【警報】Winnyを狙ったワーム・ウイルス情報 Part26

1 ：[名無し]さん(bin+cue).rar ：sage ：04/09/11 12:10:15 ID:j8DDPfNG
Winnyで流れているワーム、ウイルス等の報告・調査・対処をするスレです。 
質問はテンプレを読んでからにして下さい。 
読まずに質問しても「テンプレ嫁」と切り返されるだけです。 
余裕があれば過去ログにも目を通してください。 
なお、ここは初心者の質問スレではありません。 

■流行種 
・元祖Antinny系　・キンタマ系　・batファイル　・スクリーンセーバー　etc 

■流行感染パターン 
・exeの前にスペースたくさん（例：「秘密の写真.jpg　　　　　　　　　.exe」等） 
・拡張子が.folderに変更されたHTMLからexeを実行させる 
・autorunからbatファイルを実行させる 
・スタートアップに解凍させ、再起動後exeを実行させる 

■DL後のちょっとした注意 
・落としたファイルは必ずウイルススキャンする 
・exeファイルはうかつに実行しない 
・ファイルのアイコンが偽装されてないか確認する 

■全ての感染者に共通の、絶対確実な対処方法 
ハードディスクをフォーマットした上で、Windowsの再インストールをする。 
上書きインストールではダメです。 
現在ハードディスクにあるデータは消えるので、待避するなり諦めるなりしてください。 

前スレ 
【警報】Winnyを狙ったワーム・ウイルス情報 Part25 
(p)http://tmp4.2ch.net/test/read.cgi/download/1093270545/l50 

ﾃﾝﾌﾟﾚまとめ　(p)http://www.geocities.jp/kemkzuenc/Antinny.html 
Antinny対策サイト (p)ttp://nyweb.hp.infoseek.co.jp/ 
604 ：[名無し]さん(bin+cue).rar ：sage ：04/09/23 00:05:12 ID:uOSTlOvj 
344 名前：分析師はいずこにｗ(ついでに・・・)[sage] 投稿日：04/09/23(木) 00:01:32 
苺きんたまに感染してみたぞーーーｗ 
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だｗｗｗ 
ノートン先生とBitDefenderおよびFWは全てスルーされたｗ 
もちろんスパイウェア駆除製品も・・・おっとスルーだｗ 
ちなみネット切断した状態で実験したから俺の画像は多分ないぞｗｗｗ 

感染するとプロセスが2つ走りどちらか一つを消しても 
片方を復活させる仕組みでプロセスから終了は不可 

感染するとPCのデスクトップのスクリーンが取られ晒され 
【うｐろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる 

名前：私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回の(p)ID:1回目] 
私は苺で違法ダウンロードばかりしている犯罪者です 
【コンピュータ名】コンピュータ名が入る 
【ユーザー名】ユザー名が入る(例：Owner) 
【今こんな事やってます】２ちゃんロダのアドレスが晒され先が貼られる 

取った処置 
１：まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除 
２：元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除 
３：普通に再起動してHijackThisでScan以下のエントリーをFixで削除 
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe 

３：のHijackThisの処理で以下が消えてるのも確認できた 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
name：shellsystem.exe　data：shellsystem.exe 

若干の祭り状態だからこれからの患者が予想されるｗ 
とりあえずこれで解決めでたしめでたしｗｗｗ