McAfee for Small Businesses

・PWS-Binaはトロイの木馬で、多数の亜種があります。亜種によっては細部（ファイル名、レジストリエントリ、およびメッセージボックス）が少し異なります。この情報は、PWS-Binaに関する一般的なものです。

・トロイの木馬のドロッパは、ブラジルのテレビ番組“Big Brother”に関するファイルが添付されているように装った電子メールで届きます。このドロッパが実行されると、以下のファイルを抽出して実行します。

●WINBINA.EXE（約322KB、亜種によってサイズは異なる）
●CT.DLL（9,728バイト）
●MS.DLL（9,216バイト）
●LEIA_ME.TXT

WINBINA.EXEファイルが実行されると、以下のウインドウを表示します。

PWS-Binaは、WINDOWSディレクトリにWINM.EXEというファイル名で自身をコピーします。同じディレクトリに、PWS-BinaのDLLファイルおよび以下のファイル（ファイルの拡張子にかかわらず、中身はテキスト）もコピーします。

●MCT.SYS（2バイト）
●PED_%ComputerName%_%ComputerName%08D001.TXT（2,831バイト）
●SCT.SYS（1バイト）
●WBERR.TXT（68バイト）
●WIN.TXT（8バイト）
●WINI.SYS（43バイト）

WINDOWSディレクトリに、MSYSという名前のフォルダを作成します。このフォルダには、以下のような名前のファイルが複数存在します。

●WBI%ComputerName%_%ComputerName%08D0##.BXC（%ComputerName%”はターゲットマシン名、“##”は数字で、トロイの木馬が活動を停止するまで新しいファイルが作成されるたびに増加）

・以下のレジストリ実行キーを作成して、起動時にPWS-Binaを読み込みます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win32x" = %WinDir%\winm.exe

・PWS-Binaはキーロガーで、一部のブラジルの銀行のWebサイトからログインページを探して感染マシンで接続します。約15分後、SMTPサーバおよびPOP3サーバを介してブラジルの特定の電子メールアドレス（この情報掲載時点では利用できません）に、取得したキーストローク情報（銀行のWebサイトで取得した口座情報とパスワード情報と考えられる）を送信します。