製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
Proxy-Mitglieder
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4314
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7577)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名BackDoor-CBJ:TrojanProxy.Win32.Mitglieder (F-Secure)
情報掲載日04/01/22
発見日(米国日付)04/01/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/29RDN/Generic ...
09/29RDN/Generic....
09/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7577
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・Proxy-Mitgliederはバックドア型トロイの木馬で、悪質なファイルをダウンロードしようとします。

・Proxy-Mitgliederが実行されると、 %windir%\system32フォルダに自身をコピーし、システム起動時に実行するように以下のレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\
    Run "ssgrate.exe" = C:\WINNT\System32\system.exe

・Proxy-Mitgliederはプロセスリストをモニタし、以下の名前のプログラムを終了します。

  • ATUPDATER.EXE
  • AVWUPD32.EXE
  • AVPUPD.EXE
  • LUALL.EXE
  • DRWEBUPW.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • UPDATE.EXE
  • NUPGRADE.EXE
  • ATUPDATER.EXE
  • AUPDATE.EXE
  • AUTODOWN.EXE
  • AUTOTRACE.EXE
  • AUTOUPDATE.EXE
  • AVXQUAR.EXE
  • CFIAUDIT.EXE
  • MCUPDATE.EXE
  • NUPGRADE.EXE

・以下のさまざまなWebサーバへTCP接続します。

  • http://www.block-investment.de/[blocked]/nro4.php
  • http://www.gasterixx.de/[blocked]/nro4.php
  • http://www.deadlygames.de/[blocked]/nro4.php
  • http://www.o-problemo.de/[blocked]/nro4.php
  • http://www.tv87.de/[blocked]/nro4.php
  • http://www.ranknet.de/[blocked]/nro4.php
  • http://www.remix-world.de/[blocked]/nro4.php
  • http://www.joerrens.de/[blocked]/nro4.php
  • http://www.bbszene.de/[blocked]/nro4.php
  • http://www.nikofor.com/[blocked].php
  • http://www.dyna-maik.de/[blocked]/nro4.php
  • http://www.werk3.de/[blocked]/nro4.php
  • http://www.gebr-wachs.de/[blocked]/nro4.php
  • http://www.rgs-rostock.de/[blocked]/nro4.php
  • http://www.lords-of-havoc.de/[blocked]/nro4.php

・Proxy-Mitgliederは感染したマシンのTCPポート39999を開き、攻撃者からのコマンドを受信します。

・以下のWebサーバからファイルをダウンロードします。

  • http://www.rgs-rostock.de/[blocked]/x.exe
  • http://www.gebr-wachs.de/[blocked]/x.exe
  • http://www.lords-of-havoc.de/[blocked]/x.exe

・このファイルは%windir%に書き込まれ、SAGEBOX.EXEというが名前が付けられます。Proxy-Mitgliederはパスワード詐取型トロイの木馬の新しい亜種で、4314定義ファイル以降でPWS-LDPinchとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリキーとファイルが存在します。
  • 複数のWebサーバへの送信ネットワークトラフィックが存在します。
  • ローカルマシンのTCP39999を開きます。

感染方法TOPへ戻る

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。スパムメール、IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足