ウイルス情報

ウイルス名 危険度

Keylog-Diablo

企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
4174
対応定義ファイル
(現在必要とされるバージョン)
4358 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Troj/Diablo (Sophos) :Trojan.DiabKey (Symantec) :Trojan.Spy.DiabloKeys (AVP) )
情報掲載日 02/12/20
発見日(米国日付) 01/11/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

・Keylog-Diabloは、プライバシー侵害キーログ型トロイの木馬です。これは、キーストロークをキャプチャし、各種アカウントやパスワードを盗み出すために設計されています。このウイルスにはさまざまなバージョンがあり、開発キットはアタッカーが多数のセッティングを指定することを許可します。そのため、以下の記述はあくまでガイドとして書かれています。アタッカーは開発キットを使ってこのトロイの木馬のカスタムバージョンを構築することができます。この開発キットにも様々なバージョンがあり、将来的なバージョンには新たに機能が追加されている可能性があります。この文章を書いている時点では、このキットは下記の情報の変更を許可します。

・サーバ名
・サーバパスワード
・終了日付
・送信モード(FTP/EMAIL/NONE)
・警告方法(EMAIL/ICQ/IRC)
・ログファイル名
・何をログしたか(テキストボックス、キャッシュされたパスワード、クリップボード、DOSセッション)
・インストール先ディレクトリ
・インストール後の削除の有無
・オートラン方法(Registry, WIN.INI, SYSTEM.INI, Startup Folder) )
・ログモード(なし/圧縮/暗号化
・実行後に表示されるフェイクメッセージ
・自動インストールの有無

以下の記述は開発キットで作成されたトロイの木馬サンプル例です。症状や感染方法はそれぞれ異なります。

トロイの木馬が起動すると、.exeの拡張子を付けてWINDOWS (%WinDir%) に自身をコピーします。さらに、システム起動時に、自身をロードするようにレジストリランキーを作成します。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "(Default)" = C:\WINDOWS\.exe

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "(Default)" = C:\WINDOWS\.exe

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "(Default)" = C:\WINDOWS\.exe

また、INIキーも同様に作成されます。

  • SYSTEM.INI
  • [boot] "shell" = Explorer.exe C:\WINDOWS\.exe
  • [windows] "run" = C:\WINDOWS\.exe

このトロイの木馬はウィンドウズタイトルやメニュー、選択ボタン、表示されたテキスト、キーストロークをログします。この情報は以下の2つのファイルに保存されます。

  • %WinDir%\ban_%date%_1.ker
  • %WinDir%\VAR_%date%_1_MISC.ker

この2つのファイルは両方ともキャプチャされた情報を含みますが、VARファイルにはキャッシュにあるパスワードも含まれています。このファイルの存在を隠すために、トロイの木馬はREGEDIT.EXE, REGEDT32.EXE , MSCONFIG.EXE ファイルを削除します。さらにこの進行状況を記録するために下記のようなレジストリキーを使用します。

  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Last_Session"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Last_Visit"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "Regedit"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "SysIni"
  • HKEY_CURRENT_USER\Software\VB and VBA Program Settings\bank\Main "WinIni"

Bank.dll ファイルがWINDOWS SYSTEM (%SysDir%)ディレクトリに作成され、トロイの木馬情報を保存するために使われます。感染したシステムのIPアドレスはICQページャーとIRCを通してウイルス作成者に送信されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

REGEDIT.EXE, REGEDT32.EXE, MSCONFIG.EXE ファイルがシステムからなくなっている。

.exe ファイルが存在する。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、有能な機能を持っているように見せかけた実行ファイルをユーザが手動で実行することで繁殖する。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布される。

TOPへ戻る

駆除方法

TOPへ戻る