山田オルタナティブ

過去のウイルスのメモとして掲載しています。

山田オルタナティブ(やまだオルタナティブ)は、コンピュータウイルスの一種である。

概要

山田オルタナティブは2006年2月ごろに発見されたWinnyやShareなどのファイル共有ソフト又は2ちゃんねるなどの匿名掲示板やWeb上のアップローダ、電子メールを媒介して感染するコンピュータウイルス(バックドア型トロイの木馬)である。Windows98以降のWindows系OS上で動作する。Antinnyと同じく暴露ウイルスとも呼ばれている。


山田オルタナティブはあくまで通称でありシマンテックはBackdoor.Nodelmと呼んでいるなどアンチウイルスソフトウェアを開発している会社によって名称は異なる。

警察庁は2006年4月7日に「重要なお知らせ」として山田オルタナティブに注意するよう呼びかけた

  • Mell-1-0.11、Mell-1-0.12、Mell-1-0.12A、Mell-1-0.12Bの四種類
  • 最古の存在確認は1月23日、現在、爆発的に感染が広がっている。
  • ny、洒落の両方での感染が確認されている。うpロダでも感染する可能性あり。
  • 感染するとny、洒落を起動していなくとも関係なく自立Webサーバを起動、
  • 感染者同士のPCをLINKさせ、HDDを全公開し、外部からアクセスも可能にしてしまう。
  • sys.exeとupdate.exeを削除しても復活したとの報告もあり、別に卵が存在している?
  • 感染者によってエロゲ、アニメ、音楽など収集ジャンルがまちまちなため、感染源がいまだに不明。
  • 拡張子exe、scr、com、bat、pif、cmdは要注意

名称の由来

「山田」は山田ウイルスと動作における共通点が多い事から来る。オルタナティブの名前が定着するより前は、「新山田ウイルス」「新型山田」などと呼ばれていた。

「オルタナティブ」は、このウイルスが流行し始めた時期が、アダルトゲーム『マブラヴオルタネイティヴ』がWinnyなどのP2Pソフト上で流通し始めた時期と重なっている事に由来する。

当初、「Winnyで出回っているエロゲのEXEファイルが偽装されたウイルスだ」と言う報告がなされ、同時に感染者のデスクトップキャプチャ画像に件の『マブラヴオルタネイティヴ』のアイコンが確認された事より、このゲームの(偽者の)EXEファイルが感染源であると言う認識が広まった。しかし事例の報告が多くなってくるにつれ、このゲームとは何の関係も無い感染経路も多く確認され、実際は様々なファイルに偽装されてウィルスが出回っている事が判明した。

感染方法

WinnyやShareなどのファイル共有ソフトの場合は、ウイルスが含まれるファイルを入手して実行することによって感染する。

2ちゃんねるなどの掲示板やウェブページやメールなどの場合は、ウィルスが含まれるファイルが保管されている場所のリンクをクリックし、ファイルをダウンロードして、ファイルを実行後に感染する場合が多い。

  • Program filesフォルダにsysフォルダとupdateフォルダを作成する
  • 最初の時点ではsys.exe、再起動後にupdate.exeとして動く
  • update.exeのほうはHDDには現存せず
  • 起動ごとにsys.exe→update.exe→sys.exeとファイル名を変え活動
  • 起動時には引数として前述のTripが渡されている
  • 実体あるのはC:\Program Files\で、sys.exeの時はsysフォルダ
  • update.exeのときはupdateフォルダに居座る
  • フォルダ内には実体とreadme(拡張子無し、文字化けして読めない)、2つのフォルダを作成
  • フォルダの一方は空、もう一方は
  • 他の(´・ω・) カワイソスな香具師らを繋ぐリンク用のキャッシュファイル
  • UPnP対応で穴を空ける
  • 起動はレジストリのスタートアップに下記の2つが登録
  • HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS -> CURENTVERSION -> RUN
  • 名前: sys.exe データ: ”c:/program files/sys/sys.exe”20060223042347170169115
  • 名前: update.exe データ: ”c:/program files/update/update.exe”
  • ポート80、ポート8080の空き領域を使う(そのほかのポートを使う場合もある模様)
  • Mell-1-0.12a、Mell-1-0.11の同時起動が可能。その場合は、れぞれ80ポートと8080ポートで起動し、0.12Linkリストと0.11Linkリストは違うものをリスト化する模様(仕組みは不明)
  • updateフォルダに2chの板一覧を取得(bbs2ch_bbsmenu_html)、厨房板(http://tmp6.2ch.net/kitchen/)へ書き込み、ログ保持
  • 厨房板への書き込みがLinkリスト作成のノードになっている?

症状

山田オルタナティブに感染したPCは、Webサーバとして機能し、デスクトップを常時キャプチャした画像に加え、ハードディスク内部にある全てのファイルを意図せずに、Web上に公開してしまう。

Webサーバとして動作するためのポート開放はUPnP機能を利用して行われるため、ルータを利用していても情報が公開されてしまう危険があり注意が必要である。

アンチウイルスソフトウェアで駆除するか、PCを再インストール・処分・ネットワークから切断しない限り、個人情報がずっと公開されている状態となってしまう。

更には、感染したPCが他の感染したPCを自動的に見つけリンクを作成し、感染したPCリストを自動的に作成する為に感染の被害が拡大するような仕組みとなっている。

また、この山田オルタナティブの亜種のウィルスとして、2ちゃんねるに感染者のリモートホスト名を表示して、犯行予告などを自動的に書き込むウィルスも確認されている。他に、少なくとも4種類の亜種が確認されている。

確認方法

80、8,000及び8,080番ポートを利用してHTTPで公開しているので、localhost・localhost:8000・localhost:8080のいずれかにアクセスできないか確かめる。もし、Webサーバを起動している覚えがないにもかかわらずアクセスできた場合、感染を疑い、アンチウイルスソフトウェアで検査した方がよい。

ただ、最近では前述のポートにアクセスできないように偽って活動する亜種も存在するため最初からアンチウィルスソフトウェアで検査するのがよいという考え方もある。

  • タスクマネージャでSys.exe及びUpdate.exeの有無を確認。
  • Program filesフォルダにsysフォルダとupdateフォルダの確認
  • コマンドプロンプトからnetstat -anoと打ち込みLocal Addressに80、8000、8080の有無を確認。

http://127.0.0.1/

http://127.0.0.1:80/

http://127.0.0.1:8000/

http://127.0.0.1:8080/

上のアドレスにアクセスしてください
通常なら「ページを表示できません」になります。いわゆる404です。
しかしもしこのような画面になっている場合は感染していると思われます。

【Ctrl+Alt+Del】キーを押してタスクマネージャーを開いてください
プロセスの中に sys.exe と update.exe が入ってたらビンゴです!!
すぐに [右クリック]-[プロセスの終了(E)] をしてください。
これでとりあえず全HDD共有化は解除された状態になっています。

(※[スタート]-[ファイル名を指定して実行]-[taskmgr.exe]でもタスクマネージャーを起動可能!!)


ウイルス駆除方法:

上の方法でプロセスを終了させたあとにC:\Program files\フォルダを開きsysフォルダ と updateフォルダ を削除してください。ウイルスのあるフォルダです。

次にスタートアップに登録されているので[スタート]>[ファイル名を指定して実行]から【regedit】と入力し[OK]を選択しレジストリエディタを起動します。
(※C:\WINDOWS\regedit.exeのショートカットを作っておくと便利です)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion?\Run
に入っている【MELL】と言うキーを[右クリック]>[削除]してください。
(※キーの場所が深いですし、間違って他のキーを消してしまうと
Windowsが起動できなくなる畏れがあります。3回確認してから削除してください)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です