山田オルタナティブ

山田オルタナティブ
ファイル共有ソフトを介して感染するウイルスです。
（情報が少ないので暫定的）

症状
確認方法
駆除方法
アンチウイルス検知状況

2段階の画質でSSを出力
他のウイルス感染者への相互リンク
コンピュータ上の全HDD上の全ファイルをHTTPにて公開

活動

Program filesフォルダにsysフォルダとupdateフォルダを作成する
最初の時点ではsys.exe、再起動後にupdate.exeとして動く
update.exeのほうはHDDには現存せず
起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ、update.exeのときはupdateフォルダに居座る
UPnP対応で穴を空ける
起動はレジストリのスタートアップに登録（確認は、Runに追加）
ポート80、ポート8080の空き領域を使う（そのほかのポートを使う場合もある模様）
Program filesフォルダに作成されたupdateフォルダ内に2ch板一覧を取得
厨房板にあらかじめ用意されたテキストをランダムにカキコ、ログ保持

2.確認方法

まずはコマンドプロンプトを開きます。
そして『netstat　-ano』を実行します。
注目するのは、ローカルポートにポート80、1080、8000、8080が使用されているかどうかです。

C:\Documents and Settings\ハマー>netstat -ano

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       1724
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       904
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       968
  TCP    0.0.0.0:1028           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:5000           0.0.0.0:0              LISTENING       1052
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING       1724
  TCP    192.168.11.9:139       0.0.0.0:0              LISTENING       4
  TCP    192.168.11.9:1054      192.168.11.3:139       TIME_WAIT       0
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:1035           *:*                                    1040
  UDP    127.0.0.1:123          *:*                                    968
  UDP    127.0.0.1:1900         *:*                                    1052
  UDP    192.168.11.9:123       *:*                                    968
  UDP    192.168.11.9:137       *:*                                    4
  UDP    192.168.11.9:138       *:*                                    4
  UDP    192.168.11.9:1900      *:*                                    1052

分かりやすいように、文字色を変えてあります。
もしHTTPサーバーを立てていない場合、これらのポートで待ち受けるプロセスは存在しないはずです。

NEGiESを使用することで簡単に調べられます。

上の画像のように設定するだけで、ローカルポート・プロセスID・プロセス名・プロセスパスを一度に知ることができます。

3.駆除方法

タスクマネージャーを起動させます。
WindowsXPの場合、ツールバーの空いたところで右クリックし『タスクマネージャ』を選択するか、Ctrl＋Alt＋Delキーを押すことで起動します。

『sys.exe』と『update.exe』のプロセスが存在したら停止させます。
プロセスを選択し右クリック→[プロセスの終了]

その後、Program filesフォルダにあるsysフォルダとupdateフォルダを削除します。

レジストリエディタを起動させます。
起動するには、[スタート]→[ファイル名を指定して実行]から『regedit』と入力し[OK]を選択します。

次の2箇所を調べます。

+HKEY_LOCAL_MACHINE
　+Software
　　+Microsoft
　　　+Windows
　　　　+CurrentVersion
　　　　　+Run

+HKEY_LOCAL_USER(XPの場合はHKEY_CURRENT_USER)
　+Software
　　+Microsoft
　　　+Windows
　　　　+CurrentVersion
　　　　　+Run

値のデータが『"C:\Program Files\update\update.exe"』もしくは『"C:\Program Files\sys\sys.exe"』となっているキーを探します。
発見した場合は削除して下さい。

これらの作業でうまくいかない場合は、セーフモードにて同様のことを試してください。
（セーフモードの起動方法についてはこちらを参考）

これでダメなら…2ちゃんねるのdownload板にある山田ヲチスレに来るか、アンチウイルスベンダが対応するまで待って下さい。

4.アンチウイルス検知状況

アンチウイルスソフト	バージョン	sys.exe	update.exe	検出名
Norton2006	2/25？	○	○	BackdoorTrojan
Norton2005	2/26	○	○	BackdoorTrojan
BitDefender8 Free	最新	○	○	Win32.Backdoor
NOD32	ﾋｭｰﾘｯｽﾃｨｯｸ	○	○	NewHeur_PE
F-secure	2006-02-24_05	○	○	Backdoor.Win32.Agent.vh／Trojan-Proxy.win32.Agent.iw
ewido	2006/02/27#1737	○	○	Bacｋdoor.agent.vh／proxy.Agent.iw
Kaspersky	26-02-2006(Known viruses:178762)	○	○	Backdoor.Win32.Agent.vh／Backdoor.Win32.Agent.iw
ANTIDOTE SuperLite	MAP20060224	×	○	Trojan-Proxy.win32.Agent.iw
AVG	2006/2/24	×	○	Trojan horse Proxy.BIX
AntiVir	V6.33.01.29, 02/25/2006	×	○	TR/Proxy.Agent.IW
ウイルスバスター	Version: 3.237.00	○	○	TROJ_AGENT.AZW
avast!4	バージョン0608-1
マカフィー	DAT 4705(2006/02/24)

Topへ戻る