ログ解析

Winnyを利用した歴代のウイルス解説

歴代のぬるぽウイルスの情報を掲載します。

2003/08 Antinny

初代のWinnyネットワークを利用したウイルスはAntinnyです、正式名はW32.HLLW.Antinny。 2003年の8月頃からWinnyのネットワークで流通し始め、当時かなり話題になったウイルスです。 HDのファイルを全部消去するWhiterとは違いWinnyのキャッシュフォルダの中身を消去するだけなのでダメージは少ないです、感染力はシマンテックが"中"に指定しています。

その後Antinnyの亜種が次々とWinnyのネットワークを流通することになります。

2004/03/16 Antinny.B

正式名W32.HLLW.Antinny。ダメージは"低"となっています。このウイルスは自分自身をWindowsのメモ帳のアイコンとして表示するため、大変だまされやすくなっています。下記のような感じのファイル名をWinnyで見かけたらこのウイルスの仕業と思っていいでしょう。

ジャイアンのリサイタル.mp3　　　　　　　　　　　　　　　　　　.exe

2004/03/29 Antinny.G 別名キンタマウイルス

まず本題に入る前に事の始まりを説明したいと思います。

事の始まり

Download板のWinnyアニメスレのあるエンコ職人さんが自分のデスクトップをWinnyで
[キンタマ] 俺のデスクトップ.jpgというファイル名で晒したのがそもそもの始まりです。
その後他の職人さん達も自分のデスクトップをWinnyで晒し始めてスレの住民たちはとてもこれを楽しみあっていたのですが、この出来事がAntinny.Gのネタとして使われることになってしまいます。

なぜ"キンタマ"なのかというと最初にデスクトップを晒したエンコ職人がウホッ！でおなじみくそみそテクニックが好きだったからのようです。

本題

Antinnyの亜種。ぬるぽウイルスというよりキンタマウイルスと言ったほうが分かりやすいですね。このウイルスに感染したユーザーのデスクトップ画面をjpegにし、WinnyにUPします。その他にデスクトップに置いているファイルをzipに固めてWinnyにUPします。 [キンタマ] 俺のデスクトップユーザ名 [日付].jpgというファイル名で晒されます。

デスクトップが晒されても痛くも痒くもない人がいれば、人生が傾いてしまうような方もいるようです。シマンテックがダメージを"高"にしているのも納得できます。

3月29日にはK府警のR巡査がウイルスの被害にあわれ機密情報がWinnyに流出してしまうという事件が起こってしまいました。
3月31日には北海道警察の巡査のPCがAntinny.Gに感染してしまい、捜査資料がWinnyに流出するという事件が起こってしまいました。
4月30日には日本郵政公社の職員がWinnyで、郵便物の誤配状況や職員の超過勤務などの一覧表を流出させていたことが発表され、
同日、陸上自衛隊の内部資料がWinnyに流出してしまったことが明らかになりました。
特に京都府警の事件は朝日新聞の夕刊が一面で取り上げていたことが記憶に残っています。

他にも被害にあわれた方がいらっしゃったようです。
TBSのVTR編集のnaoさんは"おちんちんを高速でしごくんだ！"という名言を流行らせてくれました。
プロの絵描きさんである土山にうさんもこのウイルスの被害にあわれてみたいです。この事件の後から土山nyさんと呼ばれるようになったとか。

2004/04/01 Antinny.K

Antinny.Gの亜種です。 Winnyユーザーがいろいろな意味で恐怖するウイルスが登場しました。ユーザーの個人情報をACCS((社)コンピュータソフトウェア著作権協会)に送るというウイルスです。

2004/05/26 Antinny.L

Antinnyの亜種。キンタマウイルスことAntinny.Gとほぼ同等の機能を持ったトロイの木馬型ウイルス。デスクトップのスクリーンショットと個人情報をzipに固めてWinnyにUPします。

2004/08/12 TROJ_NULLPORCE.A

Antinnyシリーズとしてではなく、ヌルポースとして名付けられています。トロイの木馬型のウイルスでシステム時計が11:45 PMで、曜日が水曜日または日曜日にWindowsが起動されるとCドライブ全削除という凶悪な機能を持っています。トレンドマイクロではダメージ度を"高"に設定しています。

2005/03/20 欄検眼段 TORJ_ANTINNY.C

デジカメの画像をWinny上にバラまくウイルス。Winny上の海賊版市販アプリのインストーラーにトロイの木馬が仕込まれていて、そこから感染が拡大した模様。欄検眼段は「DSC*.JPG」というファイルを探し出し、Winnyのアップロードフォルダにコピーする。

有名なファイルには国税専門館のイッチー氏(本名は伏せておきます)のハメ撮り画像や、お嬢様学校で有名な有名私大付属高の少女のハメ撮り画像などがあります。

2005/03/20 仁義なきキンタマ TROJ_UPBIT.A

感染したPCのデスクトップのスクリーンショットやOfficeのドキュメントやOutlookやOEのメールファイル、 2chへのKakikomi.txt、Winnyの検索履歴と共有ファイル名を ZIPにまとめて勝手にWinnyにアップロードしてしまうウイルス。

2005/04/14 山田ウイルス TROJ_MELLPON.A

Download板の友人の山田君からメッセで送られてきたyoujo.exeを踏んで感染したという書き込みから、「山田ウイルス」と呼ばれるようになった。山田ウイルスは感染するとhttpサーバーを立ち上げ感染者のHDD中身やスクリーンシットを参照可能にしたり、2chに自分のリモートホストを書き込もうとします。

2005/10/28 TROJ_DROPPER.NK

「もはや死ぬしかないようだだけどタダでは死にませんクズを1000匹道連れだ喜べお前は ***匹目」というメッセージを表示したり長野県知事の田中氏のスクリーンセイバーを表示させたりします。

2006/01/30 W32.Antinny.AX

PCの起動と共に活動を開始し、Windowsの"システムの復元"機能を無効化し、 DOC、XLS、EML、PPT、DBX、TXT、PDFといった拡張子のファイルや、Wnnyの検索履歴、IEのお気に入りや履歴を ZIPファイルに固めてWinnyに公開するウイルス。

また、毎月1日～6日の間の月曜日になるとACCS(社団法人コンピュータソフトウェア著作権協会)のサイトにDoS攻撃をかけるようになる。

2006/01/30 ドクロウイルス Backdoor.Doroku

WinnyではなくShareで活動するウイルス。感染すると、Shareで流通しているファイルの1文字目がドクロマークになり事からドクロウイルスと呼ばれるようになりました。さらにShareのキャッシュが削除され、Shareが起動している最中はデスクトップのSSが公開されます。

2006/03/03 山田オルタナティブ TROJ_AGENT.AZW

山田ウイルスの亜種です。感染者のほとんどが、エロゲーの"マブラヴオルタネイティブ"をダウンロードしていたため、感染源のファイルが"マブラヴオルタネイティブ"なんじゃないのか？ということで、山田オルタナティブというウイルス名になりました。

感染したPCはWebサーバーとなりHDDの中身をインターネット上に公開します。 WinnyやShareといったP2Pソフトを実行していなくても、感染すればHDDの中身が公開されます。

山田ウイルスと山田オルタナティブ違いはデスクトップだけではなく、HDDを公開する事と、感染者同士で自動的にリンクすることで他の感染者を発見しやすくなる点です。

総合リンク/解説

impress - Winnyを経由して感染するウイルス「Antinny」特集
 impress - 関連記事インデックス本誌記事に見る“Winny流出”
ITmedia - 2006年も止まらない「Winnyで流出」、最新のマルウェア解説

Topページへ戻る
初公開2004/08/29、最終更新2006/04/05

Winnyを利用した歴代のウイルス解説

2003/08 Antinny

関連リンク

2004/03/16 Antinny.B

関連リンク

2004/03/29 Antinny.G 別名キンタマウイルス

事の始まり

本題

関連リンク

2004/04/01 Antinny.K

関連リンク

2004/05/26 Antinny.L

関連リンク

2004/08/12 TROJ_NULLPORCE.A

関連リンク

2005/03/20 欄検眼段 TORJ_ANTINNY.C

関連リンク

2005/03/20 仁義なきキンタマ TROJ_UPBIT.A

関連リンク

2005/04/14 山田ウイルス TROJ_MELLPON.A

関連リンク

2005/10/28 TROJ_DROPPER.NK

関連リンク

2006/01/30 W32.Antinny.AX

関連リンク

2006/01/30 ドクロウイルス Backdoor.Doroku

関連リンク

2006/03/03 山田オルタナティブ TROJ_AGENT.AZW

関連リンク

総合リンク/解説