McAfee for Small Businesses

ウイルス名 危険度 PWS-Mmorpg.gen 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5025 対応定義ファイル (現在必要とされるバージョン) 5032　（現在7077) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 TR/PSW.OnLineGames.DR (Avira) Trojan-PSW.Win32.OnLineGames.dr (Kaspersky) Trojan.OnLineGames-5 (Clam AV) Trojan.Pws.Onlinegames.DR (BitDefender) 情報掲載日 2007/05/11 発見日（米国日付） 2007/05/07 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2007年11月15日更新 -- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://www.net-security.org/malware_news.php?id=880 -- ・PWS-MmorpgはBorland Delphiで作成され、人気のあるオンラインMMORPGゲームのパスワード情報を盗み出そうとするトロイの木馬です。盗み出した情報をリモートWebサイトにポストする機能も組み込まれています。 ・PWS-Mmorpgが実行されると、リムーバブルドライブ、フロッピーディスクドライブを含むすべての使用可能なドライブに以下のファイルをドロップ（作成）します。 .\Shell.exe --> PWS-Mmorpgのコピー .\autorun.inf --> W32/USBAgent!infという名前で検出 %WINDIR%\Help\ACDF4F3D0FD.exe --> PWS-Mmorpgのコピー %WINDIR%\Help\ACDF4F3D0FD.dll --> PWS-Mmorpg.genという名前で検出 注：上記のファイルは隠し、システムファイル属性に設定されています。 ・感染したシステム上で一度に1つのインスタンスのPWS-Mmorpgしか動作しないよう、以下のmutexを作成します。 MeVFSExt ・すべてのドライブのルートにautorun.infファイルを作成して、Explorerでドライブが開かれたときにPWS-Mmorpgが実行されるようにします。 autorun.infは以下のコマンド構文でPWS-Mmorpgのファイルが起動するように設定されています。 [autorun] shell\1=Open shell\1\Command=shell.exe -s 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・PWS-Mmorpgは以下のレジストリキーを追加して、DLLコンポーネントを登録します。 HKEY_Classes_Root\CLSID\{F4030DE0-970A-4130-B155-FB8D19A038AA}\ InProcServeDr32%WINDIR%\Help\ACDF4F3D0FD.dll HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}) HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\{F4030DE0-970A-4130-B155-FB8D19A038AA}) ・DLLコンポーネントを実行中のプロセスに挿入し、以下のオンラインゲームポータルへのアクセスを監視します。 http://member.ran.com.tw/gamesite/event/ran_card/unlock.aspx http://tw.login.yahoo.com/cgi-bin/login.cgi?srv=club http://www.ran.com.tw/gamesite/card.htm https://member.ran.com.tw/gamesite/event/20061012_god/application_login.aspx https://signup.wowtaiwan.com.tw/09Accountmgmt/login.asp https://signup.wowtaiwan.com.tw/09Accountmgmt/ManageAccount/changepassword.asp https://signup.wowtaiwan.com.tw/09Accountmgmt/PrepaidCardsAndCDKey/login.asp https://tw.event.gamania.com/lineageevent/e20050502/index.asp https://tw.event.gamania.com/lineageevent/e20050502/search.asp https://tw.gash.gamania.com/GASHLogin.aspx https://tw.gash.gamania.com/UpdateMainAccountPassword.aspx https://tw.gash.gamania.com/UpdateServiceAccountPassword.aspx?ServiceCode=600035 https://tw.goodlock.gamania.com https://tw.goodlock.gamania.com/ShowNew.aspx ・上記のサイトのユーザ名、パスワード情報を記録し、攻撃者が管理するリモートWebサイトにポストします。 感染方法 TOPへ戻る ・パスワードスティーラはウイルスではなく、複製手段も組み込まれていません。しかし、キーロガーが他のウイルスやトロイの木馬によってダウンロードされ、インストールされる場合はあります。 ・また、Webページを訪問することによって（リンクをクリック、またはユーザに通知せずにユーザのシステムにパスワードスティーラをインストールするスクリプトをホストしている悪質なWebサイトによって）インストールされる場合もあります。 駆除方法 TOPへ戻る ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン（特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを）を信用しないことを推奨します。 Windows ME/XPでの駆除についての補足