|
|
ウイルス情報| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 6441 | 対応定義ファイル
(現在必要とされるバージョン) | 6441 (現在7109) | | 対応エンジン | 5.4.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | AVG - PSW.Generic9.AEY TrendMicro - TSPY_EYEBOT.HJEA Ikarus - Trojan-Spy.Agent Microsoft - Trojan:Win32/EyeStye.N | | 情報掲載日 | 2011/08/19 | | 発見日(米国日付) | 2011/08/17 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| 概要 | TOPに戻る | |
・PWS-Spyeye.ckはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。
|
|
| ウイルスの特徴 | TOPに戻る | |
・PWS-Spyeye.ckはユーザの資格情報を盗み出し、リモートサーバに送信するトロイの木馬です。
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft Windows
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\PhishingFilter
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Recovery
- HKEY_USERS\S-1-5-18\Software\Microsoft Windows
・以下のレジストリ値がシステムに追加されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\PhishingFilter\]
EnabledV8_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\PhishingFilter\]
ShownServiceDownBalloon_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Recovery\]
ClearBrowsingHistoryOnExit_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
ProxyHttp1.1_ = _0x00000001
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
WarnOnPostRedirect_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
WarnOnIntranet_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
GlobalUserOffline_ = _0x00000000
・以下のレジストリ値が改変されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
1609_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
1406_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
1609_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\]
1609_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
1406_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
1609_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
1406_ = _0x00000000
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
1609: 0x00000000
・上記のレジストリ項目により、PWS-SpyeyeによってInternet Explorerのセキュリティ設定が無効化されるようにします。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
| 感染方法 | TOPへ戻る | |
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。
|
|
| 駆除方法 | TOPへ戻る | ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。
|
|
|
|
|  |
