製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PornDial-177.dldr
企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
4269
対応定義ファイル
(現在必要とされるバージョン)
4339 (現在7516)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/06/04
発見日(米国日付)03/05/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/30RDN/Generic....
07/30RDN/Generic....
07/30Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7516
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・PornDial-177.dldrはダウンロードを行う悪質なソフトウェアで、スパムメールで送信されました。この悪質なソフトウェアの目的は、ユーザをポルノサービスに接続させるために、ダイアラーアプリケーション(PornDial-177 application)をダウンロードすることです。

・PornDial-177.dldrがターゲットマシンで実行されると、オペレーティングシステムに関する情報と最近実行されたプロセスの詳細を格納したログファイルが作成され、ディスクに保存されます。

  • %SysDir%\WININETD.LOG

・以下のレジストリキーを追加します(ID番号を格納します)。

  • HKEY_LOCAL_MACHINE\Software\DKSoftware
    Id = xxxxxxxx-xxxx

(XXXXXXXX-XXXXは、ID番号。例:0001fa8f-72bb)

・リモートサーバ(アダルトコンテンツをホスティングするWebサーバ)に接続して、HTTP要求でリモートサーバに以下のデータを送信します。

  • トロイの木馬のファイル名
  • ターゲットシステムから抽出した市外局番
  • トロイの木馬のバージョンの詳細

・国名を選択する以下のダイアログボックスが表示されます。

注:リモートサーバに送信された市外局番が認識された場合は、該当する国名を前もって選択してドロップダウンリストに表示します。

・その後も、さまざまな設定データを取得するHTTP要求を送信します。あるHTTP要求では、プレーンテキストタグに含まれるバイナリファイルを取得します。このバイナリファイルはダイアラーのコンポーネントで、PornDial-177 applicationとして検出されます。このコンポーネントがダウンロードされると、以下のプログレスダイアログボックスを表示します。

注:PornDial-177.dldrと PornDial-177 applicationの複数のバージョンがスパムメールで送信されています。掲載情報はその中の1つのバージョンについての説明です。他のバージョンでは細部(ファイル名、ディレクトリ名、レジストリキーなど)が異なりますが、同様の発病ルーチンを実行すると考えられます。

・インストールされたファイルの大部分は、%SysDir%\WINDIALUPディレクトリに書き込まれます。

書き込まれるファイルの例:

  • %SysDir%\WININETD.EXE(テストでは、ほとんど0バイトのファイルでした):ダイアラーのコンポーネント
  • %SysDir%\WININETD.LOG(ファイルのサイズはさまざま):上記参照
  • %SysDir%\WINDIALUP\%filename%\%filename%.EXE:ダウンローダコンポーネントのコピー
  • %SysDir%\WINDIALUP\%filename%\COUNTRY.RTS:設定データ
  • %SysDir%\WINDIALUP\%filename%\DIAL.EXE:ダイアラーコンポーネント。PornDial-177 applicationとして検出
  • %SysDir%\WINDIALUP\%filename%\ICON.ICO:アイコンデータ
  • %SysDir%\WINDIALUP\%filename%\LAUNCH.INI:設定データ
  • %SysDir%\WINDIALUP\%filename%\DIAL.INI:設定データ

%filename%は、実行されるダウンローダのファイル名(例:2453.EXE)です。また、%SysDir%は、Windows Systemディレクトリ(例:C:\WINNT\SYSTEM32)です。

・システムにインストールされたファイルをすべて削除するには、%SysDir%\WINDIALUPフォルダを削除してください。%SysDir%ディレクトリからは、WININETD.LOGファイルを削除してください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・PornDial-177.dldrは、ターゲットマシンにリモートダイアラーをダウンロードして、実行します。非常に多数のユーザにスパムメールで送信されました。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足