McAfee for Small Businesses

ウイルス名 危険度 PWS-JA 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 4584 対応定義ファイル (現在必要とされるバージョン) 6197　（現在7109) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2011/02/22 発見日（米国日付） 2005/09/19 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/16 VBS/LoveLett... 06/16 RDN/AutoRun.... 06/16 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・PWS-JAはアクセスしたWebサイトのログインおよびパスワードの情報を収集します。また、Outlookのアドレス帳の情報を盗み出し、HTTP POSTを介して送信します。 ・64.71.167.120にアクセスし、以下の情報を送信します。 IP 開いているポート パスワード Outlookから盗み出した電子メールアドレス ・PWS-JAがロードされると、Webの閲覧が非常に遅くなります。 システムの改変 ファイルの追加 c:\program files\common files\microsoft shared\web folders \ibm00001.exe ( 2048バイト ) %WINDIR% \temp\$_2341234.tmp c:\program files\common files\microsoft shared\web folders \ibm00001.dll ( 64512バイト ) c:\program files\common files\microsoft shared\web folders \ibm00002.dll ( 69632バイト ) %WINDIR% \temp\$_2341233.tmp レジストリ ・以下のレジストリキーが書き込まれます。 hkey_current_user\software\microsoft\windows\currentversion\run \shell=""C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"" hkey_local_machine\software\microsoft\windows nt\currentversion \winlogon\shell="explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders \ibm00001.exe"" 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルおよびレジストリキーが存在します。 ・以下のネットワーク接続を行います。 explorer.exeサーバ:64.71.167.120 ポート:80 感染方法 TOPへ戻る ・パスワードスティーラはウイルスではなく、複製手段も組み込まれていません。しかし、パスワードスティーラが他のウイルスやトロイの木馬によってダウンロードされ、インストールされる場合はあります。 ・さらに、これらの多くは作者によって大量送信され、人々にダブルクリックするように仕向けます。 ・また、Webページを訪問することによって（リンクをクリック、またはユーザに通知せずにユーザのシステムにパスワードスティーラをインストールするスクリプトをホストしている悪質なWebサイトによって）インストールされる場合もあります。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。