McAfee for Small Businesses

ウイルス名 危険度 Spy-Agent.bg 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 4829 対応定義ファイル (現在必要とされるバージョン) 5594　（現在7080) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Infostealer (Symantec) Trj/Spyforms.A (Panda) TSPY_SMALL.CLT(TrendMicro) 情報掲載日 2009/05/12 発見日（米国日付） 2006/08/14 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/18 RDN/Generic.... 05/18 RDN/Generic.... 05/18 Generic Drop... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --- 2009年4月10日更新 --- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://isc.sans.org/diary.html?storyid=6178 ・Spy-Agent.bgの新しい亜種は以下の場所に自身をコピーします。 C:\Documents and Settings\[ユーザ名]<ユーザ名>\Start Menu\Programs\Startup\userinit.exe C:\Documents and Settings\[ユーザ名]<ユーザ名>\svchost.exe %WinDir%\system32\drivers\services.exe ・以下のサーバに接続しようとします。 - stopgam.cn - stopgam2.cn - serv.plathost.ru ・また、以下にルートキットコンポーネントをインストールします。 C:\WINDOWS\new_drv.sys ・このコンポーネントはGeneric Rootkit.dという名前で検出されます。 --- 2008年9月16日更新 ---- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://www.freelanceuk.com/news/2843.shtml ・実行時、以下のファイルをドロップ（作成）します。 %WinDir% \system32\cabpck.dll(hidden file,identfied as Generic Rootkit.d trojan) %WinDir% \system32\krnlcab.sys(hidden file, identfied as Generic Rootkit.d trojan) %WinDir% \system32\k86.bin （%WinDir%はデフォルトのWindowsフォルダ。例：C:\WINNT、C:\WINDOWSなど） ・以下のレジストリキーを追加します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Asynchronous: 0x00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\DllName: "%WinDir%\System32\cabpck.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Impersonate: 0x00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck\Startup: "cabpck" ・乗っ取ったシステムが再起動されるたびに、.dllファイルがすべてのプロセスに挿入されます。 ・ルートキットの手法を使い、以下のSSDT関数にフックします。 ZwCreateProcess ZwCreateProcessEx ZwOpenProcess ZwOpenKey ZwQueryDirectoryFile ・以下のサーバに接続しようとします。 social-bos.biz ・接続後、さらにマルウェアをダウンロードしたり、他のリモートコマンドを受け取ったりします。 ・乗っ取ったマシンからパスワードなどの資格情報を盗み出す可能性があります。 ----------------------------------------- 更新： 05/13/2008 ・Spy-Agent.bgの新しい亜種にはiexplorer.exeというファイル名が付けられています。 ・実行時、動作した場所から自身を削除し、explorer.exeを含むさまざまなプロセスにスレッドを挿入します。 ・マシン上で見つかったユーザ情報、ユーザの閲覧情報を以下にポストしようとします。 58.65.236.1 pull2.assisback.com ・ランダムなポートでバックドアを開き、コマンドを受信しようとします。 ---------------------------------------------------------------------------------------------------------------------------------------------------- ・実行時、Spy-Agent.bgは以下のパスに自身をコピーします。 %WINDIR%\scvc.exe ・以下のレジストリキーが追加されます。 hkey_current_user\software\microsoft\windows\currentversion\runttool="%WINDIR%\scvc.exe" hkey_current_user\software\microsoft\inetdata\k1=(ランダムな数字) hkey_current_user\software\microsoft\inetdata\k2=(ランダムな数字) ・以下のURLに接続します。 81.[削除].147.107/cgi-bin/options.cgi 81.[削除].147.107/cgi-bin/forms.cgi 81.[削除].147.107/cgi-bin/cert.cgi ・Spy-Agent.bgは以下の情報を送信しようとします。 ローカルドライブの「MY」認証ストアに格納されている証明書 ユーザ名、OSのバージョン 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリキーが存在します。 上記のリモートホストへのHTTP接続が行われます。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足