ドクロウイルス(暫定)

症状
1.Shareでダウンロードするファイル名の1文字目がドクロ(?)に変わる。(下の画像を参照)
2.Shareを終了するとキャッシュが削除される。
3.Shareを起動している最中、SSが公開される。
4.SSを見るには串を通して
 http://自分のIP:Shareのポート番号
 にアクセス。




追記1
ドクロはWinny上でも動作します。
ただし、Winnyではキャッシュ削除のような報告は現在のところありません。

追記2
このページで紹介している駆除方法は初期のものです。
この方法では、場合により別のエラーを引き起こす可能性もあります。
トレンドマイクロやシマンテックがドクロに対応してますので、そちらを参考にして下さい。

トレンドマイクロのウイルス情報『WORM_ANTINNY.AW』
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.AW

シマンテックのウイルス情報『Backdoor.Doroku』
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-backdoor.doroku.html

どちらも オンラインウイルススキャンが可能です。
ただし、検出したウイルスを削除して終わりではありませんので、注意して下さい。

また、通報屋氏のブログ『ニュイルス日誌』にてドクロチェッカーが公開されています。
hpg◆Mf7EUUQl3Q氏のブログ『ひまぐらま』にもドクロスキャンがあります(試したことはありませんが)。

これらを実行した上でなお駆除ができない場合は、下記の方法をお試し下さい。



対処法

1.ProcessExplorerでShareを表示する。
 (ドクロチェッカー等でドクロDLLが判明している場合は、ステップ9へ)


2.下ペインの表示をdllにする。


3.上ペインのShare.exeが選択された状態で、下ペインからProcessExplorerのDLLの説明(Description)、会社名(CompanyName)が記述されてないものを選択する。



4.右クリック→[Strings]



5.Memoryにチェック



6.[Find]で文字列『share.exe』を検索する。



7.該当箇所その1

Content-Type: image/jpeg
Content-Length: %d
Connection: close
HTTP/1.1 200 OK
Winny.exe
Share.exe
この記述があったらほぼ確定

8.該当箇所その2



9.C:\WINDOWS\System32\から該当DLLを削除(セーフモードorシステム復元OFF?)
 セーフモードの起動方法についてはこちらを参考にして下さい。



10.仕上げ
 スタートアップに登録された実行ファイルのどれかが改ざんされているので、修正します。
 下記ページを参照して下さい。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.AW&VSect=Sn



Topへ戻る