2007年9月26日水曜日

山田ウィルスの挙動とバイナリ

●山田オルタナティブ(WORM_ANTINNY.BI、W32.Yawmo)

【主な被害】
・2段階の画質でSSを出力し、他の(´・ω・) カワイソスな香具師へ相互リンク
・アップロードらしきフォームで、コンピュータ上の全HDD上の全ファイルのHTTPでのダウンロードを可能にする

【主な活動】
・Windowsシステムフォルダ内に以下のファイルを作成
* ya_wmp.exe
* winsocks.dll
・"C:\RECYCLER\explorer.exe" というファイルを作成
・C:ドライブ内に "Up" というフォルダを作成
・レジストリ値"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"の中に
 YA_WMP = "\ya_wmp.exe -update"を追加
・ポート80、ポート8080の空き領域を使う
 (そのほかのポートを使う場合もある模様)

【感染確認方法(とりあえず安心程度)】
・タスクマネージャでya_wmp.exeの有無を確認。存在すれば(´・ω・) カワイソス
・C:\RECYCLER\にexplorer.exeが存在すれば(´・ω・) カワイソス
・コマンドプロンプトからnetstat -anoと打ち込み
 Local Addressに80、8000、8080の有無を確認。存在すれば(´・ω・) カワイソス

【感染確認方法(ほぼ確実)】
ttp://www.excite.co.jp/world/english/web/等のウェブページ翻訳可能な翻訳サイトで
以下を入力して翻訳
http://(自分のIP)/C:/
http://(自分のIP):8080/C:/
http://(自分のIP):1080/C:/
http://(自分のIP):8000/C:/
翻訳不可能=見えない(´・ω・) ス
翻訳可能=外部から見える=(´・ω・) カワイソス




あと山田砲について調べる予定
http://ycanon.memebot.com/cgi-bin/YCanon.cgi

http://www.geocities.jp/uesssu/siryou/virus.html
http://www.nurs.or.jp/~jisatsu/bbs/bbs.txt
http://yamada.xxxxxxxx.jp/capture.htm#view
Mell-1-0.11 "1"
Backdoor.Win32.Agent.xs

対処法
→ファイル名を指定して実行→msconfig→スタートアップからそれらしいものを探しチェックを外す


バイナリファイルへ戻すにはvimなどでできます。
流失企業まとめ

0 件のコメント: