ウイルス情報

ウイルス名 危険度

PWS-Sagic

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4307
対応定義ファイル
(現在必要とされるバージョン)
4328 (現在7628)
対応エンジン 4.2.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 03/12/18
発見日(米国日付) 03/11/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・PWS-Sagicはパスワード詐取型トロイの木馬で、ローカルファイルシステムから情報を取得し、電子メールを介して作成者に送信します。PWS-Sagicには、複数の亜種が存在します。この情報は一般的なガイドとしてお読みください。

・PWS-Sagicは、攻撃者が以下のファイル名のいずれかを使用できるように設定されています。

●Anti_booter.exe
●Arian.exe
●baby.exe
●book.bat
●Boos.exe
●Britney_Spears.exe
●com.com
●love.exe
●Mypic.bat
●Mypic.cmd
●Mypic.com
●Mypic.exe
●Mypic.jpg.exe
●Mypic.jpg.pif
●Mypic.jpg.scr
●Mypic.pif
●Mypic.scr
●Norton.exe
●pif.pif
●Sender.exe
●Smasher_7.exe
●Svchost.exe
●Telnet.cmd
●WinXP_Patch.exe
●Yahoo_Cracker.exe

・上記のファイルが実行されると、PWS-Sagicは偽のエラーメッセージを表示し、自身をSvchost.exeというファイル名で、%Windir%にコピーします。

・偽のエラーメッセージが攻撃者によって設定され、選択を促す文字列が表示されます。

・PWS-Sagicはレジストリ実行キーを作成し、Windowsの起動時に自身を読み込みます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Svchost" = "%Windir%/Svchost.exe"
●HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Svchost" = "%Windir%/Svchost.exe"

・その後、以下のシステム情報を電子メールを介して攻撃者に送信します。

●Local Uswername and Password
●Local IP Address
●Operating System
●Registry Startup
●Yahoo Username and password

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る