キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/PSW.OnLineGames.NNT
公開日:2008年10月03日
このウイルスに関する危険度 :■■■■□

定義名称 Win32/PSW.OnLineGames.NNT
シグネチャ検査による結果だった場合 Win32/PSW.OnLineGames.NNT トロイ
種別 トロイの木馬
別名 Trojan.Win32.Vaklik.ya (Kaspersky),
W32/Autorun.worm.bx.gen (McAfee),
Packer.Win32.Mian007.a (Rising)
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」、「Win32/Pacex.gen の亜種」もしくは「Win32/PSW.OnLineGames の亜種」という名称で警告が出ます。
影響を受けるプラットフォーム Microsoft Windows
概要 Win32/PSW.OnLineGames.NNT トロイは、機密情報を盗み、リモート先へ情報を送信するトロイです。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより二次感染、三次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータに戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。(検出したファイル自身がウイルスそのものである場合は、削除を行ってください)

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/PSW.OnLineGames.NNT トロイが実行されると、自分自身を %system% へ次のファイル名でコピーします。

mmvo.exe

また、同じフォルダに次のファイルをドロップします。

mmvo%number%.dll


次のファイルは、 %temp% へドロップされます。

uveyg.dll
%variable%.sys


※ %variable%には、適当な文字列が入ります。

トロイは、すべての実行中のプロセスに次の名前を使ったライブラリがインジェクトされます。

%system%\mmvo%number%.dll


※ %number%は、0から9までのランダムな数字が入ります。

感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_CURRENT_USER\SoftWare\Microsoft\ Windows\CurrentVersion\Run]
"mmva" = "%system%\mmvo.exe"


さらに、次のレジストリを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = 0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced
\Folder\Hidden\SHOWALL]
"CheckedValue" = 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = 91

 

■拡散について

トロイは、次のファイル名でハードディスクやリムーバブルメディアのルートフォルダに自分自身をコピーします。

uevr.cmd

さらに、同じフォルダに次のファイルをドロップします。

autorun.inf

このように、トロイは感染したメディアがコンピューターに挿入されるたびに、感染が開始できることを確実とします。

 

■情報の盗難について

トロイは、オンラインコンピューターゲームのさまざまな情報を集めます。その際、トロイは次のプロセスに関連した情報を集めます。

Ragexe.exe
lin.bin
YPagerj.exe
YahooWidgetEngine.exe
pol.exe

トロイは、ユーザーによるキーボードの入力を記録し、リモート先のコンピューターへ情報を送信します。このとき、HTTP/HTTPSプロトコルが使用されます。

 

■その他の情報

トロイは、インターネットからファイルをダウンロードして実行します。ファイルは、%temp% に保存されます。
トロイは、インターネットもしくはリモート コンピューターからコマントでデータを送信します。
トロイは、URLのリストを持っています。
さらに、若干のセキュリティに関連したアプリケーションの作用を変えます。その際、ルートキットの技術を使用します。

このページのトップへ

(C)Canon IT Solutions Inc.