ウイルス情報

ウイルス名 危険度

PWS-Maran.dr

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4934
対応定義ファイル
(現在必要とされるバージョン)
4934 (現在7709)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Maran-Gen (Sophos)Trojan-PSW.Win32.Maran.ba (Kaspersky)TSPY_MARAN.D (Trend Micro)
情報掲載日 2007/01/10
発見日(米国日付) 2007/01/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・PWS-Maran.drは実行ファイルをドロップ(作成)してサービスとして登録し、ドロップしたdllをLSP(Layered Service Provider)としてWinSockにインストールして、個人情報を盗聴します。

・PWS-Maran.drはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルに益がある、あるいは欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに主導で未知のプログラムを実行させることです。電子メール、悪質な/ハッキングされたWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・PWS-Maran.drは実行ファイルをドロップ(作成)してサービスとして登録し、ドロップしたdllをLSP(Layered Service Provider)としてWinSockにインストールして、個人情報を盗聴します。

・実行時、以下のファイルをドロップします。

  • %WinDir%\smss.exe (PWS-Maranという名前で検出)
  • %WinDir%\system32\ou9sound.dll (PWS-Maran.dllという名前で検出) または
  • %WinDir%\system32\ouviewer.dll (PWS-Maran.dllという名前で検出)

・次に、ドロップしたsmss.exeをサービスとして登録し、以下のレジストリ項目を作成して、再起動時に自動的に起動されるようにします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDown
  • Type: 0x00000010
  • Start: 0x00000002
  • ErrorControl: 0x00000000
  • ImagePath: "%WinDir%\smss.exe"
  • DisplayName: "Card Adapter"
  • ObjectName: "LocalSystem"

・ドロップされたdllはLSP(Layered Service Provider)としてWinSockにインストールされます。これにより、dllはインターネットトラフィックを傍受/盗聴し、乗っ取ったコンピュータを使って入力された個人情報を盗み出せるようになります。特に、オンラインゲームのユーザ名とパスワードを探します。dllをLSPとしてインストールする際、以下のレジストリ項目が使用されます。

  • hkey_local_machine\system\currentcontrolset\services\winsock\ parameters\protocol_catalog9

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリが存在します。
  • 予期しないネットワークトラフィックが発生します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る