Antinny

Antinny，W32.HLLW.Antinny

　シマンテックが2003年８月９日警告した，Winny を介して感染するウイルス。『お宝画像』『個人情報』のような多数の人が興味を持つ単語を含むファイル名で Winny のネットワークに流通し，Winny を利用してダウンロードしたそれらのファイルをユーザーが実行することにより情報漏洩事故が起きている。
　Microsoft Visual C++ で記述された。感染すると「圧縮（zip 形式）フォルダエラー」という偽のエラーメッセージを表示。自分自身をランダムに選んだプログラムのファイル名に変更を加えてコピーし，起動時に自身が立ち上がるようにレジストリを改変する。 Winny の Cache フォルダ内の全ファイルを削除し，Win.ini ファイルに下記を追加。

[ぬるぽ]
ぬるぽ=C:\Winny2\
さらにディスクトップを送信ファイルに指定する。４月４日，５月５日，６月６日など“ゾロ目”の日に ACCS のサイト http://www.accsjp.or.jp にアクセスし，感染マシンのレジストリなどから取得した個人情報などの送信を試みる。そのため，同サイトは４月４日に続き，５月３日から閉鎖された。

　Winny で『To Heart』『DEAD or ALIVE 2 hardcore X』『Microsoft Windows XP』『DREAMAGE-DREAMS COME TRUE』などのファイル名で流通している
　2005年11月21日，マイクロソフトが配布している『悪意のあるソフトウェアの削除ツール』のレポートによると，このワームのうち99％は日本語環境で動作していると発表された。
　2006年３月15日，ネットエージェントはこれが感染した形跡を発見できるツール『Antinny発覚』の無償提供を開始。同日，マイクロソフトは『悪意のあるソフトウェアの削除ツール』がこれに対応したと発表。６月６日にマカフィーが発表した，同年５月におけるネットワーク脅威の最新状況によると Anntiny はトップ10からはずれるなど減少傾向で，セキュリティ各社の対策ソフトを導入し，企業内での利用が制限された結果とみている。
　2006年３月15日，マイクロソフトは『悪意のあるソフトウェアの削除ツール』がこれに対応したと発表。

Antinny.B/E
　2004年３月16日に警告された，Winny で感染を拡げるウイルス。自分自身をメモ帳のアイコンとして表示。感染すると，自分自身を Windows のテンポラリフォルダに SVCHOST.exe としてコピーする。 Windows のシステムフォルダに「＜ランダムなファイル名＞.exe」としてコピーし，サービスプロセスに常駐。 Winny で利用されている共有フォルダを探しだし，発見した場合には自分自身をコピーし，レジストリを改変する。

TROJ_ANTINNY.C，欄検眼段
　Winny 上で広がったトロイの木馬型ウイルス。 HDD 内にある DSC＜文字列＞.JPG のファイルを探し出し，『欄検眼段』という言葉の後ろにファイルのドライブ名とフルパス名からファイル名を作成し，Winny のアップロードフォルダにコピーする。

Antinny.G
　2004年３月に警告された Winny を媒介にして感染拡大するウイルス。感染すると，自分自身のコピーを EXPLORER.EXE，SPOOLSV.EXE，SVCHOST.EXE，WINLOGON.EXE のファイル名の何れかをランダムで選んで作成。既存のファイルをランダムに１つ選択し，そのファイル名と類似したランダムな名前として自分自身をコピー。レジストリを改変，自分自身が起動されるようにする。 C ドライブ上のファイル削除を試み，レジストリから名前，組織名，メールアドレスを探し出し，それらの情報を含んだテキストファイルを作成する。 Winny のアップロードフォルダやダウンロードフォルダに，持っている日本語リストの中からランダムに選択したファイル名をつけて自分自身をコピーする。デスクトップの画面キャプチャを，JPEG 形式で Winny のアップロードフォルダやダウンロードフォルダに保存。メールアドレスなどの個人情報やデスクトップ画面を，「.zip」もしくは「.lzh」形式でアップロードフォルダやダウンロードフォルダに保存する。

Antinny.K　TROJ_UPBIT.A，WORM_ANTINNY.AB，仁義なきキンタマ

　2004年３月31日にシマンテックが警告した Winny 経由で感染し，ACCS に個人情報を送信するトロイの木馬型ウイルス。 Antinny.G の亜種。フォルダを偽装するタイプのファイル形式（フォルダファイル偽装 EXE）でダウンロードされるため，ダウンロードしたユーザーが偽装されたフォルダを開こうとして被害が増加した可能性がある。感染すると偽のエラーメッセージを表示し，ランダムに選択した既存のファイル名と類似の名前で，自分自身を PC 上にコピー。レジストリを改変し，Windows 起動時に毎回自分自身が実行されるように設定。 Winny ファイル共有フォルダに Up という隠しフォルダを作成し，アップデートフォルダとして設定，そこに自分自身をコピーする。ログオン中のユーザーのデスクトップ画面を JPEG 形式で保存し，Winny のアップロードフォルダかダウンロードフォルダに保存。レジストリからユーザーの名前や組織名，メールアドレスを探し出し，その情報を含むテキストファイルを作成。また，HD 内の Office ドキュメント，Outlook や Outlook Express のメールファイルを ZIP 圧縮して流出させる。システムの日付が４月以降で，月と日の数値が同じ場合，http://www.accsjp.or.jp にアクセスし，レジストリなどから取得した個人情報の送信を試みる。

Antinny.L，Trojan.Upbit

　2004年５月に警告された Winny で感染を拡げるトロイの木馬型ウイルス。 Antinny の亜種で，Antinny.G と同様の機能をいくつか持っている。感染すると，Windows フォルダに自分自身のコピーとして regconfig.exe を作成し，偽の個人情報を含むテキストファイルを開く。続いて，%Windir%\Temp\.txt，C:\WinSys\Win.bmp，C:\WinSys\Win.txt，C:\Sys32.zip，C:\%System%\svchost~0001\72u1m1m3o0E-<日付と時刻>-<所有者の名前>.zip などのファイルを作成。 PC 内からデータを収集，その情報を含んだテキストファイルを作成し，デスクトップ画面のスクリーンショットを撮影する。 Winny のアップロードフォルダに収集した情報とデスクトップスクリーンショットを含んだ拡張子 .ZIP のファイルを作成する。

WORM_ANTINNY.AW

　2006年１月に発見されたウイルス。感染した PC で Winny や Share を使用するとファイル名にドクロマークが表示されることから，インターネット掲示板上では『ドクロウイルス』と呼ばれていた。初めて Share のファイル共有機能を利用した。

Antinny BJ，WORM_ANTINNY.BJ

　2006年４月24日にトレンドマイクロが警告した，Winny または Share で感染するウイルス。 Winny または Share でダウンロードしたプログラム本体（＜ランダムな日本語の文字列＞.exe）をダブルクリックすると感染。感染すると Winny￥upfolder.txt または Share￥folder.ini を書き換え，アップロードフォルダを＜Windowsフォルダ＞￥Up￥に変更。パソコン内の DBX/DOC/EML/MDB/PPT/XLS の拡張子を持つファイルを収集・Zip 圧縮し，アップロードフォルダに保存。収集されたファイルは『[殺人] ＜ユーザ名＞（＜作成年月日＞-＜時刻＞）のキンタマ.zip』，または『[写真集][IV] ＜ユーザ名＞（＜作成年月日＞-＜時刻＞）のアルバム.zip』という名前がつけられ，Winny 並びに Share ネットワークに公開される。

戻る　ウイルス，最初のメニュー