苺きんたま対策(仮) 鋭意放置中

Counter
            ┏━━━━━━━━━━━┓
            ┃ _;;-==ェ;、   ,,,,,,,,,,,,,,,_  ┃
            ┃"-ー:ェェヮ;::) f';;_-ェェ-ニ. ┃            / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
            ┃    ̄´.::;i,  i `'' ̄     ┃            | インスパイヤされて更新した。
            ┃     イ;:'  l 、.      ┃            | 一年近く放置していた。
            ┃  .:/ ゛'''=-='''´`ヽ.    ┃           < 今では反省している。
     ┃      ┃    ===' '===''`    ┃      ┃     | 次回の更新は来年になると思う。
     ┃      ┃     `::=====::"       ┃      ┃      \____________
    ┗━━━━╋━━━━━━━━━━━╋━━━━┛
           ┃                  ┃
        ━━┛                  ┗━━
2004年秋、2chを震撼させた新種のウィルス(トロイの木馬)。
その動作のイヤラシさと最初に発見されたサイト名から[苺きんたま]と呼称されたウィルスによるお祭りの残滓です。
現在は各アンチウィルスソフトで対策されていますし、標的(?)となったサーバーにも投稿は出来ない状態ですので新種が出現しない限りこのサイトの更新はないでしょう。
なお、同年3月頃よりWinnyで流行しているきんたまウィルスとの関連はない模様です。その後流行していた山田とか田中とか言うのは知りません。

背景画像は作者様の許可を得て使用させていただいておりますので、
転載、使用等したい場合は作者様にご相談ください。


感染した場合の症状

・動作が重くなる
・しらないプロセス、タスクがある。
自分のパソコンのスクリーンショットが公開される。(概ね6分間隔)
つまりメールアドレスや本名、住所などの個人情報が流出する恐れがある。
この症状のお陰で、とても人には見せられないデスクトップを公開されちゃう人が続出。大騒ぎとなりました。
現在ではこのオリジナル苺きんたまによる被害は、動作が重くなるという点だけとなっているはずです。

発病条件

ネット上の怪しげなファイルをダウンロードし、その中のEXEファイル(実行形式ファイル)を実行することで発病、感染します。
・(写真集) (ロリータ) 水原友里.exe
・(写真集) (ロリータ) 相田香奈子.exe
・コピー 〜 (写真集) (ロリータ) 河瀬菜美.exe
・patch.exe (スカッとゴルフ パンヤのチートツールを装っています)
・女神様に注意!.exe
・gazo.exe
・ftIndexer002.exe (au by KDDI EZムービー・EZ「着うた(R)」にて確認)
・ちーぽんのエロ画像.exe
・烏丸ちとせ その1.exe
・烏丸ちとせ その2.exe
というファイル名確認が確認され、いずれもアイコンはフォルダとなっていました。
見ての通り恥ずかしいファイル名が多く、特に最初期には上の3つだけしか確認されていなかったため感染者に対する同情的な発言も非常に少なかったと記憶しています。

・EXEファイルはフォルダやテキストなど、無害なアイコンを装っていることがあります。
・OSの設定でファイルの拡張子を表示しないようにしている場合は.exeが見えません。

苺きんたまに限らず、セキュリティを確保しようという意識が多少でもあれば、拡張子くらい表示しましょう。
あなたのパソコンは、あなたが管理者です。


感染確認方法

・タスクマネージャ等で[shellsystem.exe]というプロセスが無いか確認してください。
・Windowsがインストールされているフォルダ( C:\windows や C:\winnt )以下に[shellsystem.exe]というファイルがないか確認してください。
無ければたぶん大丈夫です。
亜種については感染例が少なくほとんど流通していないので大丈夫だと思いますが、念のため[sugoimonoss.com]も見てください。

亜種情報

インターネット上で確認されたファイル名は[1095925509796_AreTool25.zip]、ラグナロクオンライン関係のツールを装っています。
実行ファイルは[config.txt]でファイルサイズは683KB。.txtの後ろに大量の空白があり、MS-DOSファイル名はCONFIG~1.EXEとなっています。
Windows95で実行してみましたが、ファイルの作成、レジストリの追加に関しては[shellsystem.exe]を[sugoimonoss.com]に変えただけのものと思われます。

駆除方法

1:04/09/23 20:32:59
トロイ発見ソフト「ewido security suite」は亜種も検出します。
http://www.ewido.net/en/
   _、_
 ( く_,` )     n
 ̄    \   ( E) Good Job !!
フ ewido /ヽ ヽ_//

写:04/09/24 09:43:28(個別対応パッチ 04/09/23 17:24:35)
Symantec社が苺きんたま(Trojan.Upchan)対応のパターンファイルを公開しました。
プロセス名[sugoimonoss.com]に変更された亜種にも対応したようです。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.upchan.html

写:04/09/24 10:49:17
http://www.caj.co.jp/etrust/antivirus/が対応したみたい。
eTrust Antivirus/eTrust InoculateIT Engine 6.0
23.66.63  WIN32/2CH  DETECTION/SYSTEM CURE

Kaspersky Anti-Virus Personalが[Backdoor.Win32.Delf.rn]として亜種にも対応したらしい。
McAfeeがDAILY DATで[Uploader-T]として対応したって噂。
AVG Anti-Virus http://www.grisoft.com/ で亜種を発見できるとの情報がありますが、これは妙な名前の実行ファイルに反応しているだけですので名前が変更されていたり、感染した後には役に立たないと思われます。
大:04/09/27 19:20:4(β版 04/09/27 18:20:43)
Trendmicro社がパターンファイル 2.182.00 で[TROJ_UPCHAN.A]として対応しました。
亜種については検出できません。

BitDefender、NOD32、avast! 対応。締め切り。(9/28)
私が愛用しているAVG Freeも対応しました。お陰で苺きんたまコレクションを半分くらい削除されてしまいましたが。

手動駆除方法
この方法は完全なものとは限りませんし、間違った操作でOSを破壊する恐れもあります。
もし壊れても知ったこっちゃないので。

・パソコンをセーフモードで再起動し、OSのインストールされているフォルダ(C:\windowsやC:\winnt等)以下の[shellsystem.exe]を削除する。(削除できない場合は※参照)
終わり。

レジストリにゴミが残るので、嫌な人はそれも削除します。きっとゴミだらけなので気にするほどのもんじゃありません。
・スタートメニューの[ファイル名を指定して実行]からregeditを使用し、[shellsystem.exe]を検索、削除する。
[なんとか\かんとか\Run] にあります。
[なんとか\かんとか\FilesNamedMRU]にあるのは検索履歴なので気にしません。

※ファイルが削除できない場合
http://www.yahoo.co.jpへ行き、[exe ファイル 捨てたい]を検索してください。


苺きんたまファイルの詳しい情報はこっち。

                \ │ /
                 / ̄\   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
               ─( ゜ ∀ ゜ )< きんたまきんたま!
                 \_/   \_________
                / │ \
                    ∩ ∧ ∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\∩ ∧ ∧ \( ゜∀゜)< きんたまきんたまきんたま!
    きんたま!   >( ゜∀゜ )/ |    / \__________
________/ |    〈 |   |
              / /\_」 / /\」
               ̄     / /

当時の関連スレッド。検索すればログくらいは出てきます。
・半角二次元板
アップローダー exe ファイル 捨てたい
http://idol.bbspink.com/test/read.cgi/ascii2d/1095955410/
苺ウィルスに新しい名前付けて擬人化しようぜ!
http://idol.bbspink.com/test/read.cgi/ascii2d/1095869195/

・セキュリティ板
ウィルス情報&質問 総合スレッド☆Part24
http://pc5.2ch.net/test/read.cgi/sec/1094383672/
苺 き ん た ま
http://pc5.2ch.net/test/read.cgi/sec/1095928547/

・Download板
【警報】Winnyを狙ったワーム・ウイルス情報 Part27
http://tmp4.2ch.net/test/read.cgi/download/1095939735/
【警報】Winnyを狙ったワーム・ウイルス情報 Part26
http://tmp4.2ch.net/test/read.cgi/download/1094872215/

・ガイドライン
exe ファイル 捨てたい のガイドライン
http://that3.2ch.net/test/read.cgi/gline/1095873352/