発見日: 2004 年 3 月 19 日
更新日: 2007 年 5 月 14 日 7:50:50 AM
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
このワームが実行されると、次のことを行います。
- 偽のエラーメッセージを表示するか、またはこのワームが投下するテキストファイルを開きます。
- ランダムに選択されたフォルダへ、自分自身を次のうちのいずれかとしてコピーします。
- Svchost.exe
- Spoolsv.exe
- Explorer.exe
- Winlogon.exe
- Explorer.exe
- 既存の 1 ファイルをランダムに選択し、その後、その名前のランダムに名付けたバリエーションとして自分自身をコピーします。たとえば、このワームがファイル名 Graph8.exe を選択した場合、Graph8.exe と同じフォルダ内に、自分自身を Graph857d0.exe などといったファイルとしてコピーします。
- 次の値を追加します。
"<ランダムに選択されたプログラム名>"="<ワームへのパス>"
次のレジストリキーへ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
これにより、Windows が起動されたときに W32.HLLW.Antinny.G が実行されるようにします。
- C ドライブ上のファイルの削除を試みます。
- %Windir%\Regedit.exe と %System%\Regedt32.exe を Notepad.exe で上書きします。
- レジストリから名前、組織、電子メールアドレスを探し出し、その後その情報を使って 1 つのテキストファイルを作成します。
- Winny ファイル共有プログラムのアップロードフォルダまたはダウンロードフォルダへ、このワーム内に含まれている日本語のリストからランダムに選択したファイル名として自分自身をコピーします。
- このワームを実行する HTML ファイルを作成します。 このファイルは、.htm または .folder 拡張子を持ちます。 この .folder ファイルは、標準の Windows のアイコンを持っていますが、ユーザーがそのファイルをダブルクリックするとそれが実行される可能性があります。
- スクリーンショットを .jpg ファイルとしてとり、それらを Winny のアップロードフォルダまたはダウンロードフォルダ内に置きます。
- ステップ 7 から 10 に記述された情報を含む zip または .lzh アーカイブを作成します。これは、ユーザーのコンピュータ上のファイルをランダムに選択し、このアーカイブファイルをアップロードフォルダまたはダウンロードフォルダへコピーします。 その結果、ユーザーの個人情報が Winny ファイル共有ネットワークを介して配布されます。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
