2006/02/25(土) [n年前の日記]
#9 [web][windows] _AntiAntiLo - 感染経路は主にアップローダーに上げられた圧縮ファイル。次々と亜種が出現しているため注意が必要。
AntiLo(※)は、 フォルダ偽装された不正プログラムを実行して発病するウイルス。感染経路は主にアップローダーに上げられた圧縮ファイルです。次々と亜種が出現しているため注意が必要です。AntiAntiLo より
というか、最近感染してないか手作業・目視でチェックする方法も知りたいのだが…。 _(via del.icio.us/otsune)
フォルダアイコンをダブルクリック→あれ?何も起きない?→また、解凍ミスorダウソミスか→ま、いいか
ってなった香具師は速攻スキャンしる!AntiAntiLo より
◎ _最近はほとんどnyで播かれてる説が有力 :
687 :名無したん(;´Д`)ハァハァ :2006/02/25(土) 13:50:36 ID:4Nga3/To
誰が作ったのか全く分からないのかね…
AntiLoはアップローダにうpされるんだから、
そこから調べられんのか?
688 :名無したん(;´Д`)ハァハァ :2006/02/25(土) 17:15:58 ID:18sNjHxI
>>687
それは初期の話
後期は出所不明の亜種がいくつも出た
最近はほとんどnyで播かれてる説が有力
689 :名無したん(;´Д`)ハァハァ :2006/02/25(土) 22:00:56 ID:M/PZ5PbH
>>687
http://comic6.2ch.net/test/read.cgi/doujin/1140793997/194
> 感染してるホストは100台なんてもんじゃないと思いますー。
ロダ経由だとこんなには感染しない。
2/23(木)夜から急増しているようなので、WinnyかShareの
エロゲ偽イメージかウイルス付きイメージが感染源だと思う。
要するに、どこから感染するか判らない、と思っておいたほうがいい状態になりつつある、ということなのかしら。
*1
◎ _ニュイルス日誌:半角二次元板を爆撃する"AntiLo" :
また、NTFSの代替データストリームとよばれる通常では見えない領域を利用して、再起動時に同時実行するような仕組みになっています。これは従来のAntinny系統では見られなかった物です。
実行すると、踏んだEXEのファイル名で実行され、以下の行動を行います
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に "ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・35秒ごとに2chに書き込むような仕組みになっている模様です。
・UA は gikoNavi/beta50/1.50.2.606
また、
・エラー回避が旨く行っていないのか接続できないとエラーメッセージを表示
このウイルスの特徴は
・Windows2000のフォルダアイコンを使用
・NTFSの代替データストリームを利用しているためファイル検索でANTILOを検索しても発見されない。
・UAを偽装しているために対策が難しい
・書き込み内容にスペースが入ったりといろいろな細工
_てきとうに、なんとなく更新するページ - AntiLO.exe
NTFSの代替データストリームを利用しているようなので単純にファイル検索でひっかかりません。lfnutilsに含まれる、streamls.exe などで検索する必要があります。発見された場合には、lfndel.exe で削除ですね。
ファイル検索で引っ掛からないというのは怖いなぁ。
とりあえず、
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
ていうか2ヶ月も前から流行してるのか。
◎ _lfnutils (Long File Name Utilities) :
こんなツールがあるのですな。試しにインストール。
*1: まあ、Winnyとかやってないんだけど。>自分。WinnyはHDDが壊れやすくなると聞いたのでやりたくない。<なんか思考がズレてる。
[ ツッコむ ]
以上です。