苺キンタマウィルス
苺キンタマと呼ばれることもある。
Symantec Security Responseによる原種の解析結果
ファイル名:(写真集) (ロリータ) 水原友里.exe
ウィルス名:Trojan.Upchan
デベロッパーノート:
(写真集) (ロリータ) 水原友里.exe is non-repairable threat.
NAV with the latest rapidrelease definition detects this. Please delete this file and replace it if neccessary.
Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
原種ファイルは苺は甘い?にアップロードされたJPGファイルとZIPファイル(現在は削除済み)
このウィルスの行動
1. 実行すると感染者のデスクトップを約8分ごとにキャプチャーし、随時2ちゃんねるアップローダーにその画像をアップロードする
2. アップロードが終了し画像のリンクを取得すると、2ちゃんねる半角二次元板内の「アップローダー」「アップローダ」をスレッドタイトルに含むスレッドに随時以下の内容を投稿する
240 名前:私は苺で違法ダウンロードばかりしている犯罪者です mailto:本日のレスIDと投稿回数 投稿日:04/09/23 00:18:48 ol+coMPA
【コンピュータ名】コンピュータ名が入る
【ユーザー名】ユーザー名が入る(例:Owner)
【今こんな事やってます】アップロードされたキャプチャ画像のアドレス
対処法
(定義ファイルが対応を完了したので、先にアンチウィルスソフトによる検出と駆除をお勧めします)
1. まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
2. 元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除
3. 普通に再起動してHijackThisでScan以下のエントリーをFixで削除
「HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe」
3のHijackThisの処理で以下が消えてるのも確認
「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」
name:shellsystem.exe data:shellsystem.exe
これのほかに新たな亜種の出現が確認されています。
亜種情報
449 62 sage New! 04/09/25 15:52:38 id:wRqk/RbT
ノートン先生から亜種に対する解析結果が届いたのでここにコピペします。
==============================================================
Subject:[CLOSING]: Symantec Security Response Automation:Tracking No. *********日付: 24-09-2004
(個人情報に付き削除) 様ファイルを分析しました。送られたそれぞれのファイルについてわかったことを
以下に報告します。
ファイル名: Q:\2ch詳細キボンヌスレ\config.txt (半角スペースを削除) .exe
コンピュータ: (個人情報に付き削除)
結果: このファイルは次のウィルスに感染しています:
Trojan Horse
デベロッパーノート
:
Q:\2ch\config.txt (半角スペースを削除).exe is non-repairable threat.
NAV with the latest rapidrelease definition detects this.
Please delete this file and replace it if neccessary.
Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、解凍後にラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。
・苺キンタマ(オリジナル)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕56B9
〔CRC32〕FC57D234
〔MD5〕 b7921479f8a9079c59c20ef5964338e4
・苺キンタマ(亜種)
〔ファイルサイズ〕677,376 Bytes
〔CRC16〕775A
〔CRC32〕022A1F64
〔MD5〕 5f323255060be4ddf715fa8fa88f883a
原種/亜種ともに
Software\Borland\Locales
Software\Borland\Delphi\Locales
Software\Meropa
が存在。DelphiとMeropa使いの犯行Software\Microsoft\Microsotf
このオチャメな行はなんだろう↑?Maropa2chなる文字列もあるが、ユーザーエージェントか? これを弾けばBBS投下はとまるかも
今度はBBS投下文字列を少しいじって
【コンピュータ名】【ユーザー名】【今こんな事やってます】になってる
メール欄には「私は升ツールを使用しようとして 罠にかかりました」と表示ターゲット板が、ネットゲーム、ネトゲサロン、ち〜と、雑談系2、厨房!に変更
感染プロセス名は sugoimonoss.com
SS投下先は http://up.isp.2ch.net/upload/c=03okari/index.cgi で同じ
わざわざ、閲覧しやすいように http://v.isp.2ch.net/ に変えて投下SSを案内コンパイル時の差異によるバイナリ差があるので、オリジナルに第三者が手を加えた
ものではなく、オリジナル開発者による、パラメータ変更の第二段と考えるべきだろう。