5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【警報】Winnyを狙ったワーム・ウイルス情報 Part18

23 :[名無し]さん(bin+cue).rar:04/05/01 00:05 ID:nS9iRdqp
「67氏」は正しくは「76氏」(主症状:AutorunでHDD全削除)
Autorun狙いのものはエロゲに多数。手元で確認できたもので5種類はある。
バッチファイルを使って作られているため行動内容が把握しやすいが、
まずアンチウイルスソフト等では検出されない。
ただのコマンドファイルなので亜種作成も容易。

v1はdeltreeコマンドがSetup.batに書かれていただけ。
確認無しで消去するようになっているが、「deltree C:」の行はノートン先生にはじかれる。
他のドライブは検出されない。(Setupがexeでないので、これに引っかかるのは相当初心者と思われる)

以降の版は、Setup.exe(ランチャソフト?)からbatファイルが起動するように指定してある。
batの内容は様々で、例えばv2はbug.exeで気をそらしつつdelコマンドでファイル全削除。
reg deleteコマンドを使ったレジストリ全削除版もある。
再起動後の活動は、スタートアップフォルダを使う版と、レジストリを使う版がある。

最近のものは多機能になっているが、相変わらずbatを用いている。
主な機能は、システムの復元の無効化、Windowsファイル保護の無効化、使用者名変更、
レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除、
削除したファイルと同名のフォルダの作成、強制再起動、html起動のスケジュール、など。

スケジュールされるhtmlは田代砲で、システム権限でACCSとJASRACに超短間隔でリロードをかける。
起動しても画面には現れないがCPU速度によっては激重になると思われる。
このhtmlの削除を検知すると更に、壁紙のエロCGへの変更、Cドライブ以外の全削除、画面のプロパティ変更不可化など症状発症。

レジストリ書換・削除にはREG ADDやREG DELETEコマンドが、スケジュールにはATコマンド、
削除系はDELTREEやDELやRM、再起動はスクリプトファイルとshutdownコマンドが使われている。
またレジストリの自動起動はRunではなくRunOnceが使われているものもある。
ATコマンドは大変気づきにくいので要注意。

詳しくはb11b0162e2ccc3374452e15a37e52ee0を落として実際にbatを見てみるべし・・・。

266 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)