ウイルス情報

ウイルス名 危険度

Proxy-Mitglieder

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4314
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 BackDoor-CBJ:TrojanProxy.Win32.Mitglieder (F-Secure)
情報掲載日 04/01/22
発見日(米国日付) 04/01/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Proxy-Mitgliederはバックドア型トロイの木馬で、悪質なファイルをダウンロードしようとします。

・Proxy-Mitgliederが実行されると、 %windir%\system32フォルダに自身をコピーし、システム起動時に実行するように以下のレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\
    Run "ssgrate.exe" = C:\WINNT\System32\system.exe

・Proxy-Mitgliederはプロセスリストをモニタし、以下の名前のプログラムを終了します。

  • ATUPDATER.EXE
  • AVWUPD32.EXE
  • AVPUPD.EXE
  • LUALL.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • UPDATE.EXE
  • NUPGRADE.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE

・以下のさまざまなWebサーバへTCP接続します。

  • http://www.block-investment.de/[blocked]/nro4.php
  • http://www.gasterixx.de/[blocked]/nro4.php
  • http://www.deadlygames.de/[blocked]/nro4.php
  • http://www.o-problemo.de/[blocked]/nro4.php
  • http://www.tv87.de/[blocked]/nro4.php
  • http://www.ranknet.de/[blocked]/nro4.php
  • http://www.remix-world.de/[blocked]/nro4.php
  • http://www.joerrens.de/[blocked]/nro4.php
  • http://www.bbszene.de/[blocked]/nro4.php
  • http://www.nikofor.com/[blocked].php
  • http://www.dyna-maik.de/[blocked]/nro4.php
  • http://www.werk3.de/[blocked]/nro4.php
  • http://www.gebr-wachs.de/[blocked]/nro4.php
  • http://www.rgs-rostock.de/[blocked]/nro4.php
  • http://www.lords-of-havoc.de/[blocked]/nro4.php

・Proxy-Mitgliederは感染したマシンのTCPポート39999を開き、攻撃者からのコマンドを受信します。

・以下のWebサーバからファイルをダウンロードします。

  • http://www.rgs-rostock.de/[blocked]/x.exe
  • http://www.gebr-wachs.de/[blocked]/x.exe
  • http://www.lords-of-havoc.de/[blocked]/x.exe

・このファイルは%windir%に書き込まれ、SAGEBOX.EXEというが名前が付けられます。Proxy-Mitgliederはパスワード詐取型トロイの木馬の新しい亜種で、4314定義ファイル以降でPWS-LDPinchとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリキーとファイルが存在します。
  • 複数のWebサーバへの送信ネットワークトラフィックが存在します。
  • ローカルマシンのTCP39999を開きます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。スパムメール、IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る