07/03/08 21:52:05 Y1e+wT2Y0
山田オルタナティブ(WORM_ANTINNY.BI 、W32.Yawmo)
【主な被害】
・2段階の画質でSSを出力し、他の(´・ω・) カワイソスな香具師へ相互リンク
・アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする
【主な活動】
・Windowsシステムフォルダ内に以下のファイルを作成
* ya_wmp.exe
* winsocks.dll
・"C:\RECYCLER\explorer.exe" というファイルを作成
・C:ドライブ内に "Up" というフォルダを作成
・レジストリ値"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"の中に
YA_WMP = "<Windowsシステムフォルダ>\ya_wmp.exe -update"を追加
・ポート80、ポート8080の空き領域を使う
(そのほかのポートを使う場合もある模様)
【感染確認方法(とりあえず安心程度)】
・タスクマネージャでya_wmp.exeの有無を確認。存在すれば(´・ω・) カワイソス
・C:\RECYCLER\にexplorer.exeが存在すれば(´・ω・) カワイソス
・コマンドプロンプトからnetstat -anoと打ち込み
Local Addressに80、8000、8080の有無を確認。存在すれば(´・ω・) カワイソス