ウイルス情報

ウイルス名 危険度

PWS-NTSMB

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4247
対応定義ファイル
(現在必要とされるバージョン)
4248 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/02/12
発見日(米国日付) 03/02/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・PWS-NTSMBはトロイの木馬ではありませんが、ネットワークセキュリティを脅かす目的で作成されたトロイの木馬の「ルートキット」の一部である可能性があります。通常は、NTSMB.EXEという57,344バイトのファイルです。

・PWS-NTSMBはWin32コンソールアプリケーションで、SMBプロトコルで複数のIPアドレスを探索し、Windowsネットワーク上のアカウントをクラックするように作成されています。IPC$共有に辞書攻撃を仕掛け、NTSMB.DICファイルとNTSMBCOMMON.DICファイルから入手した複数のユーザ名とパスワードを使用して接続を試みます。(注:これらのDICファイルは、プログラムにハードコード化されています。)

・PWS-NTSMBの接続要求では、プライマリドメイン、ネイティブOS、ネイティブLANマネージャのコンテンツとして“SOUP”という文字列を使用します。

・ログインに成功すると、ユーザ名とパスワードおよび接続に成功したこと示す内容をスクリーンに表示します。

・PWS-NTSMBは、アカウントの詳細をインターネットで送信したり、システムの起動時に自身を読み込むようにインストールしたりすることはありません。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・システムにNTSMB.EXEファイル、NTSMB.DICファイル、またはNTSMBCOMMON.DICファイルが存在します。

・プライマリドメイン、ネイティブOS、ネイティブLANマネージャ値に“SOUP”を使用するSMBトラフィックがネットワーク上で過剰になります。

TOPへ戻る

感染方法

・不明ですが、PWS-NTSMBはパスワードクラッキングツールで、多数のシステムに辞書攻撃を行うのに使用されます。

TOPへ戻る