製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス名危険度
Keylog-Diablo
企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
4174
対応定義ファイル
(現在必要とされるバージョン)
4358 (現在7401)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Troj/Diablo (Sophos) :Trojan.DiabKey (Symantec) :Trojan.Spy.DiabloKeys (AVP) )
情報掲載日02/12/20
発見日(米国日付)01/11/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

・Keylog-Diabloは、プライバシー侵害キーログ型トロイの木馬です。これは、キーストロークをキャプチャし、各種アカウントやパスワードを盗み出すために設計されています。このウイルスにはさまざまなバージョンがあり、開発キットはアタッカーが多数のセッティングを指定することを許可します。そのため、以下の記述はあくまでガイドとして書かれています。アタッカーは開発キットを使ってこのトロイの木馬のカスタムバージョンを構築することができます。この開発キットにも様々なバージョンがあり、将来的なバージョンには新たに機能が追加されている可能性があります。この文章を書いている時点では、このキットは下記の情報の変更を許可します。

・サーバ名
・サーバパスワード
・終了日付
・送信モード(FTP/EMAIL/NONE)
・警告方法(EMAIL/ICQ/IRC)
・ログファイル名
・何をログしたか(テキストボックス、キャッシュされたパスワード、クリップボード、DOSセッション)
・インストール先ディレクトリ
・インストール後の削除の有無
・オートラン方法(Registry, WIN.INI, SYSTEM.INI, Startup Folder) )
・ログモード(なし/圧縮/暗号化
・実行後に表示されるフェイクメッセージ
・自動インストールの有無

以下の記述は開発キットで作成されたトロイの木馬サンプル例です。症状や感染方法はそれぞれ異なります。

トロイの木馬が起動すると、.exeの拡張子を付けてWINDOWS (%WinDir%) に自身をコピーします。さらに、システム起動時に、自身をロードするようにレジストリランキーを作成します。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "(Default)" = C:\WINDOWS\.exe

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(Default)" = C:\WINDOWS\.exe

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "(Default)" = C:\WINDOWS\.exe

また、INIキーも同様に作成されます。

  • SYSTEM.INI
  • [boot] "shell" = Explorer.exe C:\WINDOWS\.exe
  • [windows] "run" = C:\WINDOWS\.exe

このトロイの木馬はウィンドウズタイトルやメニュー、選択ボタン、表示されたテキスト、キーストロークをログします。この情報は以下の2つのファイルに保存されます。

  • %WinDir%\ban_%date%_1.ker
  • %WinDir%\VAR_%date%_1_MISC.ker

この2つのファイルは両方ともキャプチャされた情報を含みますが、VARファイルにはキャッシュにあるパスワードも含まれています。このファイルの存在を隠すために、トロイの木馬はREGEDIT.EXE, REGEDT32.EXE , MSCONFIG.EXE ファイルを削除します。さらにこの進行状況を記録するために下記のようなレジストリキーを使用します。

  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Last_Session"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Last_Visit"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Regedit"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "SysIni"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "WinIni"

Bank.dll ファイルがWINDOWS SYSTEM (%SysDir%)ディレクトリに作成され、トロイの木馬情報を保存するために使われます。感染したシステムのIPアドレスはICQページャーとIRCを通してウイルス作成者に送信されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

REGEDIT.EXE, REGEDT32.EXE, MSCONFIG.EXE ファイルがシステムからなくなっている。

.exe ファイルが存在する。

感染方法TOPへ戻る
・トロイの木馬は自己複製せず、有能な機能を持っているように見せかけた実行ファイルをユーザが手動で実行することで繁殖する。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布される。

駆除方法TOPへ戻る