製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Bina
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4262
対応定義ファイル
(現在必要とされるバージョン)
4306 (現在7536)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/05/09
発見日(米国日付)03/05/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/19RDN/Spybot.b...
08/19Generic Drop...
08/19W32/Expiro!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7536
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・PWS-Binaはトロイの木馬で、多数の亜種があります。亜種によっては細部(ファイル名、レジストリエントリ、およびメッセージボックス)が少し異なります。この情報は、PWS-Binaに関する一般的なものです。

・トロイの木馬のドロッパは、ブラジルのテレビ番組“Big Brother”に関するファイルが添付されているように装った電子メールで届きます。このドロッパが実行されると、以下のファイルを抽出して実行します。

●WINBINA.EXE(約322KB、亜種によってサイズは異なる)
●CT.DLL(9,728バイト)
●MS.DLL(9,216バイト)
●LEIA_ME.TXT

WINBINA.EXEファイルが実行されると、以下のウインドウを表示します。

PWS-Binaは、WINDOWSディレクトリにWINM.EXEというファイル名で自身をコピーします。同じディレクトリに、PWS-BinaのDLLファイルおよび以下のファイル(ファイルの拡張子にかかわらず、中身はテキスト)もコピーします。

●MCT.SYS(2バイト)
●PED_%ComputerName%_%ComputerName%08D001.TXT(2,831バイト)
●SCT.SYS(1バイト)
●WBERR.TXT(68バイト)
●WIN.TXT(8バイト)
●WINI.SYS(43バイト)

WINDOWSディレクトリに、MSYSという名前のフォルダを作成します。このフォルダには、以下のような名前のファイルが複数存在します。

●WBI%ComputerName%_%ComputerName%08D0##.BXC(%ComputerName%”はターゲットマシン名、“##”は数字で、トロイの木馬が活動を停止するまで新しいファイルが作成されるたびに増加)

・以下のレジストリ実行キーを作成して、起動時にPWS-Binaを読み込みます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win32x" = %WinDir%\winm.exe

・PWS-Binaはキーロガーで、一部のブラジルの銀行のWebサイトからログインページを探して感染マシンで接続します。約15分後、SMTPサーバおよびPOP3サーバを介してブラジルの特定の電子メールアドレス(この情報掲載時点では利用できません)に、取得したキーストローク情報(銀行のWebサイトで取得した口座情報とパスワード情報と考えられる)を送信します。


以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリエントリが存在します。

感染方法TOPへ戻る
・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。