対応が始まったようです。

トレンドマイクロのオンラインスキャンでは、『WORM_ANTINNY.AW』と検出された。危険度は低、感染度は中、ダメージ度は大とのこと。ドクロを生み出す親のexeファイルとSYSTEMフォルダ内のドクロDLLが共に区別無く『WORM_ANTINNY.AW』と判定された。

しかし当Blog宛てに送っていただいたドクロの検体の一部のドクロDLLはスルー。バイナリを覗くと確かにドクロのコードを含んでいるのだが。。その検体は100%同じではなく、我がドクロスキャンでもver1.0.0では見逃していたのを、指摘を受けて対応させたモノ。その後、当方での実験では、このドクロDLLも確かにKernel32をジャック可能だったのになぁ。やっぱり亜種なんだろうか。

シマンテックのセキュリティチェックでは一切発見されないという結果だった(2006/01/30現在)
某掲示板では、製品版のノートンの最新パターンで「Backdoor.Doroku（ドロク？）」という名称でウィルス認定されたという情報も。確かに英語ページの方では、ドクロウィルスらしき症例が書かれていり、これに対応するパターンファイルは現在手動更新のみで、自動の場合は次回の2月1日以降に適用されるらしい。

注目すべきは、両社とも、このトロイ(ドクロウィルス)の動作環境に、16bitのOS（Win98/Me）が含まれていることだ。『Share（仮）』というP2Pソフトは、32bitのOS（Win2000/XP）用なのに・・・ざっと読む限りでは、同P2PソフトのWinnyでも感染行動が出ている可能性があるということだ。恐ろしや。

駆除方法については、やはり確実な「OSのセーフモード状態」での作業を推奨されている。この際、ドクロスキャンで駆除しきれなかった環境の人は、各社ベンダーの駆除方法を試すことをお奨めします。

今後は亜種の発見率向上を期待します＞ベンダーさん

なぜLivedoorメールって届くのが１日遅れるんですかね(^^;
まさかメールサーバまでが検察に（ｒｙ・・・どうも。hpgです。

ドクロスキャンについて、以下のお問合せが多めなのでまとめてお答えさせていただきます。

■質問＆ご要望：

1.  ドクロスキャンが文字化けしてますよ？
2. ランタイムってなんですか？
3. ランタイム同梱セットアップ配れ(ﾟДﾟ)ｺﾞﾙｧ

文字化けに関しては、VisualBasic6.0の基本ランタイムの日本語表示に関する「VB6jp.dll」が無いか、正しく入っていない環境だとそうなります。

「ランタイム」とは、このドクロスキャンを動かすために必要なDLLファイルのセットを指します。私は「Microsoft VisualBasic6.0」という開発環境で作成してまして、これで作ったプログラムを動かすのに必要な共通部分を「VisualBasic6.0ランタイム」と呼びます。業務用をはじめ多くのフリーソフトなども同じランタイムで動くものなので、大抵の環境には入っていると、私は勝手に思い込んでますｗ

もし入っていない場合や、何かおかしいときは、Vectorなどからダウンロードして入れるのも手なのですが、お問合せが多いので「ダウンロードこーなー」に、ランタイムを同梱したセットアップパッケージ（Installer版）を用意しました。これなら、ダウンロード→ダブルクリック→インストール完了、でランタイムのインストールとドクロスキャンのインストールが同時に行えます。

なぜ、最初からセットアップパッケージを用意しなかったのか？これには理由があります。だって「ドクロウィルス」というウィルス診断ソフト自体に、ウィルスが入ってたら怖いでしょ？インストール形式にするとドクロスキャン本体以外のファイルもPCへ入れるので不審がられるのも面倒かなぁと。まぁそんだけの理由ですけどね。

何にせよ、問合せが多いのは利用者が多いという証だと信じてます。これで少しでもP2Pウィルスによる被害が減ることを願って止みません。いや、マジで。

「 ドクロ、入ってますか？ 」
どうも、hpgです。

感染してもいないこのウィルスの解析に携わって早10日以上が経過しました。
最近、なぜ自分がこんなことをしているのか、不思議でたまりませんｗ

では、これまでに判明したドクロ対処法をお伝えします。もちろん初心者篇です。

VisualBasic版のドクロスキャンです。
ご利用には、Microsoft VisualBasic6.0の基本ランタイムが必要になります。

最新版は、『 1.5.0 』です。

ver1.5.0より、駆除の実験機能が付いています。
いつも通りにドクロファイル(ウィルス)と感染ファイルを検索した後に、感染が確認されれば、勝手に「駆除してみますか？」のダイアログボックスが出ますので、人柱に参加してくださる方は、OKをクリックしてみてください。

駆除の実験機能では、以下のことを試みます。

1. 発見したドクロDLLファイルに関連付けられた被害者exeファイルの関連情報を元の「kernel32.dll」へ書き直します（ドクロはコレを自身の名前に書き換えているようです）
2. 発見したドクロDLL自身を、ゴミ箱へ削除を試みて(感染状況によって)失敗すれば、とりあえずドクロDLLを「 〜.dll[危険ドクロ疑惑] 」という拡張子にリネームします。このリネームにも失敗することもあるやもしれませんが、その全てはログ表示されます。
   
   もし、上記の試みが１つでも成功したら、再起動でたぶん感染活動は停止してます。その後、以下の作業を手動で行ってください。
   
   
3. 関連付けが治ったexeファイルと同フォルダに同名の「.bak」ファイルが存在しますが不要なら削除してOKです。
4. ドクロDLLが削除失敗した人は、再起動後に「システムフォルダ」からドクロDLLを削除できるようになっているはずなので、手動で削除してみてください。

＞ダウンロード

ダウンロードは終了しました
（配布期間　2006/01/13〜2006/02/13で終了）
VBA版の役割は「代替手段が無い時期（初期）だからって信頼できない診断ツールを使いたくない」という方に安心して利用してもらえればとの勝手なお節介から生まれたものでした。またもうひとつのVisualBasic版と異なり最低限のチェック能力のため、初心者さんに間違った安心感を与えないためでもあります。で、既に各種ベンダーさんが対応を始められてるようなので、このようなVBA版は不要と考え配布終了とさせていただきます。ご利用ありがとうございました。

現在既にVBA版をお持ちの方は、なるべくベンダーさんのツールを使われることをお奨めします。
VB版の方は、検知機能の違いや駆除補助目的なども搭載しているので、もう暫く配布を継続させていただきます。

▼以下、VBA版の残骸記事です。現在VBA版の配布は終了しました。

※VerUp!　VisualBasic版にて駆除の実験機能を付加しました！(ver1.5.0)
※VerUp!　ご要望の多かったExcel不要のVisualBasic版が出ました(ver1.0.0)
※VerUp!　ドクロ検知のサンプリングデータ及び検知方法が変更。(ver1.4.0)

一部のP2Pユーザを困らせている、「ドクロウィルス」と呼ばれるウィルスの検索スクリプトです。単に診断するだけで駆除をする機能はありません（このVBA版でなく通常版の方で、ただいま駆除の実験中ですので、そちらをご検討ください）

このドクロウィルス、どうも「share」というP2Pソフトを利用している最中に感染症状が出るらしい。
このスクリプトは、動作中ではなく、P2Pソフトを終了させてから動作させることをお奨めします。

※某スレの住人から情報をいただきながら空想で作成した趣味程度の検知能力です。ましてや現在はまだ人柱バージョンです。これで感染が認められなかったからといって安心しないでください。ご利用は全て自己責任でお願いします。

もしバグを見つけたら、この記事にコメントください。
あなた（人柱さん）のコメントが、スキャン能力を高める栄養剤です！
前向きなご協力をよろしくお願いいたしますm(_ _)m
※検体を提供してくださる場合はZIP形式で圧縮してメールに添付して送ってください。無圧縮だと、当方のメールのウィルスチェックに引っかかって届かない場合があります。

※バージョンアップしました。Win2000/XP対応です。
※Excel不要のVisualBasic版もはじめました。
※1.4.0からサンプリングデータ及び検知方式変更。バージョンアップ必須です！
※1.3.5まででは発見できない検体が発見されました。必ず1.4.0以降へ移行してください。

大まかな使用方法は、以下の通りです。