 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
WinnyとShareを狙う“ドクロウイルス”、Kernel32.dllになりすまし活動 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテックは30日、ファイル共有ソフト「Winny」や、ポストWinnyとも言われるファイル共有ソフト「Share」のユーザーを狙ったトロイの木馬型ウイルス「Backdoor.Doroku」を警告した。危険度は、5段階中で最も低い“1”と判定している。 Dorokuが実行されると、ランダムな文字列のファイル名を持つDLLファイルがWindowsのシステムフォルダに作成される。さらにDorokuは、特定のレジストリサブキーを列挙するとともに、日本語のスタートアップフォルダ内の.lnkファイルを検索。それぞれ関連付けられている実行ファイルを開き、それら実行ファイルに含まれる「Kernel32.dll」の文字列を、Dorokuが作成したDLLファイルの名称に変更する。すなわち、スタートアップ時に起動する実行ファイルが、Dorokuの作成したDLLファイルを読み込むことになる。このDLLファイルにはウイルスのメインルーチンが含まれるほか、Kernel32.dllのすべてのAPIも含まれており、正規のKernel32.dllに代わって実行されるかたちになる。 これにより、Windowsの起動時にDorokuも起動し、WinnyとShareのファイル共有ネットワークプロセス上にバックドアを開くという。あわせて、WinnyとShareのファイル共有ウィンドウ上にドクロの画像を表示する。なお、シマンテックのウイルス情報によれば、感染したPCのデスクトップ画面をキャプチャして流出させるような活動は行なわないようだ。 Shareユーザーを狙い、感染すると共有ファイル名の先頭にドクロのアイコンを表示するウイルスについては、1月中旬ごろからインターネットの掲示板などで“ドクロウイルス”として話題になっていた。 なお、TrendMicroは1月19日時点で、ドクロウイルスと同じようなふるまいをするワーム型ウイルス「WORM_ANTINNY.AW」を報告している。Winnyの共有フォルダに自身の複製を投下することで拡散し、従来の亜種と同様、感染したPC内の情報をWinnyネットワーク上に流出させる被害をもたらす。 このANTINNY.AWも、Windowsのシステムフォルダ内にDLLファイルを作成し、スタートアップファイルに関連付けてこれを読み込ませる仕組みだ。TrendMicroによると、Kernel32.dllの機能は多くの実行ファイルで使用されているという。総合的な危険度は3段階中で最も低い“低”だが、ダメージ度は最も高い“高”と判定している。 関連情報 ■URL シマンテックのウイルス情報「Backdoor.Doroku」 http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-backdoor.doroku.html トレンドマイクロのウイルス情報「WORM_ANTINNY.AW」 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FANTINNY%2EAW ■関連記事 ・ SymantecがAntinny亜種を警告、月はじめの月曜日にACCSサイトをDoS攻撃(2006/01/30)
( 永沢 茂 )
- ページの先頭へ-
|
