製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:U
ウイルス情報
ウイルス名危険度
URLSNOOP
企業ユーザ:
個人ユーザ:
ウイルスの特徴TOPに戻る

  • 現在、一般に使用されているこのトロイの木馬の名前は、Picture.EXEです。AVERTラボでは、このトロイの木馬を"URLSnoop"と名付けており、当社の製品では、この名前で検出されます。

  • このトロイの木馬は、Spamメールによって繁殖します。ユーザが、メッセージを受け取り、添付されていたEXEファイルを実行すると、次の処理が行われるおそれがあります。

  • プログラムMANAGER.EXE(Picture.EXEではない)は、最初のドロッパーであり、実行されると、NOTE.EXE(PICTURE.EXEと同一)をWindowsサブディレクトリにドロップして、WIN.INIのRUN行にNOTE.EXEを追加し、システムの起動時にNOTE.EXEが実行されるようにします。

  • NOTE.EXEは、実行されると、Windowsフォルダにファイル$2321.datがあるかどうかをチェックします。このファイルがない場合は、C:\にfile0001.chkという一時ファイルを作成しようとします。作成に成功すると、そのドライブ上の.TXTとHTMLファイルのリストを作成します。一時ファイルが作成できないドライブ(通常はCD-ROMドライブ)に到達するまで、すべてのドライブ(C:、D:、E:など)に対してこの処理を繰り返し行います。次に、作成されたファイルリストは、$2321.datというファイルに書き込まれ、各ASCII文字に5を足すことによって暗号化され、プログラムは終了します。

  • NOTE.EXEが次に実行されたときに(次のシステム起動時)、プログラムは$2321.datからファイルリストを読み取り、その中のすべてのファイルの中身を調べます。その後、ユーザの"C:\Windows\Temporary Internet Files"サブディレクトリにあるURLのリストを作成し、それらのURLを、同じくWindowsフォルダにある$4135.datという別のファイルに書き込みます。このファイルも(各ASCII文字から5を引くことによって)暗号化され、プログラムは終了する。

  • ユーザが、システムにAOLクライアントソフトウェアをインストールしている場合、このトロイの木馬プログラムは、キャッシュされているユーザ名とパスワードが記された"C:\AOL\IDB\MAIN.IDX"ファイルの中身も調べ、おそらくはそれをプログラムの作成者に送信します。

  • MANAGER.EXEが次に実行されたとき、このプログラムは、中国にあるドメインのメールアドレスにファイル$2321.datおよび$4135.datを送信しようとします。