2005年12月20日

半角二次元板を爆撃する"AntiLo"

12/11当たりから半角二次元板で爆撃が続いていたウイルスですが、
特定の文字に該当するスレッドを手当たり次第爆撃するようです。
また、NTFSの代替データストリームとよばれる通常では見えない領域を利用して、
再起動時に同時実行するような仕組みになっています。
これは従来のAntinny系統では見られなかった物です。
詳しい情報は続きを読むの方に記載しておきました。
現在各社が対応をしている状態ですが、
念のためピンポイントに確認するためのチェッカーを作成致しました。
こちらからどうぞ。
なお、急ごしらえで作った物なので一部バグや誤検出があるかもしれませんが、
有った場合にはOSと症状をお書き添えの上メールにて送って頂けるようお願い致します。
こちらで確認でき次第、修正させて頂きます。

また、次のバージョンの告知も報告スレッドではなく、こちらで行うつもりですのであしからず。。。
実行すると、踏んだEXEのファイル名で実行され、以下の行動を行います
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
 "ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・35秒ごとに2chに書き込むような仕組みになっている模様です。
・UAはgikoNavi/beta50/1.50.2.606
また、
・エラー回避が旨く行っていないのか接続できないとエラーメッセージを表示

このウイルスの特徴は
・Windows2000のフォルダアイコンを使用
・NTFSの代替データストリームを利用しているため
 ファイル検索でANTILOを検索しても発見されない。
・UAを偽装しているために対策が難しい
・書き込み内容にスペースが入ったりといろいろな細工
ちなみに、山田ウイルスのような個人情報を公開するシステムは現段階では確認しておりません。

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/antiny_virus/50253220
この記事へのコメント


rootkitじみた機能がついたのか
作者はWin2k使ってるのかな?
Posted by ddtana at 2005年12月20日 15:20
いちおバグザロックも代替ストリーム使ってます
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_KAKKEYS.D&VSect=T
Posted by ななし at 2005年12月29日 20:47
hui t6fvc m5w3a sitgbvfrh
Posted by µhli uzi6ug at 2006年02月10日 00:10
暑中見舞い申し上げます。

皆様、いかがお過ごしでしょうか。少しでも涼をお届けしたくて、
心ばかりの品をおくらせていただきました。
まだまだ暑さが続きそうです。十分にご自愛ください。

http://anzu.freeing.name
Posted by 杏子 at 2007年08月16日 12:10