悪意のあるソフトウェア事典: Win32/Antinny
Win32/Antinny は、マイクロソフト Windows の特定のバージョンを標的にしたワームのファミリです。ワームは、Winny と呼ばれる、日本語の Peer-to-Peer のファイル シェアリング アプリケーションを使用することにより拡大します。ワームは Winny のアップロード フォルダに偽のファイル名でコピーを作成するために、別の Winny のユーザーによりダウンロードされる可能性があります。
深刻度 関連リンク
用語次の用語をクリックし、Microsoft セキュリティ用語集の定義をご覧ください。
|
トピック
 | 脅威の概要 |
| 別名 (異なる名前で呼ばれることもあります) |
| 技術的な分析 |
| 感染を防ぐ方法 |
| コンピュータが感染したかどうかを見分ける方法 |
| 感染から復旧する方法 |
| 感染方法 |
| ペイロード情報 |
| その他の亜種 |
脅威の概要
クラス/種類 | ワーム - プログラム特有 |
発見日 | 2005 年 4 月 22 日 (米国時間) |
感染状況 | なし |
亜種 | Worm:Win32/Antinny.A |
影響を受けるオペレーティング システム | Windows NT 4.0 |
影響を受けるソフトウェア | 特定なし |
感染深刻度 | 中 |
復旧難度 | 中程度 |
被害深刻度 | 低 |
感染力 | 中 |
「その他の亜種」のセクションもご覧ください。
別名 (異なる名前で呼ばれることもあります)
各ウイルス対策ソフトウェア ベンダにより、この悪意のあるソフトウェアについて異なる名前が使用されている場合があります。Microsoft Virus Information Alliance (VIA) に参加しているウイルス対策ソフトウェア ベンダにより現在使用されている名前のいくつかを挙げます。
| • | トレンドマイクロ: WORM_ANTINNY.A |
| • | マカフィー: W32/Antinny.worm |
| • | シマンテック: W32.HLLW.Antinny |
Microsoft Virus Information Alliance (英語情報) についての詳細をご覧ください。
技術的な分析
Win32/Antinny は以下のような動作を行う場合があります :
| • | 偽のファイル名で自身のコピーを以下の場所に exe の拡張子で作成します。
| ||||||
| • | レジストリ キーに値を追加します: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | ||||||
| • | .txt または .mp3 の拡張子を持つ %temp% のテキストファイルを作成します。 | ||||||
| • | システム フォルダに次の 3 種類の正しい .dll ファイル をドロップします: unlha32.dll, zip32.dll, and zip32j.dll | ||||||
| • | Winny の Up フォルダに、以下の偽の名前のファイルを置きます。
| ||||||
| • | ビデオを実行または偽の日本語のグラフィックやエラー メッセージを表示する | ||||||
| • | Windows が起動するたびに自動的に実行されるサービスとして、ワーム自身をインストールする |
感染を防ぐ方法
次のステップを行い、コンピュータで感染を防いでください。
| • | コンピュータでファイアウォールを有効にする |
| • | 最新のコンピュータの更新プログラムを入手する |
| • | 最新のウイルス対策ソフトウェアを使用する |
コンピュータでファイアウォールを有効にする
サードパーティのファイアウォール製品を使用するか、または Microsoft Windows XP のインターネット接続ファイアウォールをオンにします。
Windows XP でインターネット接続ファイアウォールをオンにするためには次を行ないます
1. | [スタート] をクリックして [コントロールパネル] をクリックします。 |
2. | [ネットワークとインターネット接続] をクリックして [ネットワーク接続] をクリックします。[ネットワークとインターネット接続] が表示されない場合、[カテゴリの表示に切り替える] をクリックします。 |
3. | 保護する接続を選択して、[この接続の設定を変更する] をクリックします。 |
4. | [詳細設定] をクリックし、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] を選択します。 |
5. | [OK] をクリックします。 |
最新のコンピュータの更新プログラムを入手する
ウイルス、ワームおよびそのほかの脅威が確認されると、更新プログラムはこれらからコンピュータを保護する手助けとなります。コンピュータがオンであり、インターネットに接続している間でも Microsoft Windows XP の自動更新機能を使用して、今後のマイクロソフトのセキュリティ更新プログラムを自動的にダウンロードすることができます。
Windows XP で自動更新をオンにするためには次を行います
1. | [スタート] をクリックして [コントロールパネル] をクリックします。 |
2. | [パフォーマンスとメンテナンス] をクリックします。[パフォーマンスとメンテナンス] が表示されない場合、[カテゴリの表示に切り替える] をクリックします。 |
3. | [システム] をクリックします。 |
4. | [自動更新] をクリックし、[コンピュータを常に最新の状態に保つ] を選択します。 |
5. | 設定を選択します。マイクロソフトは [更新を自動的にダウンロードして、指定したスケジュールでインストールする] を選択し、定期的な更新時間を設定することを推奨します。 |
6. | ステップ 5 で自動更新による通知を選択した場合は、新しいダウンロードがインストール可能な場合、通知のためのバルーンが表示されます。通知のバルーンをクリックして内容を確認してから、更新プログラムをインストールします。 |
最新のウイルス対策ソフトウェアを使用する
ほとんどのウイルス対策ソフトウェアは、既知の悪質なソフトウェアによる感染を検出し阻止します。コンピュータを感染から自動的に保護する手助けとなる最新の定義ファイルで更新されているウイルス対策ソフトウェアを常にコンピュータで実行してください。ウイルス対策ソフトウェアがインストールされていない場合、複数の企業が提供しているものから 1 つを入手してください。詳細情報はhttp://www.microsoft.com/japan/athome/security/downloads/default.mspx をご覧ください。
コンピュータが感染したかどうかを見分ける方法
Win32/Antinny は、以下のような偽のエラー メッセージのダイアログ ボックスを、日本語で表示する可能性があります:
ワームは次のテキストで始まる %temp% のテキストファイルを作成する可能性があります:
" ----------------------------------------------------------------
Trillian v0.74E
September, 2003
http://www.ceruleanstudios.com
RELEASE NOTES
----------------------------------------------------------------
Thanks for downloading Trillian!"
また、ワームは画像やビデオを表示する場合があります。
感染から復旧する方法
手動復旧
手動で Win32/Antinny を復旧することはできません。コンピュータからこのワームを完全に削除するには、最新のウイルス対策ソフトウェアを使用する必要があります。ウイルス対策ソフトウェアを使用してコンピュータを復旧させるために、以下のステップを行なってください。
1. | インターネットから切断します。 |
2. | 最新のウイルス対策ソフトウェアを実行します。 |
3. | 再度の感染を防ぐためのステップをとります。 |
インターネットから切断する
コンピュータが他のコンピュータを感染させないように、インターネットを切断する前にネットワーク ケーブルを抜く、または無線の接続を無効にしてください。ウイルス対策ソフトウェアを実行した後で、インターネットに再接続できます。
最新のウイルス対策ソフトウェアを実行する
コンピュータからこのワームを完全に削除するために、最新のウイルス対策ソフトウェアを実行してください。
再度の感染を防ぐステップ
コンピュータが再度の感染から保護されるまで、インターネットに再度接続しないでください。詳細情報については、「感染を防ぐ」セクションをご覧ください。
感染方法
| 方法 | 説明 |
ファイル コピー | Winny のユーザーにより、ワームのコピーがアップロードおよびダウンロードされる可能性がある |
ソーシャル エンジニアリング | アップロードおよびダウンロードされたワームのコピーに、ランダムな名前がつけられている |
ペイロード情報
| ペイロードの種類 | トリガ | 説明 | ||||||||
ファイルの作成 | 実行 | 以下のファイルをドロップする場合があります
| ||||||||
表示 | 実行 | ビデオ、グラフィック、または偽の日本語のエラー メッセージを表示する |