Winnyを狙ったワーム・ニュイルス情報 Part49

このエントリーをはてなブックマークに追加
927[名無し]さん(bin+cue).rar
■警報■

レベル:2(要注意)
対象:コミック、音楽関連ファイル

新種混入(10MB〜11MBのフォルダ偽装アイコンexe)。発動後効果未知。
(一部の検出ソフトは、Antinny.AOと識別)。1/20あたりから急増。
928[名無し]さん(bin+cue).rar:2006/01/23(月) 22:47:58 ID:4N9La7Kb0
>>909
2002軽いんだよね
キンタマチェックは自分のIP入れて表示されないかどうかとか
929[名無し]さん(bin+cue).rar:2006/01/23(月) 22:52:08 ID:C9pvs/J00
>>927
補足
混入ファイル名(オリジナルのフォルダ名と同等。単体でZIP化されているのもあり)
ファイルサイズ 12182528bytes。548692CA(CRC32)。更新日時2006/01/01 0:00

混入してるのをいくつか落としてみたが、おなじものだった
930[名無し]さん(bin+cue).rar:2006/01/23(月) 22:54:10 ID:GM4H4pQM0
>>927
やっぱ新種だったか
ノートンに反応しなかったもんな
931[名無し]さん(bin+cue).rar:2006/01/23(月) 23:12:23 ID:53bRa4+M0
新種(亜種?)入手しました。
Antinny.AOと認識されたので>>927かと。


さっそくサブで実行してみます。
932[名無し]さん(bin+cue).rar:2006/01/23(月) 23:13:39 ID:g+Je14Wc0
20日からか・・・


ちょっと探してくる
933[名無し]さん(bin+cue).rar:2006/01/23(月) 23:33:00 ID:C9pvs/J00
SilentToker2Mutexだってさ。自分で名乗ってるよ....
accsjp.or.jpへのアクセス、ブラウザ情報のダミーデータ

部分的に読み取れるのだが、
条件1(Timer1)では、何か(孫を)作ってる(Create)
それが4回目になるか、Clickすると破壊(Destroy)プロセスへ移行
特定URLを見に行って何かを落としてる&書き込んでる。cookie弄繰り回してる
SSL関連のコマンド多数。ポート空け。ny上にzip放出。jpg上書きか?jpg放出
以下拡張子(.doc.xls.eml.ppt.dbx.txt.pdf)のファイルを収集して
本体混入して投下して、MPEG Video aliasを開いて…、サウンド再生機能をOFFって、
Windows Security Managerに何かして、
\software\microsoft\Windows NT\CurrentVersion\systemrestore(復元機能)を消して
うわぁ、Winny本体が入ってるか、あるいはWinny.iniをいじってるのか…

細々とパックしてやがるので、分からん部分多いが「仁義なき」より強烈だな
ところで頻発するSVWって何だろう