【詳細情報】パスワードを盗み出すAvisaトロイの木馬 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

【詳細情報】パスワードを盗み出すAvisaトロイの木馬

国際 海外情報

◆概要:
 AvisaはVisual Basicで作成された新種のパスワード盗用型トロイの木馬プログラムである。ターゲットにされたユーザーがトロイの木馬をコンピューターにダウンロードするリンクをクリックすると、C:WindowsTest de inteligencia.html(NTベースの環境で動作している場合はC:WinntTest de inteligencia.html)ファイルをドロップし、利用可能なウェブブラウザーでファイルを開く。

 スペイン語で書かれたウェブサイトには、テキストページだけで、ページには悪意のあるコンテンツは存在しないと書かれている。さらに、Avisaトロイの木馬は、Windows 95/98/Me環境ではC:WindowsSystemRundII32.exe、Windows NT 4.0/2000環境ではC:WinntSystem32RundII32.exe、Windows XP環境ではC:WindowsSystem32RundII32.exeとして自己コピーを作成する。

 また、Windowsが再起動するたびに自動的に実行されるよう、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーに"RunDII32 %sysdir%RundII32.exe"という値を作成する。この時点で、プログラムはシステムのパスワードを監視し、アウトバウンドFTP接続を介して送信する。


◆情報ソース:
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/pwsteal.avisa.html ) , Oct. 25, 2002

◆キーワード:
 Trojan: Password stealing

◆分析:
 (iDEFENSE米国)当該記事の掲載時点では、トロイの木馬の拡散の仕方や拡散に用いられている手法を示す情報はほとんどない。さらに、使用されるFTPコマンドシーケンス、収集されたデータの送信アドレスも不明である。

◆検知方法:
 "Test de inteligencia.html"というタイトルのウェブページが表示された場合、感染の可能性が高い。ユーザーは、ファイルシステムに当該ファイルがないか検索する必要がある。さらに、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーに"RunDII32 %sysdir%RundII32.exe"という値がないか、レジストリを検索する。最後に、TCP/UDPポート20、21上でアウトバウンドFTP接続を監視する。

◆リカバリー方法:
 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーから"RunDII32 %sysdir%RundII32.exe"という値を削除する。

◆ベンダー情報:
 現在、アップデートされた署名ファイルを持つシマンテック社のアンチウイルスソフトウェアは、この悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:20 GMT、11、26、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×