ウイルスニュース - 2006/4/24

Winny以外のファイル共有ソフトShareユーザも狙うANTINNYウイルスが発生しています


大きな情報漏えい被害を引き起こしているWinnyユーザを狙ったコンピュータウイルスANTINNY(アンティニー)ですが、Winny(ウィニー)以外のファイル共有ソフトShareでも情報漏えいを引き起こす亜種「WORM_ANTINNY.BJ」が見つかっています。このウイルスはコンピュータにWinnyもしくはShareがインストールされているとそれぞれのソフトのファイル共有の機能を悪用して、コンピュータ内の情報やファイルをネットワークに流出させてしまいます。
現在、このウイルスによって大きな被害は報告されていませんが、現状Winnyの利用が さまざまな制限をうけ利用が困難になるなか、Shareが新たな情報漏えいの経路として狙われる可能性があります。個人・企業でのファイル共有ソフトのご利用には十分ご注意ください。

■Shareとは?

P2P技術(※)を用いた国産のファイル共有ソフトウェアです。
ポスト(代替)Winnyとして開発され、Winnyと同様に、Shareがインストールされたコンピュータで構成されるネットワーク上では さまざまなファイルが共有されています。
Winnyと比べ、分散アップロード機能やファイル転送は中継しないなどの匿名性の強化、共有効率化、負荷分散などの機能的な改良が加えられたフリーソフトです。

※不特定多数のコンピュータがネットワークで通信し合いそれぞれの持つデータや情報をやり取りする仕組み

■ 「WORM_ANTINNY.BJ」とは?

Winny、およびShareを悪用して感染活動を行うワーム型ウイルスです。
「WORM_ANTINNY.BJ」に感染するとパソコン内の特定形式の複数ファイルをまとめて圧縮し、Winny、およびShareのアップロード機能を利用して外部に公開してしまうため、これらのファイル共有ソフトの利用者は知らぬうちに自分のコンピュータ内にあるファイル流失などの情報漏えいを引き起こします。また、音楽や映像ファイルのように偽造されたウイルス自身のコピーも一緒にアップロードされて共有されてしまい、感染を広めていきます。一旦漏えいした情報ファイルは さまざまなコンピュータの上に保存されているために削除したり取り消したりすることは事実上不可能です。

caratウイルス情報

006

図 1  「WORM_ANTINNY.BJ」の活動プロセス

■侵入方法

P2Pファイル共有ソフト経由でダウンロードされ、ダブルクリックし実行することにより感染

■ 「WORM_ANTINNY.BJ」の主な活動

感染コンピュータのWinnyおよびShareの設定ファイルの変更

・通常 "
" [Winny/upfolder.txt]
Path=<"Winny.exe" が保存されているフォルダ>\Up\
[Share/folder.ini]
Path=<"Share.exe" が保存されているフォルダのパス名>\Up\

・変更後
Path=<Windowsフォルダ>\Up\

コンピュータ上のファイルを収集・圧縮

・ 収集されるファイル
DBX(Outlook Express関連ファイル)
DOC(Wordファイル)
EML(メールファイル)
MDB(Accessデータベースファイル)
PPT(PowerPointファイル)
XLS(Excelファイル)

・ 収集したファイルを以下ルールのファイル名をつけてZIP圧縮する。
[殺人] <ユーザ名>(<作成年月日>-<時刻>)のキンタマ.zip
[写真集][IV] <ユーザ名>(<作成年月日>-<時刻>)のアルバム.zip

圧縮ファイル及び、ウイルスファイルを変更したアップロードフォルダへ格納し漏洩させる

・ アップロードフォルダ
<Windowsフォルダ>\Up\

・ ウイルスファイル
<ランダムな日本語の文字列>.exe

*Winny/Shareの機能によりWinnyネットワークにファイル共有(公開)されてしまいます。
*<Windowsフォルダ>は環境によって異なります。標準設定は以下になります。
 Windows9x/Me/XP/Server 2003の場合、<Windowsフォルダ>= C:\Windows
 WindowsNT/2000の場合、<Windowsフォルダ>= C:\WINNT

■ トレンドマイクロの対応状況: (2006/4/13に対応済み)

トレンドマイクロ製品では、最新の検索エンジンと最新のウイルスパターンファイルで対応しています。お使いの製品を最新の状態に更新してください。

■ その他の注意が必要なWinny/Share両方を悪用するウイルス

2006/01/19発見 WORM_ANTINNY.AW 通称ドクロウイルス

caratウイルス情報

■ お勧めする対策

[企業編]

  • ファイル共有ソフト利用を禁止する
  • 定期的にファイル共有ソフト利用の検疫を行う
  • 情報データのアクセス・持ち出しに関する管理を行う
  • 違反の際の規定・罰則を決めて周知する
  • セキュリティ教育の実施
  • 万が一の漏洩にそなえ危機対策プロセスを決めておく

[個人]

  • 家族で共有しているコンピュータであればファイル共有ソフトが使われていないか確認する
  • ファイル共有ソフトを利用している自宅のコンピュータに仕事のファイルを持ち込まない
  • ファイル共有ソフトを利用しているコンピュータ上では個人・重要なデータを保存しないように心がける
  • 著作権を侵害するファイルを保存・共有しない
  • ゴミ箱や履歴データをこまめに消去する
  • ファイルの拡張子を表示するようにする(フォルダの表示オプションの設定)
  • セキュリティ対策ソフトを最新の状態に更新し、ANTINNYの感染を防ぐ

■ 本ウイルスの詳しい情報および対策

caratWinnyを通じて感染する『暴露ウイルス』に要注意 (インターネット・セキュリティ・ナレッジ)
caratWinny 緊急相談窓口(Winny119番)」(IPA)

セキュリティ情報 - 最新のWebからの脅威について

Web: 中

迷惑メール: 高

不正プログラム: 中

ウイルスデータベース

解析者によるブログ

セキュリティの学習

脅威レポート

毎月のデータを元に脅威動向を解説

セキュリティ用語を調べる

情報提供サービス

ホームページ以外でも、情報を提供しています。各種情報提供サービスもご利用ください。

セキュリティの学習

『インターネット・セキュリティ・ナレッジ』は、インターネットセキュリティ全般の知識を幅広く身につけていただくためのポータルサイトです。

インターネット・セキュリティ・ナレッジ