AntiLo

基本的な動作は、約35秒ごとに同人板や半角二次元板の、特定の文字に該当するスレッドを手当たり次第に爆撃する。

2ちゃんねる側も対策として、BE_TYPE2(120秒連投規制)を発動したことでAntiLoの爆撃はやや抑えられているが、感染者自体が減ったわけではない。やむを得ず感染者のIPアドレスを焼き始めた。

これら対策に並行して木馬側も悪質化し、投稿する「気の触れたメッセージ」のその文字の間に、半角空白や全角空白などをランダムで挿入することで、2ちゃんねるブラウザ等でNGワード登録がしづらいようにした。

新しいタイプでは、sage投稿を見つけると、そこにアンカーを付けて罵倒レスを投稿するようになっているようだ。一方、木馬側の投稿はsageのどこかの文字を全角にしたり、sageずにfusianasanで投稿することで、木馬の投稿かどうかを機械的に判別できるようにしているようである。

Windows NT以降で採用されたNTFSというファイルシステムでは、代替データストリーム(Alternate Data Stream)と呼ばれる機能を持っている。

この機能を利用すると、通常の手段ではそのファイルを認識することができない。つまり、rootkit紛いの動作をすることになるため、感染していても発見しにくい。

感染すると、レジストリ項目「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に、"ANTILO=C:\WINDOWS:ANTILO.exe" を追加する。

つまり、実行ファイルはフォルダC:\WINDOWSに代替データストリームとして潜んでいる。