WORM_ANTINNY.A
概 要
対応方法
詳 細
感染状況

ファイルタイプ: EXE

メモリ常駐 :  あり

ウイルスサイズ: 651,264 Bytes

発見日: 2003/08/13

詳 細:
[ウイルス情報内の用語についてはこちらの用語集をご覧ください。]

・インストール:
 このワームは、P2P(ピアツーピア)アプリケーション "Winny" を介してコンピュータに侵入します。

 実行されると、ワームは<TEMPフォルダ>内のすべてのフォルダおよびファイルを削除し、自身のコピーを "NY.EXE" というファイル名で<TEMPフォルダ>内に作成します。

 またワームは、<Program Files>内のランダムなサブフォルダに自身のコピーを作成します。

 (註:<Program Files> は、通常 "C:\Program Files" です。)

 ワームは以下のレジストリ値を追加し、作成した自身のコピーがWindows起動時に自動実行されるよう設定します。

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Ara-key = “<ワームが作成したファイルのパス名およびファイル名>\ -startup”

・ワーム活動(P2P(ピアツーピア)アプリケーション利用):
 このワームはP2P(ピアツーピア)アプリケーション "Winny" を利用して感染活動を行います。

 ワームは、すべてのローカルハードドライブ内で "WINNY.EXE" というファイルを検索します。このファイルは通常 Winny のインストールフォルダ("Winny.exe" が保存されているフォルダ)内に存在します。ワームは、このフォルダ内にある "DOWN" というフォルダ内のすべてのファイルを "UP" フォルダにコピーします。感染コンピュータに "UP" フォルダが存在しない場合、ワームはこのフォルダを作成します。

  "UP" フォルダへファイルをコピーする際、ワームは以下の動作を実行します。

  1. ファイルをコピーする際、ワームは自身のコピーのファイル名として使用するファイルを検索します。検出したファイルの拡張子が.JPG または.JPEG の場合、ワームはこれらのファイルを "UP" フォルダにコピーします。

  2. 上記でコピーした.JPGファイルと自身のコピーを、.LZH形式で圧縮します。また、上記でコピーした.JPGファイルのファイル名に.EXE 拡張子を追加した文字列を、自身のコピーのファイル名として使用します。.LZH圧縮ファイルには、.EXEファイルと類似したファイル名に.LZHという拡張子が追加されています。

  3. ワームは以下の.JPGファイルを作成します。その際、.EXE拡張子を持つファイルを検索し、検出したファイル名に.JPG拡張子を追加した文字列をファイル名として使用します。

    dropped image file of the worm

     上記の画像は、他の「WORM_ANTINNY」の亜種でも利用されます。

  4. .JPGファイル、.EXEファイルを検出できなかった場合、ワームはランダムなファイル名(拡張子.JPG)で自身のコピーを "UP" フォルダ内に作成します。

・ファイルを作成:
 ワームは以下のファイルを<Windowsシステムフォルダ>に作成します。これらのファイルは、ワームが上記の活動で.LZH圧縮を行う際に使用されます。

  • UNLHA32.DLL
  • zip32.DLL
  • zip32J.DLL

・参考:

※:<Windowsシステムフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、
 Windows 95/98/Me の場合
<Windowsシステムフォルダ> = C:\Windows\System
 Windows NT/2000 の場合
<Windowsシステムフォルダ> = C:\WinNT\System32
Windows XP/Server 2003 の場合
<Windowsシステムフォルダ> = C:\Windows\System32
です。
※:<TEMPフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、

 Windows95/98/Meの場合、
  <TEMPフォルダ>= C:\Windows\Temp
 WindowsNTの場合、
  <TEMPフォルダ>= C:\Profiles\<ユーザ名>\TEMP
 Windows2000の場合、
  <TEMPフォルダ>= C:\Documents and Settings\<ユーザ名>\Local Settings\TEMP
 WindowsXP/Server 2003の場合、
  <TEMPフォルダ>= C:\Documents and Settings\<ユーザ名>\Local Settings\TEMP 
です。

[その他の用語については用語集をご覧ください。]

更新履歴:

最初のパターンファイルバージョン: 2.227.10
最初のパターンファイルリリース日: 2003/08/13

このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況

ウイルスデータベース検索

このウイルス情報に関して. こちらのアンケートにお答えください。