12 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/19 10:04 ID:ZdqnnFAq ■キンタマ■
感染ルート
・nyあるいはそれ以外の方法でキンタマワームを踏む。
(現在確認されてるのは 特典写真.jpg .exe)
・IEや拡張子「.folder」のバグを利用し、自動実行させ感染。
感染確認方法
・Upfolder.txtに登録したことのないフォルダが登録される。
・レジストリエディタを開こうとするとメモ帳が開く。
・"C:\Documents and Settings\ユーザー名\Local Settings\Temp" に"ユーザー名.txt"が作成ある。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exe登録。
駆除方法
・Winnyをフォルダごと削除、そしてWinnyを再び入れなおす
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
症状
・感染したらnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取られる。
・デスクトップにあるファイルをまとめて [キンタマ] 俺のデスクトップ PCのユーザー名[日付](ファイル詰め合わせ).lzh
という形に圧縮してnyのupフォルダに置かれる。その時UpFolder.txtも書き換えられる。
・nyを接続すると知らない間にny経由でこれらを落とされる。
・各exeファイルはそのアイコンの本来の動作も同時に行うので気づきにくい。
例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示する。
予防対策
・推奨無視ワード「キンタマ」「デスクトップ」。
・今回に関わらず、nyで落とした.exeファイルの実行を控える。
13 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:04/03/19 10:05 ID:ZdqnnFAq 【ウィルスを踏んでしまってPC再起動してしまった後は】
1. UpFolder.txtがシステムファイル属性で作られる。
フォルダオプションで「すべてのファイルとフォルダを表示する」を選択し、
「保護されたオペレーティング システム ファイルを表示しない」のチェックをはずして、
全てのファイルが見える状態に設定すると見えるようになる。
UpFolder.txtの中で指定された場所に、readme.filesフォルダがある。
UpFolder.txtとreadme.filesを削除する。
2. タイムスタンプが 実行してしまったファイルのタイムスタンプと同じファイルを検索する
多分場所はProgram Files です
参考:現在わかっているものは補足に記載
見つかったファイル名はメモするなりして覚えておきましょう
3. レジストリエディタを起動して1で見つかったファイル名を指定しているキーがあるので削除する。
キーの場所は HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. PCを再起動し1で見つかったファイルを削除
必須ではありませんが、再感染しないためにも削除しておきましょう
補足:判明しているタイムスタンプとサイズ
タイムスタンプ 1984/10/18 8:48:19 サイズ 376,832 ← キンタマE837
タイムスタンプ 1992/06/20 07:22:17 サイズ 376,832 ← キンタマ????
900 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/03/18 11:28 >>875
はい、390っす。
検体は、元のウイルス、複製共に同じ物でした。ついでにMD5も入れておきます。
CRC16 : 57E0
CRC32 : 250396EC
MD5 : 3b2240afc5c8d3b533ee7616fbae1e26
SIZE : 393216
恐らくこれは発病して配布する物に、自己の複製を忍ばせる方法で拡散した物と思われます。
感染するたびに変化していくポリモーフィック型だったら、ウイルス史に名前が残りますね。しかし、変化はしない模様。
それから、漏れの勘違いの訂正。
『 ドキュんタマ(3b2240afc5c8d3b533ee7616fbae1e26)は、Winny1/2を【選びません】 』
恐らく、どの亜種も同じでしょう。
まず、ディレクトリ情報を頭から参照して、最初に見つけたWinnyフォルダに寄生します(動作確定です)。
いろいろ弄ってみましたが、ドライブレターの若い順、ディレクトリ情報の先頭から検索しているようです。
一度見つけると、そこから先は検索しないようです。
ランダムで生成されるメアド入りのドキュメントは、そのUpフォルダの中のウイルス入り書庫に同梱されます。
リセット等のタイミングでTEMPに残ることもあるようです。生成タイミングは再起動後です。
もしかすると、タイマー動作との併用かもしれませんが、そこまでは確認してません。
あとは以前の報告を参照。他は、>>836の744氏の報告通りです。
なんとなく、大まかに分けるとドキュんタマと机タマの二種類があるような予感。
947 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/03/18 15:03 確認されているキンタマ それぞれ拡張子はexe
CRC16:E837 本体?デスクトップうp型?
CRC16:57E0 亜種?My Document うp型?
CRC16:CFB7 亜種?不明
キンタマの動作
↓ダウソ時、踏ませるための偽装
・自身を踏ませるためのhtmlファイルを作成。またその拡張子を.folderにすることでフォルダに偽装。
アイコンを偽装して「xxx.jpg(長い空白).exe」をjpgファイルに偽装。
↓実行時
・「圧縮(Zip形式)フォルダは無効であるか、または壊れています」というダイアログ表示、実行されたことを隠す。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に名前xxx データC:\Program Files\xxx\xxx.exe登録、常駐する。xxxは共通。exeはキンタマのコピー。
↓発動は再起動後
・C:\Documents and Settings\ユーザー名\Local Settings\Temp にユーザー名.txtを作成。
・regedit.exeがnotepad.exeに書き換えられる。(キンタマがぬるぽを利用?)
・winnyフォルダ(場所は変化する?)にReadMeFilesフォルダ作成。nyのUpfolderに強制的に指定する。
・キンタマ実行時に、乱数(多分0〜99)を発生させる。そして、その乱数×1416(秒)ごとにSSを撮ってうp。
・デスクトップに置いてるファイル2GBまで勝手にzipかlzhに圧縮してうp。(2GB以上あっても2GBまでの分をうp)
・My Documentを検索、ピックアップして圧縮してうp。
↓トリガー不明
・ユーザー名でny使用者であると宣言する内容のメール送信(文面は三種)
・血しぶき表示
・悲鳴WAV再生機能
・ぬるぽ ガッAA表示
自己改造はしない模様。うpファイルに自己のコピーを忍ばせ拡散。亜種がまだある模様。
まとめるとこんな感じ?