ウイルス情報

ウイルス名 危険度

Spy-Agent.bg

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4829
対応定義ファイル
(現在必要とされるバージョン)
5594 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Infostealer (Symantec)
Trj/Spyforms.A (Panda)
TSPY_SMALL.CLT(TrendMicro)
情報掲載日 2009/05/12
発見日(米国日付) 2006/08/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Spy-Agent.bgはターゲットマシンから情報を収集してリモートサイトに送信します。

TOPへ戻る

ウイルスの特徴

--- 2009年4月10日更新 ---

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://isc.sans.org/diary.html?storyid=6178

・Spy-Agent.bgの新しい亜種は以下の場所に自身をコピーします。

C:\Documents and Settings\[ユーザ名]<ユーザ名>\Start Menu\Programs\Startup\userinit.exe
C:\Documents and Settings\[ユーザ名]<ユーザ名>\svchost.exe
%WinDir%\system32\drivers\services.exe

・以下のサーバに接続しようとします。

- stopgam.cn
- stopgam2.cn
- serv.plathost.ru

・また、以下にルートキットコンポーネントをインストールします。

C:\WINDOWS\new_drv.sys

・このコンポーネントはGeneric Rootkit.dという名前で検出されます。

--- 2008年9月16日更新 ----

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.freelanceuk.com/news/2843.shtml

・実行時、以下のファイルをドロップ(作成)します。

  • %WinDir% \system32\cabpck.dll(hidden file,identfied as Generic Rootkit.d trojan)
  • %WinDir% \system32\krnlcab.sys(hidden file, identfied as Generic Rootkit.d trojan)
  • %WinDir% \system32\k86.bin

(%WinDir%はデフォルトのWindowsフォルダ。例:C:\WINNT、C:\WINDOWSなど)

・以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Asynchronous: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\DllName: "%WinDir%\System32\cabpck.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Impersonate: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Startup: "cabpck"

・乗っ取ったシステムが再起動されるたびに、.dllファイルがすべてのプロセスに挿入されます。

・ルートキットの手法を使い、以下のSSDT関数にフックします。

  • ZwCreateProcess
  • ZwCreateProcessEx
  • ZwOpenProcess
  • ZwOpenKey
  • ZwQueryDirectoryFile

・以下のサーバに接続しようとします。

  • social-bos.biz

・接続後、さらにマルウェアをダウンロードしたり、他のリモートコマンドを受け取ったりします。

・乗っ取ったマシンからパスワードなどの資格情報を盗み出す可能性があります。

-----------------------------------------
更新: 05/13/2008

・Spy-Agent.bgの新しい亜種にはiexplorer.exeというファイル名が付けられています。

・実行時、動作した場所から自身を削除し、explorer.exeを含むさまざまなプロセスにスレッドを挿入します。

・マシン上で見つかったユーザ情報、ユーザの閲覧情報を以下にポストしようとします。

  • 58.65.236.1
  • pull2.assisback.com

・ランダムなポートでバックドアを開き、コマンドを受信しようとします。

----------------------------------------------------------------------------------------------------------------------------------------------------

・実行時、Spy-Agent.bgは以下のパスに自身をコピーします。

  • %WINDIR%\scvc.exe

・以下のレジストリキーが追加されます。

  • hkey_current_user\software\microsoft\windows\currentversion\runttool="%WINDIR%\scvc.exe"
  • hkey_current_user\software\microsoft\inetdata\k1=(ランダムな数字)
  • hkey_current_user\software\microsoft\inetdata\k2=(ランダムな数字)

・以下のURLに接続します。

81.[削除].147.107/cgi-bin/options.cgi
81.[削除].147.107/cgi-bin/forms.cgi
81.[削除].147.107/cgi-bin/cert.cgi

・Spy-Agent.bgは以下の情報を送信しようとします。

  • ローカルドライブの「MY」認証ストアに格納されている証明書
  • ユーザ名、OSのバージョン

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のリモートホストへのHTTP接続が行われます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る