製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-LegMir
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4277
対応定義ファイル
(現在必要とされるバージョン)
6370 (現在7401)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Virus.Win32.VB.bu NOD32 - Win32/VB.NHZ Symantec - Infostealer.Lineage Microsoft - Virus:Win32/Bacalid.B
情報掲載日2008/10/21
発見日(米国日付)2003/07/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-LegMirはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

--2011年1月27日更新---

ファイル情報

  • MD5 - 1A58D82FE73FB4E9DE10FACB0EF22881
  • SHA - 71B949ACEBB15DA95057B3F9FBC1BE4CAC461B69

-- 2008年10月21日更新 --

・この問題を解決した、ウイルス定義ファイルのバージョン5410がリリースされました。

-- 2008年10月20日更新 --

・ バージョン5409のウイルス定義ファイル(DAT)は、PWS-LegMirを誤検知します。McAfee Avert Labs は、この問題を解決するバージョン5410のDATのリリースを予定しています。現バージョンのDATでは、以下のファイルを誤って検知します。

  • conime.exe - Windows Vista console IME (MD5: F96EBC5A624349D81DCC7600A3C5DC43)

ウイルスの特徴TOPに戻る

--2011年1月27日更新---

・実行時、IExplorer.exeに自身を挿入し、リモートポート80を介してwww.o[削除]ev.comに接続します。

・実行時、以下の場所に自身をコピーします。

  • %Windir%\system32\explorer.exe

・また、以下のファイルをドロップ(作成)します。

  • %Temp%\VGod.DLL

・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・「AutoRun.inf」ファイルはPWS-LegMirの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、PWS-LegMirが自動的に起動されます。

・autorun.infは以下のコマンド構文で、PWS-LegMirのファイルが起動するように設定されています。

  • AutoRun.inf
  • [autorun]
  • OPEN=EXPLORER.EXE
  • shell\open=
  • shell\open\Command=EXPLORER.EXE
  • shell\open\Default=1
  • shell\explore=
  • shell\explore\Command=EXPLORER.EXE

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\C:\WINDOWS\explorer.exe: "EnableNXShowUI"

・以下のレジストリにより、PWS-LegMirがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    “[ランダムな名前]” = "userinit.exe,EXPLORER.EXE"

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


-- 2008年10月21日更新 --

・この問題を解決した、ウイルス定義ファイルのバージョン5410がリリースされました。

-- 2008年10月20日更新 --

・バージョン5409のウイルス定義ファイル(DAT)は、PWS-LegMirを誤検知します。McAfee Avert Labs はこの問題を解決するバージョン5410のリリースを予定しています。現バージョンのDATでは、以下のファイルを以下のファイルを誤って検知します。

  • conime.exe - Windows Vista console IME (MD5: F96EBC5A624349D81DCC7600A3C5DC43)

・PSW-LegMirはパスワードを盗み出すトロイの木馬で、多くの同様のトロイの木馬を網羅します。PSW-LegMirには、MSVC、MSVB、Delphiを含む複数のHLLで書かれたトロイの木馬が含まれます。

・検出を最適化するため、最新のエンジンとウイルス定義ファイルを使用し、圧縮ファイルのスキャンを有効にすることを推奨します。

・一般的に、これらのパスワード盗用型トロイの木馬はさまざまなソースからパスワードを盗み出し、ターゲットマシンに「Legend of Mir」という名前のゲームがインストールされている場合は、このゲームに関する情報も盗み出します。次に、盗み出した情報をさまざまな電子メールアドレスでトロイの木馬の作者に送信します。PSW-LegMirには多くの亜種が存在するため、ここでは一般的な特徴を説明します。

・PWS-LegMirが動作すると、さまざまなファイル名を使用して、一般的にはターゲットマシンの%WinDir%または%SysDir%に自身をインストールします。

C:\WINDOWS\SYSTEM\TASKMON.EXE

・システム起動時にフックするため、インストールしたファイルに対するレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\_ CurrentVersion\Run "TaskMontor" =

C:\WINDOWS\SYSTEM\taskmon.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_ CurrentVersion\Run "TaskMontor" =

C:\WINDOWS\SYSTEM\taskmon.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_

CurrentVersion\RunServices "TaskMontor" = C:\WINDOWS\SYSTEM\taskmon.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・正確な症状は亜種によって異なります。しかし、%WinDir%または%SysDir%に予期しないファイルおよびこれらに対するレジストリフックが存在する場合、何らかのトロイの木馬がインストールされている可能性があります(注:合法的なファイルの中には、レジストリフックから開始されるものもあります)。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。