キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/PSW.OnLineGames.NMY
公開日:2008年09月10日
このウイルスに関する危険度 :■■■■□

定義名称 Win32/PSW.OnLineGames.NMY
シグネチャ検査による結果だった場合 Win32/PSW.OnLineGames.NMY トロイ
種別 トロイの木馬
別名 Trojan-PSW.Win32.OnLineGames.tob (Kaspersky),
Infostealer.Onlinegame (Symantec),
PWS-Gamania.gen.a (McAfee)
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/PSW.OnLineGames の亜種」という名称で警告が出ます。
影響を受けるプラットフォーム Microsoft Windows
概要 Win32/PSW.OnLineGames.NMY トロイは、機密情報を盗み、リモート先へ情報を送信するトロイです。

現在のトロイの活動と製品の対応について

Win32/PSW.OnLineGames.NMY トロイに対するアップデート対応は、2008年9月10日現在において通算180回を超える回数で連日繰り返し行っています。現在でも日本国内でも多くの感染報告が寄せられております。もし、この名前で検出された場合は、常に製品を最新の状態にしていただき検査および駆除・削除を実施してください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより二次感染、三次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータに戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。(検出したファイル自身がウイルスそのものである場合は、削除を行ってください)

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである
"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/PSW.OnLineGames.NMY トロイが実行されると、自分自身を %system% へ次のファイル名でコピーします。

kavo.exe (115749 B)

また、同じフォルダに次のファイルをドロップします。

kavo0.dll (124928 B)


次のファイルは、 %temp% へドロップされます。

gxylc.dll (26910 B)
zs.sys (3450 B)


トロイは、次のプロセス内で自身のプログラムコードで新しいスレッドを作成して実行します。

explorer.exe


感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%system%\kavo.exe"


さらに、次のレジストリを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = 145

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0

 

■拡散について

トロイは、次のファイル名でハードディスクやリムーバブルメディアのルートフォルダに自分自身をコピーします。

1wod1.com

さらに、同じフォルダに次のファイルをドロップします。

autorun.inf

このように、トロイは感染したメディアがコンピューターに挿入されるたびに、感染が開始できることを確実とします。

 

■情報の盗難について

トロイは、オンラインコンピューターゲームのさまざまな情報を集めます。その際、トロイは次のプロセスに関連した情報を集めます。

maplestory.exe
hyo.exe
fairyclient.exe
cg.exe
coc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
so3d.exe
ge.exe
cabalmain.exe
elementclient.exe
wow.exe

トロイは、ユーザーによるキーボードの入力を記録し、リモート先のコンピューターへ情報を送信します。このとき、HTTPプロトコルが使用されます。

 

■その他の情報

トロイは、インターネットからファイルをダウンロードして実行します。
トロイは、URLのリストを持っています。
さらに、若干のセキュリティに関連したアプリケーションの作用を変えます。その際、ルートキットの技術を使用します。

このページのトップへ

(C)Canon IT Solutions Inc.