ウイルス詳細

転載元同上

353 名前：某所の人 ◆Y39/vakKjY [sage] 投稿日：2005/12/19(月) 02:16:58 id:wv9kEkI60
平行して解析中。
実行後は
・HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに
　"ANTILO=C:\WINDOWS:ANTILO.exe"を書き込む
・なんだかIMEの辞書ファイルにアクセスしてます。。。。
・３５秒ごとに2chに書き込むような仕組みになっている模様です。
・本体コピーが旨く行ってない？ファイル検索でANTILOを検索してもなし。
・現時点の解析ではとりあえずプロセス殺せばOK
・Windows2000のフォルダアイコンなんでXPは騙されにくいと思う。
・エラー回避が旨く行っていないのか接続できないとエラーメッセージ吐きます
・UAはログ掘りの通りでした。

おまけ：プログラム内の文字列
・おすすめ特別企画まちＢＢＳチャットお絵かき運営案内ツール類他のサイト
正規表現で以下の物
・炉利|炉理|[^ポ]ロリ|小学|中学|ランドセル|子供|幼|わはー|カスミン|すじ|さくらたん|CCさくら

ANTILOの通りロリータ系統のスレを狙ってますね。
今日はこんなもんで勘弁して下さい　orz

371 名前：某所の人 ◆Y39/vakKjY [sage] 投稿日：2005/12/19(月) 13:28:20 id:wv9kEkI60
というわけで、仮想マシンに投入
Win32.Troj.PSWLo.c.324608
で検出される模様。
ここまでの集計
・Symantec対応、ウイルス名不明(緊急定義)
・Mcafee対応、Uploader-AAにて検出(ExtraDat)
・TrendMicro現時点で未対応
・NOD32対応、Win32/Delf.QUにて検出
・AVG対応、Generic.LZXにて検出
・kingsoft対応、Win32.Troj.PSWLo.c.324608
etc....

378 ：某所の人 ◆Y39/vakKjY ：2005/12/20(火) 01:10:21 id:fqUZ4VgH0
一応AntiLoチェッカー作ってみました。
ttp://www.geocities.jp/antiny_virus/
どう見ても急いで作ったようにしか思えませんが一応。
誤爆・バグ等ございましたらメールで。
ここは汚さないようにお願い致します
そして、スレ汚しｽﾏｿorz

手当たり次第に苺は甘い？などアップローダーからアイコン偽装されファイルを落として拡張子を確認しないままダブルクリックしたりしなければ感染はしない模様。
まだあまり検索してもひっかからないなあ。