Winnyを狙ったワーム・ニュイルス情報 Part67
★流行種その1
【キンタマ(W32.AntiWinny.K等)】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■主な症状(感染確認方法)
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp"に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\?\?.exe(?は任意の名前)が登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
■主な活動内容
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
(例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい)
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\?\?.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」
■まとめサイト
ttp://myui.s53.xrea.com/kin/index.html
■挙動の似たウイルス【苺きんたま(Trojan.Upchan)】
ttp://www.geocities.jp/ichigo_kintama/
【キンタマ(W32.AntiWinny.K等)】
■感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏んで感染。
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
■主な症状(感染確認方法)
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタ(regedit.exe)を開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp"に"ユーザー名.txt"が作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\?\?.exe(?は任意の名前)が登録される。
・スタートアップに該当プログラムが登録される。(msconfigで確認)
■主な活動内容
・Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
・デスクトップ上のファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh という名前でupフォルダに置く。
・UpFolder.txtを書き換えてファイルを勝手にアップロードする。
・Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
・各exeファイルはそのアイコンの本来の動作も同時に行う。
(例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい)
■駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
・C:\Program Files\?\?.exeを削除、 スタートアップからも該当プログラム削除。
■予防
・なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」
■まとめサイト
ttp://myui.s53.xrea.com/kin/index.html
■挙動の似たウイルス【苺きんたま(Trojan.Upchan)】
ttp://www.geocities.jp/ichigo_kintama/
|
|
|
6 :[名無し]さん(bin+cue).rar:2008/04/25(金) 15:59:12 ID:QtRQ6YSS0
★流行種その2
【Antinny.ms(仮称)】
Antinny.Bの亜種? サイズ 1.26MB 開発名 SilentToker Delphi製
ファイルバージョン5.1.3125.1093 製品バージョン6.00.1800.1007
■主な症状(感染確認方法)
・Windowsフォルダにsvchost.exeを作成。(無い場合もあり)
※Systemフォルダにあるsvchost.exeは問題ありません。
・UpFolder.txtにBBSという名前でダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト(ノートン、バスター)の常駐を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子を消しても、再起動すると親が子を再度作成する。
親はms?.exe(282k)、子はms?.exe(248k)。
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応?
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■駆除方法
1.親のファイル名が含まれるレジストリキーを削除。
Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
(Win9x、MEの場合は不明)
2.セーフモードで再起動し、ファイルを親子ともども削除。
3.HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4.NyのUpフォルダ設定を元に戻す。
5.ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インストールせずに済む。
【Antinny.ms(仮称)】
Antinny.Bの亜種? サイズ 1.26MB 開発名 SilentToker Delphi製
ファイルバージョン5.1.3125.1093 製品バージョン6.00.1800.1007
■主な症状(感染確認方法)
・Windowsフォルダにsvchost.exeを作成。(無い場合もあり)
※Systemフォルダにあるsvchost.exeは問題ありません。
・UpFolder.txtにBBSという名前でダウンフォルダを追加。
・アップ(ダウン?)フォルダのZIP、LZH、RAR(?)に感染。感染の際にアイコンを自ら変更する。
・アンチウイルスソフト(ノートン、バスター)の常駐を無効にする。
・親と子があり、いずれもSystemフォルダに作成される。子を消しても、再起動すると親が子を再度作成する。
親はms?.exe(282k)、子はms?.exe(248k)。
・親はサービスに登録される。
・子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
・親と子はノートンでトロイとして検出される。バスターは未対応?
■活動内容
・毎月第一月曜日に発動。行動内容は不明。
■駆除方法
1.親のファイル名が含まれるレジストリキーを削除。
Win2k、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。
(Win9x、MEの場合は不明)
2.セーフモードで再起動し、ファイルを親子ともども削除。
3.HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは \Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
4.NyのUpフォルダ設定を元に戻す。
5.ノートンやバスター等のワクチンソフトを再インストール。
バスターはPCCTool.exeを使えば再インストールせずに済む。
7 :[名無し]さん(bin+cue).rar:2008/04/25(金) 15:59:34 ID:QtRQ6YSS0
★流行種その3
【Autorun+batを利用したウイルス】
5種類以上の亜種がある。
■感染ルート
・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。
・Setup.batやSetup.exeを実行させることで感染。
■主な活動内容(種類により活動は異なる)
・deltree、del、rmコマンドでファイル削除。
・bug.exeで気をそらす。
・reg deleteコマンドでレジストリ全削除。
・スタートアップに自身を登録し、再起動する毎に活動する。
・レジストリのRunやRunOnceに自身を登録し、再起動する毎に活動する。
・システムの復元の無効化。
・Windowsファイル保護の無効化。
・使用者名・企業名変更。
・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
(削除したファイルと同名のフォルダを作成する)
・強制再起動
・html(ACCS・JASRACへの田代砲)の起動をatコマンドでスケジュールする。
・壁紙をエロCGに変更(画面のプロパティでの修正は不可)。
■駆除方法(種類により対処法は異なる)
・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。
■対策
・batファイルを不用意に実行しない。
【Autorun+batを利用したウイルス】
5種類以上の亜種がある。
■感染ルート
・主にエロゲのイメージファイルをマウントした時やSetupを実行した時に感染。
・Setup.batやSetup.exeを実行させることで感染。
■主な活動内容(種類により活動は異なる)
・deltree、del、rmコマンドでファイル削除。
・bug.exeで気をそらす。
・reg deleteコマンドでレジストリ全削除。
・スタートアップに自身を登録し、再起動する毎に活動する。
・レジストリのRunやRunOnceに自身を登録し、再起動する毎に活動する。
・システムの復元の無効化。
・Windowsファイル保護の無効化。
・使用者名・企業名変更。
・レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
(削除したファイルと同名のフォルダを作成する)
・強制再起動
・html(ACCS・JASRACへの田代砲)の起動をatコマンドでスケジュールする。
・壁紙をエロCGに変更(画面のプロパティでの修正は不可)。
■駆除方法(種類により対処法は異なる)
・batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。
■対策
・batファイルを不用意に実行しない。
8 :[名無し]さん(bin+cue).rar:2008/04/25(金) 15:59:55 ID:QtRQ6YSS0
★流行種その4
【スクリーンセーバー(仮称)】
・サイズは4,553,632Byte、アイコンはフォルダに偽装。
■感染ルート
・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染する模様。
■主な症状(感染確認方法)
・ny起動すると画面が真っ黒になり、
赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
・マウス動かすとログオフ画面に切り替わる。
・起動時にアドレス帳が勝手に立ち上がる。
・タスクマネージャが起動できない。
■主な活動内容
・C:\WINNT\Web\Wallpaperのフォルダを開く。(意味は不明)
・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。
[任意ワード][NullPorce] 俺のアドレス帳&お気に入り ユーザー名.zip
私はユーザー名、Antinnyの作者だ。.zip
・UpFolder.txtに「Path=C:\WINDOWS\bugfix」を追加。
・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe"(22,528バイト)ができる。
・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルをいくつか(3つ?)作る。
ファイル名はシステムに使用されるものをランダムに使用する模様。
(報告済み:CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト)
・レジストリに以下を追加し、起動時の自動実行が設定される。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・また以下の値も追加、作用は不明?値はGalaxian Explosion
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute
■駆除方法
・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexeを削除。
・C:\WINDOWS\bugfix\の中に生成されてる2つのファイルを削除。
・nyを入れてるフォルダにあるUpFolder.txtを削除。
・レジストリで追加されたキーを削除。
【スクリーンセーバー(仮称)】
・サイズは4,553,632Byte、アイコンはフォルダに偽装。
■感染ルート
・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染する模様。
■主な症状(感染確認方法)
・ny起動すると画面が真っ黒になり、
赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
・マウス動かすとログオフ画面に切り替わる。
・起動時にアドレス帳が勝手に立ち上がる。
・タスクマネージャが起動できない。
■主な活動内容
・C:\WINNT\Web\Wallpaperのフォルダを開く。(意味は不明)
・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。
[任意ワード][NullPorce] 俺のアドレス帳&お気に入り ユーザー名.zip
私はユーザー名、Antinnyの作者だ。.zip
・UpFolder.txtに「Path=C:\WINDOWS\bugfix」を追加。
・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe"(22,528バイト)ができる。
・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルをいくつか(3つ?)作る。
ファイル名はシステムに使用されるものをランダムに使用する模様。
(報告済み:CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト)
・レジストリに以下を追加し、起動時の自動実行が設定される。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
・また以下の値も追加、作用は不明?値はGalaxian Explosion
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute
■駆除方法
・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexeを削除。
・C:\WINDOWS\bugfix\の中に生成されてる2つのファイルを削除。
・nyを入れてるフォルダにあるUpFolder.txtを削除。
・レジストリで追加されたキーを削除。
9 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:00:17 ID:QtRQ6YSS0
★流行種その5
【仙台キンタマ(W32.SillyP2P)】
■感染ルート
・主にエロゲのイメージファイルをマウント、Autorunでウイルス発動。
■主な活動内容
・壁紙を勝手に変更する。
・windows\system32の中にexeを作製(svchost32.exe、setup.exe、ごみ箱.exeなど)。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに上記exeを追加。
・レジストリエディタをメモ帳で上書き。
・UpFolder.txtにUPフォルダを追加し、
Download.txtにウイルスと思われるスペースつきのexeファイルを追加する。
・winnyのフォルダ内に隠しフォルダでUPフォルダが作られ、
downフォルダ内のファイル一覧のtxt、デスクトップSS、
Favorites、受信トレイ.dbx、送信トレイ.dbx、My Documentsが入れられる。
・Ignore.txtに仙台ギャラクシーエンジェルズを追加するため、自分が晒されてると気づきにくい。
■駆除方法
・windows\system32の中に作製されたexeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加されたキー削除。
・UpFolder.txt、Download.txtの問題箇所修正削除。
【仙台スクリーンセーバー】
・仙台キンタマの2次感染を狙ったもの、仙台キンタマが放流する詰合わせに偽装。
・『(ユーザー名が2-3文字の女性名、トリップ無し)に混在の.scr』とスクリーンセーバ偽装。
・ハードディスク内の.doc、.xls、.txt、.jpgなどを収集しnyへ放流する。
・ノートンはAntinny.Gとして緊急対策。
【仙台キンタマ(W32.SillyP2P)】
■感染ルート
・主にエロゲのイメージファイルをマウント、Autorunでウイルス発動。
■主な活動内容
・壁紙を勝手に変更する。
・windows\system32の中にexeを作製(svchost32.exe、setup.exe、ごみ箱.exeなど)。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに上記exeを追加。
・レジストリエディタをメモ帳で上書き。
・UpFolder.txtにUPフォルダを追加し、
Download.txtにウイルスと思われるスペースつきのexeファイルを追加する。
・winnyのフォルダ内に隠しフォルダでUPフォルダが作られ、
downフォルダ内のファイル一覧のtxt、デスクトップSS、
Favorites、受信トレイ.dbx、送信トレイ.dbx、My Documentsが入れられる。
・Ignore.txtに仙台ギャラクシーエンジェルズを追加するため、自分が晒されてると気づきにくい。
■駆除方法
・windows\system32の中に作製されたexeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加されたキー削除。
・UpFolder.txt、Download.txtの問題箇所修正削除。
【仙台スクリーンセーバー】
・仙台キンタマの2次感染を狙ったもの、仙台キンタマが放流する詰合わせに偽装。
・『(ユーザー名が2-3文字の女性名、トリップ無し)に混在の.scr』とスクリーンセーバ偽装。
・ハードディスク内の.doc、.xls、.txt、.jpgなどを収集しnyへ放流する。
・ノートンはAntinny.Gとして緊急対策。
10 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:00:38 ID:QtRQ6YSS0
★流行種その6
【仁義なきキンタマ】
■感染ルート
・フォルダアイコンに偽装したサイズ829,440の「新しいフォルダ .exe」を踏んで感染。
・感染者が流す、[仁義なきキンタマ] ○○のドキュメント.zipに偽装したウイルス本体が同梱されている。
・セキュリティレベルが低いと同梱されているhtmlから感染。
■主な症状(感染確認方法)
・C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wbem\ .exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にsvchost.exeが登録される。
■主な活動内容
・デスクトップのスクリーンショットを取る。
・Winnyの検索履歴・tab1.txt・tab2.txt、WinMX共有ファイル名、2chブラウザのkakikomi.txt、IEのcookie、
OEの受信・送信フォルダ、hotmail情報、ワード・エクセルのファイルをupフォルダに圧縮する。
・UpFolder.txtを書き換えて以下の形でwiinyにファイルを勝手にアップロードする。
[仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
[仁義なきキンタマ] ○○のドキュメント.zip
■駆除方法
・C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wbem\ .exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにある
system32\drivers\svchost.exeを削除。
・UpFolder.txtの修正、作成されたupフォルダの削除。
■予防
・exe踏むなかれ。
まとめサイト
ttp://kintama.client.jp/
ttp://nemoba.seesaa.net/article/2479117.html
【仁義なきキンタマ】
■感染ルート
・フォルダアイコンに偽装したサイズ829,440の「新しいフォルダ .exe」を踏んで感染。
・感染者が流す、[仁義なきキンタマ] ○○のドキュメント.zipに偽装したウイルス本体が同梱されている。
・セキュリティレベルが低いと同梱されているhtmlから感染。
■主な症状(感染確認方法)
・C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wbem\ .exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にsvchost.exeが登録される。
■主な活動内容
・デスクトップのスクリーンショットを取る。
・Winnyの検索履歴・tab1.txt・tab2.txt、WinMX共有ファイル名、2chブラウザのkakikomi.txt、IEのcookie、
OEの受信・送信フォルダ、hotmail情報、ワード・エクセルのファイルをupフォルダに圧縮する。
・UpFolder.txtを書き換えて以下の形でwiinyにファイルを勝手にアップロードする。
[仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
[仁義なきキンタマ] ○○のドキュメント.zip
■駆除方法
・C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wbem\ .exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにある
system32\drivers\svchost.exeを削除。
・UpFolder.txtの修正、作成されたupフォルダの削除。
■予防
・exe踏むなかれ。
まとめサイト
ttp://kintama.client.jp/
ttp://nemoba.seesaa.net/article/2479117.html
11 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:01:00 ID:QtRQ6YSS0
★流行種その7
【欄検眼段】
■感染ルート
・アプリに混入させ感染させる。
■主な症状(感染確認方法)
・C:\WINDOWS\system32\IMJPMlG.exeを作成。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にIMJPMlG.exeが登録される。
・フォルダ「temp000」を作成。
・UpFolder.txtを作成し以下の内容を書き込み、アップロードさせる。
[temp000]
Path=C:\temp000
Trip=12345
■主な活動内容
・OS起動時にデジカメ画像ファイル「DSC〜.JPG」を探し、「.GJB」に拡張子変更させアップロードする。
■駆除方法
・C:\WINDOWS\system32\IMJPMlG.exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にIMJPMlG.exeを削除する。
・フォルダ「temp000」削除、UpFolder.txt修正。
【欄検眼段】
■感染ルート
・アプリに混入させ感染させる。
■主な症状(感染確認方法)
・C:\WINDOWS\system32\IMJPMlG.exeを作成。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にIMJPMlG.exeが登録される。
・フォルダ「temp000」を作成。
・UpFolder.txtを作成し以下の内容を書き込み、アップロードさせる。
[temp000]
Path=C:\temp000
Trip=12345
■主な活動内容
・OS起動時にデジカメ画像ファイル「DSC〜.JPG」を探し、「.GJB」に拡張子変更させアップロードする。
■駆除方法
・C:\WINDOWS\system32\IMJPMlG.exeを削除。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にIMJPMlG.exeを削除する。
・フォルダ「temp000」削除、UpFolder.txt修正。
12 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:01:41 ID:QtRQ6YSS0
★流行種その8
【原田】
アニオタを狙った流行種
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_HARADONG.A&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FDENUTARO%2EJ&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FDENUTARO%2EY&VSect=Td
以下推奨無視リスト
※何も言わず無視しとけ
.exe
.scr
.bat
.cmd
※無視したほうが安全
.com
.cpl
.folder
.pif
.js
.msi
.vbs
.wsf
.wsh
自分の環境で有効なスクリプト(.plなど)
<ショートカット>
.lnk
.url
<その他>
連続した拡張子
.reg
【原田】
アニオタを狙った流行種
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_HARADONG.A&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FDENUTARO%2EJ&VSect=Td
ttp://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FDENUTARO%2EY&VSect=Td
以下推奨無視リスト
※何も言わず無視しとけ
.exe
.scr
.bat
.cmd
※無視したほうが安全
.com
.cpl
.folder
.pif
.js
.msi
.vbs
.wsf
.wsh
自分の環境で有効なスクリプト(.plなど)
<ショートカット>
.lnk
.url
<その他>
連続した拡張子
.reg
13 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:02:02 ID:QtRQ6YSS0
★流行種その9
【山田ウイルス&亜種】
流行中、でもスレ違い
ttp://127.0.0.1/
開けると感染中
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
【山田ウイルス&亜種】
流行中、でもスレ違い
ttp://127.0.0.1/
開けると感染中
感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル
全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを
2ちゃんねる内の掲示板にランダムに書き込みます。
他にも、ホストファイルを書き換えて、マイクロソフトやアンチウィルスソフト会社サイト
などへのアクセスを民主党(210.253.211.2)に変更し、ウィルス定義ファイルの更新、
ウィンドウズの更新などを利用出来ないようにします。
14 :[名無し]さん(bin+cue).rar:2008/04/25(金) 16:02:24 ID:QtRQ6YSS0
(暫定)
★流行?種その10
【きんもーっ☆ウィルス】
system653.exeの名前で活動する、キンタマに似た新種のウィルス。
感染するとレジストリの自動実行に登録され、ハードディスク内の
.xlsや.docファイル、IEのCookieやお気に入り等をまとめた.zipファイルに
[きんもーっ☆] [個人情報]というタグをつけてWinnyにアップロードする。
ただしキンタマなどと違い、このファイルにはウィルス本体が含まれていないようだ。
亜種も存在するようだが、個体数が少ないこともあり、あまり相手にしてもらえず
詳細は不明。
■主な症状(感染確認方法)
・C:\ に[きんもーっ☆]が含まれた名前の、見るからに怪しいフォルダが出来る
・C:\ にsystem653.exeが作成される
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にsystem653.exeが登録される
・Winnyのアップフォルダが増える
★流行?種その10
【きんもーっ☆ウィルス】
system653.exeの名前で活動する、キンタマに似た新種のウィルス。
感染するとレジストリの自動実行に登録され、ハードディスク内の
.xlsや.docファイル、IEのCookieやお気に入り等をまとめた.zipファイルに
[きんもーっ☆] [個人情報]というタグをつけてWinnyにアップロードする。
ただしキンタマなどと違い、このファイルにはウィルス本体が含まれていないようだ。
亜種も存在するようだが、個体数が少ないこともあり、あまり相手にしてもらえず
詳細は不明。
■主な症状(感染確認方法)
・C:\ に[きんもーっ☆]が含まれた名前の、見るからに怪しいフォルダが出来る
・C:\ にsystem653.exeが作成される
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にsystem653.exeが登録される
・Winnyのアップフォルダが増える