Trojan.Pirlames

発見日:

2007 年 2 月 23 日

更新日:

2007 年 3 月 13 日 7:49:48 AM

種別:

Trojan

感染サイズ:

21,507,732 バイト

影響を受けるシステム:

Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000

このトロイの木馬は、WinNY P2P ネットワークを介して手動でダウンロードされ、実行されていると報告されています。

このトロイの木馬が実行されると、自身を次のファイルとしてコピーします。

• taskmgr.exe
• ugu.scr

次のファイルを作成します。

• C:\MI3\LOOT.TXT - trace route output
• C:\MI3\IP.TXT - IP address of the victim
• C:\MI3\SHOT.BMP - screenshot of the desktop

カレントドライブからのランダムなファイルを、このトロイの木馬内に含まれている画像へ置き換え、またそのファイルの拡張子を .jpg へ変更します。 上書きされるファイルは、文書や実行可能ファイルを含む任意のタイプである可能性があります。

C:\Program Files の下で見つかったすべてのフォルダからすべてのファイルを削除します。

デスクトップのスクリーンショットをとり、それらを次のファイル内へ保存します。
C:\MI3\SHOT.BMP

次のコマンドを実行します。
command.com /C tracert www.yahoo.co.jp

次のファイルへの出力を保存します。
C:\MI3\LOOT.TXT

次の ftp サーバーへ接続します。
ftp://ftp.isweb.infoseek.co.jp/

ローカルにログ記録されているユーザー名、日付、IP アドレスを含むフォルダを、次のアカウントを使って前述の ftp のロケーション内に作成します。

• 名前: oonoki2006
• pass: o2006

次の情報を作成したフォルダ内に保存します。

• IP[カウンター].TXT - tracert コマンドの出力を含む
• *.BMP - デスクトップのスクリーンショットを含む BMP イメージ

日本語のいくつかのテキストを含む画像を表示します。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
• パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
• コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
• 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
• ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
• 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
• ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
• 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
• .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
• ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
• 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
• 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
• この文書で使用されている用語の詳細については、用語解説を参照してください。