McAfee for Small Businesses

・PWS-Sagicはパスワード詐取型トロイの木馬で、ローカルファイルシステムから情報を取得し、電子メールを介して作成者に送信します。PWS-Sagicには、複数の亜種が存在します。この情報は一般的なガイドとしてお読みください。

・PWS-Sagicは、攻撃者が以下のファイル名のいずれかを使用できるように設定されています。

●Anti_booter.exe
●Arian.exe
●baby.exe
●book.bat
●Boos.exe
●Britney_Spears.exe
●com.com
●love.exe
●Mypic.bat
●Mypic.cmd
●Mypic.com
●Mypic.exe
●Mypic.jpg.exe
●Mypic.jpg.pif
●Mypic.jpg.scr
●Mypic.pif
●Mypic.scr
●Norton.exe
●pif.pif
●Sender.exe
●Smasher_7.exe
●Svchost.exe
●Telnet.cmd
●WinXP_Patch.exe
●Yahoo_Cracker.exe

・上記のファイルが実行されると、PWS-Sagicは偽のエラーメッセージを表示し、自身をSvchost.exeというファイル名で、%Windir%にコピーします。

・偽のエラーメッセージが攻撃者によって設定され、選択を促す文字列が表示されます。

・PWS-Sagicはレジストリ実行キーを作成し、Windowsの起動時に自身を読み込みます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Svchost" = "%Windir%/Svchost.exe"
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Svchost" = "%Windir%/Svchost.exe"

・その後、以下のシステム情報を電子メールを介して攻撃者に送信します。

●Local Uswername and Password
●Local IP Address
●Operating System
●Registry Startup
●Yahoo Username and password