製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-WebMoney.gen
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4326
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7563)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名PWSteal.Refest (Symantec)
Trj/Bankhook.A (Panda)
TROJ_WEBMONEY.B (Trend)
TrojanSpy.Win32.Small.aa (Kaspersky)
情報掲載日04/07/09
発見日(米国日付)04/02/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年6月30日更新 --
・危険度を[低(要注意)]に変更しました。

・PWS-WebMoney.genはパスワードを盗み出すトロイの木馬で、銀行詐欺が絡んでいると報告されています。複数のコンポーネントを使用して、ターゲットマシンにPWS-WebMoney.genをインストールします。

  • まず、Exploit-HmtRedirを使用して、Popup Adserverを乗っ取ります。
  • Exploit-HtmRedirは、CHMファイル(Keylog-Lodisとして検出)をロードします。このファイルには、Exploit-MhtRedirのもう1つのインスタンスを含むHTMLコンテンツが格納されています。
  • このファイルを使用して、ダウンローダ型トロイの木馬(特定のウイルス定義ファイルでDownloader-HWとして検出)を実行し、パスワードを盗み出すPWS-WebMoney.genトロイの木馬をダウンロードしてインストールします。 ・この場合、ターゲットマシンにインストールされるPWS-WebMoney.genは、Browser Helper Object(BHO)DLLになります。
  • IEHOOK.DLL(49,040バイト)
・Internet Explorerが起動時にIEHOOK.DLLを(他のおそらく合法的なBHOと一緒に)ロードするよう、システムレジストリが改変されます。

・インストール後、PWS-WebMoney.genは、特に銀行のサイトに送信されるHTTPSセッションからデータを収集します。以下の文字列を含むドメインがターゲットになります。

  • .anz.com
  • .bendigobank.com.au
  • .citibank.com
  • .citibank.de
  • .commbank.com.au
  • .dab-bank.com
  • .deutsche-bank.de
  • .e-gold.com
  • .hsbc.com.au
  • .hsbc.com.hk
  • .online-banking.standardchartered.com.hk
  • .sparkasse-banking.de
  • .stgeorge.com.au
  • banking.lbbw.de
  • banking.mashreqbank.com
  • banknetpower.net
  • barclays.co.uk
  • cd.citibank.co.ae
  • cibconline.cibc.com
  • citibank.com.au
  • dit-online.de
  • easyweb.tdcanadatrust.com
  • ebank.uae.hsbc.com
  • ekocbank.kocbank.com.tr
  • hercules.pamukbank.com.tr
  • internetsube.akbank.com.tr
  • lloydstsb.co.uk
  • national.com.au
  • nbd.ae
  • online.nbad.com
  • online-banking.standardchartered.ae
  • pbg1.edc.citiaccess.com
  • standardchartered.com
  • suncorpmetway.com.au
  • westpac.com.au
  • www.alahlionline.com
  • www.almubasher.com.sa
  • www.arabi-online.com
  • www.cbdonline.ae
  • www.citibank.com.hk
  • www.dahsing.com
  • www.ebank.iba.com.hk
  • www.privatebank.citibank.com.sg
  • www.sabbnet.com
  • www.samba.com
  • www.scotiaonline.scotiabank.com
  • www.unb.com
  • www1.bmo.com
  • www1.royalbank.com
・収集されたデータは、リモートサーバに格納されたスクリプトによって、HTTPを介して送信され、処理されます。
  • www.refestltd.com

・よって、管理者は上記のドメインへのHTTPアクセスを遮断する必要があります。

一般的な特徴

・この種のトロイの木馬は、ターゲットユーザがオンラインバンキングサービスへのアクセス中に入力したデータを記録する、キーロギングおよびデータ収集を行うDLLとして検出されます。

・複数の悪質なキーロギングを行うトロイの木馬が検出される可能性があります。検出を最適化するため、最新のエンジンとウイルス定義ファイルを使用し、圧縮ファイルのスキャンを有効にしてください(デフォルトのオプション)。

・キーロガーがターゲットにするデータはさまざまです。一般的に、オンラインバンキングまたは金融サービスに関連する文字列を含むタイトルのウィンドウで入力された、以下のような文字が記録されます。

  • webmoney(BackDoor-CAYの場合)
  • paypal
  • e-gold
  • moneykeeper(PWS-MoneyKeeperの場合)
一般的に、このようなセッションで記録されたキー入力データには、以下のような機密データが含まれます。
  • ユーザの資格情報(ユーザ名、パスワード)
  • 口座番号
  • カード番号
・記録されたデータは、一般的にはSMTPまたはHTTPを介して、ハッカーに返送されます(正確な方法は異なります)。

・感染が疑われる場合は、www.webimmune.netでサンプルを提出してください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・症状はキーロギングを行うトロイの木馬によって異なります。一般的には、以下のような症状が見られます。
  • システムの予期しないファイルがシステム起動時にフックされています。
  • {Esc}、{F3}、{Bksp}などの文字列を含む、キーロガーの出力と同じ特徴を持つ予期しないログファイル(ascii)が存在します。
  • ログがハッカーに送信される際、外部への予期しないSMTPまたはHTTPトラフィックが発生します(ローカルのファイアウォールにより警告)。
  • 予期しないBrowser Helper Object(BHO)がターゲットマシン上にインストールされています。(Internet Explorerが起動時にパスワードを盗み出すトロイの木馬をロードするようにするため。)

感染方法TOPへ戻る
・キーロギングを行うトロイの木馬とパスワードを盗み出すトロイの木馬は、ターゲットマシンから機密データを盗み出します。この種のトロイの木馬は、このような動作を行うDLLコンポーネントとして検出されます。ターゲットマシンへの侵入方法はさまざまで、以下のような方法があります。
  • IRC
  • P2Pによるファイル共有
  • ニュースグループへの投稿
  • HTTPを介したダウンロード
  • スパムの送信
上記のとおり、トロイの木馬は、他のトロイの木馬またはセキュリティホールを突いたコードを使用して、ターゲットマシンにインストールされる可能性があります。PWS-WebMoney.genの場合、Exploit-MhtRedirを使用して、リモートサーバを乗っ取り、パスワードを盗み出すトロイの木馬をターゲットマシンにインストールします。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足