製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
Spy-Agent.bg
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4829
対応定義ファイル
(現在必要とされるバージョン)
5594 (現在7600)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Infostealer (Symantec)
Trj/Spyforms.A (Panda)
TSPY_SMALL.CLT(TrendMicro)
情報掲載日2009/05/12
発見日(米国日付)2006/08/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Spy-Agent.bgはターゲットマシンから情報を収集してリモートサイトに送信します。

ウイルスの特徴TOPに戻る
--- 2009年4月10日更新 ---

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://isc.sans.org/diary.html?storyid=6178

・Spy-Agent.bgの新しい亜種は以下の場所に自身をコピーします。

C:\Documents and Settings\[ユーザ名]<ユーザ名>\Start Menu\Programs\Startup\userinit.exe
C:\Documents and Settings\[ユーザ名]<ユーザ名>\svchost.exe
%WinDir%\system32\drivers\services.exe

・以下のサーバに接続しようとします。

- stopgam.cn
- stopgam2.cn
- serv.plathost.ru

・また、以下にルートキットコンポーネントをインストールします。

C:\WINDOWS\new_drv.sys

・このコンポーネントはGeneric Rootkit.dという名前で検出されます。

--- 2008年9月16日更新 ----

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.freelanceuk.com/news/2843.shtml

・実行時、以下のファイルをドロップ(作成)します。

  • %WinDir% \system32\cabpck.dll(hidden file,identfied as Generic Rootkit.d trojan)
  • %WinDir% \system32\krnlcab.sys(hidden file, identfied as Generic Rootkit.d trojan)
  • %WinDir% \system32\k86.bin

(%WinDir%はデフォルトのWindowsフォルダ。例:C:\WINNT、C:\WINDOWSなど)

・以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Asynchronous: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\DllName: "%WinDir%\System32\cabpck.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Impersonate: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Startup: "cabpck"

・乗っ取ったシステムが再起動されるたびに、.dllファイルがすべてのプロセスに挿入されます。

・ルートキットの手法を使い、以下のSSDT関数にフックします。

  • ZwCreateProcess
  • ZwCreateProcessEx
  • ZwOpenProcess
  • ZwOpenKey
  • ZwQueryDirectoryFile

・以下のサーバに接続しようとします。

  • social-bos.biz

・接続後、さらにマルウェアをダウンロードしたり、他のリモートコマンドを受け取ったりします。

・乗っ取ったマシンからパスワードなどの資格情報を盗み出す可能性があります。

-----------------------------------------
更新: 05/13/2008

・Spy-Agent.bgの新しい亜種にはiexplorer.exeというファイル名が付けられています。

・実行時、動作した場所から自身を削除し、explorer.exeを含むさまざまなプロセスにスレッドを挿入します。

・マシン上で見つかったユーザ情報、ユーザの閲覧情報を以下にポストしようとします。

  • 58.65.236.1
  • pull2.assisback.com

・ランダムなポートでバックドアを開き、コマンドを受信しようとします。

----------------------------------------------------------------------------------------------------------------------------------------------------

・実行時、Spy-Agent.bgは以下のパスに自身をコピーします。

  • %WINDIR%\scvc.exe

・以下のレジストリキーが追加されます。

  • hkey_current_user\software\microsoft\windows\currentversion\runttool="%WINDIR%\scvc.exe"
  • hkey_current_user\software\microsoft\inetdata\k1=(ランダムな数字)
  • hkey_current_user\software\microsoft\inetdata\k2=(ランダムな数字)

・以下のURLに接続します。

81.[削除].147.107/cgi-bin/options.cgi
81.[削除].147.107/cgi-bin/forms.cgi
81.[削除].147.107/cgi-bin/cert.cgi

・Spy-Agent.bgは以下の情報を送信しようとします。

  • ローカルドライブの「MY」認証ストアに格納されている証明書
  • ユーザ名、OSのバージョン

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のリモートホストへのHTTP接続が行われます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足