McAfee for Small Businesses

・PWS-Mafiaは「The Register」の記事「'Kill Bill' Trojan fails to rack up body count」でメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

・最新のエンジンと定義ファイルを使用し、プログラムヒューリスティックを有効にして圧縮ファイルをスキャンすると、New BackDoor2として検出されます。

・PWS-Mafiaの目的は、ローカルシステムに格納されている情報を詐取し、特定のアドレスへ電子メールで送信することです。KillBill2003-Danish[Xsubt.com][8853385601].rar または似たような名前のRAR形式アーカイブを含むsubtitles.exeというファイル名で受信されます。

・アーカイブファイルに内蔵されている実行ファイルが抽出され、実行されます。実行されると、PWS-MafiaはWINDOWS SYSTEMディレクトリにwinrarshell32.exeというファイル名で自身をコピーし、以下のレジストリ実行キーを作成してシステムの起動時に自身を読み込みます。

●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "winrarshell" = C:\WINNT\System32\winrarshell32.exe TUVWXYZ

・以下のレジストリキーも追加します。

●HKEY_CURRENT_USER\Software\BGM

・検索する情報を取得するために、以下の3つのレジストリ値を設定します（注：これらのレジストリ値は多くのシステムで標準であり、感染を示すものではありません）。

●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AutoComplete "Use AutoComplete" = yes
●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "FormSuggest Passwords" = yes
●HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = yes

・さまざまなシステム情報を集め、SMTPとsmtp.as.roという名前のサーバを介して、以下のような電子メールメッセージで送信します。

送信者：BUG_Mafia@as.ro
宛先：mandaril@as.ro
件名：#1 (v2.02dev): %username@machinename%
日付：%system time/date%
X-Mailer：bugmafia v2.02dev（存在する場合としない場合があります）

・以下の項目を含む、さまざまなシステム情報がメッセージに記載されます。

●マシン名
●現在のユーザ名
●プロセッサ
●Windowsのバージョン
●RAM
●ディスクスペース
●IPアドレス
●ユーザアカウント情報とグループアカウント情報
●以下のInternet Account Managerの詳細情報
〇パスワード
〇POP3ユーザ名
〇POP3サーバ
〇SMTP電子メールアドレス
〇SMTPサーバ
●入力されたURL
●ファイル名（cookies）
●スクリーンセーバのパスワード
●キャッシュされたパスワード