ウイルス情報

ウイルス名 危険度

URLSNOOP

企業ユーザ: 低
個人ユーザ: 低

ウイルスの特徴

  • 現在、一般に使用されているこのトロイの木馬の名前は、Picture.EXEです。AVERTラボでは、このトロイの木馬を"URLSnoop"と名付けており、当社の製品では、この名前で検出されます。

  • このトロイの木馬は、Spamメールによって繁殖します。ユーザが、メッセージを受け取り、添付されていたEXEファイルを実行すると、次の処理が行われるおそれがあります。

  • プログラムMANAGER.EXE(Picture.EXEではない)は、最初のドロッパーであり、実行されると、NOTE.EXE(PICTURE.EXEと同一)をWindowsサブディレクトリにドロップして、WIN.INIのRUN行にNOTE.EXEを追加し、システムの起動時にNOTE.EXEが実行されるようにします。

  • NOTE.EXEは、実行されると、Windowsフォルダにファイル$2321.datがあるかどうかをチェックします。このファイルがない場合は、C:\にfile0001.chkという一時ファイルを作成しようとします。作成に成功すると、そのドライブ上の.TXTとHTMLファイルのリストを作成します。一時ファイルが作成できないドライブ(通常はCD-ROMドライブ)に到達するまで、すべてのドライブ(C:、D:、E:など)に対してこの処理を繰り返し行います。次に、作成されたファイルリストは、$2321.datというファイルに書き込まれ、各ASCII文字に5を足すことによって暗号化され、プログラムは終了します。

  • NOTE.EXEが次に実行されたときに(次のシステム起動時)、プログラムは$2321.datからファイルリストを読み取り、その中のすべてのファイルの中身を調べます。その後、ユーザの"C:\Windows\Temporary Internet Files"サブディレクトリにあるURLのリストを作成し、それらのURLを、同じくWindowsフォルダにある$4135.datという別のファイルに書き込みます。このファイルも(各ASCII文字から5を引くことによって)暗号化され、プログラムは終了する。

  • ユーザが、システムにAOLクライアントソフトウェアをインストールしている場合、このトロイの木馬プログラムは、キャッシュされているユーザ名とパスワードが記された"C:\AOL\IDB\MAIN.IDX"ファイルの中身も調べ、おそらくはそれをプログラムの作成者に送信します。

  • MANAGER.EXEが次に実行されたとき、このプログラムは、中国にあるドメインのメールアドレスにファイル$2321.datおよび$4135.datを送信しようとします。

TOPへ戻る