製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Spy-Idwi
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4328
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7515)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Trj/Etsur.A (Panda): Trojan.Etsur (Symantec)
情報掲載日04/03/17
発見日(米国日付)04/03/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・このトロイの木馬には、複数のバージョンがあります。最大限の保護のために、最新のエンジン/定義ファイルを使用してください。Spy-Idwiは、Spy-Tofgerによく似ており、特徴は以下のとおりです。

  • ドロッパ、DLL、およびEXEコンポーネントで構成されています。
  • 特定のタイトルでウィンドウをモニタし、オンライン金融サービスに関するセッションのキーストロークを入手します。

2004年3月16日

・新しい亜種が以下の電子メールを介して、ユーザにスパムメールで送信されました。この亜種は、定義ファイル4339で検出されます。

・スパムメールは以下のような電子メールメッセージで送信されます。

・差出人:(あるユーザ名)@microsoft.com
・件名:MS Security
・本文:

Welcome to Windows Update!


There are 10 critical updates available at this time

Get the latest updates available for your computer's operating system,
software, and hardware.

Windows Update scans your computer and provides you with a selection
of updates tailored just for you.

Checking for the latest version of the Windows Update software...

Depending on your connection speed, this might take a minute.
During this time, you may receive one or more security warnings.
Review each security warning to ensure that the content is signed by Microsoft, and then click Yes to install the software.

Follow the link :Windows Update

Open the fail,and new updates are installed.


Sincerely,
www.microsoft.com.

・本文内のリンクは以下のURLに接続しています。

  • >microsoft-
    security-updates >

・上記のサイトから、ドロッパ(MSTASKS.EXE(7,168バイト))がダウンロードされます。ドロッパが実行されると、以下のファイルがインストールされます。

  • %WinDir%\SVCHOST.EXE(12,000バイト) - 主要なコンポーネント
  • %WinDir%\WMSRO32.DLL(3,072 バイド) - キーロギングDLL
  • %WinDir%\INITES.INI - 正常なインストールを示すテキストメッセージで、さらに記録されたキーストロークに使用されます。

・以下のレジストリキーが追加されて、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "Windows Startup" = %WinDir%\SVCHOST.EXE

・また、データ値が追加されます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Mrvt "IDWin" = (data)

・データ値は、ログデータとともに電子メールでハッカーに送信されます。

・閲覧したURLはキーストロークとして記録されます。以下の文字列をウインドウタイトルに持つアプリケーションが特にターゲットとなります(金融サービス)。

  • e-gold
  • Fleet
  • Citi
  • CIBC
  • RBC
  • Scotia

・Spy-Idwiは、ログデータを送信するために自身のSMTPエンジンを内蔵しています。以下のSMTPサーバがメール送信に使用されます(IPアドレスはSpy-Idwiに内蔵されています)。

  • 194.67.23.20

・送信された電子メールは、「差出人」および「宛先」のヘッダに以下の電子メールアドレスを使用します。

  • xlog@mail.ru

・電子メールはログされたセッションのウインドウタイトルとともに記録されたキーストロークを含みます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリキーが存在します。

・上記のIPアドレスにSMTPトラフィックを送信します。

感染方法TOPへ戻る

・Spy-Idwiは、ターゲットマシン上のセンシティブなデータを記録します。スパムメールで送信された電子メールメッセージを介して受信され、ドロッパコンポーネントがダウンロードされて実行されるWebサイトへユーザを導きます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足