McAfee for Small Businesses

キーストローク詐取

・W32/Spybot.uy.wormは“TASKMANGR.EXE”という名前の悪意のある32ビットPEファイルで、ファイルサイズは21,821バイトです。

・W32/Spybot.uy.wormは“TASKMANGR.EXE”というファイル名で自身をWindows Systemディレクトリにコピーします。また、Windows Systemディレクトリの下に、“kazaabackupfiles”という名前のディレクトリを作成します。kazaabackupfilesディレクトリは、ターゲットマシンにKaZaaクライアントがインストールされている場合、KaZaaクライアントの共有フォルダとして設定されます。自身を以下のファイル名でコピーします。

• AquaNox2 Crack.exe
• AVP_Crack.exe
• Battlefield1942_bloodpatch.exe
• C&C Generals_crack.exe
• FIFA2003 crack.exe
• NBA2003_crack.exe
• Porn.exe
• Unreal2_bloodpatch.exe
• UT2003_bloodpatch.exe
• zoneallarm_pro_crack.exe

・以下のレジストリエントリを作成します。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\_ CurrentVersion\Runonce "Task manager" = TASKMANGR.EXE
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\_ CurrentVersion\Run "Task manager" = TASKMANGR.EXE

・他の亜種と同じように、キーストロークをテキストファイルに記録して、IRCプロトコルで攻撃者に転送します。キーストローク情報は以下の形式で保存されます。

• [F12][ESC][Insert][Down][Up][TAB]...

・このワームはリモートコマンドを受け取り、例えばWebサイトにサービス拒否のフラッド攻撃を仕掛けます。

・W32/Spybot.uy.wormを確認した場合、最新の定義ファイルに更新していることを確認してください。定義ファイル4311では、無害なHTMLファイルがW32/Spybot.uyとして間違って検出されましたが、定義ファイル4312以降では修正されています。