- 607 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/04/02 02:32 ID:Dnuw+VO2
- Antinny.K
・晒すファイル名は
【晒し挙げ】%s %sのデスクトップ[%s].jpg
【晒し挙げ】%s %sのデスクトップ[%s](ファイル詰め合わせ).lzh または .zip
・固めるファイルはMyDocuments,Desktop,Winnyフォルダ内のファイル
・「重要」「取引」等の語を含むファイルを優先、その他のファイルも1/5の確率で固める
・スクリーンショットは再起動3分後で撮る
・メールアドレスは抜いていない模様
・生成テキストファイルは「(O_O)ドキドキ」と「金無し君」はそのままだが「この度弊社では」はなくなった
・かわりに「亀仙人のジッちゃん」が追加
・up folderの一覧は抜いていない雰囲気だけど詳細未確認なので謎
・system.iniの代わりにwin.iniを使用。hugo/hoge
・win.iniにぬるぽがあったらガッにする
・かわりにキャッシュフォルダは全消し
・血しぶきはない
・4月4日、5月5日・・・12月12日にaccsに撃ちまくり
・ただし1月1日、2月2日、3月3日には撃たない
・撃つのはスクリーンショット撮影後で、10秒間隔でここ
https://www.accsjp.or.jp/cgi-bin/form/piracy/webform.cgi (POST method)
http://www.accsjp.or.jp/ (GET method)
・cgiの時は上述生成テキストファイルをPOSTしたいみたいだが、形式が妥当かどうかは未確認
・撃たないときは終了するのでプロセスは残らない。撃つときは日付が変わるまで撃ちまくり
- 616 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/04/02 02:43 ID:Dnuw+VO2
- 追加
・accsへのアクセスは晒しというよりはDDoSを意図しているかも
・レジストリだけじゃなくてスタートアップ付近もいじっている雰囲気もあるが、詳細未確認
考察
・Antinny.G(キンタマ)とAntinny.K(晒し)はどちらもDelphiで開発されている
・基本的な構成は似ているが、微妙に無視できない違いがある
・思想的、技術的に異なる人格が作成した可能性があるかも。生物学的に異なるかは不明
・とはいえ、ソースコードを流用したか、同一のソースコードを元にして作成されたように思える
・この調子で無法地帯化するのか?
- 631 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/04/02 03:07 ID:Dnuw+VO2
- 追加
・Antinny.K(晒し)は、regeditをnotepadで上書きしない
・なのでregeditが起動しないことをもって感染を推定することができない
- 646 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/04/02 03:41 ID:Dnuw+VO2
- 訂正
× かわりにキャッシュフォルダは全消し
○ キャッシュの1/5を消去(再起動時)
引用元:キンタマ玉玉玉玉玉玉玉玉一[Part43].txt .exe