製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Pinkslipbot.gen.t
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6163
対応定義ファイル
(現在必要とされるバージョン)
6164 (現在7507)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名DrWeb - Trojan.MulDrop1.48328 Kaspersky - Trojan-Downloader.Win32.Agent.esbl Microsoft - Backdoor:Win32/Qakbot.gen!A Symantec - W32.QakbotTrendMicroTROJ_AGENT.AUWS
情報掲載日2010/11/12
発見日(米国日付)2010/11/10
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Pinkslipbot.gen.tはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る

・W32/Pinkslipbot.gen.tはIRCコマンド&コントロールサーバに接続できるワームです。接続後、このIRCサーバから攻撃者の命令に従うことができます。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。

・実行時、以下の場所に自身をコピーします。ファイル名は下記と異なる場合があります。

  • %temp%\edpwcgk.dll
  • %temp%\edpwcqa.exe

・上記のDLLファイルをほとんどの実行中のプロセスのアドレス空間に挿入し、悪質な活動を行います。

・亜種の中には、以下のレジストリキーを作成するものがあります。

  • HKEY_CURRENT_USER\ S-1-Varies]\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    [ランダム] = "%temp%\edpwcqa.exe"
  • HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    [ランダム] = "%temp%\edpwcqa.exe"

・さらに、再起動するための仕組みとして、.jobファイルを作成する亜種も確認されています。

・また、既存のRUNキーを検索し、以下のように改変する可能性があります。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    Adobe Reader Speed Launcher = "%temp%\edpwcqa.exe" /c "%Programfiles%\adobe\reader 9.0\reader\reader_sl.exe""

・以下のドメインに接続し、アップデートと構成ファイルを受信します。

  • swallowthe[削除]e.com/cgi-bin/clientinfo3.pl”
  • red[削除].com.ua/cgi-bin/exhandler4.pl
  • red[削除].com.ua/cgi-bin/ss.pl
  • nt[削除].cn/cgi-bin/jl/jloader.pl?r=3d
  • nt[削除].in/cgi-bin/jl/jloader.pl?r=q
  • nt[削除].in/cgi-bin/jl/jloader.pl?
  • nt[削除].in/1
  • nt15.in
  • nt002.cn
  • nt12.co.in
  • nt14.co.in
  • hotb[削除].com
  • cdcdcdcdc212[削除].com
  • host[削除].com
  • boogiewo[削除].com
  • nt002.cn
  • up002.cn
  • adserv.co.in
  • up004.cn
  • up01.co.in
  • nt002.cn
  • nt010.cn
  • nt202.cn
  • up02.co.in
  • up03.in
  • up003.com.ua
  • nt15.in
  • nt16.in

・ダウンロードされた構成ファイルには、コマンドの受信、盗み出したデータのアップロードに利用できるIRC、FTPサイトに関する情報が格納されている可能性があります。情報には、使用するサーバポート、チャネル、ユーザ名、パスワードが含まれます。

・また、ユーザが以下の文字列を含むWebサイトに接続すると、ユーザのトラフィックを監視する可能性があります。

  • cashproonline.bankofamerica.com
  • cashplus
  • ebanking-services.com
  • cashman
  • web-cashplus.com
  • treas-mgt.frostbank.com
  • business-eb.ibanking-services.com
  • treasury.pncbank.com
  • access.jpmorgan.com
  • ktt.key.com
  • onlineserv
  • premierview.membersunited.org
  • directline4biz.com
  • onb.webcashmgmt.com
  • tmconnectweb
  • moneymanagergps.com
  • ibc.klikbca.com
  • directpay.wellsfargo.com
  • express.53.com
  • itreasury.regions.com
  • itreasurypr.regions.com
  • cpw-achweb.bankofamerica.com
  • businessaccess.citibank.citigroup.com
  • businessonline.huntington.com
  • cashproonline.bankofamerica.com
  • /cashplus/
  • ebanking-services.com
  • /cashman/
  • singlepoint.usbank.com
  • netconnect.bokf.com
  • moneymanagergps

・コントローラが以下のいずれかを実行する可能性があります。

  • 追加コンポーネントのアップデート/ダウンロード
  • 自身のアンインストール
  • FTP機能の実行
  • ファイルのアップロード
  • プロセスの強制終了
  • システム、マルウェアの情報の収集

・収集されるシステム情報の一例は以下のとおりです。

  • 外部IP
  • DNS名
  • ホスト名
  • 都市
  • ユーザ
  • ドメイン
  • OS
  • 時刻
  • クッキー
  • MSNのユーザ名とパスワード
  • ログイン、パスワードを含む、IEのパスワード保護されたサイト

・ユーザが以下のセキュリティ関連のWebサイトにアクセスできないようにします。

  • avast
  • avg
  • avira
  • avp
  • bitdefender
  • bit9
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • microsoft
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate

・以下のセキュリティ関連のツール、その他のプロセスを終了します。

  • ollydbg.exe
  • dbgview.
  • msdev.exe;
  • cmd.exe;
  • far.exe;
  • nc.exe
  • ccApp.exe
  • skype
  • R&Q.exe
  • Photoed
  • outlook.exe
  • mmc.exe
  • ctfmon.exe

・また、ルートキットコンポーネントを使って、実行中のプロセス、レジストリ項目など、自身の存在を隠す亜種も確認されています。タスクマネージャ、regedit.exeなどの通常のプロセスビューア、レジストリエディタには表示されません。自身の存在を隠すため、以下のAPIにフックします。

  • ntdll.dll!NtQuerySystemInformation
  • kernel32.dll!GetProcAddress
  • kernel32.dll!FindFirstFileW
  • kernel32.dll!FindNextFileW
  • kernel32.dll!FindFirstFileA
  • kernel32.dll!FindNextFileA
  • USER32.dll!CharToOemBuffA
  • ADVAPI32.dll!RegEnumValueW
  • ADVAPI32.dll!RegEnumValueA
  • WS2_32.dll!connect
  • WS2_32.dll!send
  • WS2_32.dll!WSASend
  • WS2_32.dll!WSAConnect

[%tempはユーザのテンポラリフォルダ、%Programfiles%はユーザのProgram Filesフォルダ]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリが存在します。
  • 上記のドメインにアクセスします。
  • セキュリティ関連のWebサイトへのアクセスがブロックされます。

感染方法TOPへ戻る

・W32/Pinkslipbot.gen.tの亜種の中には、乗っ取られたWebサイトからエクスプロイトによりインストールされるものがあります。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。