30日、シマンテックがファイル共有ソフトの「Winny」や「Share」で感染を広げるトロイの木馬型ウイルス「Backdoor.Doroku」を警告してるようです。
「Backdoor.Doroku」に感染すると、ランダムなファイル名を付けた「.dll」ファイルをWindowsのシステムフォルダに作成します。この「.dll」ファイルには、トロイの木馬活動するためのメインルーチンが含まれていて、スタートアップフォルダなどに登録されている実行ファイルで「Kernel32.dll」を参照するすべての API をエクスポート。さらに、レジストリの改竄を行って、正常の「Kernel32.dll」に代わって「Doroku」の作成したDLLファイルが実行される形になります。
これにより、Windowsの起動時にDorokuも起動し、WinnyとShareのファイル共有ネットワークプロセス上にバックドアを開くという。あわせて、WinnyとShareのファイル共有ウィンドウ上にドクロの画像を表示する。なお、シマンテックのウイルス情報によれば、感染したPCのデスクトップ画面をキャプチャして流出させるような活動は行なわないようだ。同社は、危険度が5段階中で最も低い“1”と判定していますが、「Winny」「Share」両ユーザーは、十分気をつけてください。
また、トレンドでは、ドクロウイルスと同様な活動をする「WORM_ANTINNY.AW」を報告しているいるようで、コチラはWinyウィルスの特長であるPC内の情報をWinnyネットワーク上に流出させるという行いをするそうです。
このANTINNY.AWも、Windowsのシステムフォルダ内にDLLファイルを作成し、スタートアップファイルに関連付けてこれを読み込ませる仕組みだ。TrendMicroによると、Kernel32.dllの機能は多くの実行ファイルで使用されているという。総合的な危険度は3段階中で最も低い“低”だが、ダメージ度は最も高い“高”と判定している。INTERNET Watch
・ WinnyとShareを狙う“ドクロウイルス”、Kernel32.dllになりすまし活動
いどばた.infoの関連記事
・ Winnyで「欄検眼段」「仁義なきキンタマ」ウイルス蔓延!
・ avast! 4 Home Edition v4.6.652 :64bit Windows対応
・ マイクロソフト 10月の月例修正パッチを公開
・ Lhaz 1.30:「欄検眼段」「仁義なきキンタマ」他などの対策に!
