« SymantecがAntinny亜種を警告、月はじめの月曜日にACCSサイトをDoS攻撃 | Main | コレガ、Skype対応のコンパクトUSBフォン »

›1 30, 2006

WinnyとShareを狙う“ドクロウイルス”、Kernel32.dllになりすまし活動

[ PCニュース ]

 なんかどんどん怖くなっていますね。ドクロなのかドロクなのかもよくわかんないし

 Dorokuが実行されると、ランダムな文字列のファイル名を持つDLLファイルがWindowsのシステムフォルダに作成される。さらにDorokuは、特定のレジストリサブキーを列挙するとともに、日本語のスタートアップフォルダ内の.lnkファイルを検索。それぞれ関連付けられている実行ファイルを開き、それら実行ファイルに含まれる「Kernel32.dll」の文字列を、Dorokuが作成したDLLファイルの名称に変更する。すなわち、スタートアップ時に起動する実行ファイルが、Dorokuの作成したDLLファイルを読み込むことになる。このDLLファイルにはウイルスのメインルーチンが含まれるほか、Kernel32.dllのすべてのAPIも含まれており、正規のKernel32.dllに代わって実行されるかたちになる。
 
 これにより、Windowsの起動時にDorokuも起動し、WinnyとShareのファイル共有ネットワークプロセス上にバックドアを開くという。あわせて、WinnyとShareのファイル共有ウィンドウ上にドクロの画像を表示する。なお、シマンテックのウイルス情報によれば、感染したPCのデスクトップ画面をキャプチャして流出させるような活動は行なわないようだ。
 
 なお、TrendMicroは1月19日時点で、ドクロウイルスと同じようなふるまいをするワーム型ウイルス「WORM_ANTINNY.AW」を報告している。Winnyの共有フォルダに自身の複製を投下することで拡散し、従来のANTINNYの亜種と同様、感染したPC内の情報をWinnyネットワーク上に流出させる被害をもたらす。
 
 このANTINNY.AWも、Windowsのシステムフォルダ内にDLLファイルを作成し、スタートアップファイルに関連付けてこれを読み込ませる仕組みだ。TrendMicroによると、Kernel32.dllの機能は多くの実行ファイルで使用されているという。総合的な危険度は3段階中で最も低い“低”だが、ダメージ度は最も高い“高”と判定している。

WinnyとShareを狙う“ドクロウイルス”、Kernel32.dllになりすまし活動
ひまぐらま


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?