Winnyを狙ったワーム・ニュイルス情報 Part64at DOWNLOADWinnyを狙ったワーム・ニュイルス情報 Part64 - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト8:[名無し]さん(bin+cue).rar 07/08/19 20:08:33 aufA7lJb0 ★流行種その4 【スクリーンセーバー(仮称)】 ・サイズは4,553,632Byte、アイコンはフォルダに偽装。 ■感染ルート ・感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染する模様。 ■主な症状(感染確認方法) ・ny起動すると画面が真っ黒になり、 赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。 ・マウス動かすとログオフ画面に切り替わる。 ・起動時にアドレス帳が勝手に立ち上がる。 ・タスクマネージャが起動できない。 ■主な活動内容 ・C:\WINNT\Web\Wallpaperのフォルダを開く。(意味は不明) ・C:\WINDOWS\bugfixというフォルダを作り2つの圧縮ファイル作成。 [任意ワード][NullPorce] 俺のアドレス帳&お気に入り ユーザー名.zip 私はユーザー名、Antinnyの作者だ。.zip ・UpFolder.txtに「Path=C:\WINDOWS\bugfix」を追加。 ・Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe"(22,528バイト)ができる。 ・C:\WINNTにWindowsXPのフォルダに偽装したexeファイルをいくつか(3つ?)作る。 ファイル名はシステムに使用されるものをランダムに使用する模様。 (報告済み:CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト) ・レジストリに以下を追加し、起動時の自動実行が設定される。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ・また以下の値も追加、作用は不明?値はGalaxian Explosion HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute ■駆除方法 ・C:\WINDOWS\system\にあるwnconfig.txtとアイコンが偽装しているexeを削除。 ・C:\WINDOWS\bugfix\の中に生成されてる2つのファイルを削除。 ・nyを入れてるフォルダにあるUpFolder.txtを削除。 ・レジストリで追加されたキーを削除。 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch