新ウイルス「仁義なきキンタマ」まとめページ（仮）

新しく入った情報

東京医科歯科大病院、Winnyで患者50名分の検査結果を流出
 【社会】"猛威" ウィルス感染、「Ｗｉｎｎｙ（ウィニー）」で患者情報が流出…東京医科歯科大病院
Yahoo!ニュース - 時事通信 - 「ウィニー」で診察データ流出＝医師のパソコン感染－鳥取赤十字病院
http://headlines.yahoo.co.jp/hl?a=20050401-00000529-jij-soci

Yahoo!ニュース - 読売新聞 - 鳥取赤十字病院で患者６３人分の診療記録が流出
http://headlines.yahoo.co.jp/hl?a=20050401-00000406-yom-soci

Yahoo!ニュース - 毎日新聞 - ＜電子カルテ＞小児科６０人分ネット流出　鳥取赤十字病院
http://headlines.yahoo.co.jp/hl?a=20050401-00000013-mai-soci

【医療】ｗｉｎｎｙにより、鳥取赤十字病院で患者６３人分の診療記録が流出！
http://live14.2ch.net/test/read.cgi/wildplus/1112327213/

(ﾉ∀`) ｱﾁｬｰ

マカフィー対応？

568 ：[名無し]さん(bin+cue).rar ：2005/03/31(木) 11:48:09 ID:xBSSKqtV0
バカフィー漸く仁義キンタマに対応したかよ
手元にあるやつで試したら
W32/Generic.Delphi.b
として検出された

また亜種ですか？

685 ：[名無し]さん(bin+cue).rar ：2005/04/04(月) 01:50:40 ID:Jkgx58RN0
Trojan.Upbitの亜種（？）
PASSのついたzipをnyに流すやつ
[72u1m1m3o0E]+[日付データを逆から10桁の数字]+[ユーザー名].zip
（中はbmpとtxt。SSとリスト？）の形式。

不特定多数に公開はされないが、ｳｲｽｽ制作者だけが検索（地引）しうるファイル名をつけて
自動的にうｐさせ、地引で落とし自分だけが知っているPASSで解凍することができる、のか？

誰か、pass知ってる人がいたら、PASS教えてください。

観戦してしまって、自分の情報の入ったzipがあるんだがPASS付zipで、何が晒されたのかがわからない・・

仁義なきキンタマがACCSにDoS攻撃？
650 ：[名無し]さん(bin+cue).rar ：2005/04/03(日) 00:27:44 ID:ieWgCnHO0
そういえば、仁義なき～シリーズは
例のac●sにもDoSアタックをかけてるそうだ
しかも、わざわざ変更したwww2側にも、とのことだね。うーむイタチゴッコというか
さすがに仁義なき～だね。ちょうどばら撒きが始まった時期とwww2への変更公表は
同時期ぐらいなんだっけか。

ttp://altba.com/bakera/hatomaru.aspx/ebi/topic/2224

698 ：[名無し]さん(bin+cue).rar ：2005/04/04(月) 21:05:24 ID:vwc5QAy40

Trojan.Sientok
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sientok.html

次の Web サイトに複数の HTTP リクエストを送信することにより、サービス拒否攻撃を仕掛けます。
www2.accsjp.or.jp
www3.accsjp.or.jp
www0.accsjp.or.jp
www1.accsjp.or.jp
ww2.accsjp.or.jp
ww3.accsjp.or.jp
2www.accsjp.or.jp
accsjp.or.jp
www.accsjp.or.jp

バスター関連

322 ：[名無し]さん(bin+cue).rar ：2005/03/24(木) 17:22:38 ID:2PNrAOKw0
>>318
バスターキタ～～。パターン2.512.00

欄検眼段＝TROJ_ANTINNY.C
仁義なきキンタマ＝
　　TROJ_UPBIT.A
　　WORM_ANTINNY.AB
　　WORM_ANTINNY.AD

これにてバスターの対応は終了(のハズ

ウイルス対策ソフトの対応状況

トレンドマイクロ（ウイルスバスター）→初代をTROJ_UPBIT.A、亜種をANTINNY.AB・ANTINNY.ADとして対応。
インテリジェントウェイブ（ウイルスチェイサー）→？
NOD32→対応？
Mcafee（ＰＣセキュリティスイート等）→W32/Generic.Delphi.b として対応。
ALWIL Software（avast!）→？
シマンテック（Norton等）→W32.Antinny.Kとして検知。
その他→不明。大手が対応すれば追従するだろうと思われる。

ココの情報は古いので、もう既に対応している可能性もあります。

924 ：[名無し]さん(bin+cue).rar ：2005/03/21(月) 10:53:21 ID:olKlvWPx0
先生、3/20のインテリアップデートでも無反応（ﾟДﾟ)y─┛~~
検体送ってるよな？　同時多発送りつけしないと緊急性認めないか？

　バスターだと仁義なきキンタマは確実にヒットすると誤解している
ページが多いけど、現段階(3/18 Pattern 2.504.00)では確認されている
仁義のうちCRC32:BEC3828Bを(少なくてもonline scanでは)検知しません。
♪まとめページの人はそこのところ～うまく～つたえてぇぇ～♪

　ただしNOD32など日本でマイナーなソフトがantinny.ADとして検知を開始
しているので、業界の横のつながりがあれば対応できるんじゃないかなぁ。

ちなみにNOD32の対応はNOD32定義ファイル: 1.1029 (20050318)から。

NOD32アンチウイルス　
390 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/18 06:22:58
とりあえず報告
仁義リスティックでNewHeur_PEとして検出

398 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/18 11:45:03
うｐ
http://www.imgup.org/file/iup14080.png

414 名前：名無しさん＠お腹いっぱい。　投稿日：05/03/19 00:15:10
もうちょっとウィルス提出が楽になればなぁ

シマンテック関連

「仁義なきキンタマ」の名前が変更になりました

＞いわゆる初代「仁義なきキンタマ」シリーズ(亜種を含めて３つ)
＞W32.HLLW.Antinny.G
＞
＞書き換えと思しきもの
＞「仁義なき市原憲克」シリーズ(二種類)
＞W32.HLLW.Antinny.G
＞
＞「仁義あるキンタマ」(無変更)
＞W32.Antinny.K

「仁義なきキンタマ」とは

ファイル共有ソフトWinnyを悪用したウイルスです。
感染すると以下の情報がWinnyのネットワーク上に流出します。

基本は歴代Antinyとほぼ同じで、デスクトップの画像を自動的にキャプチャしてWinnyのUPフォルダに放り込みます。
が、今回のウイルスは以下のファイルも流出させるのが特徴です。

IEのCookie
OEのメール送受信履歴
ExcelやWordのファイル
Hotmailの情報
Winnyでの検索履歴
WinMX共有ファイル名
tab1.txt
tab2.txt
kakikomi.txt

詳細は今のところ不明です。

影響を受けると思われる環境

OSはWindows2000/WindowsXP
↑の条件を満たしており、Winnyを使っている。
怪しいEXEを踏んだと思われるマシン。

ただし、例外もあります。

Winnyは使っているが、UP0化している。
感染はしているが、Winnyは使っていない。

感染ルートや症状

以下のコピペに詳しく書かれています。

■感染ルート
・nyあるいはそれ以外の方法でサイズ829,440の「新しいフォルダ　　　　　　.exe」を踏んで感染。
・セキュリティレベルが低いと同梱htmlで作動させ感染。
■主な症状（感染確認方法）
・C:\WINDOWS\system32\drivers\svchost.exe
　C:\WINDOWS\system32\wbem\　　　　　.exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　にsvchost.exeが登録される。

以下のファイル名でWinnyのネットワーク上に流出します

[仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
[仁義なきキンタマ] ○○のドキュメント.zip

○○の部分には、感染したユーザーのユーザー名などが入り（例：Owner）、
括弧内には、感染した年月日-時間と分という感じで入ります。　例：(050317-0037)

ちなみに、zipファイルには重要な個人情報が入っている可能性があります。当然、悪用は厳禁ですよ。
他人のIDやパスワードを使ってログインしようとした時点で（他人のIDとパスでサーバーに接続した時点で）、それは不正アクセスに当たります。
また、zipの中には「新しいフォルダ　　　　　　　　　　　.exe」というようなファイルがある場合がありますが、
それはウイルス本体なので、踏むと感染します。取り扱い注意！
それでもうっかり感染しちゃった人には「（･∀･）うぇ～る　か～む♪」と一声かけて、励ましてあげてください。

感染した例

実際にWinnyのネットワーク上で入手したファイルです。感染するとこのようなファイルが流出します。

感染したマシンのデスクトップ画像
※縮小してモザイクをかけています。問題があれば削除します。

落としたファイルについて

質問：拡張子「dbx」のファイルを見る方法は？

回答：http://www.asahi-net.or.jp/~tz2s-nsmr/dbxview.html

感染してしまったら

まず、Winnyを終了させましょう。被害を拡大させない為にも、まずはファイルの流出元を断ち切ることです。
ケーブルを抜いてネットワークから切り離すという方法でもいいです。

続いて、自己責任で駆除をしましょう。

svchost.exeについて

「仁義なきキンタマ」は、svchost.exeという名前で活動をします。
svchost.exeは、普通にWindowsを動かしていれば複数個動いていてもまったく問題ありません。

そのために、誤ってWindowsの作動に必要なsvchostを削除してしまうという人が後を絶ちません。
そこで、ウイルス本体と無害なsvchost.exeの見分け方を書いておきます。

まず、Ctrl+Alt+Delでタスクマネージャーを開いてください。
次にプロセスタブを開きます。
すると、svchost.exeというのが動いていると思います。
そのときに、そのsvchost.exeを動かしているのが誰なのかを見てください。
svchost.exeの右隣にある文字がそれです。
それが、「SYSTEM」、「NETWORK SERVIVE」、「LOCAL SERVICE」などなら問題はありません。
しかし、実行しているユーザー名が感染しているマシンのユーザー名（Ownerなど）の場合だと、
それは「仁義なきキンタマ」である可能性があります。
それだと思われるプロセスを見つけた場合は、そのプロセスをクリックして「プロセスの終了」をクリックしてください。
警告がでると思いますが、「はい」を押してください。そして、下記の駆除を行ってください。

駆除方法

対応済みのウイルス対策ソフトの導入をオススメします。

手動で駆除する場合は、以下のコピペを参考にして、自己責任でお願いします。

Ctrl+Alt+Deleteでタスクマネージャーを表示
svchost（ユーザー名で実行されている物）のプロセスを切る。
C:\WINDOWS\system32\drivers\svchost.exeを削除。↑をしないと実行中の為、削除不可
スタートボタン→ファイル名を指定して実行「Msconfig」→スタートアップ→Svchost.exeのチェックをOFF（場所がwindows\drivers-autoとなっているの分かりやすい）orレジストリエディタでHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにsvchost.exeの値を削除
C:\WINDOWS\Msnie にあるexeを削除
C:\WINDOWS\system32\wbem にあるexeを削除
・・・などばらまかれたexeを削除

（転載元：http://nemoba.seesaa.net/article/2479117.html）

予防・対策

怪しいEXEは踏まない
仁義ウイルスが生成したZIPファイルの取り扱いには厳重に注意すること
OE以外のメーラーを使う
アップフォルダに変なファイルが追加されていないか確認
ZIPファイルを開くときはWinRARなどの中身が確認できる解凍ソフトを使う
エクスプローラーの表示は「詳細」に
シングルクリック設定をやめて、ダブルクリック設定に（うっかり開いてしまう確立が大幅に下がります）

その他

「きｍす」関連についてUPしました。ここに書くと長くなりそうなので別ページにまとめておきました。
問題がありましたらご連絡ください。対処いたします。