W32.Antinny.Q

W32.Antinny.Q は、W32.HLLW.Antinny の亜種で、日本のピアツーピアファイル共有アプリケーションである Winny を介して伝搬するシンプルなワームです。また、C: ドライブ内の複数のファイルを削除しようと試み、個人情報を盗み取ろうとします。

Program Files フォルダ内の 1 ファイルの名前を使い（ランダムに選択されます）、次の文字列のうちのいずれか 1 つをそのファイル名に追加することによって、自分自身のコピーを作成します。


_cfg
_config
_start
_login
_setup
_env
_loader
_autorun

このファイルは、Program Files ディレクトリの下の、1 フォルダ名の下に作成されます。
（つまり、Program Files\AAA\AAA_loader.exe などとなります）

Windows が開始されるたびにこのランダムに名付けたファイルを起動するために、次のレジストリエントリを作成します。


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "<ランダムに選択されたプログラム名>"="<ワームへのパス> /startup"

Win.ini ファイルへ次の行を追加します。

[hoge]
hugo=<Winny ファイル共有プログラムへのパス>

%TEMP% フォルダ内に 1 つのクリーンなテキストファイルを作成します。このテキストファイルは、ホスト上で収集されたユーザー名を含んでいます。

C: ドライブのルートフォルダ内の複数のファイルをランダムに削除しようと試みます。

また、Winny のアップロードディレクトリ内に自分自身の 1 コピーを作成し、そのファイル名としていくつかのハードコード化された日本語の文字列のなかから 1 つを選択します。

その後このワームは、Temp% ディレクトリ内に自分自身の 1 コピーを作成し、そのファイル名としていくつかのハードコード化された日本語の文字列のなかから 1 つを選択します。

その後、自分自身の 1 コピーを作成し、そのファイル名として次の文字列の組み合わせを使います。

次のうち、いずれか 1 つ

Track
track

その後に、000 から 016 までの 3 桁の数が続きます。

その後に、次のうちのいずれか 1 つが続きます。

.mpg
.mp3
.mpeg
.wav

その後に、一連のスペース文字が続きます。このファイルは .EXE 拡張子を持ちます。

このファイルは、%Temp% フォルダ内の、5 桁のランダムな数の後に tmp がついた名前の 1 フォルダ内に作成されます。


例:
Document and Settings\<ユーザー名>\Local Settings\Temp\18706.tmp\track000.mpg<多数のスペース文字>.exe

このワームは、システム日付が 4 月以降でかつ日付がその月に一致している（つまり 4 月 4 日、5 月 5 日、6 月 6 日など）場合は、Web サイト http:/ /www.accsjp.or.jp へのアクセスを試み、個人情報をアップロードします。



このワームが実行されると、Windows メディアプレーヤーが起動されますが、ファイルを実行できないと述べるエラーメッセージが表示されます。

危険性の評価