AntiLo

読み:アンチ・ロ
外語:AntiLo 英語
品詞:固有名詞

2ちゃんねるおよびPINKちゃんねるを標的としたトロイの木馬

目次

2005(平成17)年頃から感染者が現われ、半角二次元板などに爆撃が始まったと見られる。

現在は沈静化したが、2007(平成19)年頃までは感染者数が多く、2ちゃんねるの同人板、PINKちゃんねるの半角二次元板で被害が続いていた。

亜種も多数作られている。2ちゃんねる側の対策に応じて、木馬側も対策を講じているようだ。

Trendmicroは、この亜種をそれぞれTROJ UPCHAN.B、.C、.Dなどと呼んでいるようだ。苺きんたまの亜種扱いとしているらしい。

動作

基本的な動作は、約35秒ごとに同人板や半角二次元板の、特定の文字に該当するスレッドを手当たり次第に爆撃する。

2ちゃんねる側も対策として、BE_TYPE2を発動したことでAntiLoの爆撃はやや抑えられたが、感染者自体が減ったわけではなかった。やむを得ず感染者のIPアドレスを焼き始めた。

これら対策に並行して木馬側も悪質化し、投稿する「気の触れたメッセージ」のその文字の間に、半角空白や全角空白などをランダムで挿入することで、2ちゃんねるブラウザー等でNGワード登録がしづらいようにした。

新しいタイプでは、sage投稿を見つけると、そこにアンカーを付けて罵倒レスを投稿するようになっているようだ。一方、木馬側の投稿はsageのどこかの文字を全角にしたり、sageずにfusianasanで投稿することで、木馬の投稿かどうかを機械的に判別できるようにしていたようである(つまり、自分の投稿に自分で罵倒するループを避けていた)。

感染方法

Windows NT以降で採用されたNTFSというファイルシステムでは、代替データ ストリーム(Alternate Data Stream)と呼ばれる機能を持っている。

この機能を利用すると、通常の手段ではそのファイルを認識することができない。つまり、rootkit紛いの動作をすることになるため、感染していても発見しにくい。

感染すると、レジストリ項目「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に、"ANTILO=C:\WINDOWS:ANTILO.exe" を追加する。

つまり、実行ファイルはフォルダー「C:\WINDOWS」に代替データ ストリームとして潜んでいる。

関連する用語
苺きんたま

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club