製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-OnlineGames.dt.dll
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		5536
対応定義ファイル
(現在必要とされるバージョン)		6197 (現在7084)
対応エンジン5.2.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Gh0stRat
GhostRat
情報掲載日2009/04/01
発見日(米国日付)2009/02/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・PWS-OnlineGames.dt.dllは、システム情報と特定のオンラインゲームのユーザ情報を手に入れるため、パスワードを盗み出し、キー入力を記録するトロイの木馬です。

・盗み出されるパスワード、アクセスされるサイト、ダウンロードされるファイルなどの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

ウイルスの特徴TOPに戻る

・PWS-OnlineGames.dt.dllでは多くの亜種が検出されるため、ファイル名、レジストリキーなどの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

・亜種によって、以下の自動起動レジストリ項目が作成されることがあります。

    • HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\[ランダムなサービス]\Parameters\

Servicedll = "[DLLのパスおよびファイル名]"

注:ランダムなサービスは以下のレジストリから取得される可能性があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{Random CLSID}\Inprocserver32\

        • (既定) = "[DLLのパスおよびファイル名]"

        ・PWS-OnlineGames.dt.dllはシステムにフックし、キーボードの入力、マウスのクリックを記録します。収集されたデータはログファイルに保存されます。

        ・また、使用プロセッサとその速度、使用オペレーティングシステム、ユーザの情報といったシステム情報を取り出すこともできます。

        ・PWS-OnlineGames.dt.dllはPWS-OnlineGames.dt.sysという名前で検出されるコンポーネントSYSファイルをドロップ(作成)します。ファイルは、SSDT機能を監視、保護するため、ウイルス対策ソフトウェアで使われるドライバを含むすべてのSSDT機能フックをリセットしようとします。これにより、ウイルス対策ソフトウェアが正常に動作しなくなる可能性があります。

        ・PWS-OnlineGames.dt.dllはリモートユーザから以下のコマンドを受け入れることができます。

        • リモートCMDシェルの作成
        • 他のファイルのダウンロード
        • すべての動作中のプロセスのリストアップ
        • プロセスの終了
        • 自身の削除
        • システムの再起動
        • イベントログ(アプリケーション、セキュリティ、システム)の消去

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
    • 上記のファイルおよびレジストリ項目が存在します。
    • マシンにインストールされているファイアウォールソフトウェアから、インターネットに接続しようとする未知のプログラムについて警告が発せられます。

    感染方法TOPへ戻る

    ・PWS-OnlineGames.dt.dllはリムーバブルデバイスに自身とAutorun.infをコピーして拡散します。

    ・感染ファイルを手動で実行、あるいは感染ファイルが格納されたフォルダを開くと、Autorun.infファイルで自動実行が開始され、感染します。

    ・また、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。ウイルスが届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

    駆除方法TOPへ戻る
    ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

    Windows ME/XPでの駆除についての補足