Winnyウィルス(通称キンタマ)とは
Winnyを介して広がるワーム。このワームに感染すると、パソコンのユーザー名、組織名、デスクトップ画像、デスクトップのファイルがWinnyネットワーク上にUPされてしまう。
[キンタマ] 俺のデスクトップ ユーザー名 [日付].jpg
[キンタマ] 俺のデスクトップ ユーザー名 [日付](ファイル詰め合わせ).zip
[キンタマ] 俺のデスクトップ ユーザー名 [日付](ファイル詰め合わせ).lzh
(組織名がある場合は、 [キンタマ] 俺のデスクトップ ユーザー名(組織名) [日付] となる。)
デスクトップの画像はウィルスに掛かっている限りランダムの値を利用し保存される。
Program Files内のランダムなフォルダに感染し自身をスタートアップに登録する。
連絡先に登録されているメールアドレスに、自分がWinny使用者だと伝えるメールを送るらしい。
感染確認方法
Upfolder.txtに登録したことのないフォルダが登録してあったら感染している。
C:\Documents and Settings\ユーザー名\Local Settings\Tempに、ユーザー名.txtなど 怪しげなファイルがあったら感染している。
レジストリエディタを開こうとするとメモ帳が開く場合も感染している。
感染していてもすぐに全ての症状が起こるとは限らない。
UpFolder.txtが見つからない場合、キンタマがそのファイルを「システムファイル」にしている可能性がある。
エクスプローラの「ツール→フォルダオプション→表示→保護されたオペレーティング システム ファイルを表示しない(推奨)」のチェックを外すと見つかるかもしれない。これをすると重要なシステムファイルも表示されるため注意。
山田ウイルスとは
全てのHDDを共有し誰でも閲覧・ダウンロード出来る状態にする
スクリーンショットで今何やってるかを見られる(高画質・低画質を選択可能)
感染者同士が自動で相互リンクを作り、勝手に感染者の輪が作られる
スタートアップに登録され、常に上の状態にされる フロッピーや光学ドライブ(CD・DVD)にアクセスされるとエラーが表示される
厨房板に暗号化されたユーザーネームとIPアドレスを書き込む
勝手にブラウザが開き、知らないサイトにアクセスする
WinnyとShareを狙うドクロウイルス
Dorokuが実行されると、ランダムな文字列のファイル名を持つDLLファイルがWindowsのシステムフォルダに作成される。
さらにDoroku は、特定のレジストリサブキーを列挙するとともに、日本語のスタートアップフォルダ内の.lnkファイルを検索。それぞれ関連付けられている実行ファイルを開き、それら実行ファイルに含まれる「Kernel32.dll」の文字列を、Dorokuが作成したDLLファイルの名称に変更する。すなわち、スタートアップ時に起動する実行ファイルが、Dorokuの作成したDLLファイルを読み込むことになる。このDLLファイルにはウイルスのメインルーチンが含まれるほか、Kernel32.dllのすべてのAPIも含まれており、正規のKernel32.dllに代わって実行されるかたちになる。
これにより、Windowsの起動時にDorokuも起動し、WinnyとShareのファイル共有ネットワークプロセス上にバックドアを開くという。あわせて、WinnyとShareのファイル共有ウィンドウ上にドクロの画像を表示する。なお、シマンテックのウイルス情報によれば、感染した PCのデスクトップ画面をキャプチャして流出させるような活動は行なわないようだ。
Shareユーザーを狙い、感染すると共有ファイル名の先頭にドクロのアイコンを表示するウイルスについては、インターネットの掲示板などで“ドクロウイルス”として話題になっていた。
山田オルタナティブとは
山田オルタナティブは、山田ウイルスの亜種にあたる。さまざまなタイプの亜種が登場している山田ウイルスの中でも、話題になるだけあってなかなかすごいことをしてくれる。
まず、デスクトップ画面のキャプチャを撮り、Webサーバーで公開する機能は健在だ。山田オルタナティブでは2段階の画質のファイルを作成する。そして、感染したコンピューター間でリンクを貼る機能と、他の感染者リストを作成する機能を持っている。つまり、一人の山田オルタナティブ感染者のコンピューターを見たら、他の感染者のコンピューターにもリンクを辿っていけることになる。
さらに恐ろしいのは、感染しているコンピューターのHDD内全ファイルをWebサーバー機能で公開し、ダウンロード可能にするところだ。全てのファイルがダウンロード可能な状態になるため、メールなども全て公開され、ダウンロードされてしまう。個人情報や機密情報をコンピューターに入れていたら、その情報も公開されてダウンロードされまくっちゃうことになるのだ。 山田オルタナティブは、メールの添付ファイルやWebページからのダウンロードでも感染することが確認されている。Winnyなどをやっていなくても、ウイルスに感染したファイルを実行すると感染してしまい、ハードディスクの中身を晒されてしまうのだ。
ちなみに山田オルタナティブの名前の由来は、初期の感染者のほとんどが「マブラブオルタネイティブ」というソフトを持っていたからと言われている。オルタナティブ(本当はオルタネイティブだったけど勢いでオルタナティブになったそうな)という言葉が、alternative=代わりの者、などの意味を持っていたため、山田ウイルスに取って代わるもの=山田オルタナティブとして定着したのだ。
感染しているかどうかを確認するには、Internet ExplorerなどのWebブラウザを起動し、URL(アドレス)欄にhttp://127.0.0.1:80/もしくはhttp: //127.0.0.1:8080と入力してみよう。ここで「Index of /」などの表示が出てきて、自分のHD内のファイルを見ることができるようになっていたら、感染していると思っていい。ウイルス対策ソフトで駆除しよう。ただし、次々とウイルスがバージョンアップしているため、ウイルス対策ソフトの対応が間に合わない可能性があるので注意が必要だ。
当サイトは、決して違法行為を助長、奨励する為のものではありません。
ファイル共有ソフトを利用される方は法律を守り正しくご使用して下さい。
くれぐれも、著作権等には十分注意してください。
なお、リンクフリーです。ご自由にリンクしてください。
Winny Winmx BitComet Share Soulseek Cabos
ファイル共有ソフトを利用される方は法律を守り正しくご使用して下さい。
くれぐれも、著作権等には十分注意してください。
なお、リンクフリーです。ご自由にリンクしてください。
Winny Winmx BitComet Share Soulseek Cabos