シマンテックは31日(米国時間)、P2Pファイル共有ソフト「Winny」経由で感染を拡げ、コンピュータソフトウェア著作権協会(ACCS)に個人情報を送信するウイルス「Antinny.K」を警告した。なお、危険度は最も低い“1”とされている。
Antinny.Kは、画面キャプチャをWinnyネットワークにアップロードするウイルス「Antinny.G」の亜種。Antinny.Gと同じくログオン中のユーザーのデスクトップ画面をJPEG形式で保存し、Winnyにアップロードするほか、ユーザー名やメール、ファイル等の個人情報をACCSのWebサイトに送信する点が特徴。
Antinny.Kに感染すると偽のエラーメッセージを表示し、自分自身をPC上にコピーする。コピーする際には、既存のファイルをランダムに1つ選択し、そのファイル名と類似したランダムな名前を使う。
例えば、「internetwatch.txt」というファイルが選択された場合、「internetwatch.txt」と同じファイル内に、「internetwatch.txt」に「_login」や「_config」「_loader」など8種類の中からランダムに選ばれた文字列を加えたファイル名で自分自身をコピーする。例えば「_loader」が選択された場合は、「internetwatch.txt_loader」というファイル名で保存される。
続いてレジストリを改変し、Windows起動時に毎回自分自身が実行されるように設定する。そして、Winnyファイル共有フォルダに「Up」という隠しフォルダを作成し、そのフォルダをアップデートフォルダとして設定する。また、レジストリからユーザーの名前や組織名、メールアドレスを探し出し、その情報を含むテキストファイルを作成する。
作成した「Up」というフォルダに自分自身をコピーする。その際、Antinny.K内部にあらかじめ用意されている日本語のリストからランダムに選んでファイル名を選択するため、ウイルス自身が日本語名のファイルである可能性もある。また、ログオン中のユーザーのデスクトップ画面をJPEG形式で保存し、Winnyのアップロードフォルダかダウンロードフォルダに保存する。
最後に、システムの日付が4月以降で、さらに月と日の数値が同じ場合、「http://www.accsjp.or.jp」にアクセスし、レジストリなどから取得した個人情報の送信を試みる。例えば、4月4日や5月5日、6月6日、10月10日にこの操作を試みる。
感染の疑いがある場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。そして「W32.Antinny.K」として検出されたファイルをすべて削除する。また、レジストリに追加された値や「Win.iniファイル」に追加されたエントリも削除しなければならない。
なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要があるので注意が必要だ。
関連情報
■URL
「Antinny.K」の情報サイト
http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
■関連記事
・ トレンドマイクロなど、Winnyを媒介とするウイルス「Antinny.G」を警告(2004/03/29)
・ Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される(2004/03/16)
・ Winnyを媒介として感染を広げるウイルス「W32.HLLW.Antinny」(2003/08/11)
( 大津 心 )
2004/04/01 13:50
- ページの先頭へ-
|