|
|
ウイルス情報| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 5587 | 対応定義ファイル
(現在必要とされるバージョン) | 5599 (現在7084) | | 対応エンジン | 5.3.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Infostealer (Symantec)
PWS:Win32/Zbot.M (Microsoft MP CL) | | 情報掲載日 | 2009/04/30 | | 発見日(米国日付) | 2009/04/17 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| 概要 | TOPに戻る | |
・Spy-Agent.duはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。
・最近の亜種はユーザのクッキーからデータを盗み出し、日付をリモートサーバに送信することが確認されました。
|
|
| ウイルスの特徴 | TOPに戻る | |
・最近の亜種はユーザのクッキーからデータを盗み出し、日付をリモートサーバに送信することが確認されました。これらは偽装された電子メールの添付ファイルで見つかっています。
・実行時、以下のファイルとフォルダを作成します。
- %Windir%\system32\lowsec (フォルダ)
- %Windir%\system32\lowsec\local.ds (データファイル)
- %Windir%\system32\lowsec\user.ds (データファイル)
- C:\Documents and Settings\NetworkService\Cookies\index.dat (日付ファイル)
- %Windir%\system32\sdra64.exe (ランダムなサイズ - Spy-Agent.duという名前で検出)
(%Windir%はWindowsフォルダ。例:C:\Windows)
・実行時、以下のレジストリキーが追加されます。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\HTTP\Parameters\Synchronize
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\Synchronize
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{ランダム}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{ランダム}
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
・以下のレジストリの値が追加されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{ランダム}\{23343233-2C66-3B33-3432-343233343233}: F6 0C F4 0E
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{3039636B-5F3D-6C64-6675-696870667265}: F7 09 F2 0D
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{33373039-3132-3864-6B30-303233343434}: 47 09 F2 0D
・以下のレジストリの値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: "%Windir%\system32\userinit.exe,%Windir%\system32\sdra64.exe,"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies: "C:\Documents and Settings\LocalService\Cookies"
・以下のプロセスに悪性コードを挿入します。
・以下のリモートホストとの接続を確立しようとします。
- 91.212.65.5 ポート:80
- 91.212.65.74 ポート:80
・Spy-Agent.duは以下のサイトに接続して、盗み出したデータを送信し、動作を記録し、命令を受信できます。
- http://mn-room.ru/{非表示}/dir.cfg
- http://91.212.65.74/{非表示}/dir.php
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・上記のファイルおよびレジストリキーが存在します。
・上記のリモートホストへのHTTP接続が行われます。
|
|
| 感染方法 | TOPへ戻る | |
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。
|
|
|
|
|  |
