製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Mmorpg.gen
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5025
対応定義ファイル
(現在必要とされるバージョン)
5032 (現在7401)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名TR/PSW.OnLineGames.DR (Avira)
Trojan-PSW.Win32.OnLineGames.dr (Kaspersky)
Trojan.OnLineGames-5 (Clam AV)
Trojan.Pws.Onlinegames.DR (BitDefender)
情報掲載日2007/05/11
発見日(米国日付)2007/05/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る
-- 2007年11月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.net-security.org/malware_news.php?id=880

--

・PWS-MmorpgはBorland Delphiで作成され、人気のあるオンラインMMORPGゲームのパスワード情報を盗み出そうとするトロイの木馬です。盗み出した情報をリモートWebサイトにポストする機能も組み込まれています。

ウイルスの特徴TOPに戻る
-- 2007年11月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.net-security.org/malware_news.php?id=880

--

・PWS-MmorpgはBorland Delphiで作成され、人気のあるオンラインMMORPGゲームのパスワード情報を盗み出そうとするトロイの木馬です。盗み出した情報をリモートWebサイトにポストする機能も組み込まれています。

・PWS-Mmorpgが実行されると、リムーバブルドライブ、フロッピーディスクドライブを含むすべての使用可能なドライブに以下のファイルをドロップ(作成)します。

.\Shell.exe --> PWS-Mmorpgのコピー
.\autorun.inf --> W32/USBAgent!infという名前で検出
%WINDIR%\Help\ACDF4F3D0FD.exe --> PWS-Mmorpgのコピー
%WINDIR%\Help\ACDF4F3D0FD.dll --> PWS-Mmorpg.genという名前で検出

注:上記のファイルは隠し、システムファイル属性に設定されています。

・感染したシステム上で一度に1つのインスタンスのPWS-Mmorpgしか動作しないよう、以下のmutexを作成します。

  • MeVFSExt

・すべてのドライブのルートにautorun.infファイルを作成して、Explorerでドライブが開かれたときにPWS-Mmorpgが実行されるようにします。 autorun.infは以下のコマンド構文でPWS-Mmorpgのファイルが起動するように設定されています。

[autorun]
shell\1=Open
shell\1\Command=shell.exe -s

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・PWS-Mmorpgは以下のレジストリキーを追加して、DLLコンポーネントを登録します。

HKEY_Classes_Root\CLSID\{F4030DE0-970A-4130-B155-FB8D19A038AA}\ InProcServeDr32%WINDIR%\Help\ACDF4F3D0FD.dll

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972})

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\{F4030DE0-970A-4130-B155-FB8D19A038AA})

・DLLコンポーネントを実行中のプロセスに挿入し、以下のオンラインゲームポータルへのアクセスを監視します。

  • http://member.ran.com.tw/gamesite/event/ran_card/unlock.aspx
  • http://tw.login.yahoo.com/cgi-bin/login.cgi?srv=club
  • http://www.ran.com.tw/gamesite/card.htm
  • https://member.ran.com.tw/gamesite/event/20061012_god/application_login.aspx
  • https://signup.wowtaiwan.com.tw/09Accountmgmt/login.asp
  • https://signup.wowtaiwan.com.tw/09Accountmgmt/ManageAccount/changepassword.asp
  • https://signup.wowtaiwan.com.tw/09Accountmgmt/PrepaidCardsAndCDKey/login.asp
  • https://tw.event.gamania.com/lineageevent/e20050502/index.asp
  • https://tw.event.gamania.com/lineageevent/e20050502/search.asp
  • https://tw.gash.gamania.com/GASHLogin.aspx
  • https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx
  • https://tw.gash.gamania.com/UpdateServiceAccountPassword.aspx?ServiceCode=600035
  • https://tw.goodlock.gamania.com
  • https://tw.goodlock.gamania.com/ShowNew.aspx

・上記のサイトのユーザ名、パスワード情報を記録し、攻撃者が管理するリモートWebサイトにポストします。

感染方法TOPへ戻る

・パスワードスティーラはウイルスではなく、複製手段も組み込まれていません。しかし、キーロガーが他のウイルスやトロイの木馬によってダウンロードされ、インストールされる場合はあります。

・また、Webページを訪問することによって(リンクをクリック、またはユーザに通知せずにユーザのシステムにパスワードスティーラをインストールするスクリプトをホストしている悪質なWebサイトによって)インストールされる場合もあります。

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足