Anti AntiLo


感染の疑われる方、以前にスキャンに引っ掛かった方は、適宜再スキャンを行ってください。
新たにウイルスが感染していたり、以前のウイルスが残っていることが判明することがあります。
 
February 28 - 同人爆撃ウイルスの正体判明
速報: 緊急事態宣言発令@同人板
 現在、同人板に爆撃するウイルスが猛威をふるっています。 半角二次元時と比べると、爆撃件数が多く、書き込まれる時間もほぼランダムです。また、書き込まれる内容も異常なものとなっています。

 詳しくは対策Wikiをご覧ください。

 この件に関して、AntiLo Killer の対同人爆撃ウイルス特化版(AntiDojin Killer)を用意しました。ワンクリックで、感染のチェックと駆除が可能です。操作・インタフェースに関しては、AntiLo Killerと全く同一です。こちらをご覧ください。
 
AntiDojin Killer ダウンロード
Version 1.00 Download
Version 1.00 ソース (Delphi) Download
※AntiLo Killerをお探しの方はこちら
 
8 AntiLoウイルスとは? 8 AntiLo Killer ダウンロード
8 予防とセキュリティのために 8 関連リンク
Presented by 395◆veZNGgrqUc


AntiLo ウイルスとは?
 AntiLo(※)は、 フォルダ偽装された不正プログラムを実行して発病するウイルス。感染経路は主にアップローダーに上げられた圧縮ファイルです。次々と亜種が出現しているため注意が必要です。

 ※AntiLoは、ベンダーによってUPCHAN.B, C, D...などとも呼ばれています。

 現時点(2005.12.29 14:28)で、AntiLoウイルスの混入が確認されたファイルは以下の通りです。
 
アップローダー ファイル名 MD5
苺は甘い? straw2968.zip
(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] ACTG1・2
ファイルうp.org fup54689.zip
(同人誌) [共月亭] 英国式魔法少女
3A07F79A563CF347E28966470952D8DB
VIPろだ viploader18080.zip
(同人誌) [共月亭] 英国式魔法少女
3A07F79A563CF347E28966470952D8DB
苺は甘い? up3941.zip
Lolita Complex 8,9
86440846fd9733858ba66344f37412b7
林檎5MB up1973.zip
[共月亭] 英国式魔法少女T〜V
苺は甘い? up4173.zip
(同人誌) [AKKAN-Bi PROJECT (柳ひろひこ)] 1-80AB
苺は甘い?30MB ?8059.zip
(同人誌) [けんろー工房(おりもとみまな)] 魔法少女猫XXX.zip


 Windows95, 98, Me, 2000で、かつ拡張子を表示していない環境では、フォルダ偽装ウイルスであることがたいへん分かりにくく、知らず知らずのうちに感染している恐れがあります。

Viewing on Windows98
Windows98 での表示例。よく見ると表示がおかしいことに気付く


 感染すると、約35秒おき(※1)に次のアクションを実行する可能性があります。

  • 2ちゃんねる・半角二次元板の特定のキーワードを含むスレッドに荒らしまがいの書き込みを行う
  • %WINDIR%:ANTILO.exe へ自分自身をコピーしようとする(失敗している? 代替データストリームにコピーしています)
  • スタートアップに "%WINDIR%:ANTILO.exe" を登録する
  • タスクマネージャを使用できないようにする
  • VIPろだに自分自身のコピーをアップロードし、感染拡大を図る

 加えて、亜種には以下のような挙動も確認されています。

  • 筆者(395@hikki.cc)を騙る書き込みを行う
  • %WINDIR%SYSTEM32\:ANTILO.exeへ自分自身をコピーしようとする(失敗している?)
  • スタートアップに "%WINDIR%SYSTEM32:ANTILO.exe" を登録する (キーがSHINELOLI)
  • 同人板へ荒らしまがいの書き込みを行う(※2)


 既知のAntiLoウイルスは、各種ウイルススキャナーで検知できますが、パターンファイル・ワクチンが用意されていない場合は検知されません

 ウイルススキャナーを持っていない、パターンファイル・ワクチンを更新していない、亜種を拾っちゃったかもしれない、そんな方は、某所の人◆Y39/vakKjy氏製作のAntiLoチェッカー(検出のみ)、拙作のAntiLo Killer(簡易検出、簡易駆除)を試してみてください。

 というか、最近

 フォルダアイコンをダブルクリック→あれ?何も起きない?→また、解凍ミスorダウソミスか→ま、いいか

 ってなった香具師は速攻スキャンしる
 


 ※1…BE_TYPE2(120秒連投規制)の発動により、AntiLoの活動がやや抑えられています。もちろん、AntiLo感染者が減ったわけではありません。
 ※2…同人板をターゲットにしたAntiLoは2月26日現在、詳細不明です。情報が入り次第、逐次報告していきます。
 
AntiLo Killer ダウンロード

Version 1.02 Download
Version 1.02 ソース (Delphi) Download


 使用方法

ボタン押すだけ。

 留意事項

動いているAntiLoプロセスを停止させ、レジストリを修復します。
AntiLoと思われるファイルは削除せず、ごみ箱へ送られます。

UPCHAN.B 〜 D の検出を確認しています。
オリジナルと若干バイナリが違っていても検出可能。
また、複数のAntiLoが動いていても、一気に駆除できます。

チェック方法の仕様上、非常に稀ですが正常プログラムをAntiLoとみなすことがあります。

某所の人◆Y39/vakKjy氏製作のAntiLoチェッカーとの併用が効果的です。

 ステータスあれこれ
 
a. 正常終了
正常終了

AntiLoプロセスが無かった場合。ただし、未対応のAntiLoが潜んでいる可能性も。
この後、お好みで駆除プログラムを発動できます。
b. AntiLo発見
AntiLo発見

AntiLoプロセスを発見した場合。指示に従って進んでください。

 

予防とセキュリティのために


予防に関すること

  • 出所のぁゃιぃファイルは落とさない、開かない。
    その圧縮ファイル、怪しくないですか?
  • 拡張子を表示する。
    これをしないと、フェイク型ウイルスに簡単に引っ掛かる。
  • ファイル・フォルダを開くときは一呼吸おいてから。
    それ、".exe"って付いてない?
  • 実行ファイルでなくても安心しない。
    バッファオーバーフロー等の脆弱性を利用するウイルスもあるらしい
  • OS等のセキュリティパッチは必ず当てておく。
    MSBLASTの時にはパッチを当てていなかった方々が被害に遭っています

早期発見に関すること

  • 時々、msconfigでサービス・スタートアップを確認。
    ぁゃιぃプログラムがあれば、ネットで調べてみよう。
  • 時々、タスクマネージャでプロセスを確認。
    ぁゃιぃプログラムがあれば、ネットで調べてみよう。
  • ウイルスの最新情報に耳を傾ける。
    2chのスレ等、自分に当てはまる兆候がないかチェック。

ウイルススキャンに関すること

  • ウイルススキャナーは必ずインストールしておく。
    種類は問わないが、できれば国産ウイルス対応に素早いメーカーが望ましい。
  • パターンファイル・ワクチンは常に最新に保つ。
    ウイルススキャナーをインストールしただけでは、あまり意味がない。
  • ウイルススキャナーは万能ではない
    どんなウイルスでも検知できる訳ではない。亜種には全く歯がたたない。
  • 適宜、ハードディスク内総スキャンを。
    なんにしろ、1ヶ月に1回はスキャンすると安心。
関連リンク

問い合わせ先: 395◆veZNGgrqUc (Mailto:ohmlaw@Hikki.cc)

001006

Yesterday: 2 Today: 6