0,0,,0,1,0
.w .lzh,,0,0,,0,1,0
.txt .lzh,,0,0,,0,1,0
.rar .lzh,,0,0,,0,1,0
.cab .lzh,,0,0,,0,1,0
.exe .lzh,,0,0,,0,1,0
※無視リストを追加しすぎるとマシンに負荷が掛かります。
4 :[名無し]さん(bin+cue).rar:04/10/28 20:18:55 ID:GdfpZ1GA
■感染しないための注意1 〜やっておくべき設定等〜
・アンチウイルスソフトのインストール及び常駐、定期的な更新。
・シングルクリックをダブルクリックにしてうっかり操作防止。
・ファイルの拡張子は表示させておく。できれば詳細表示を使うか、ファイラを使う。
・nyをProgramFilesに置かない。CacheとDownフォルダは詳細表示にする。
・CD/DVDドライブのAutorun(自動実行)は切っておく。(やり方は以下参照)
・適切な無視リストの設定などで、そもそもウイルスを呼び込まない。(リストは以下参照)
・whiter対策としてC:\Windows\Systemに「Whismng.exe」というフォルダを作成。
(フォルダ名と同じファイルは置けないのである程度防止になる)
・WhiterVBS簡易チェッカーを使う。
ttp://mxtrojan.at.infoseek.co.jp/column02.html
・IEのセキュリティ設定を厳しくする。特にActiveXコントロールとプラグインを無効orダイアログ表示に。
(拡張子.folderで悪意のあるコードを含んだhtmlを読み込むバグ、悪用の危険あり)
ttp://internet.watch.impress.co.jp/cda/news/2004/01/30/1927.html
・XMLのOBJECT要素によってコマンドを起動するバグ対策に、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0にあるFlagsの値を10進数で1に変更する。
・フォルダアイコン、txtアイコンを標準のものから変更しておく。
(アイコンを偽装したexeを見分けるため。aviやヘルプなど他の拡張子も変更が望ましい)
・レジストリ:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のアクセス権を制限する。
※アプリケーションのインストール時に弊害が起こることもあるので注意。
・アンチウイルスソフトのインストール及び常駐、定期的な更新。
・シングルクリックをダブルクリックにしてうっかり操作防止。
・ファイルの拡張子は表示させておく。できれば詳細表示を使うか、ファイラを使う。
・nyをProgramFilesに置かない。CacheとDownフォルダは詳細表示にする。
・CD/DVDドライブのAutorun(自動実行)は切っておく。(やり方は以下参照)
・適切な無視リストの設定などで、そもそもウイルスを呼び込まない。(リストは以下参照)
・whiter対策としてC:\Windows\Systemに「Whismng.exe」というフォルダを作成。
(フォルダ名と同じファイルは置けないのである程度防止になる)
・WhiterVBS簡易チェッカーを使う。
ttp://mxtrojan.at.infoseek.co.jp/column02.html
・IEのセキュリティ設定を厳しくする。特にActiveXコントロールとプラグインを無効orダイアログ表示に。
(拡張子.folderで悪意のあるコードを含んだhtmlを読み込むバグ、悪用の危険あり)
ttp://internet.watch.impress.co.jp/cda/news/2004/01/30/1927.html
・XMLのOBJECT要素によってコマンドを起動するバグ対策に、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0にあるFlagsの値を10進数で1に変更する。
・フォルダアイコン、txtアイコンを標準のものから変更しておく。
(アイコンを偽装したexeを見分けるため。aviやヘルプなど他の拡張子も変更が望ましい)
・レジストリ:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のアクセス権を制限する。
※アプリケーションのインストール時に弊害が起こることもあるので注意。
5 :[名無し]さん(bin+cue).rar:04/10/28 20:19:34 ID:GdfpZ1GA
■感染しないための注意2 〜普段からの注意〜
・大事なデータはこまめにバックアップを取る。
・落としたファイルは必ずウイルススキャンする。
・指定外の場所へ解凍される脆弱性がある解凍ソフトがあるので対応済のソフトを使う。
ttp://www.forest.impress.co.jp/article/2004/07/30/arcsecurity.html
・解凍ソフトはWinRARなど中身を確認できるアーカイバを使う。
・lzh,zip,rarなど圧縮ファイルは解凍後も要注意。
・exeファイルの実行は完全自己責任。
・CDイメージ(CCD等)はautorunを切ってからマウントし、更に実行ファイル(setup.exe等)をウイルススキャンする。
・怪しい・危険なファイルはWinnyFileDatabaseでチェックする。
ttp://p46.aaacafe.ne.jp/~nydb/
CD/DVDドライブのAutorun(自動実行)の切り方
◆Win9x、Meの場合
1.[マイ コンピュータ]-[プロパティ]-[デバイスマネージャ]-[CD-ROM]-[プロパティ]-[設定]を開く
2.オプション項目の「挿入の自動通知」のチェックを外す
◆Win2000、XPの場合
1.[スタート]−[ファイル名を指定して実行] から regedit を起動
2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom を展開
3.右の「AutoRun」値のデータを0に設定
※設定変更後、必ず再起動すること。再起動しないと有効になりません。
※また窓の手などでソフトでも簡単にオフに出来る。
※DaemonToolsの自動起動とは別です。これをオフにしても自動実行は切れません。
・大事なデータはこまめにバックアップを取る。
・落としたファイルは必ずウイルススキャンする。
・指定外の場所へ解凍される脆弱性がある解凍ソフトがあるので対応済のソフトを使う。
ttp://www.forest.impress.co.jp/article/2004/07/30/arcsecurity.html
・解凍ソフトはWinRARなど中身を確認できるアーカイバを使う。
・lzh,zip,rarなど圧縮ファイルは解凍後も要注意。
・exeファイルの実行は完全自己責任。
・CDイメージ(CCD等)はautorunを切ってからマウントし、更に実行ファイル(setup.exe等)をウイルススキャンする。
・怪しい・危険なファイルはWinnyFileDatabaseでチェックする。
ttp://p46.aaacafe.ne.jp/~nydb/
CD/DVDドライブのAutorun(自動実行)の切り方
◆Win9x、Meの場合
1.[マイ コンピュータ]-[プロパティ]-[デバイスマネージャ]-[CD-ROM]-[プロパティ]-[設定]を開く
2.オプション項目の「挿入の自動通知」のチェックを外す
◆Win2000、XPの場合
1.[スタート]−[ファイル名を指定して実行] から regedit を起動
2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom を展開
3.右の「AutoRun」値のデータを0に設定
※設定変更後、必ず再起動すること。再起動しないと有効になりません。
※また窓の手などでソフトでも簡単にオフに出来る。
※DaemonToolsの自動起動とは別です。これをオフにしても自動実行は切れません。
6 :[名無し]さん(bin+cue).rar:04/10/28 20:20:03 ID:GdfpZ1GA
★流行種その1
【キンタマ(W32.AntiWinny.K等)】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■症状(感染確認方法)
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp" に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exeが登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
・etc.(亜種により様々)
■活動内容(亜種毎に違います)
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
(例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい)
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\xxx\xxx.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」
・今回に関わらず、落とした.exeファイルの実行は控える。
■まとめサイト
ttp://myui.s53.xrea.com/kin/index.html
★関係ウイルス【苺きんたま(Trojan.Upchan)】
ttp://www.geocities.jp/ichigo_kintama/
【キンタマ(W32.AntiWinny.K等)】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■症状(感染確認方法)
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp" に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exeが登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
・etc.(亜種により様々)
■活動内容(亜種毎に違います)
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
(例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい)
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\xxx\xxx.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」
・今回に関わらず、落とした.exeファイルの実行は控える。
■まとめサイト
ttp://myui.s53.xrea.com/kin/index.html
★関係ウイルス【苺きんたま(Trojan.Upchan)】
ttp://www.geocities.jp/ichigo_kintama/
7 :[名無し]さん(bin+cue).rar:04/10/28 20:20:30 ID:GdfpZ1GA
★流行種その2
【Antinny.ms(仮称)】
Antinny.Bの亜種? サイズ 1.26MB 開発名 SilentToker Delphi製
ファイルバージョン5.1.3125.1093 製品バージョン6.00.1800.1007
■症状(感染確認方法)
・Windowsフォルダにsvchost.exeを作成。(無い場合もあり)
(Systemフォルダにあるsvchost.exeは問題ありません)
・UpFolder.txtに名前BBSでダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト(ノートン、バスター)の自動実行を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子はms???.exe(248k)。親はms???.exe(282k)
(子を消しても、再起動すると親が子を再度作成する)
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応?
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■対策
1. 親のファイル名が含まれるレジストリキーを削除。
Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
(Win9X、MEの場合は不明)
2. セーフモードで再起動し、親子ともどもファイルを削除。
3. HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4. NyのUpフォルダ設定を元に戻す。
5. ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インスコせずに済む。
【Antinny.ms(仮称)】
Antinny.Bの亜種? サイズ 1.26MB 開発名 SilentToker Delphi製
ファイルバージョン5.1.3125.1093 製品バージョン6.00.1800.1007
■症状(感染確認方法)
・Windowsフォルダにsvchost.exeを作成。(無い場合もあり)
(Systemフォルダにあるsvchost.exeは問題ありません)
・UpFolder.txtに名前BBSでダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト(ノートン、バスター)の自動実行を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子はms???.exe(248k)。親はms???.exe(282k)
(子を消しても、再起動すると親が子を再度作成する)
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応?
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■対策
1. 親のファイル名が含まれるレジストリキーを削除。
Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
(Win9X、MEの場合は不明)
2. セーフモードで再起動し、親子ともどもファイルを削除。
3. HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4. NyのUpフォルダ設定を元に戻す。
5. ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インスコせずに済む。
8 :[名無し]さん(bin+cue).rar:04/10/28 20:20:58 ID:GdfpZ1GA
★流行種その3
【Autorun+bat】
5種類以上の亜種がある。
■感染ルート
・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。
・Setup.batやSetup.exeを実行させることで感染。
■活動内容(版により活動は異なる)
・deltree、del、rmコマンドでファイル削除。
・bug.exeで気をそらす。
・reg deleteコマンドでレジストリ全削除。
・スタートアップに自身を登録し、再起動毎に活動する。
・レジストリのRunやRunOnceに自身を登録し、再起動毎に活動する。
・システムの復元の無効化。
・Windowsファイル保護の無効化。
・使用者名・企業名変更。
・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
(削除したファイルと同名のフォルダを作成する)
・強制再起動
・html(ACCS・JASRACへの田代砲)起動をatコマンドでスケジュールする。
・壁紙のエロCGへの変更(画面のプロパティでの修正は不可)
■駆除方法(版により対処法は異なる)
・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。
■対策
・batファイルを不用意に実行しない。
・exeの実行は自己責任で行う。あまりアンチウイルスソフトは役に立たない。
【Autorun+bat】
5種類以上の亜種がある。
■感染ルート
・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。
・Setup.batやSetup.exeを実行させることで感染。
■活動内容(版により活動は異なる)
・deltree、del、rmコマンドでファイル削除。
・bug.exeで気をそらす。
・reg deleteコマンドでレジストリ全削除。
・スタートアップに自身を登録し、再起動毎に活動する。
・レジストリのRunやRunOnceに自身を登録し、再起動毎に活動する。
・システムの復元の無効化。
・Windowsファイル保護の無効化。
・使用者名・企業名変更。
・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
(削除したファイルと同名のフォルダを作成する)
・強制再起動
・html(ACCS・JASRACへの田代砲)起動をatコマンドでスケジュールする。
・壁紙のエロCGへの変更(画面のプロパティでの修正は不可)
■駆除方法(版により対処法は異なる)
・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。
■対策
・batファイルを不用意に実行しない。
・exeの実行は自己責任で行う。あまりアンチウイルスソフトは役に立たない。
9 :[名無し]さん(bin+cue).rar:04/10/28 20:21:23 ID:GdfpZ1GA
★流行種その4
【スクリーンセーバー(仮称)】
・サイズは4,553,632Byte、アイコンはフォルダに偽装。
・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染の模様。
■症状(感染確認方法)
・ny起動すると画面が真っ黒になり
赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
・マウス動かすとログオフ画面に切り替わる。
・起動時にアドレス帳が勝手に立ち上がる。
・タスクマネージャを起動できないようにする。(情報錯綜)
■活動内容
・C:\WINNT\Web\Wallpaperのフォルダが開く。(意味は不明)
・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。
[任意ワード][NullPorce] 俺のアドレス帳&お気に入り ユーザー名.zip
私はユーザー名、Antinnyの作者だ。.zip
・UpFolder.txtに「Path=C:\WINDOWS\bugfix」ができてる。
・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe" 22,528Byteができる。
・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルを3つ?作る。
・そのexeファイル名はシステムに使用されるものをランダムに使用の模様。
(報告済み:CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト)
・レジストリに以下を追加し、起動時の自動実行が設定される。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・また以下も追加、作用は不明?値はGalaxian Explosion
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute
■対策
・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexe削除。
・C:\WINDOWS\bugfix\の中に生成されてる2つのファイルを削除。
・nyを入れてるフォルダにあるUpFolder.txtを削除。
・レジストリで怪しいキー削除。
【スクリーンセーバー(仮称)】
・サイズは4,553,632Byte、アイコンはフォルダに偽装。
・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染の模様。
■症状(感染確認方法)
・ny起動すると画面が真っ黒になり
赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
・マウス動かすとログオフ画面に切り替わる。
・起動時にアドレス帳が勝手に立ち上がる。
・タスクマネージャを起動できないようにする。(情報錯綜)
■活動内容
・C:\WINNT\Web\Wallpaperのフォルダが開く。(意味は不明)
・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。
[任意ワード][NullPorce] 俺のアドレス帳&お気に入り ユーザー名.zip
私はユーザー名、Antinnyの作者だ。.zip
・UpFolder.txtに「Path=C:\WINDOWS\bugfix」ができてる。
・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe" 22,528Byteができる。
・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルを3つ?作る。
・そのexeファイル名はシステムに使用されるものをランダムに使用の模様。
(報告済み:CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト)
・レジストリに以下を追加し、起動時の自動実行が設定される。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・また以下も追加、作用は不明?値はGalaxian Explosion
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute
■対策
・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexe削除。
・C:\WINDOWS\bugfix\の中に生成されてる2つのファイルを削除。
・nyを入れてるフォルダにあるUpFolder.txtを削除。
・レジストリで怪しいキー削除。
10 :[名無し]さん(bin+cue).rar:04/10/28 20:21:54 ID:GdfpZ1GA
過去スレ
Part1 http://tmp.2ch.net/test/read.cgi/download/1060003283/
Part2 http://tmp.2ch.net/test/read.cgi/download/1060385909/
Part3 http://tmp.2ch.net/test/read.cgi/download/1060700316/
Part4 http://tmp.2ch.net/test/read.cgi/download/1061551896/
Part5 http://tmp.2ch.net/test/read.cgi/download/1063637671/
Part6 http://tmp2.2ch.net/test/read.cgi/download/1066288327/
Part7 http://tmp2.2ch.net/test/read.cgi/download/1068654569/
Part8 http://tmp2.2ch.net/test/read.cgi/download/1072600676/
Part9 http://tmp2.2ch.net/test/read.cgi/download/1075998916/
Part10 http://tmp2.2ch.net/test/read.cgi/download/1078207953/
Part11 http://tmp2.2ch.net/test/read.cgi/download/1079425731/
Part12 http://tmp2.2ch.net/test/read.cgi/download/1079449665/
Part13 http://tmp2.2ch.net/test/read.cgi/download/1079540824/
Part14 http://tmp2.2ch.net/test/read.cgi/download/1079918577/
Part15 http://tmp2.2ch.net/test/read.cgi/download/1080816795/
Part16 http://tmp2.2ch.net/test/read.cgi/download/1081307106/
Part17 http://tmp2.2ch.net/test/read.cgi/download/1082190076/
Part18 http://tmp2.2ch.net/test/read.cgi/download/1083335282/
Part19 http://tmp3.2ch.net/test/read.cgi/download/1084036887/
Part20 http://tmp3.2ch.net/test/read.cgi/download/1084808432/
Part21 http://tmp4.2ch.net/test/read.cgi/download/1086794458/
Part22 http://tmp4.2ch.net/test/read.cgi/download/1089460762/
Part23 http://tmp4.2ch.net/test/read.cgi/download/1091063187/
Part24 http://tmp4.2ch.net/test/read.cgi/download/1092058756/
Part25 http://tmp4.2ch.net/test/read.cgi/download/1093270545/
Part26 http://tmp4.2ch.net/test/read.cgi/download/1094872215/
Part27 http://tmp4.2ch.net/test/read.cgi/download/1095939735/
Part28 http://tmp4.2ch.net/test/read.cgi/download/1096694962/
Part1 http://tmp.2ch.net/test/read.cgi/download/1060003283/
Part2 http://tmp.2ch.net/test/read.cgi/download/1060385909/
Part3 http://tmp.2ch.net/test/read.cgi/download/1060700316/
Part4 http://tmp.2ch.net/test/read.cgi/download/1061551896/
Part5 http://tmp.2ch.net/test/read.cgi/download/1063637671/
Part6 http://tmp2.2ch.net/test/read.cgi/download/1066288327/
Part7 http://tmp2.2ch.net/test/read.cgi/download/1068654569/
Part8 http://tmp2.2ch.net/test/read.cgi/download/1072600676/
Part9 http://tmp2.2ch.net/test/read.cgi/download/1075998916/
Part10 http://tmp2.2ch.net/test/read.cgi/download/1078207953/
Part11 http://tmp2.2ch.net/test/read.cgi/download/1079425731/
Part12 http://tmp2.2ch.net/test/read.cgi/download/1079449665/
Part13 http://tmp2.2ch.net/test/read.cgi/download/1079540824/
Part14 http://tmp2.2ch.net/test/read.cgi/download/1079918577/
Part15 http://tmp2.2ch.net/test/read.cgi/download/1080816795/
Part16 http://tmp2.2ch.net/test/read.cgi/download/1081307106/
Part17 http://tmp2.2ch.net/test/read.cgi/download/1082190076/
Part18 http://tmp2.2ch.net/test/read.cgi/download/1083335282/
Part19 http://tmp3.2ch.net/test/read.cgi/download/1084036887/
Part20 http://tmp3.2ch.net/test/read.cgi/download/1084808432/
Part21 http://tmp4.2ch.net/test/read.cgi/download/1086794458/
Part22 http://tmp4.2ch.net/test/read.cgi/download/1089460762/
Part23 http://tmp4.2ch.net/test/read.cgi/download/1091063187/
Part24 http://tmp4.2ch.net/test/read.cgi/download/1092058756/
Part25 http://tmp4.2ch.net/test/read.cgi/download/1093270545/
Part26 http://tmp4.2ch.net/test/read.cgi/download/1094872215/
Part27 http://tmp4.2ch.net/test/read.cgi/download/1095939735/
Part28 http://tmp4.2ch.net/test/read.cgi/download/1096694962/
11 :[名無し]さん(bin+cue).rar:04/10/28 20:58:44 ID:LaXgpwBR
>>1
otu
otu
12 :[名無し]さん(bin+cue).rar:04/10/28 21:02:43 ID:29WoqAnd
もつかれー
13 :[名無し]さん(bin+cue).rar:04/10/28 21:22:01 ID:Ym1MxO3I
スレ立て乙です
14 :[名無し]さん(bin+cue).rar:04/10/28 21:24:29 ID:aRov9GNX
乙
15 :[名無し]さん(bin+cue).rar:04/10/28 22:51:50 ID:RtQl0L3p
>>1 乙乙、あと↓もね、早くも落ちそうだが
Share(仮称) ウイルス情報 リローデッド
http://tmp4.2ch.net/test/read.cgi/download/1098604439/
Share(仮称) ウイルス情報 リローデッド
http://tmp4.2ch.net/test/read.cgi/download/1098604439/
16 :[名無し]さん(bin+cue).rar:04/10/29 01:53:13 ID:Wn9yJf8d
>>1
乙鰈
乙鰈
17 :[名無し]さん(bin+cue).rar:04/10/29 03:51:02 ID:gn4yYKYH
>>1
乙っす!先輩!
乙っす!先輩!
18 :[名無し]さん(bin+cue).rar:04/10/29 10:03:00 ID:0izNPeO4
>>1 お疲れちゃん 前スレ埋めてくるわ
19 :[名無し]さん(bin+cue).rar:04/10/29 10:08:37 ID:bzfViBMn
>>1
お疲れポン
お疲れポン
20 :[名無し]さん(bin+cue).rar:04/10/29 11:33:35 ID:rxn79VKv
レジストリエディタがメモ帳に書き換えられた場合
どうやって直すの?
どうやって直すの?
21 :[名無し]さん(bin+cue).rar:04/10/29 11:33:59 ID:2sydI85S
OS再セットアップ
22 :[名無し]さん(bin+cue).rar:04/10/29 12:14:18 ID:Fzgi+uJl
ハニーフラッシュ
23 :[名無し]さん(bin+cue).rar:04/10/29 13:15:37 ID:RYuQNdOM
24 :[名無し]さん(bin+cue).rar:04/10/29 16:54:53 ID:5SY1TceS
写真集をDLしたところ、誤って.folderの偽装ファイルをクリックしてしまい
プロセスを確認すると、写真集〜.exeを見つけたのでプロセスの終了
ウィルスソフトを入れてないので、ewido security suiteをDLし、ウィルスチェック
感染なし(スパイウェアが3つほど見つかったが(;´Д`)
テンプレにある症状を一通り確認したがどれも該当せず
再起動後upfolder.txtも変化なし
何も起こってないのですが、症状がわからないほうが怖くて_| ̄|○
ほかに症状確認方法とかありますかね・・・?
プロセスを確認すると、写真集〜.exeを見つけたのでプロセスの終了
ウィルスソフトを入れてないので、ewido security suiteをDLし、ウィルスチェック
感染なし(スパイウェアが3つほど見つかったが(;´Д`)
テンプレにある症状を一通り確認したがどれも該当せず
再起動後upfolder.txtも変化なし
何も起こってないのですが、症状がわからないほうが怖くて_| ̄|○
ほかに症状確認方法とかありますかね・・・?
25 :[名無し]さん(bin+cue).rar:04/10/29 17:03:53 ID:8FZECgGP
ewidoってアンチトロイソフトじゃなかったっけ?
26 :[名無し]さん(bin+cue).rar:04/10/29 17:07:40 ID:5SY1TceS
ソフト起動画面のTOPに
「以下の脅威から保護されています
ワーム、スパイウェア、トロイ〜
ってなってるけど ちがうのかな・・
他のでも調べて見ます
「以下の脅威から保護されています
ワーム、スパイウェア、トロイ〜
ってなってるけど ちがうのかな・・
他のでも調べて見ます
27 :[名無し]さん(bin+cue).rar:04/10/29 17:08:11 ID:zOzOVYEP
オンラインスキャンにかけるなりノートン体験版落とすなりしてウィルスチェック、
テンプレにある症状確認してiniやレジストリに怪しい値ないか確認して
それでも問題なければ大丈夫かと。
テンプレにある症状確認してiniやレジストリに怪しい値ないか確認して
それでも問題なければ大丈夫かと。
28 :[名無し]さん(bin+cue).rar:04/10/29 17:13:36 ID:HfzSkZN4
昨日ラジオmp3を落として終わりにして、また起動したらロゴは再生できても再起動されて
OSが再生できません。
ウイルスバスターを起動してたけどそれでも感染されるものなのか。
リカバリしか方法はないんでしょうか?
普通のラジオ番組ファイルにもウイルスはあるんですね。ロゴだけ非常されつづけるのはウイルスだよな…
OSが再生できません。
ウイルスバスターを起動してたけどそれでも感染されるものなのか。
リカバリしか方法はないんでしょうか?
普通のラジオ番組ファイルにもウイルスはあるんですね。ロゴだけ非常されつづけるのはウイルスだよな…
29 :[名無し]さん(bin+cue).rar:04/10/29 17:14:09 ID:HfzSkZN4
↑ちなみに満喫からね
30 :[名無し]さん(bin+cue).rar:04/10/29 17:18:11 ID:Ivjeg565
↑ ここは日記じゃねーつうの
31 :[名無し]さん(bin+cue).rar:04/10/29 17:24:02 ID:Fpm5LavI
だまってろやカス!見たくなければネットに
つないでんじゃねーよ!こっちはこれに命かけ
てんだよ!イチイチ邪魔すんなよ、このマンコの
ひだひだ野郎!!
つないでんじゃねーよ!こっちはこれに命かけ
てんだよ!イチイチ邪魔すんなよ、このマンコの
ひだひだ野郎!!
32 :[名無し]さん(bin+cue).rar:04/10/29 17:28:41 ID:Ivjeg565
やっぱり厨房か 以下スルーします
33 :[名無し]さん(bin+cue).rar:04/10/29 17:30:10 ID:HfzSkZN4
対策法教えてくださいよ…
34 :[名無し]さん(bin+cue).rar:04/10/29 17:50:41 ID:RYuQNdOM
ラジオmp3落とす前に感染してたか、
色々可能性は考えられるが、起動も出来なくさせる
nyのウイルスは聞いたことない。ウイルスバスター
起動させていても、当然感染する。
リカバリして直るんなら、すればいいし、
自分は再インスコしたほうがいいと思うけどね。
色々可能性は考えられるが、起動も出来なくさせる
nyのウイルスは聞いたことない。ウイルスバスター
起動させていても、当然感染する。
リカバリして直るんなら、すればいいし、
自分は再インスコしたほうがいいと思うけどね。
35 :[名無し]さん(bin+cue).rar:04/10/29 17:54:51 ID:xMnL20Ef
普通に壊れただけだろ
36 :[名無し]さん(bin+cue).rar:04/10/29 17:55:22 ID:NOB5urfY
tu-ka質問スレじゃないと何度言えば・・・
37 :[名無し]さん(bin+cue).rar:04/10/29 17:56:40 ID:wRSY1ilZ
31は縦読み。
38 :[名無し]さん(bin+cue).rar:04/10/29 17:57:44 ID:5zsjgjR/
前症状全く無しのHDあぼーん型かね。感染方法が気になる。
セーフモードもダメなら再インスコしかないか。
セーフモードもダメなら再インスコしかないか。
39 :[名無し]さん(bin+cue).rar:04/10/29 17:58:26 ID:NOB5urfY
>>37
だつてひまなんだ・・・そうか
だつてひまなんだ・・・そうか
40 :[名無し]さん(bin+cue).rar:04/10/29 18:00:42 ID:NvNNIkOl
質問の中に、新たな情報もあるかもしれないしなぁ・・・
41 :[名無し]さん(bin+cue).rar:04/10/29 18:03:40 ID:RYuQNdOM
たて読みキタ━━━━━(゚(゚∀(゚∀゚(☆∀☆)゚∀゚)∀゚)゚)━━━━━!!
って、質問してきた奴のIDとは違うが・・・
って、質問してきた奴のIDとは違うが・・・
42 :[名無し]さん(bin+cue).rar:04/10/29 18:22:34 ID:Wn9yJf8d
質問の中に新たな情報があるのなら親身になって答えてやっても良いけどさ、
ぬるぽだのキンタマだのガイシュツ情報だけだったら答えは一つしかない罠
クリーンインスコ汁
ぬるぽだのキンタマだのガイシュツ情報だけだったら答えは一つしかない罠
クリーンインスコ汁
43 :[名無し]さん(bin+cue).rar:04/10/29 18:46:57 ID:zOzOVYEP
ところでおまいら、ノートンの期限切れたしそろそろ他のソフトに
乗り換えようと思うんだが何かオススメある?
とりあえずありきたりのバスターとノートン以外で。かつできれば安いので。
乗り換えようと思うんだが何かオススメある?
とりあえずありきたりのバスターとノートン以外で。かつできれば安いので。
44 :[名無し]さん(bin+cue).rar:04/10/29 18:51:55 ID:wRSY1ilZ
おすすめかどうかはしらんが、e trustとか。
検出率低いとか言われてるけどさ。
苺キンタマの時は一番対応が早かった。
antinyも有志が報告して対応済み。
ほとんどネラーしか使ってないんじゃねーかと思われる
promo版(free)ってのがあるですよ。
検出率低いとか言われてるけどさ。
苺キンタマの時は一番対応が早かった。
antinyも有志が報告して対応済み。
ほとんどネラーしか使ってないんじゃねーかと思われる
promo版(free)ってのがあるですよ。
45 :[名無し]さん(bin+cue).rar:04/10/29 18:55:50 ID:zOzOVYEP
dクス。しばらくそのpromo版を使ってみて良さそうだったら買う事にします。
46 :[名無し]さん(bin+cue).rar:04/10/29 19:15:00 ID:FZcdeszF
メール感染型でP2P感染も狙ったワーム発生
WORM_BAGLE.AT
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AT
(今は思いよ)
WORM_BAGLE.AT
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AT
(今は思いよ)
47 :[名無し]さん(bin+cue).rar:04/10/29 19:16:10 ID:FZcdeszF
>>46
「重い」ですな・・・orz
「重い」ですな・・・orz
48 :[名無し]さん(bin+cue).rar:04/10/29 20:26:10 ID:y47gemCp
>>43
ソースネクスト
マジお勧め
【ソースネクスト】ウイルスセキュリティ2005 Part9【K7】
http://pc5.2ch.net/test/read.cgi/sec/1095983778/l50
ソースネクスト
マジお勧め
【ソースネクスト】ウイルスセキュリティ2005 Part9【K7】
http://pc5.2ch.net/test/read.cgi/sec/1095983778/l50
49 :[名無し]さん(bin+cue).rar:04/10/29 20:39:55 ID:Zx983UA7
mp3で感染はありえなくね?
50 :[名無し]さん(bin+cue).rar:04/10/29 20:57:27 ID:aOxuN9h8
ノートン先生どのくらい信用していい・・・?
W32.HLLW.Antinnyを勝手に削除してくれたんだけど、まだどこかに潜んでるんじゃないかと気が気じゃない
exeファイルを全部見て、不振なの無いかチェックしたし、win.iniにぬるぽないか探したし、アップファイルも増えてないし、
何回もウィルススキャンしても検出されないけど、これでも信用していい・・・?
exeファイルは入ってなかったし、開いた覚えも無いんだけど、ファイルを解凍しただけで、ウィルスが検出された
W32.HLLW.Antinnyを勝手に削除してくれたんだけど、まだどこかに潜んでるんじゃないかと気が気じゃない
exeファイルを全部見て、不振なの無いかチェックしたし、win.iniにぬるぽないか探したし、アップファイルも増えてないし、
何回もウィルススキャンしても検出されないけど、これでも信用していい・・・?
exeファイルは入ってなかったし、開いた覚えも無いんだけど、ファイルを解凍しただけで、ウィルスが検出された
51 :[名無し]さん(bin+cue).rar:04/10/29 21:04:23 ID:oO5yhxlZ
52 :[名無し]さん(bin+cue).rar:04/10/29 21:07:40 ID:aOxuN9h8
53 :[名無し]さん(bin+cue).rar:04/10/29 21:11:52 ID:MbDoGoXP
http://korukubo.hp.infoseek.co.jp/123.html
究極のパクリ掲示板を発見
究極のパクリ掲示板を発見
54 :[名無し]さん(bin+cue).rar:04/10/29 21:15:55 ID:qgAz2lN6
55 :[名無し]さん(bin+cue).rar:04/10/29 21:20:30 ID:nt+OGl8q
>>49 .mp3 .exeだったか(即効なら新種?)、>>51も言ってるがキンタマ感染に気づかず.dll書き換えあぼ〜んだな
>>48 ソースネクストはソフト自体がウィルスみたいなもんだったが、改善したのか
>>52 ノートン先生はキャッシュ、imgファイル、圧縮ファイルの状態では反応しない
キャッシュが変換されてウィルスが生成された時(あるいはファイルを解凍した時)に反応したんだろ、正確には感染前と言う事
>>48 ソースネクストはソフト自体がウィルスみたいなもんだったが、改善したのか
>>52 ノートン先生はキャッシュ、imgファイル、圧縮ファイルの状態では反応しない
キャッシュが変換されてウィルスが生成された時(あるいはファイルを解凍した時)に反応したんだろ、正確には感染前と言う事
56 :[名無し]さん(bin+cue).rar:04/10/29 21:23:46 ID:aOxuN9h8
57 :[名無し]さん(bin+cue).rar:04/10/29 21:29:05 ID:nt+OGl8q
58 :[名無し]さん(bin+cue).rar:04/10/29 21:30:51 ID:vbYlvCOn
59 :[名無し]さん(bin+cue).rar:04/10/29 21:33:15 ID:aOxuN9h8
60 :[名無し]さん(bin+cue).rar:04/10/29 21:51:17 ID:8AJ/CTpP
つーか感染してないだろ
まあウィルスにおびえて再インスコするのも初心者の通る道
慣れればノートンが反応したぐらいじゃ焦らなくなるよ
それからW32.HLLW.Antinnyはキンタマじゃ無いから
まあウィルスにおびえて再インスコするのも初心者の通る道
慣れればノートンが反応したぐらいじゃ焦らなくなるよ
それからW32.HLLW.Antinnyはキンタマじゃ無いから
61 :[名無し]さん(bin+cue).rar:04/10/29 22:22:55 ID:RYuQNdOM
ヽ(´ー`)ノ
62 :[名無し]さん(bin+cue).rar:04/10/30 01:34:36 ID:KF/bdX5c
FCDからISOに変換したものをマウントしても、
やばい可能性はあるんですか?
やばい可能性はあるんですか?
63 :[名無し]さん(bin+cue).rar:04/10/30 01:41:32 ID:cvzk69/D
変換してもアプリが起動する、ということは・・・
64 :[名無し]さん(bin+cue).rar:04/10/30 01:55:06 ID:ihMw5Es7
>>62
結論から先に言うと、やばい可能性はある。
「マウント」ってことは、CDをドライブに挿入するってのと同じ。
仮想ファイルがFCDだろうがISOだろうが、そんなのはOSの知ったことじゃない。
autorunをONにしたままで怪しいファイルをマウントしたら、何が起こっても不思議ではない。
つかそれよりも、そんなことを質問してくるようなレベルでP2Pやるってのが一番ヤバイっすよ
結論から先に言うと、やばい可能性はある。
「マウント」ってことは、CDをドライブに挿入するってのと同じ。
仮想ファイルがFCDだろうがISOだろうが、そんなのはOSの知ったことじゃない。
autorunをONにしたままで怪しいファイルをマウントしたら、何が起こっても不思議ではない。
つかそれよりも、そんなことを質問してくるようなレベルでP2Pやるってのが一番ヤバイっすよ
>>63,64
親切にどうもです
親切にどうもです
66 :[名無し]さん(bin+cue).rar:04/10/30 02:31:57 ID:5Bx81deN
すいません、釣りなんですが、マウントって何ですか?
67 :[名無し]さん(bin+cue).rar:04/10/30 02:37:24 ID:T0oHWU8F
騎乗位
外套