McAfee for Small Businesses

ウイルス名 危険度 PWS-LegMir 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 4277 対応定義ファイル (現在必要とされるバージョン) 6370　（現在7077) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - Virus.Win32.VB.bu NOD32 - Win32/VB.NHZ Symantec - Infostealer.Lineage Microsoft - Virus:Win32/Bacalid.B 情報掲載日 2008/10/21 発見日（米国日付） 2003/07/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2011年1月27日更新--- ・実行時、IExplorer.exeに自身を挿入し、リモートポート80を介してwww.o[削除]ev.comに接続します。 ・実行時、以下の場所に自身をコピーします。 %Windir%\system32\explorer.exe ・また、以下のファイルをドロップ（作成）します。 %Temp%\VGod.DLL ・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ（作成）し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。 ・「AutoRun.inf」ファイルはPWS-LegMirの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、PWS-LegMirが自動的に起動されます。 ・autorun.infは以下のコマンド構文で、PWS-LegMirのファイルが起動するように設定されています。 AutoRun.inf [autorun] OPEN=EXPLORER.EXE shell\open= shell\open\Command=EXPLORER.EXE shell\open\Default=1 shell\explore= shell\explore\Command=EXPLORER.EXE ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers ・以下のレジストリ値が追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\WINDOWS\explorer.exe: "EnableNXShowUI" ・以下のレジストリにより、PWS-LegMirがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\] “[ランダムな名前]” = "userinit.exe,EXPLORER.EXE" [%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] -- 2008年10月21日更新 -- ・この問題を解決した、ウイルス定義ファイルのバージョン5410がリリースされました。 -- 2008年10月20日更新 -- ・バージョン5409のウイルス定義ファイル（DAT）は、PWS-LegMirを誤検知します。McAfee Avert Labs はこの問題を解決するバージョン5410のリリースを予定しています。現バージョンのDATでは、以下のファイルを以下のファイルを誤って検知します。 conime.exe - Windows Vista console IME (MD5: F96EBC5A624349D81DCC7600A3C5DC43) ・PSW-LegMirはパスワードを盗み出すトロイの木馬で、多くの同様のトロイの木馬を網羅します。PSW-LegMirには、MSVC、MSVB、Delphiを含む複数のHLLで書かれたトロイの木馬が含まれます。 ・検出を最適化するため、最新のエンジンとウイルス定義ファイルを使用し、圧縮ファイルのスキャンを有効にすることを推奨します。 ・一般的に、これらのパスワード盗用型トロイの木馬はさまざまなソースからパスワードを盗み出し、ターゲットマシンに「Legend of Mir」という名前のゲームがインストールされている場合は、このゲームに関する情報も盗み出します。次に、盗み出した情報をさまざまな電子メールアドレスでトロイの木馬の作者に送信します。PSW-LegMirには多くの亜種が存在するため、ここでは一般的な特徴を説明します。 ・PWS-LegMirが動作すると、さまざまなファイル名を使用して、一般的にはターゲットマシンの%WinDir%または%SysDir%に自身をインストールします。 C:\WINDOWS\SYSTEM\TASKMON.EXE ・システム起動時にフックするため、インストールしたファイルに対するレジストリキーを追加します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\_ CurrentVersion\Run "TaskMontor" = C:\WINDOWS\SYSTEM\taskmon.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_ CurrentVersion\Run "TaskMontor" = C:\WINDOWS\SYSTEM\taskmon.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_ CurrentVersion\RunServices "TaskMontor" = C:\WINDOWS\SYSTEM\taskmon.exe 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・正確な症状は亜種によって異なります。しかし、%WinDir%または%SysDir%に予期しないファイルおよびこれらに対するレジストリフックが存在する場合、何らかのトロイの木馬がインストールされている可能性があります（注：合法的なファイルの中には、レジストリフックから開始されるものもあります）。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。