トレンドマイクロは16日、P2Pファイル交換ソフト「Winny」を媒介として感染を拡げるウイルス「Antinny.B」を警告した。現在、同社のパターンファイル(ウイルス定義ファイル)“818”以降で対応できるという。
Antinny.Bは、Winnyを媒介として感染を拡げるウイルス。自分自身をメモ帳(.TXTが関連付けされた)のアイコンとして表示する点が特徴だ。Winny上では「<ランダムなファイル名>.exe」と表示されているため、このようなファイルには注意が必要だ。
また、「<ランダムなファイル名>.mp3.........exe」のように、“.mp3”のあとに長い文字列を加えることにより、本来の拡張子「.exe」をわかりづらくしている例も確認されているため、フォルダオプションで拡張子を表示するように設定し、さらに怪しいファイルを実行しないことが推奨される。
具体的に感染すると、自分自身をWindowsのテンポラリフォルダに「SVCHOST.exe」としてコピーする。続いて、Windowsのシステムフォルダに「<ランダムなファイル名>.exe」としてコピーし、サービスプロセスに常駐する。また、Winnyで利用されている共有フォルダを探しだし、発見した場合には自分自身をコピーするという。
次にレジストリを改変する。Windows ME/98/95の場合に変更されるレジストリ情報は以下の通り。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:<ランダムなファイル名>= "%System%\<ランダムなファイル名>.exe"
また、Windows XP/2000/NTの場合は、以下の情報などが改変される。
場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32DistributedClient
値:Type = dword:00000010
トレンドマイクロは、万が一感染した場合には、同社のウイルス定義ファイルを最新に更新してウイルスチェックを行ない、発見されたウイルスを削除する必要がある。その後、「タスク マネージャ」で実行中のサービスプロセスを終了し、ウイルスに改変されたレジストリを修正しなければならない。なお、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。
関連情報
■URL
Antinny.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.B
■関連記事
・ Winnyを媒介として感染を広げるウイルス「W32.HLLW.Antinny」(2003/08/11)
( 大津 心 )
2004/03/16 13:31
- ページの先頭へ-
|