製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
Phish-Potpor
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4326
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7576)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/02/17
発見日(米国日付)04/02/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/28RDN/Generic ...
09/28RDN/PWS-Bank...
09/28RDN/Spybot.b...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7576
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・Phish-Potporは新種のトロイの木馬で、受信者にVISAカードのカード番号、名前、有効期限、PINナンバーなどの情報を更新するよう求める大量の電子メールを送信します。

・Phish-Potporが実行されると、LPCONFIG.EXEというファイル名で%windir%フォルダに自身をコピーします。以下のレジストリキーを作成し、システムの起動時に実行します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "ipconfig" = c:\winnt\lpconfig.exe

・電子メールの内容は以下のとおりです。

送信元: "VISA" [support@visa.com]
件名:"VISA Announcement!"
送信先:アドレスはPhish-Potporでハードコード化された名前をもとにランダムに作成されています。

電子メール本文

電子メールの例:

・注)電子メールは定義ファイル4324以降ではPhish-Potpor!emlとして検出されます。

・Phish-Potporは電子メールを送信するために、SMTPサーバのリストを含みます。

  • 207.69.200.80
  • 207.69.200.93
  • 207.69.200.65
  • 207.69.200.159
  • 207.69.200.133
  • 207.69.200.30
  • 207.69.200.36
  • 207.69.200.31
  • 206.124.29.24
  • 165.212.8.32
  • 205.188.158.121
  • 205.188.159.57
  • 205.188.159.249
  • 64.12.137.89
  • 64.12.137.184
  • 64.12.138.57
  • 64.12.138.152
  • 205.188.156.185
  • 64.12.137.184
  • 64.12.138.89
  • 64.12.138.120
  • 205.188.156.185
  • 205.188.158.121
  • 205.188.159.57
  • 64.12.137.89
  • 194.112.50.61
  • 195.157.7.77
  • 194.112.50.11
  • 207.217.125.16
  • 207.217.125.17
  • 207.217.125.18
  • 207.217.125.19
  • 207.217.125.20
  • 207.217.125.21
  • 207.217.125.22
  • 207.217.125.23
  • 207.217.125.24
  • 66.98.161.198
  • 66.98.208.65
  • 66.98.160.58
  • 207.115.63.115
  • 207.115.63.70
  • 195.166.137.25
  • 62.69.90.12
  • 217.28.130.35
  • 80.189.92.100
  • 80.189.94.100
  • 195.72.113.42
  • 145.253.32.2
  • 194.73.73.118
  • 194.73.73.117
  • 192.168.10.130
  • 192.168.10.135
  • 62.253.164.70
  • 195.130.225.26
  • 207.69.200.31
  • 207.69.200.82
  • 207.69.200.17
  • 207.69.200.154
  • 207.69.200.106
  • 194.42.224.145
  • 194.42.224.148
  • 212.74.114.54
  • 212.74.114.26
  • 212.74.114.7
  • 213.189.95.71
  • 213.189.95.71
  • 149.174.40.55
  • 149.174.40.183
  • 149.174.211.5
  • 149.174.213.5

・電子メールの本文中にある「here」をクリックすると、DYNDNS.ORG IP アドレスの画面が表示されます。この情報掲載時点では、以下のコンテンツを入手しました。

・注)上記のコンテンツは変更される可能性があります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記で説明したファイルが存在します。

・予期せず、さまざまなSMTPサーバへのネットワークトラフィックが存在します。

・visasecurityupgrade.dyndns.org および goldy.dyndns.orgへのネットワーク接続が存在します。

感染方法TOPへ戻る

・Phish-Potporは自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

・上記のリンクが含まれた電子メールを読んだり、開いたりするだけでは、マシンには感染しません。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足