Internet Watch logo
記事検索
最新ニュース

トレンドマイクロなど、Winnyを媒介とするウイルス「Antinny.G」を警告

〜デスクトップキャプチャ画面を送信するほか、ファイル削除機能も搭載

Antinny.Gに感染すると表示されるメッセージ画面。この画面に見覚えのある場合には、感染している可能性が高いと言えるだろう
 トレンドマイクロやシマンテックなどウイルス対策ベンダー各社は、P2Pファイル交換ソフト「Winny」を媒介にして感染拡大するウイルス「Antinny.G」を警告した。両社とも、最新のウイルス定義ファイルにアップデートすれば対応できるという。

 Antinny.Gは、2003年8月に発見されたウイルス「Antinny」の亜種。3月15日ころに発見された「Antinny.B」や「Antinny.E」とも異なるので注意が必要だ。また、ユーザー名やメール、ファイル等の個人情報を盗むほか、ログオン中ユーザーのデスクトップ画面をJPEG形式で保存し、Winnyネットワーク上に送信する点が特徴だ。

 Antinny.Gに感染すると、自分自身のコピーを以下の4種類のファイル名の何れかをランダムで選んで作成する。

・EXPLORER.EXE
・SPOOLSV.EXE
・SVCHOST.EXE
・WINLOGON.EXE

 次に、既存のファイルをランダムに1つ選択し、そのファイル名と類似したランダムな名前として自分自身をコピーする。例えば、「impress.exe」というファイル名が選ばれた場合、「impress.exe」と同じフォルダ内に「impress1234.exe」などとしてコピーする可能性があるという。続いて、レジストリを改変し、自分自身が起動されるようにする。

 感染したユーザーのCドライブ上のファイル削除を試みるほか、レジストリから名前、組織名、メールアドレスを探し出し、それらの情報を含んだテキストファイルを作成する。また、WinnyのアップロードフォルダやダウンロードフォルダにAntinny.G自身が持っている日本語リストの中からランダムに選択したファイル名をつけて自分自身をコピーする。

 続いて、デスクトップの画面キャプチャを、JPEG形式でWinnyのアップロードフォルダやダウンロードフォルダに保存するほか、メールアドレスなどの個人情報やデスクトップ画面を、「.zip」もしくは「.lzh」形式でアップロードフォルダやダウンロードフォルダに保存することによって、情報漏洩を試みる機能も搭載している。

 万が一感染の疑いがある場合には、ウイルス対策ソフトの定義ファイルを最新版に更新し、「Antinny.G」として検出したファイルをすべて削除する。また、改変されたレジストリの値を削除するなど、レジストリ修正をしなければならない。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要がある。


関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.G&VSect=T
  シマンテック
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.g.html

関連記事
京都府警、個人情報11人分が含まれた捜査書類をネットで漏洩(2004/03/29)
Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される(2004/03/16)
Winnyを媒介として感染を広げるウイルス「W32.HLLW.Antinny」(2003/08/11)


( 大津 心 )
2004/03/29 13:56

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.