P2Pのウイルスについて

･ここでは、Windows XP のディレクトリで説明します。その他のバージョンの方は、こちらを見て、それぞれに直してください。

はじめに
キンタマ（W32.AntiWinny.K等）
Antinny.ms（仮称）
Autorun+batを利用したウイルス
スクリーンセーバー（仮称）
仙台キンタマ（W32.SillyP2P）
- 仙台スクリーンセーバー
仁義なきキンタマ
欄検眼段
Whiter (W32.Whiter.Trojan)
原田ウイルス
きんもーっ☆ウィルス
山田ウイルス&亜種
- 山田オルタナティブ（WORM_ANTINNY.BI、W32.Yawmo）
- 山田オルタナティブ（Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11）

はじめに

流行種
- 元祖Antinny系
- キンタマ系
- batファイル
- スクリーンセーバー etc

主な流行感染パターン
- exeの前にスペースたくさん（例：「秘密の写真.jpg　　　　　　　　　.exe」）
- 拡張子が.folderに変更されたHTMLからexeを実行させる
- autorunからbatファイルを実行させる
- 解凍ソフトの脆弱性を利用し、スタートアップに解凍させて再起動後exeを実行させる

ダウンロード後のちょっとした注意
- 落としたファイルは必ずウイルススキャンする
- exeファイルは安易に実行しない
- ファイルのアイコンが偽装されてないか確認する

全ての感染者に共通の、確実な対処方法: ハードディスクをフォーマットした上で、Windowsの再インストールをする。上書きインストールではダメです。現在ハードディスクにあるデータは消えるので、退避するなり諦めるなりしてください。

Antinny対策サイト
- http://nyweb.hp.infoseek.co.jp/
- http://pwiki.chbox.com/pukiwiki.php?Winny%A4%F2%C1...

感染しないための注意1　～予めやっておくべき設定～

アンチウイルスソフトのインストール及び常駐、定期的な更新。
うっかり操作防止のため、エクスプローラの操作はダブルクリック。
ファイルの拡張子は表示させておく。できれば詳細表示を使うか、ファイラを使う。
WinnyをProgramFilesに置かない。CacheとDownフォルダは詳細表示にする。
CD/DVDドライブのAutorunは切っておく。（詳しくは別記）
適切な無視リストの設定などで、ウイルスを呼び込まない。
whiter対策としてC:\Windows\System に「Whismng.exe」というフォルダを作成。
また怪しいと思ったらwhiterVBS簡易チェッカーで調べてみる。
IEのセキュリティ設定を厳しくする。特にActiveXコントロールとプラグインを無効orダイアログ表示に。（拡張子.folderで悪意のあるコードを含んだhtmlを読み込むバグ、悪用の危険あり)
XMLのOBJECT要素によってコマンドを起動するバグ対策に、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
にあるFlagsの値を10進数で1に変更する。
アイコン偽装したexeを見分けるため、フォルダ・txt・aviなど偽装されやすい拡張子は標準アイコンから変更しておく。
レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のアクセス権を制限する。
※アプリケーションのインストール時に弊害が起こることもあるので注意。

感染しないための注意2　～普段からの注意～

大事なデータはこまめにバックアップを取る。
落としたファイルは必ずウイルススキャンする。
指定外の場所へ解凍される脆弱性がある解凍ソフトがあるので対応済のソフトを使う。
http://www.forest.impress.co.jp/article/2004/07/30...
解凍ソフトはWinRARなど、解凍前に中身を確認できるアーカイバを使う。
CDイメージはAutorunを切ってからマウントし、更に実行ファイル（setup.exe等）をウイルススキャンする。
exeファイルの実行は完全自己責任、転んでも泣かない。
ソフトを使って予め解凍する前に怪しい拡張子ファイルを削除する。http://a-t-software.hp.infoseek.co.jp/apps/delexe/...
怪しい・危険なファイルはkeydb.infoや、hashdb.comでチェックする。

無視推奨リスト

何も言わずに無視
.exe
.scr
.bat
.cmd
無視したほうが安全
.com
.cpl
.folder
.pif
.js
.msi
.vbs
.wsf
.wsh
自分の環境で有効なスクリプト（.plなど）
＜ショートカット＞
.lnk
.url
＜その他＞
連続した拡張子
.reg

ダウンフォルダの実行権限だけを拒否することがNTFSファイルシステムならWindows標準の機能でできる。以下その手順

XP Pro（多分Win2000も）なら、exeファイルの実行を制限したいフォルダで、右クリック → 「セキュリティ」タブ →　「詳細設定」ボタン → 「追加」ボタン → 「詳細設定」ボタン → 「今すぐ検索」ボタンを押して、下のリストから「Everyone」を選択し、「OK」 → 「OK」→ 「＊＊＊のアクセス許可エントリ」ウィンドウで「適用先」に「ファイルのみを選択 → 下のリストで「フォルダのスキャン/ファイルの実行」の「拒否」にチェックを入れて「OK」 → 「適用」を押すとダイアログが出るので、「はい」を押して完了。

XP Home は「セキュリティ」タブがないが、セーフモードで起動すると「セキュリティ」タブが使えるようになる

キンタマ（W32.AntiWinny.K等）

感染ルート
- Winnyあるいはそれ以外の方法でキンタマワームを踏んで感染。
- IEや拡張子「.folder」のバグを利用し、自動実行させ感染。

主な症状（感染確認方法）
- Upfolder.txtに登録したことのないフォルダが登録される。
- レジストリエディタ（regedit.exe）を開こうとするとメモ帳が開く。
- C:\Documents and Settings\ユーザー名\Local Settings\Temp に"ユーザー名.txt"が作成される。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  に名前xxx データC:\Program Files\？\？.exe （？は任意の名前）が登録される。
- スタートアップに該当プログラムが登録される。(msconfigで確認)

主な活動内容
- Winnyとは関係なくランダムな時間にデスクトップのスクリーンショットを取る。
- デスクトップ上のファイルをまとめて　[キンタマ] 俺のデスクトップ PCのユーザー名[日付]（ファイル詰め合わせ）.lzh　という名前でupフォルダに置く。
- UpFolder.txtを書き換えてファイルを勝手にアップロードする。
- Winnyを接続すると知らない間に勝手にこれらをダウンロードする。
- 各exeファイルはそのアイコンの本来の動作も同時に行う。（例えばjpgアイコンに偽装したexeを起動すると、ワームが実行されると共に画像も表示されるため気づきにくい）

駆除方法
- Winnyをフォルダごと削除、そしてWinnyを再び入れ直す。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。
- C:\Program Files\？\？.exe を削除、スタートアップからも該当プログラム削除。

予防
- なるべく関わらない。推奨無視ワード「キンタマ」「デスクトップ」

まとめサイト: http://myui.s53.xrea.com/kin/index.html
挙動の似たウイルス【苺きんたま（Trojan.Upchan）】: http://www.geocities.jp/ichigo_kintama/

Antinny.ms（仮称）

	サイズ	開発名	ファイルバージョン	製品バージョン
Antinny.Bの亜種？	1.26MB	SilentToker Delphi製	5.1.3125.1093	6.00.1800.1007

主な症状（感染確認方法）
- Windowsフォルダにsvchost.exeを作成。（無い場合もあり）
  ※Systemフォルダにあるsvchost.exeは問題ありません。
- UpFolder.txtにBBSという名前でダウンフォルダを追加。
- アップ（ダウン?）フォルダのZIP、LZH、RAR（?）に感染。感染の際にアイコンを自ら変更する。
- アンチウイルスソフト（ノートン、バスター）の常駐を無効にする。
- 親と子があり、いずれもSystemフォルダに作成される。子を消しても、再起動すると親が子を再度作成する。
- 親はms？.exe（282k）、子はms？.exe（248k）。
- 親はサービスに登録される。
- 子はHOSTSを書き換えてWindowsUpdateやSymantecなどに接続不可にする。
- 親と子はノートンでトロイとして検出される。バスターは未対応？

活動内容
- 毎月第一月曜日に発動。行動内容は不明。

駆除方法

親のファイル名が含まれるレジストリキーを削除。
Windows2000、XPの場合HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 内にある。(Win9x、MEの場合は不明）
セーフモードで再起動し、ファイルを親子ともども削除。
HOSTSファイルを開き、宛先が0.0.0.0の行を全部削除。
HOSTSファイルは C:\Windows\System32\Drivers\etc\Hosts をメモ帳などで開く。
WinnyのUpフォルダ設定を元に戻す。
ノートンやウイルスバスター等のワクチンソフトを再インストール。ウイルスバスターはPCCTool.exeを使えば再インストールせずに済む。

Autorun+batを利用したウイルス

5種類以上の亜種がある。

感染ルート
- 主に18禁ゲームのイメージファイルをマウントした時やSetupを実行した時に感染。
- Setup.batやSetup.exeを実行させることで感染。

主な活動内容（種類により活動は異なる）
- deltree、del、rmコマンドでファイル削除。
- bug.exeで気をそらす。
- reg deleteコマンドでレジストリ全削除。
- スタートアップに自身を登録し、再起動する毎に活動する。
- レジストリのRunやRunOnceに自身を登録し、再起動する毎に活動する。
- システムの復元の無効化。
- Windowsファイル保護の無効化。
- 使用者名・企業名変更。
- レジストリエディタ本体及びdllcacheやi386フォルダ内のバックアップの削除。
  （削除したファイルと同名のフォルダを作成する）
- 強制再起動
- html(ACCS・JASRACへの田代砲）の起動をatコマンドでスケジュールする。
- 壁紙をエロCGに変更（画面のプロパティでの修正は不可）。

駆除方法（種類により対処法は異なる）
- batファイルに書かれたDOSコマンドを読んで、加えられた変更を元に戻す。

対策
- batファイルを不用意に実行しない。

スクリーンセーバー（仮称）

サイズは4,553,632Byte、アイコンはフォルダに偽装。

感染ルート
- 感染者が流す圧縮ファイルにある偽装されたウイルス本体から感染する模様。

主な症状（感染確認方法）
- Winnyを起動すると画面が真っ黒になり、赤い文字で「winnyで違法なファイルを集めています」と文字が流れる。
- マウス動かすとログオフ画面に切り替わる。
- 起動時にアドレス帳が勝手に立ち上がる。
- タスクマネージャが起動できない。

主な活動内容
- C:\Windows\Web\Wallpaper のフォルダを開く。（意味は不明）
- C:\Windows\bugfix というフォルダを作り2つの圧縮ファイル作成。
  - [任意ﾜｰﾄﾞ][NullPorce] 俺のアドレス帳＆お気に入り'ユーザー名'.zip
  - 私は'ユーザー名'Antinnyの作者だ。.zip
- UpFolder.txtに「Path=C:\WINDOWS\bugfix」を追加。
- Winny.exeが置いてあるフォルダに、"NullPorce2MX.exe"（22,528バイト）ができる。
- C:\Windows にWindowsXPのフォルダに偽装したexeファイルをいくつか（３つ？）作る。ファイル名はシステムに使用されるものをランダムに使用する模様。
  （報告済み：CTFMON.EXE、Exploder.exe、IMEJPMlG8.0.exeなど、どれも45,056バイト）
- レジストリに以下を追加し、起動時の自動実行が設定される。
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- また以下の値も追加、作用は不明？値はGalaxian Explosion
  HKEY_CURRENT_USER\Software\VB and VBA Program Settings\NullPorce2\Attribute

駆除方法
- C:\WINDOWS\system にある wnconfig.txt とアイコンが偽装しているexeを削除。
- C:\WINDOWS\bugfix の中に生成されてる２つのファイルを削除。
- Winnyを入れているフォルダにあるUpFolder.txtを削除。
- レジストリで追加されたキーを削除。

仙台キンタマ（W32.SillyP2P）

感染ルート
- 主に18禁ゲームのイメージファイルをマウント、Autorunでウイルス発動。

主な活動内容
- 壁紙を勝手に変更する。
- C:\Windows\system32 の中にexeを作製。（svchost32.exe、setup.exe、ごみ箱.exeなど）。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに上記exeを追加。
- レジストリエディタをメモ帳で上書き。
- UpFolder.txtにUPフォルダを追加し、Download.txt にウイルスと思われるスペースつきのexeファイルを追加する。
- Winnyのフォルダ内に隠しフォルダでUPフォルダが作られ、downフォルダ内のファイル一覧のtxt、デスクトップSS、Favorites、受信トレイ.dbx、送信トレイ.dbx、My Documentsが入れられる。
- Ignore.txtに仙台ギャラクシーエンジェルズを追加するため、自分が晒されてると気づきにくい。

駆除方法
- Windows\system32の中に作製されたexeを削除。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに追加されたキー削除。
- UpFolder.txt、Download.txtの問題箇所修正削除。

仙台スクリーンセーバー

仙台キンタマの2次感染を狙ったもの、仙台キンタマが放流する詰合わせに偽装。
『（ユーザー名が2-3文字の女性名、トリップ無し）に混在の.scr』とスクリーンセーバ偽装。
ハードディスク内の.doc、.xls、.txt、.jpgなどを収集しWinnyへ放流する。
ノートンはAntinny.Gとして緊急対策。

仁義なきキンタマ

感染ルート
- フォルダアイコンに偽装したサイズ829,440の「新しいフォルダ　　　　　　.exe」を踏んで感染。
- 感染者が流す、[仁義なきキンタマ] ○○のドキュメント.zipに偽装したウイルス本体が同梱されている。
- セキュリティレベルが低いと同梱されているhtmlから感染。

主な症状（感染確認方法）
- C:\WINDOWS\system32\drivers\svchost.exe
  C:\WINDOWS\system32\wbem\　　　　　.exe を作成。
- C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\up にupフォルダ作成される。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にsvchost.exeが登録される。

主な活動内容
- デスクトップのスクリーンショットを取る。
- Winnyの検索履歴・tab1.txt・tab2.txt、WinMX共有ファイル名、2chブラウザのkakikomi.txt、IEのcookie、OEの受信・送信フォルダ、hotmail情報、ワード・エクセルのファイルをupフォルダに圧縮する。
- UpFolder.txtを書き換えて以下の形でwiinyにファイルを勝手にアップロードする。
  - [仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
  - [仁義なきキンタマ] ○○のドキュメント.zip

駆除方法
- C:\WINDOWS\system32\drivers\svchost.exe
  C:\WINDOWS\system32\wbem\　　　　　.exeを削除。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにあるsystem32\drivers\svchost.exeを削除。
- UpFolder.txtの修正、作成されたupフォルダの削除。

予防
- exeをダブルクリックしないことです。

まとめサイト

http://kintama.client.jp/
http://nemoba.seesaa.net/article/2479117.html

欄検眼段

感染ルート
- アプリに混入させ感染させる。

主な症状（感染確認方法）
- C:\WINDOWS\system32\IMJPMlG.exe を作成。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にIMJPMlG.exeが登録される。
- フォルダ「temp000」を作成。
- UpFolder.txtを作成し以下の内容を書き込み、アップロードさせる。
  [temp000]
  Path=C:\temp000
  Trip=12345

主な活動内容
- OS起動時にデジカメ画像ファイル「DSC～.JPG」を探し、「.GJB」に拡張子変更させアップロードする。

駆除方法
- C:\WINDOWS\system32\IMJPMlG.exe を削除。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にIMJPMlG.exeを削除する。
- フォルダ「temp000」削除、UpFolder.txt修正。

Whiter (W32.Whiter.Trojan)

感染ルート
- インストーラー等に仕込まれており、知らずに実行すると感染する。

主な症状
- デスクトップのアイコンが消えたり、使用中のソフトにアクセスできないというエラーが出る。
- フォルダのみを残して全ファイルが削除されている。ネットワークドライブに割り当てられている、LAN上のドライブも同じように削除される。
- OSを終了すると二度と起動しない。

主な活動
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ここに以下を作成。
  - Whistler %System%\whismng.exe -next
  - Piracy C:\WINDOWS\System32\winsvc.exe -n
- Whiter系は、再起動後削除、実行即削除、の2タイプがある。また、HDDをD:\から順番に消していくものと、全てのドライブを同時に削除するものがある。

駆除方法
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ここに
  Whistler %System%\whismng.exe -next
  Piracy C:\WINDOWS\System32\winsvc.exe -n
  といった記述があればすでに感染している。すぐにそのキーを削除すればよい。
- システムフォルダ内(%SYSTEM%\)にwhismng.exe（winsvc.exe）がないか調べる。あれば削除、もしくは別の場所に移動する。ただし名前を変えられるとこの方法は使えない。

予防方法
- ファイル消去は、フォルダ名をアルファベット順に消していく（例：Adobe→My Documents→同人誌）、万が一に備え、重要なデータや個人情報はアルファベット順で後ろの方に移しておく。
- Whiterは上書き・消去タイプなのでファイル削除に時間がかかる。HDDへのアクセス音等で気が付いたら即電源を切れば、被害を最小限にとどめられる。
- 電源を切る前に~~条件付き電源off終了プログラム~~やVBS版簡易チェッカでチェック
- C:\Windows\System32\whismng.exe というディレクトリ作って、そん中に適当なファイル2,3個入れておく。
  ファイル名が同じファイルは上書きできるけど、新規のファイル名と同じ名前のフォルダが存在するディレクトリには、新しくファイルを作成できないため。ただし、亜種＆WinSvc.exe（Klez）には効果なし

原田ウイルス

参考画像

アニメ動画を狙った流行種: http://www.trendmicro.co.jp/vinfo/grayware/ve_gray...
http://www.trendmicro.co.jp/vinfo/grayware/ve_gray...
http://www.trendmicro.co.jp/vinfo/grayware/ve_gray...

亜種

発症時に表示される画像を、アニメなどから改変したものに差し替えた亜種が存在する。

ハルヒウィルス・長門ウィルス - 『涼宮ハルヒシリーズ』
うたわれるものウィルス - 『うたわれるもの』
ケンシロウウィルス - 『北斗の拳』
kanonウィルス(うぐぅウィルス) - 『kanon』
原田ウィルスMK-II - (後続亜種)
らき☆すたウィルス - 『らき☆すた』
原田ウィルスOO(ダブルオー) - (後続亜種)

きんもーっ☆ウィルス

system653.exe の名前で活動する、キンタマに似た新種のウィルス。: 感染するとレジストリの自動実行に登録され、ハードディスク内の.xlsや.docファイル、IEのCookieやお気に入り等をまとめた.zipファイルに[きんもーっ☆] [個人情報]というタグをつけてWinnyにアップロードする。ただしキンタマなどと違い、このファイルにはウィルス本体が含まれていないようだ。
亜種も存在するようだが、個体数が少ないこともあり、あまり相手にしてもらえず詳細は不明。

主な症状（感染確認方法）
- C:\ に[きんもーっ☆]が含まれた名前の、見るからに怪しいフォルダが出来る
- C:\ にsystem653.exeが作成される
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にsystem653.exeが登録される
- Winnyのアップフォルダが増える

山田ウイルス&亜種

このアドレスで表示されれば、感染しています。（普通は、表示されません。）
http://127.0.0.1/
※後述した方法、感染確認方法（ほぼ確実）のほうが確実です。

感染確認方法（とりあえず安心程度）
- タスクマネージャでya_wmp.exeの有無を確認。存在すれば感染しています。
- C:\RECYCLER\にexplorer.exeが存在すれば感染しています。
- コマンドプロンプトからnetstat -anoと打ち込み Local Address に 80、8000、8080 の有無を確認。存在すれば感染の可能性。

感染確認方法（ほぼ確実）
- http://www.excite.co.jp/world/english/web/ 等のウェブページ翻訳可能な翻訳サイトで以下を入力して翻訳
  - http://(自分のIP)/C:/
  - http://(自分のIP):8080/C:/
  - http://(自分のIP):1080/C:/
  - http://(自分のIP):8000/C:/

翻訳不可能＝見えない場合は、感染の確率は低いです。
翻訳可能＝外部から見える場合は、感染確定です。

自分のIPの確認方法確認くん現在接続している場所（現ＩＰ）が、自分のIPになります。

感染するとデスクトップのスクリーンショットと、ハードディスクに保存されているファイル全てを、外部からダウンロード出来るようにHTTPサーバーで公開します。そのアドレスを２ちゃんねる内の掲示板にランダムに書き込みます。

山田オルタナティブ（WORM_ANTINNY.BI、W32.Yawmo）

主な被害
- 2段階の画質でSSを出力し、他の感染者へ相互リンク。
- アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする。

主な活動
- Windowsシステムフォルダ内に以下のファイルを作成
  - ya_wmp.exe
  - winsocks.dll
- "C:\RECYCLER\explorer.exe" というファイルを作成
- C:ドライブ内に "Up" というフォルダを作成
- レジストリ値 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" の中に
  YA_WMP = "<Windowsシステムフォルダ>\ya_wmp.exe -update" を追加
- ポート80、ポート8080の空き領域を使う（そのほかのポートを使う場合もある模様）

山田オルタナティブ（Mell-1-0.12a、Mel-1-0.12、Mell-1-0.11）

主な被害
- 2段階の画質でSSを出力し、他の感染者へ相互リンク。
- アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする。

主な活動
- Program files フォルダにsysフォルダとupdateフォルダを作成する。
- 最初の時点ではsys.exe、再起動後にupdate.exeとして動く。
- update.exeのほうはHDDには現存せず
- 起動ごとに sys.exe → update.exe → sys.exe とファイル名を変え活動
- 起動時には引数として前述のTripが渡されている
- 実体があるのは C:\Program Files\ で、sys.exe の時はsysフォルダ update.exe のときはupdateフォルダに居座る
- フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
- フォルダの一方は空、もう一方は　他の感染者達を繋ぐリンク用のキャッシュファイル
- UPnP対応で穴を空ける
- 起動はレジストリのスタートアップに下記の2つが登録
- HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURENTVERSION\RUN
  名前：　sys.exe　データ：　"c:/program files/sys/sys.exe"20060223042347170169115
  名前：　update.exe　データ：　"c:/program files/update/update.exe"
- ポート80、ポート8080の空き領域を使う。（そのほかのポートを使う場合もある模様）
- Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合はそれぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11Linkリストは違うものをリスト化する模様（仕組みは不明）
- ・updateフォルダに2chの板一覧を取得（bbs2ch_bbsmenu_html）、厨房板へ書き込み、ログを保持。
- 厨房板への書き込みがLinkリスト作成のノードになっている？