ウイルス情報

ウイルス名 危険度

PWS-Bina

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4262
対応定義ファイル
(現在必要とされるバージョン)
4306 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/05/09
発見日(米国日付) 03/05/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・PWS-Binaはトロイの木馬で、多数の亜種があります。亜種によっては細部(ファイル名、レジストリエントリ、およびメッセージボックス)が少し異なります。この情報は、PWS-Binaに関する一般的なものです。

・トロイの木馬のドロッパは、ブラジルのテレビ番組“Big Brother”に関するファイルが添付されているように装った電子メールで届きます。このドロッパが実行されると、以下のファイルを抽出して実行します。

●WINBINA.EXE(約322KB、亜種によってサイズは異なる)
●CT.DLL(9,728バイト)
●MS.DLL(9,216バイト)
●LEIA_ME.TXT

WINBINA.EXEファイルが実行されると、以下のウインドウを表示します。

PWS-Binaは、WINDOWSディレクトリにWINM.EXEというファイル名で自身をコピーします。同じディレクトリに、PWS-BinaのDLLファイルおよび以下のファイル(ファイルの拡張子にかかわらず、中身はテキスト)もコピーします。

●MCT.SYS(2バイト)
●PED_%ComputerName%_%ComputerName%08D001.TXT(2,831バイト)
●SCT.SYS(1バイト)
●WBERR.TXT(68バイト)
●WIN.TXT(8バイト)
●WINI.SYS(43バイト)

WINDOWSディレクトリに、MSYSという名前のフォルダを作成します。このフォルダには、以下のような名前のファイルが複数存在します。

●WBI%ComputerName%_%ComputerName%08D0##.BXC(%ComputerName%”はターゲットマシン名、“##”は数字で、トロイの木馬が活動を停止するまで新しいファイルが作成されるたびに増加)

・以下のレジストリ実行キーを作成して、起動時にPWS-Binaを読み込みます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win32x" = %WinDir%\winm.exe

・PWS-Binaはキーロガーで、一部のブラジルの銀行のWebサイトからログインページを探して感染マシンで接続します。約15分後、SMTPサーバおよびPOP3サーバを介してブラジルの特定の電子メールアドレス(この情報掲載時点では利用できません)に、取得したキーストローク情報(銀行のWebサイトで取得した口座情報とパスワード情報と考えられる)を送信します。

TOPへ戻る


以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリエントリが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る