Sponsored Link

Winnyウィルス(通称キンタマ)

Winnyウィルス(通称キンタマ)とは

WinnyというP2P型のファイル共有ソフトを介して広がるワーム。

このワームに感染すると、パソコンのユーザー名、組織名、デスクトップ画像、デスクトップのファイルがWinnyネットワーク上にUPされてしまう。

[キンタマ] 俺のデスクトップ ユーザー名 [日付].jpg

[キンタマ] 俺のデスクトップ ユーザー名 [日付](ファイル詰め合わせ).zip

[キンタマ] 俺のデスクトップ ユーザー名 [日付](ファイル詰め合わせ).lzh

(組織名がある場合は、 [キンタマ] 俺のデスクトップ ユーザー名(組織名) [日付] となる。)

デスクトップの画像はウィルスに掛かっている限りランダムの値を利用し保存される。

Program Files内のランダムなフォルダに感染し自身をスタートアップに登録する。

連絡先に登録されているメールアドレスに、自分がWinny使用者だと伝えるメールを送るらしい。(未実装かもしれない)

ぬるぽ入ってます。

感染経路

フォルダ、XP標準の画像ビューア、メモ帳のアイコンに偽装し感染させようとする。

また、htmlを利用して感染するらしい。その怪しいファイルはキンタマ詰め合わせに入っていることがある。

ソースに<object CLASSID='CLSID:00000000-0000-0000-0000-FFF085324649' CODEBASE='お読みください.files/TRAP.exe'></object> とある場合注意したほうがいい。

拡張子「.folder」の、危険なファイルをフォルダに見せかけることができる脆弱性を利用し感染させようとする。

XPのアイコンに偽装されているため、他のOSならhtml以外はまず踏むことはない。

感染確認方法

Upfolder.txtに登録したことのないフォルダが登録してあったら感染している。

C:\Documents and Settings\ユーザー名\Local Settings\Tempに、ユーザー名.txtなど 怪しげなファイルがあったら感染している。

レジストリエディタを開こうとするとメモ帳が開く場合も感染している。

感染していてもすぐに全ての症状が起こるとは限らない。

UpFolder.txtが見つからない場合、キンタマがそのファイルを「システムファイル」にしている可能性がある。

エクスプローラの「ツール→フォルダオプション→表示→保護されたオペレーティング システム ファイルを表示しない(推奨)」のチェックを外すと見つかるかもしれない。これをすると重要なシステムファイルも表示されるため注意。

引用

817 名前:724[sage] 投稿日:04/03/16 04:32 ID:gqiQKL1N

>752

ファイル名を指定して実行「msconfig」

スタートアップタブをクリック

スタートアップで起動するはずのないexeを探す

そのexeがある場所を開く(検索でもいいのかな)

アイコンがメモ帳だったら( ゚д゚)ビンゴー

どのexeか特定できないなら全部調べてみるとか

駆除方法は合っているかどうか分からないので私は書きません

駆除方法

システムの復元機能を無効にする。

UpFolder.txtの中で指定された場所に、readme.filesフォルダがあるので、それを削除する。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの怪しい値を削除する。

(/logon /start /autorun /startup これらが含まれている可能性が高い。)

どれが怪しいか分からない場合は「データ」を辿ってみる。それが偽装アイコンだったら間違いなくキンタマ。

C:\Documents and Settings\ユーザー名\Local Settings\Temp\ユーザー名.txtなどを削除。

WINDOWS\win.ini、WINDOWS\system.iniに、キンタマっぽいのがWinnyのパスを書いていた場合そのパスのみを削除。

regedit.exe、regedt32.exe を復元。

Microsoft_圧縮された元の Windows ファイルを抽出する方法

流出したファイルが他のWinny使用者にダウンロードされ広まってしまった場合、そのファイルをWinnyネットワーク上から消し去ることは非常に困難。

予防方法

設定で拡張子を表示させるようにする。これだけでグーンと踏む確率は減る。

エクスプローラのツール→フォルダオプション→表示→登録されている拡張子は表示しないのチェックを外せば拡張子が表示されるようになる。

偽の拡張子の後に長い空白がある場合があるため...に注意。

運悪く流れた場合のことも考えて、デスクトップに重要なファイルを置かないようにする。

ユーザー名に本名を使わないこと。

危なそうだと判断したらnyを止めること。

拡張子「.folder」には注意すること。

ちなみに、UpFolder.txtを読み取り専用にしていたとしても、キンタマはそれを無効にする。

症状 参考に。

ID: LkxqLp9Qの発言 解析者

2ch過去ログ

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生2

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生3

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生3(実質4)

WinnyでPCの使用者名とデスクトップを晒す新種のワームが発生5

ダウソ板

(winny)新種のウィルス派遣しますた!!!!!!!

【俺の】キンタマウィルス part2【デスクトップ

【AM9:00】キンタマウィルス part4?【第二波?】

【デスクトップ】キンタマウイルスpart5【拡散】

キンタマ関連リンク

Winnyウィルス(通称キンタマ)リンク集

W32.HLLW.Antinny.G

京都府警巡査、Winnyで個人情報流出まとめサイト

P2P関連リンク

Winnyハイパー初心者講座

Shareについて

猿人でもわかるWinMX教室

Antinny.G亜種、Antinny.k

【晒し挙げ】ユーザー名のデスクトップ[日付].jpg

【晒し挙げ】ユーザー名のデスクトップ[日付](ファイル詰め合わせ).zip

【晒し挙げ】ユーザー名のデスクトップ[日付](ファイル詰め合わせ).lzh

4月4日、5月5日等、月と日の数字が同じ場合に個人情報をACCSに送信する。

regeditをメモ帳で上書きはしない。

デスクトップのファイルに加え、MyDocumentsのファイルも圧縮する。