×

[PR]この広告は3ヶ月以上更新がないため表示されています。ホームページを更新後24時間以内に表示されなくなります。

新ウイルス「仁義なきキンタマ」まとめページ(仮)


新しく入った情報

東京医科歯科大病院、Winnyで患者50名分の検査結果を流出
【社会】"猛威" ウィルス感染、「Winny(ウィニー)」で患者情報が流出…東京医科歯科大病院
Yahoo!ニュース - 時事通信 - 「ウィニー」で診察データ流出=医師のパソコン感染−鳥取赤十字病院
http://headlines.yahoo.co.jp/hl?a=20050401-00000529-jij-soci

Yahoo!ニュース - 読売新聞 - 鳥取赤十字病院で患者63人分の診療記録が流出
http://headlines.yahoo.co.jp/hl?a=20050401-00000406-yom-soci

Yahoo!ニュース - 毎日新聞 - <電子カルテ>小児科60人分ネット流出 鳥取赤十字病院
http://headlines.yahoo.co.jp/hl?a=20050401-00000013-mai-soci

【医療】winnyにより、鳥取赤十字病院で患者63人分の診療記録が流出!
http://live14.2ch.net/test/read.cgi/wildplus/1112327213/

(ノ∀`) アチャー


マカフィー対応?

568 :[名無し]さん(bin+cue).rar :2005/03/31(木) 11:48:09 ID:xBSSKqtV0
バカフィー漸く仁義キンタマに対応したかよ
手元にあるやつで試したら
W32/Generic.Delphi.b
として検出された


また亜種ですか?

685 :[名無し]さん(bin+cue).rar :2005/04/04(月) 01:50:40 ID:Jkgx58RN0
Trojan.Upbitの亜種(?)
PASSのついたzipをnyに流すやつ
[72u1m1m3o0E]+[日付データを逆から10桁の数字]+[ユーザー名].zip
(中はbmpとtxt。SSとリスト?)の形式。

不特定多数に公開はされないが、ウイスス制作者だけが検索(地引)しうるファイル名をつけて
自動的にうpさせ、地引で落とし自分だけが知っているPASSで解凍することができる、のか?

誰か、pass知ってる人がいたら、PASS教えてください。

観戦してしまって、自分の情報の入ったzipがあるんだがPASS付zipで、何が晒されたのかがわからない・・


仁義なきキンタマがACCSにDoS攻撃?
650 :[名無し]さん(bin+cue).rar :2005/04/03(日) 00:27:44 ID:ieWgCnHO0
そういえば、仁義なき〜シリーズは
例のac●sにもDoSアタックをかけてるそうだ
しかも、わざわざ変更したwww2側にも、とのことだね。うーむイタチゴッコというか
さすがに仁義なき〜だね。ちょうどばら撒きが始まった時期とwww2への変更公表は
同時期ぐらいなんだっけか。

ttp://altba.com/bakera/hatomaru.aspx/ebi/topic/2224


698 :[名無し]さん(bin+cue).rar :2005/04/04(月) 21:05:24 ID:vwc5QAy40

Trojan.Sientok
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.sientok.html

次の Web サイトに複数の HTTP リクエストを送信することにより、サービス拒否攻撃を仕掛けます。
www2.accsjp.or.jp
www3.accsjp.or.jp
www0.accsjp.or.jp
www1.accsjp.or.jp
ww2.accsjp.or.jp
ww3.accsjp.or.jp
2www.accsjp.or.jp
accsjp.or.jp
www.accsjp.or.jp


バスター関連

322 :[名無し]さん(bin+cue).rar :2005/03/24(木) 17:22:38 ID:2PNrAOKw0
>>318
バスターキタ〜〜。パターン2.512.00

欄検眼段=TROJ_ANTINNY.C
仁義なきキンタマ=
  TROJ_UPBIT.A
  WORM_ANTINNY.AB
  WORM_ANTINNY.AD

これにてバスターの対応は終了(のハズ


ウイルス対策ソフトの対応状況

トレンドマイクロ(ウイルスバスター)→初代をTROJ_UPBIT.A、亜種をANTINNY.AB・ANTINNY.ADとして対応。
インテリジェントウェイブ(ウイルスチェイサー)→?
NOD32→対応?
Mcafee(PCセキュリティスイート等)→W32/Generic.Delphi.b として対応。
ALWIL Software(avast!)→?
シマンテック(Norton等)→W32.Antinny.Kとして検知。
その他→不明。大手が対応すれば追従するだろうと思われる。

ココの情報は古いので、もう既に対応している可能性もあります。

924 :[名無し]さん(bin+cue).rar :2005/03/21(月) 10:53:21 ID:olKlvWPx0
先生、3/20のインテリアップデートでも無反応(゚Д゚)y─┛~~
検体送ってるよな? 同時多発送りつけしないと緊急性認めないか?

 バスターだと仁義なきキンタマは確実にヒットすると誤解している
ページが多いけど、現段階(3/18 Pattern 2.504.00)では確認されている
仁義のうちCRC32:BEC3828Bを(少なくてもonline scanでは)検知しません。
♪まとめページの人はそこのところ〜うまく〜つたえてぇぇ〜♪

 ただしNOD32など日本でマイナーなソフトがantinny.ADとして検知を開始
しているので、業界の横のつながりがあれば対応できるんじゃないかなぁ。

ちなみに
NOD32の対応はNOD32定義ファイル: 1.1029 (20050318)から。

NOD32アンチウイルス 
390 名前:名無しさん@お腹いっぱい。 投稿日:05/03/18 06:22:58
とりあえず報告
仁義リスティックで
NewHeur_PEとして検出

398 名前:名無しさん@お腹いっぱい。 投稿日:05/03/18 11:45:03
うp
http://www.imgup.org/file/iup14080.png

414 名前:名無しさん@お腹いっぱい。 投稿日:05/03/19 00:15:10
もうちょっとウィルス提出が楽になればなぁ


シマンテック関連

「仁義なきキンタマ」の名前が変更になりました

>いわゆる初代「仁義なきキンタマ」シリーズ(亜種を含めて3つ)
W32.HLLW.Antinny.G

>書き換えと思しきもの
>「仁義なき市原憲克」シリーズ(二種類)
W32.HLLW.Antinny.G

>「仁義あるキンタマ」(無変更)
W32.Antinny.K


「仁義なきキンタマ」とは

ファイル共有ソフトWinnyを悪用したウイルスです。
感染すると以下の情報がWinnyのネットワーク上に流出します。

基本は歴代Antinyとほぼ同じで、デスクトップの画像を自動的にキャプチャしてWinnyのUPフォルダに放り込みます。
が、今回のウイルスは以下のファイルも流出させるのが特徴です。

詳細は今のところ不明です。


影響を受けると思われる環境

ただし、例外もあります。


感染ルートや症状

以下のコピペに詳しく書かれています。

■感染ルート
・nyあるいはそれ以外の方法でサイズ829,440の「新しいフォルダ      .exe」を踏んで感染。
・セキュリティレベルが低いと同梱htmlで作動させ感染。
■主な症状(感染確認方法)
・C:\WINDOWS\system32\drivers\svchost.exe
 C:\WINDOWS\system32\wbem\     .exeを作成。
・C:\Documents and Settings\ユーザー名\Local Settings\Temp\jktemp\upにupフォルダ作成される。
・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 にsvchost.exeが登録される。

以下のファイル名でWinnyのネットワーク上に流出します

[仁義なきキンタマ] ○○のデスクトップ(******-****).jpg
[仁義なきキンタマ] ○○のドキュメント.zip

○○の部分には、感染したユーザーのユーザー名などが入り(例:Owner)、
括弧内には、感染した年月日-時間と分という感じで入ります。 例:(050317-0037)

ちなみに、zipファイルには重要な個人情報が入っている可能性があります。当然、悪用は厳禁ですよ。
他人のIDやパスワードを使ってログインしようとした時点で(他人のIDとパスでサーバーに接続した時点で)、それは不正アクセスに当たります。
また、zipの中には「新しいフォルダ           .exe」というようなファイルがある場合がありますが、
それはウイルス本体なので、踏むと感染します。取り扱い注意!
それでもうっかり感染しちゃった人には「(・∀・)うぇ〜る か〜む♪」と一声かけて、励ましてあげてください。


感染した例

実際にWinnyのネットワーク上で入手したファイルです。感染するとこのようなファイルが流出します。

感染したマシンのデスクトップ画像
※縮小してモザイクをかけています。問題があれば削除します。


落としたファイルについて

質問:拡張子「dbx」のファイルを見る方法は?

回答:http://www.asahi-net.or.jp/~tz2s-nsmr/dbxview.html


感染してしまったら

まず、Winnyを終了させましょう。被害を拡大させない為にも、まずはファイルの流出元を断ち切ることです。
ケーブルを抜いてネットワークから切り離すという方法でもいいです。

続いて、自己責任で駆除をしましょう。

svchost.exeについて

「仁義なきキンタマ」は、svchost.exeという名前で活動をします。
svchost.exeは、普通にWindowsを動かしていれば複数個動いていてもまったく問題ありません。

そのために、誤ってWindowsの作動に必要なsvchostを削除してしまうという人が後を絶ちません。
そこで、ウイルス本体と無害なsvchost.exeの見分け方を書いておきます。

まず、Ctrl+Alt+Delでタスクマネージャーを開いてください。
次にプロセスタブを開きます。
すると、svchost.exeというのが動いていると思います。
そのときに、そのsvchost.exeを動かしているのが誰なのかを見てください。
svchost.exeの右隣にある文字がそれです。
それが、「SYSTEM」、「NETWORK SERVIVE」、「LOCAL SERVICE」などなら問題はありません。
しかし、実行しているユーザー名が感染しているマシンのユーザー名(Ownerなど)の場合だと、
それは「仁義なきキンタマ」である可能性があります。
それだと思われるプロセスを見つけた場合は、そのプロセスをクリックして「プロセスの終了」をクリックしてください。
警告がでると思いますが、「はい」を押してください。そして、下記の駆除を行ってください。

駆除方法

対応済みのウイルス対策ソフトの導入をオススメします。

手動で駆除する場合は、以下のコピペを参考にして、自己責任でお願いします。

Ctrl+Alt+Deleteでタスクマネージャーを表示
svchost(ユーザー名で実行されている物)のプロセスを切る。
C:\WINDOWS\system32\drivers\svchost.exeを削除。↑をしないと実行中の為、削除不可
スタートボタン→ファイル名を指定して実行「Msconfig」→スタートアップ→Svchost.exeのチェックをOFF(場所がwindows\drivers-autoとなっているの分かりやすい)orレジストリエディタでHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにsvchost.exeの値を削除
C:\WINDOWS\Msnie にあるexeを削除
C:\WINDOWS\system32\wbem にあるexeを削除
・・・などばらまかれたexeを削除


(転載元:http://nemoba.seesaa.net/article/2479117.html

予防・対策


その他

「きmす」関連についてUPしました。ここに書くと長くなりそうなので別ページにまとめておきました。
問題がありましたらご連絡ください。対処いたします。

Flash

G-STYLE氏の『仁義なききんたま』

ニュース記事

「弾はまだ残っとるがよ」――2つのマルウェア発生、Winny上で個人データ流出中 (ITMedia)
トレンドマイクロ、「仁義なきキンタマ」「欄検眼段」の検知・駆除に対応 (INTERNET Watch)

過去のキンタマウイルス等

Winnyウィルス(通称キンタマ)リンク集
http://www.geocities.jp/kim_virus/
暫定まとめサイト
http://myui.s53.xrea.com/kin/index.html  [ミラー]
W32.AntiWinny.kintama(仮)
http://chiakis-web.hp.infoseek.co.jp/kintama-v/
Winnyユーザー丸裸キンタマウイルスリンク
http://perape.hp.infoseek.co.jp/column/f00/colm_f42.htm

苺キンタマ等

苺キンタマウイルス祭まとめ
http://planet-d.hp.infoseek.co.jp/matome/2004/ichigokintama.html
苺きんたまきんたま
http://www.geocities.jp/ichigo_kintama/


関連スレッドなど

Winnyを狙ったワーム・ニュイルス情報 Part35
http://tmp4.2ch.net/test/read.cgi/download/1110795819/l50

ニュー速のスレは重複や順番違いなどでゴチャゴチャしております。
こちらで過去ログは全て見られるらしいです。
http://makimo.to/2ch/news19_news/index.html

ヤマイモ木から生えてくる観察ブログ: 仁義なきキンタマ
http://nemoba.seesaa.net/article/2479117.html
こちらの解説もかなりわかりやすいです。駆除方法や「きmす」関連について詳しくかかれています。
感染の疑いがある人はこちらにも目を通してください。


最終更新日:4月4日23時20分頃。
※連絡先→ニュイルススレ or メール
このサイトに載っている情報の正確性を保証することはできません。
by カウンターホテル?