McAfee for Small Businesses

ウイルス名 危険度 PWS-BoldDie 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5559 対応定義ファイル (現在必要とされるバージョン) 5559　（現在7080) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Win32.Skimer.c (F-Secure) Backdoor.Win32.Skimer.c (Kaspersky) Trj/CI.A (Panda) Troj/Skimer-A (Sophos) Trojan.Skimer (Symantec) Trojan.Skimer.origin (Dr.Web) 情報掲載日 2009/06/05 発見日（米国日付） 2009/03/19 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2009年6月4日更新-- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://www.theregister.co.uk/2009/06/03/atm_trojans/ ・PWS-BoldDieはDieboldソフトウェアを使っているATMでパスワードを盗み出すためのものです。 ・実行時、以下の代替データストリームをドロップ（作成）します。 %WinDir%\greenstone.bmp:redstone.bmp %WinDir%\greenstone.bmp:bluestone.bmp %WinDir%\lsass.exe %WinDir%\[サービス]:pwrstr.dll ・あるいは、NTFS以外のホストでは、以下のファイルがドロップされます。 %WinDir%\Greenstone.bmp ・Protected Storage Serviceのパス、タイプに対して、以下のレジストリキーの改変が行われます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage\ImagePath: "C:\WINDOWS\lsass.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage\Type: 0x00000110 ・代替データストリームである「[サービス]:pwrstr.dll」は自身をmu.exe、SpiService.exeプロセスに挿入し、「\\.\pipe\lsndbd」という名前付きパイプを使って、プロセス間通信を行います。 ・ATMでの取引に関する情報は代替データストリームであるgreenstone.bmp:redstone.bmpに保持されます。インターフェースにはこのデータをプリントアウトする機能が存在します。攻撃者は、ATMのグラフィカルインターフェースの特定のコマンドにより、認証後、この情報にアクセスできます。 ・その他の攻撃者が利用できるコマンドの一例は以下の通りです。 1〜4 - カセットを取り出す 9 - アンインストール 0 - 終了 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記の代替データストリームが存在します。 ・プロセスに上記のスレッドが存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足