製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Mafia
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4299
対応定義ファイル
(現在必要とされるバージョン)
4309 (現在7508)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名PWSteal.Salira (Symantec)
TROJ_MAFIA.A (Trend)
Trojan.PSW.Bumaf (AVP)
Win32.Manda.A (BitDefender)
情報掲載日03/10/20
発見日(米国日付)03/10/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・PWS-Mafiaは「The Register」の記事「'Kill Bill' Trojan fails to rack up body count」でメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

・最新のエンジンと定義ファイルを使用し、プログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、New BackDoor2として検出されます。

・PWS-Mafiaの目的は、ローカルシステムに格納されている情報を詐取し、特定のアドレスへ電子メールで送信することです。KillBill2003-Danish[Xsubt.com][8853385601].rar または似たような名前のRAR形式アーカイブを含むsubtitles.exeというファイル名で受信されます。

・アーカイブファイルに内蔵されている実行ファイルが抽出され、実行されます。実行されると、PWS-MafiaはWINDOWS SYSTEMディレクトリにwinrarshell32.exeというファイル名で自身をコピーし、以下のレジストリ実行キーを作成してシステムの起動時に自身を読み込みます。

●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "winrarshell" = C:\WINNT\System32\winrarshell32.exe TUVWXYZ

・以下のレジストリキーも追加します。

●HKEY_CURRENT_USER\Software\BGM

・検索する情報を取得するために、以下の3つのレジストリ値を設定します(注:これらのレジストリ値は多くのシステムで標準であり、感染を示すものではありません)。

●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AutoComplete "Use AutoComplete" = yes
●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "FormSuggest Passwords" = yes
●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = yes

・さまざまなシステム情報を集め、SMTPとsmtp.as.roという名前のサーバを介して、以下のような電子メールメッセージで送信します。

送信者:BUG_Mafia@as.ro
宛先:mandaril@as.ro
件名:#1 (v2.02dev): %username@machinename%
日付:%system time/date%
X-Mailer:bugmafia v2.02dev(存在する場合としない場合があります)

・以下の項目を含む、さまざまなシステム情報がメッセージに記載されます。

●マシン名
●現在のユーザ名
●プロセッサ
●Windowsのバージョン
●RAM
●ディスクスペース
●IPアドレス
●ユーザアカウント情報とグループアカウント情報
●以下のInternet Account Managerの詳細情報
〇パスワード
〇POP3ユーザ名
〇POP3サーバ
〇SMTP電子メールアドレス
〇SMTPサーバ
●入力されたURL
●ファイル名(cookies)
●スクリーンセーバのパスワード
●キャッシュされたパスワード

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・予期せず、ファイルを作成します。

感染方法TOPへ戻る

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足