771 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 15:59 ID:sagtWxNP

まず、感染するとwindows起動時にUpFolder.txtにupフォルダを追加する１文が追加される。

winnyフォルダの中にBbsCacheとかSystem Volume Infomationっていうフォルダができる。

それらのフォルダの中にはjpgに偽装したexeファイルが数個作られる。

いずれもwinnyで流れていそうなファイル名だったりする。

これらのフォルダ・ファイルは隠しファイル化されてる。

もちろん消去してもまた作成される。

いちおうUpFolder.txt.を読み取り専用にしたら再作成はしない。

895 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 17:14 ID:9j5v/02+

・感染されたらregedit.exeがnotpad.exeで上書きされる。

（regedit.exeを起動したらメモ帳が起動する）。

・各exeファイルはそのアイコンの本来の動作も同時に行うので気づかない人も多い。

たとえばjpgのアイコンのexeを起動すると本当に画像が表示され、同時にウイルスのプログラムも実行される。

858 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：04/03/16 17:52 ID:ZdiiB+D9

・感染確認方法のうちの一個

※検証は当方の仮想マシン上で行いました

以下のフォルダに

"C:\Documents and Settings\ユーザー名\Local Settings\Temp"

"ユーザー名.txt"ってファイルが作成されてたらビンゴだよ

538 [名無し]さん(bin+cue).rar sage New! 04/03/18 03:34 ID:HuHGvPis

windows2000SP4で、手が滑ってexe実行して感染してしまった。

ウイルスバスター持ってないので手探りでいろいろやってみたところ、

駆除に成功したっぽいので報告。

キンタマが作るexeファイルはなぜかタイムスタンプが

1992年とか古い模様。winntフォルダ、program filesフォルダで

*.exeを検索して、タイムスタンプが飛びぬけて古いものをいくつか

削除した。

このことを行った結果、以下の変化が生じた。

・消しても消しても復活するwinnt\regedit.exe（50KBの、アイコンがnotepadのやつ）が

　復活しなくなった

・消しても消しても復活するdocuments and settings\local settings\temp\〜.txtが

　復活しなくなった

・ファイル名を指定して実行→regeditで、メモ帳が立ち上がるようになっていたのが

　regeditが元通り立ち上がるようになった

でも怖いので、一応明日まではLANケーブルは抜いた状態にしておくつもり。

このカキコはwinny入れてない代替機から。