Winnyを狙ったワーム･ニュイルス情報 Part53

『山田はニュイルスではありません』『個別スレがあるならそちらへ』
Winnyで流れている"新種の"ワーム、ウイルス等を報告･調査･対処をするスレです。
質問はテンプレを読んでからにして下さい。
読まずに質問しても「テンプレ嫁」と切り返されるだけです。
余裕があれば過去ログにも目を通してください。

■流行種
･元祖Antinny系　･キンタマ系　･batファイル　･スクリーンセーバー　etc
■主な流行感染パターン
･exeの前にスペースたくさん（例：「秘密の写真.jpg　　　　　　　　　.exe」）
･拡張子が.folderに変更されたHTMLからexeを実行させる
･autorunからbatファイルを実行させる
･解凍ソフトの脆弱性を利用し、スタートアップに解凍させて再起動後exeを実行させる
■ダウンロード後のちょっとした注意
･落としたファイルは必ずウイルススキャンする
･exeファイルは安易に実行しない
･ファイルのアイコンが偽装されてないか確認する
■全ての感染者に共通の、確実な対処方法
ハードディスクをフォーマットした上で、Windowsの再インストールをする。
上書きインストールではダメです。
現在ハードディスクにあるデータは消えるので、退避するなり諦めるなりしてください。

wiki＆テンプレテキスト
ttp://pwiki.chbox.com/pukiwiki.php?Winny%A4%F2%C1%C0%A4%C3%A4%BF%A1%C1
ttp://z.la/peziq

前スレ
Winnyを狙ったワーム･ニュイルス情報 Part52
http://tmp6.2ch.net/test/read.cgi/download/1141537621/

後のテンプレは面倒くさいので以下参照
http://pwiki.chbox.com/pukiwiki.php?Winny%A4%F2%C1%C0%A4%C3%A4%BF%A5%EF%A1%BC%A5%E0%A1%A6%A5%CB%A5%E5%A5%A4%A5%EB%A5%B9%BE%F0%CA%F3%20FAQ

早く逃げろ!

3

　　/￣￣￣ / 　/''７ ./''７　　　　　　　　/￣/　 /''７
　./ ./￣/　/　　/__/ /　/ 　＿＿＿_　　 ￣　　/　/
　'ー'　_/　/ 　 ＿__ノ　/　 /＿_＿＿/ 　 ＿__ノ　/
　　　/___ノ 　 /＿___,.／　　　　　　　　 /＿___,.／

　　　_ノ￣/　/￣/　 /''７　/￣￣￣/　　　/￣/　　　　　　　　　　　 　/'''７'''７
/￣　　／　　 ￣　　/　/ 　 ￣ ﾌ　./　　　/　　ﾞー-; 　 ＿＿＿_　　　/　/　/.＿
￣/　/　　 　 ＿__ノ　/　 　__／　 (___　　/　 /ｰ--'ﾞ　/＿_＿＿/　_ノ　/i　 i/ ./
　/__/　　　/＿___,.／　　 /___,.ノゝ＿/　/＿/　　　　　　　　　　　/__,／　ゝ､__/

感染して不安な人、いろいろ質問したい人はこちらへ 
（´・ω・） ｶﾜｲｿｽ 情報流出ウイルス駆除相談スレ 
http://jbbs.livedoor.jp/bbs/read.cgi/computer/25621/1141112595/ 

その他何でも質問はこちらへ 
（´・ω・） ｶﾜｲｿｽ 質問＆相談スレ 
http://jbbs.livedoor.jp/bbs/read.cgi/computer/25621/1134008017/ 

【ｴｽﾊﾟｰ】超初心者の質問に答えるスレ169【近藤】
http://tmp6.2ch.net/test/read.cgi/download/1141103442/

ﾋﾛﾐﾁｭが、結構効果的な
「exe踏み厨」抑止策を公表してる。どうしてもexe踏みが止められないヤツ
特に、“いや、アイコンはちゃんとしていたし”の兄ちゃん達は、この方法を
試すのもよいと思う。
http://www.takagi-hiromitsu.jp/diary/20060302.html#p01
が、しかし.................この対策をしていても、exeを踏ませるように
できちゃったりする。

http://www.ahnlab.co.jp/news/view.asp?seq=1552&pageNo=1&news_gu=01
「ウィニーウイルス」専用ワクチンを無料公開
代表取締役社長　李 鳳 基　（イ ボン ギ）

（´・ω・） ｶﾜｲｿｽ 質問＆相談スレ
http://jbbs.livedoor.jp/bbs/read.cgi/computer/25621/1134008017/

◇Antinny.A(W32.HLLW.Antinny)〔ぬるぽﾜｰﾑ〕
　Winnyを介して感染するｳｲﾙｽ。感染すると「圧縮(zip形式)ﾌｫﾙﾀﾞは無効であるか、または壊れています。」
という偽のｴﾗｰを表示する他、Winnyのｷｬｯｼｭを全て削除する。更にｼｽﾃﾑﾌｧｲﾙであるWin.iniﾌｧｲﾙに
[ぬるぽ]　ぬるぽ=C:\Winny2\　というｾｸｼｮﾝを追加する。このことから「ぬるぽﾜｰﾑ」とも呼ばれる。個人情報
の漏洩は行わない。

◇Antinny.B
　Antinnyの亜種。Winny上では<ﾗﾝﾀﾞﾑなﾌｧｲﾙ名>.exeと表示されている。感染すると「SVCHOST.exe」としてWindows
のテンポラリフォルダに自身をコピー、その後Windowsのｼｽﾃﾑﾌｫﾙﾀﾞに「（ﾗﾝﾀﾞﾑなﾌｧｲﾙ名）.exe」と
して自身をｺﾋﾟｰし、ﾌﾟﾛｾｽとして常駐。ﾚｼﾞｽﾄﾘを改変する。Winnyの共有ﾌｫﾙﾀﾞにも自身をｺﾋﾟｰする。
Windows上では自分をﾃｷｽﾄﾌｧｲﾙのｱｲｺﾝで表示し隠蔽を図る。個人情報の漏洩は行わない。

◇Antinny.G〔ｷﾝﾀﾏｳｲﾙｽ〕
　Antinnyの亜種で「ｷﾝﾀﾏｳｲﾙｽ」という名前で知られる。感染したﾕｰｻﾞｰのCﾄﾞﾗｲﾌﾞ上のﾌｧｲﾙ削除を試みるほか、
ﾚｼﾞｽﾄﾘから名前、組織名、ﾒｰﾙｱﾄﾞﾚｽを探し出し、それらの情報を含んだﾃｷｽﾄﾌｧｲﾙを作成する。また、Winnyのｱｯﾌﾟﾛｰﾄﾞ
ﾌｫﾙﾀﾞやﾀﾞｳﾝﾛｰﾄﾞﾌｫﾙﾀﾞにAntinny.G自身が持っている日本語ﾘｽﾄの中からﾗﾝﾀﾞﾑに選択したﾌｧｲﾙ名をつけて自分自身をｺﾋﾟｰする。
　続いて、ﾃﾞｽｸﾄｯﾌﾟのｽｸﾘｰﾝｼｮｯﾄを、JPEG形式でWinnyのｱｯﾌﾟﾛｰﾄﾞﾌｫﾙﾀﾞやﾀﾞｳﾝﾛｰﾄﾞﾌｫﾙﾀﾞに保存するほか、個人情報やﾃﾞｽｸﾄｯﾌﾟ
画面を、「.zip」もしくは「.lzh」形式でｱｯﾌﾟﾛｰﾄﾞﾌｫﾙﾀﾞ等に保存することによって、情報漏洩を試みる機能も搭載している。

◇Antinny.K
　Antinny.Gの亜種で、上記の様にして得た個人情報をｺﾝﾋﾟｭｰﾀｿﾌﾄｳｪｱ著作権協会(ACCS)のWEBｻｲﾄに送信する。

◇Antinny.C〔欄見眼段〕
　Antinnyの亜種で、感染するとﾊﾟｿｺﾝ内のありとあらゆるﾄﾞﾗｲﾌﾞでDSC<任意の文字列>.jpgという名前のﾌｧｲﾙ(これは
一部ﾒｰｶｰのﾃﾞｼﾞｶﾒで撮影した写真に付くﾌｧｲﾙ名)を検索しWinnyを介して漏洩する。

◇Antinny.AD〔仁義なきｷﾝﾀﾏ〕
　Antinnyの亜種で、まずﾊﾟｿｺﾝのﾃﾞｽｸﾄｯﾌﾟのｽｸﾘｰﾝｼｮｯﾄを撮影し、ﾃﾞｽｸﾄｯﾌﾟﾌｫﾙﾀﾞに保存されているdoc pdf xls dbx
ppt txtの各ﾌｧｲﾙを収集、同時にWinnyのﾌｧｲﾙ検索履歴とOutlookﾌｫﾙﾀﾞ内の電子ﾒｰﾙを含む全てのﾌｧｲﾙ収集し、これを
圧縮してzipﾌｧｲﾙにしWinnyを介してｱｯﾌﾟﾛｰﾄﾞする。この内txtﾌｧｲﾙにはInternetExplorerのcookieが含まれており、
ここからWEBｼｮｯﾋﾟﾝｸﾞやﾈｯﾄｵｰｸｼｮﾝの際のIDやﾊﾟｽﾜｰﾄﾞ、ｸﾚｼﾞｯﾄ番号、銀行の口座番号などが漏洩する恐れがある。

◇Antinny.AW〔ﾄﾞｸﾛｳｲﾙｽ〕
　Antinnyの亜種で個人情報を収集してWinnyを介して漏洩する他、ﾊﾞｯｸﾄﾞｱを設定し不正ﾕｰｻﾞｰがﾊﾟｿｺﾝ内のﾌｧｲﾙに
ｱｸｾｽできるようにする。

◇Trojan.Nullporce〔ﾇﾙﾎﾟｰｽ〕
　Winnyを介して広がったﾄﾛｲの木馬で、Winnyでﾀﾞｳﾝﾛｰﾄﾞしたﾇﾙﾎﾟｰｽを含む動画ﾌｧｲﾙ等をｸﾘｯｸすることで感染、
水曜日または日曜日の午後11:45にWindowsが起動されると、Cﾄﾞﾗｲﾌﾞのﾌｧｲﾙ、ﾌｫﾙﾀﾞを削除する。

◇PE Patrite.A 〔仙台ｷﾞｬﾗｸｼｰｴﾝｼﾞｪﾙｽ〕
　Winnyを介して広がったﾄﾛｲの木馬で、ｴﾛｹﾞのｲﾝｽﾄｰﾗｰに偽装されていた。これを実行すると感染し、Winnyのﾀﾞｳﾝﾛｰﾄﾞ指定
をexeﾌｧｲﾙ等の危険度の高いものに変更する。また5分感覚でﾃﾞｽｸﾄｯﾌﾟのｽｸﾘｰﾝｼｮｯﾄを撮影しWinyyを介してｱｯﾌﾟﾛｰﾄﾞする。また
　基本的に日報の形で「Winnyでﾀﾞｳﾝﾛｰﾄﾞしたﾌｧｲﾙ名とｻｲｽﾞ」「ﾀﾞｳﾝﾛｰﾄﾞ予約中のﾌｧｲﾙ」「検索ﾜｰﾄﾞ一覧」「ﾏｼﾝ名」「ﾕｰｻﾞｰ名」
「Winnyで使用しているﾎﾟｰﾄ番号」が入ったtxtﾌｧｲﾙをWinny上に放流する。更に壁紙を真っ赤なものに変更したり、電子ﾒｰﾙや
InternetExplorerの「お気に入り」のﾘｽﾄをWinnyを介して漏洩する例も見られた。

　　＿_　　　　　　 　＿_　　　　　　　＿_
　 |よし|　ΛΛ　　|よし| ΛΛ　　　|よし|　ΛΛ 　　／￣￣￣￣￣￣￣￣￣￣￣￣￣
　〃￣∩ ﾟДﾟ）　〃￣∩ ﾟДﾟ）　　〃￣∩ ﾟДﾟ） ＜　全員一致で逝ってよし！
　　　　ヾ.　 　）　　　　ヾ.　 　）　　　　　ヾ.　 　） 　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼
＼　　　　　　　　　　　　　　　　　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 ＼
　 |￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣　|
　 |　　 　　　　　　　逝ってよし認定委員会　　　　　　　　　　　 　 　 　 　 |
　 |　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　 　 　 　 |
＼|　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　 　 　 　 |

Winnyを狙ったワーム･ニュイルス情報 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143252398/
重複すなよ

>>1
重複。削除依頼して来い

あっちは解析スレ

じゃあ、こっちは初心者の質問スレってことにする？

それは別にあるだろ

ご迷惑かけました
先ほど削除依頼だしました

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

重複です
P2Pを狙ったニャーム・ニュイルス解析班 Part53
http://tmp6.2ch.net/test/read.cgi/download/1143224133/

↑ ここは削除予定なので、上記スレに

いまだに、ファイル名に半角カンマを入れて流すやつがいるよな
あれも、ある意味ウイルスだな

なんで？禁止文字に入ってないじゃん。

>>20
おまえみたいな使い方しかしていない奴は
何が問題なのかも気付きももしないし、
現実的に問題になっていないから
「なんで？」なんて疑問に思わなくていいよ

なんだ、正当な理由があれば","使うのを直そうとおもってたけど
やめたわ。

ダウンリストの区切り文字に使われてるからじゃないの

おお！なるほど、それは考えなかったは。
でもみんな普通に落としていくけど？？

>>24
おまえみたいな使い方しかしていない奴は
何が問題なのかも気付きももしないし、
現実的に問題になっていないから
「なんで？」なんて疑問に思わなくていいよ

あおりはいいから、放流してる側としてはなにが問題化しりたいの！

ｎｙで実験したけど、直接ダウソリストいじらない限り自動で置換してくれるじゃん
問題なし。

だから、


おまえみたいな使い方しかしていない奴は
何が問題なのかも気付きももしないし、
現実的に問題になっていないから
「なんで？」なんて疑問に思わなくていいよ



って何度も言われているだろ　これだから○○って奴は・・・

まぁ説明したところで

そんなの○○しなきゃいいだけの話じゃん

って切り返すだろうしな
これに限らず「なんで〜しちゃだめなの？」系の質問者はみんなそうだ

説明する気がさらさらないのに話を振るほうもどうかと思うが。
「なんで？」って言う奴が出てくるのわかってるだろうに。

じゃあ30　おまえが説明してやれ
まあ、できねえくせにしゃしゃり出てくる馬鹿っているよなｗ

みゅ