WinnyでPCのユーザ名、デスクトップを公開するワームが流行
ファイル共有ソフト Winny を介して新種のワームが広がっているそうです。
exe ファイルや HTML ファイルを開くことで感染するようです。
長いファイル名、二重拡張子、アイコンの偽装など、ソーシャルエンジニアリングを利用して巧みにダブルクリックさせ、拡散しているようです。
日本独自のウィルスのためか、ウィルス対策ソフトの対応も遅れたようで、かなりの被害が出ているようです。
特徴的なのは、破壊活動をするのではなく、感染したパソコンのデスクトップ画面をキャプチャした上で、デスクトップ上のファイルを圧縮して、Winny のファイル共有ネットワークにアップロードしてしまうことです。またその際に、ファイル名が次のようになります。
[キン○マ] 俺のデスクトップ ユーザー名(企業名) [日付].jpg [キン○マ] 俺のデスクトップ ユーザー名(企業名) [日付](ファイル詰め合わせ).zip [キン○マ] 俺のデスクトップ ユーザー名(企業名) [日付](ファイル詰め合わせ).lzh
(○は伏せ字です。)このファイル名から、別名キ○タマウィルス(-_-#)と呼ばれているそうです。トレンドマイクロでは、WORM_ANTINNY.B
と名付けられているそうです。破壊活動の有無: なし、なのに、ダメージ度:高なのは、個人情報などが流出してしまうダメージのことでしょうかね。
すでに感染してしまったパソコンの画像などから個人情報が流出しているようですが、Winny ユーザの傾向からか、違法ソフトを利用しようとしている画面などが公開されてしまった人もいるようです。まあ、自業自得なのですが。
ちなみにこのワームは、Winny の共有ファイルリストを、メールや IM を使って無差別に送信するようなロジックが入っているそうです(実際に動作しているかどうかの詳細は不明)。ただしメールを利用しての感染は行なわないようです。この手のウィルスが Winny だけではなく、メールを介して企業などで広まると、もっと大変なことになるのではないでしょうか。
ものが Winny だけに、後ろめたい目的で使っている人も多いと推測されます。
そのため感染しても他人に相談したり、管理者に報告するのが遅れる可能性があります。
また下品なファイル名をつけることにより正確な報道が妨げられるおそれがあります。
実際に INTERNET Watch の記事などでも、詳しい情報が公開されていません。
情報が伝わりにくくなることは、ウィルスからすれば蔓延する時間が稼げることになります。
これらがワーム作者の意図していたことなのかは分かりませんが、ソーシャルエンジニアリングを駆使していることなどとあわせて考えても、相当考えられた作りになっていると思います。
関連情報
- Winnyウィルス
- W32.AntiWinny.kintama(仮)
- Winnyウィルスリンク集
- INTERNET Watch:Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される
- Slahdot Japan:Winnyユーザを恐怖に陥れるAntinny.Bワーム
3月17日追記
このワームはレジストリを書き換えて自動起動するようになりますが、感染するとレジストリエディタ(regedit.exe)がメモ帳(notepad.exe)で上書きされるため、手作業での修復がかなり困難なようです。
このウィルスと、Antinny.B は別物だという情報もあります。
また、キン○マウィルスにも複数種あるようですが、亜種なのか、擬態かは分かりません。
3月18日追記
情報が錯綜していますが、日経ITPro の記事によると、Antinny.B とキン○マウィルス(はやく正式名称を決めて欲しい)は異なるようです。
トレンドマイクロ アンチウイルスセンターの西山健一ウイルス解析者によると「新種ウイルスはAntinny.Bとは異なる」という。さらに,「新種ウイルスには変種が複数存在するようだ。今後,変種がさらに増える可能性は高い」(西山氏)
Norton Antivirus の 3月16日以降の定義ファイルでは、一部のキン○マウィルスを検出できるそうですが、亜種が8種類あり、すべてに対応しているわけではなさそうです。
別名キ○タマウィルス
津田ふみかの日記: March 2004 アーカイブ 特徴的なのは、破壊活動をするのではなく、感染したパソコンのデスクトップ画面をキャプチャした上で、デスクトップ上のファイルを圧縮して、Winny のファイル共有ネットワークにアップロードしてしまうことです。またその際に、…
トラックバック by RECOMMENDED LINKS — 2004-03-16 23:06
Winnyで流行、WORM_ANTINNY.B
津田ふみかの日記の記事より。
被害の出方が特徴的で、個人情報がもれる可能性もあるのでダメージ度は高いらしいです。確かに、Winnyで変なものダウンしているときのディスクトップを他の人に見られたりはしたくないですもんね。会社や学校でWinnyをしている人は要…
トラックバック by Pyonnta's note — 2004-03-17 11:53
ウィルスによってネットじょうにデスクトップ画面が公開されると発信もとまでわかってしまうんですか?
教えてください。
コメント by 隼人 — 2004-10-25 19:27
このウィルスの場合には、現在のデスクトップ画面をコピーしますので、個人が特定できるデータを開いていた場合には、誰か分かってしまいますね。Windows のユーザに本名を使っていたり、本名でメールを送受信しているところを撮られれば、当然名前などは分かってしまいますね。
コメント by fumika — 2004-10-25 20:33
これらのウィルスは開かなければ大丈夫なのですか?
削除などはOKですか?
コメント by 匿名 — 2006-01-19 19:59
>>3
それだけでは意味が分かりませんが。意識的に開かなくても Windows Update をしていなければ Windows の欠陥を利用されて感染することはあり得ます。
削除がOKかと言われても、アンチウィルスソフトが対応していれば
削除はできますが、流出した情報が消えるわけではありません。
コメント by fumika — 2006-01-20 17:12