ウイルス情報

ウイルス名 危険度

Phish-Potpor

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4326
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7633)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/02/17
発見日(米国日付) 04/02/16
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Phish-Potporは新種のトロイの木馬で、受信者にVISAカードのカード番号、名前、有効期限、PINナンバーなどの情報を更新するよう求める大量の電子メールを送信します。

・Phish-Potporが実行されると、LPCONFIG.EXEというファイル名で%windir%フォルダに自身をコピーします。以下のレジストリキーを作成し、システムの起動時に実行します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "ipconfig" = c:\winnt\lpconfig.exe

・電子メールの内容は以下のとおりです。

送信元: "VISA" [support@visa.com]
件名:"VISA Announcement!"
送信先:アドレスはPhish-Potporでハードコード化された名前をもとにランダムに作成されています。

電子メール本文

電子メールの例:

・注)電子メールは定義ファイル4324以降ではPhish-Potpor!emlとして検出されます。

・Phish-Potporは電子メールを送信するために、SMTPサーバのリストを含みます。

  • 207.69.200.80
  • 207.69.200.93
  • 207.69.200.65
  • 207.69.200.159
  • 207.69.200.133
  • 207.69.200.30
  • 207.69.200.36
  • 207.69.200.31
  • 206.124.29.24
  • 165.212.8.32
  • 205.188.158.121
  • 205.188.159.57
  • 205.188.159.249
  • 64.12.137.89
  • 64.12.137.184
  • 64.12.138.57
  • 64.12.138.152
  • 205.188.156.185
  • 64.12.137.184
  • 64.12.138.89
  • 64.12.138.120
  • 205.188.156.185
  • 205.188.158.121
  • 205.188.159.57
  • 64.12.137.89
  • 194.112.50.61
  • 195.157.7.77
  • 194.112.50.11
  • 207.217.125.16
  • 207.217.125.17
  • 207.217.125.18
  • 207.217.125.19
  • 207.217.125.20
  • 207.217.125.21
  • 207.217.125.22
  • 207.217.125.23
  • 207.217.125.24
  • 66.98.161.198
  • 66.98.208.65
  • 66.98.160.58
  • 207.115.63.115
  • 207.115.63.70
  • 195.166.137.25
  • 62.69.90.12
  • 217.28.130.35
  • 80.189.92.100
  • 80.189.94.100
  • 195.72.113.42
  • 145.253.32.2
  • 194.73.73.118
  • 194.73.73.117
  • 192.168.10.130
  • 192.168.10.135
  • 62.253.164.70
  • 195.130.225.26
  • 207.69.200.31
  • 207.69.200.82
  • 207.69.200.17
  • 207.69.200.154
  • 207.69.200.106
  • 194.42.224.145
  • 194.42.224.148
  • 212.74.114.54
  • 212.74.114.26
  • 212.74.114.7
  • 213.189.95.71
  • 213.189.95.71
  • 149.174.40.55
  • 149.174.40.183
  • 149.174.211.5
  • 149.174.213.5

・電子メールの本文中にある「here」をクリックすると、DYNDNS.ORG IP アドレスの画面が表示されます。この情報掲載時点では、以下のコンテンツを入手しました。

・注)上記のコンテンツは変更される可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記で説明したファイルが存在します。

・予期せず、さまざまなSMTPサーバへのネットワークトラフィックが存在します。

・visasecurityupgrade.dyndns.org および goldy.dyndns.orgへのネットワーク接続が存在します。

TOPへ戻る

感染方法

・Phish-Potporは自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

・上記のリンクが含まれた電子メールを読んだり、開いたりするだけでは、マシンには感染しません。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る