Winnyなどのファイル交換ソフトによって媒介し、それらのネットワーク上で起こる情報漏えいの原因となっている、
Antinny系のウィルス(通称:暴露ウィルス)の動作概要をまとめました。利用の増加が予測されるゴールデンウィーク期間中、 Winny・Shareユーザへの注意喚起を目的に作成しています。
Antinnyには非常に多くの亜種が存在しています。今回紹介するものはあくまで一例として参考にしてください。
Antinnyの行動概要
Antinny は、Winny, Share といった P2P 型のファイル共有ソフトを通じて媒介します。この Antinny に感染すると、
コンピュータ内のファイル(文書ファイルやメールなど個人情報の意味合いが強いデータ)が1箇所にまとめられ、
それらを勝手に共有(=アップロード)するようにWinny、Share の設定が書き換えられます。
◆ Antinny の基本動作例 ◆ |
|
コンピュータに Winny あるいは Share がインストールされていることを確認 |
↓ |
ハードディスク上から個人情報を収集して1つのファイルに圧縮 |
↓ |
さらに圧縮ファイルに自分自身(Antinny)を添付して感染拡大を図る |
↓ |
そのファイルが共有されるよう設定の書換えを行う |
Antinnyは、Internet
Explorer(ブラウザ) や Outlook Express(メールソフト) と同じプログラムの1種に過ぎないため、 実行しない限り、上記のような感染活動は行われません。しかしながら、Winny,
Share ユーザの関心を引く個人情報・機密情報の中に Antinny自身(の分身)を紛れ込ませたり、アイコンを偽装してフォルダに見せかけることで、利用者のクリック(=Antinnyの実行)を巧みに誘います。
今回紹介している Antinny は、個人情報および Antinny 自身を拡散する手段として Winny, Share の共有機能を用いています。そのため、例え
Antinny に感染したとしても Winny, Share を起動しなければ情報が流出することはありません。
※ いわゆる「山田オルタナティブ」のように、個人情報の拡散に Winny, Share を必要としないものも存在します。
ここからAntinny の一種を例として解析し、その挙動について解説します。解析ツールとして、
datarescue社の
IDA Proおよび
OllyDbgを用いています。
◆ 解析対象ファイル ◆
- ファイル名: 新しいフォルダ.scr (他、10種類のファイル名を持つ)
- サイズ : 296,448 Bytes
- ハッシュ : 44957cd7ef40c55cdc991d3c07b2493c
<図1>
この Antinny は、UPX
と呼ばれる実行可能ファイル専用の圧縮ソフトで圧縮されています。 PEiDと呼ばれるファイルスキャナなどで、圧縮されていることを確認することができます<図1>。
<図2>
UPX は、それ単体で展開が可能です。コマンドラインから
upx -d 新しいフォルダ.scr
と実行することで圧縮が解除された、元の実行ファイルを得ることができます。出力された実行ファイルを
PEiD で再度チェックすると「Borland Delphi 6.0 - 7.0」と表示されることから<図2>、開発環境
Delphiで作成されたものであることが分かります。
初回起動チェック
Antinny は、まず最初に Windows ディレクトリの win.ini に、以下のパラメータが追加されていることを確認します。
[殺人]
殺意=1
この値の有無で処理が分岐されます(値が見つからなければ「Antinnyが初めて実行された」、値が見つかれば「Antinnyが既に実行された」)。
◆ 値が存在しない(Antinnyが初めて実行された)場合 ◆
- Antinny と同じフォルダに、自身のコピー "殺人.scr" を作成します
- win.ini に以下のパラメータを追加します
[殺人]
殺意=1
- 作成したばかりの "殺人.scr" を実行します。(この "殺人.scr" は、次に述べる「値が存在する(Antinnyが既に実行された)場合」の処理を実行します)
- 偽のエラーメッセージ「無効なポインタ操作」を表示して終了します
◆ 値が存在する(Antinnyが既に実行された)場合 ◆
自分自身のファイル名が "殺人.scr" であることをチェックします。"殺人.scr" であれば悪性ルーチンに分岐し、そうでなければ偽のエラーメッセージ「無効なポインタ操作」を表示して終了します。
情報漏洩
◆ 個人情報を含むファイルの収集 ◆
対象PCに接続されている全てのハードディスクドライブから、以下の拡張子を持つファイルを検索します。
.doc (Microsoft Word 形式のファイル)
.xls (Microsoft Excel 形式のファイル)
.mdb (Microsoft Access 形式のファイル)
.ppt (Microsoft PowerPoint 形式のファイル)
.dbx (Microsoft Outlook Express 形式のデータ保存ファイル)
.eml (同上)
◆ 圧縮ファイルの作成 ◆
Antinny は、Windows フォルダに Up というディレクトリを作成し、そこに複数の文書ファイルとリネームされた自分自身(Antinny)を圧縮した、
1つのzipファイルを作成します。圧縮ファイル名は以下のいずれかが用いられます。
C:\Windows\Up\[殺人] <ユーザ名>(yyyymmdd-hhmmss)のキンタマ.zip
C:\Windows\Up\[写真集][IV] <ユーザ名>(yyyymmdd-hhmmss)のアルバム.zip
C:\Windows\Up\[殺人] <ユーザ名>(yyyymmdd-hhmmss)のメール.zip
※<ユーザ名> には Windows にログインしているユーザ名が入ります。
※yyyymmdd-hhmmss にはファイルの作成日時が入ります。
※上記はWindowsフォルダが C:\Windows\ の場合です。
また、圧縮ファイルに含まれる Antinny は、以下のようなファイル名にリネームされます。
倖田來未.scr /
エロ.scr /
新しいフォルダ.scr /
結婚式.scr /
出産.scr /
ネトゲ.scr /
株取引.scr /
オレンジレンジ.scr
P2Pアプリケーションの検出
Antinnyは、システムドライブを対象に、以下のパスに Share か Winny がインストールされているかを調べます。
\Program Files\Share\Share.exe
\Share\Share.exe
\Program Files\Share10_ex2\Share.exe
\Share10_ex2\Share.exe
\Program Files\Share10_a82\Share.exe
\Share10_a82\Share.exe
\Program Files\Winny2\winny.exe
\Winny2\Winny.exe
\Program Files\Winny\Winny.exe
\Winny\Winny.exe
\Program Files\winny2b71\Winny.exe
\winny2b71\Winny.exe
Share または Winny が見つかれば、そのフォルダに格納されている設定ファイルをチェックします。
◆ Shareが見つかった場合 ◆
- folder.ini に記述されているアップロードフォルダの設定を変更します
[UpFolder1]
Path=C:\< Windowsディレクトリ>\Up\
- Share が起動されている場合は、Shareを強制終了します
◆ Winnyが見つかった場合 ◆
- UpFolder.txt に記述されているアップロードフォルダの設定を変更します
[BBS]
Path=C:\< Windowsディレクトリ>\Up\
Trip=yyyymmdd-hhmmss
この変更により、個人情報を含む圧縮ファイルが Winny または Share を通じて公開されます。