テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Mima.B

Win32.Mima.B

別名 W32/Generic.d (McAfee), Win32.HLLW.VB.o (Kaspersky), Win32/PWS.Mima.B.Trojan, W32.SillyFDC (Symantec)
カテゴリ Win32
タイプ トロイの木馬
文書公開日 December27,2004
最終更新日 December23,2004
被害 : LOW
破壊 : LOW
感染 : LOW

特徴

Win32.Mima.Bは、感染マシンから取得した、パスワードなどの機密情報を記録するトロイの木馬です。

感染方法

Win32.Mima.Bが実行されると、以下のメッセージ ボックスが表示されます。英語版Windowsのユーザには、次のような画像が表示されます。

スクリーンショット

注: このトロイの木馬が、中国語版Windowsを使用しているマシンで実行された場合、クエスチョン マークで示された文字は正しく表示されます。

スクリーンショット

トロイの木馬は以下のロケーションに自身をコピーします。

%System%\sys.exe
C:\WINDOWS\System\sys.exe

注: 「%System%」は可変ロケーションです。 トロイの木馬はオペレーティング システムを検索し、現行のSystemフォルダのロケーションを調べます。 Systemディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になります。

次に、このファイルがWindows起動時に実行されるよう、以下のレジストリ値を設定します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\EXPLORER\RUN\Explorer = "%System%\sys.exe"

ペイロード

パスワードを盗もうとする

このトロイの木馬はログ ファイル「%System%\mima.sys」を生成し、ユーザが特定のウィンドウに入力した情報を記録します。 そのようなウィンドウにキーが入力されると、キーロギングを開始します。 Win32.Mima.Bは、パスワードをそのログ ファイルに保存しようとします。しかし、弊社での解析の際には、これは実行されませんでした。

フロッピー ドライブにコピーする

トロイの木馬は、Aドライブで見つけた「.doc」ファイルに自身をコピーします。 オリジナルのファイル名はそのままにしておき、拡張子の「.doc」を「.exe」に置き換えます。

file.doc」というファイルを「file.exe」という名前の自身のコピーに置き換えます。

追加情報

Wordのアイコンを使用する

このトロイの木馬は、以下のようにMicrosoft Wordのアイコンを使用します。

スクリーンショット

レジストリを改変する

トロイの木馬は、以下のレジストリ値を設定します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\EXPLORER\RUN\(Default) = "KV3000"

Analysis by Amir Fouda

 

 

駆除手順

eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順

シグネチャ:23.67.67

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順

シグネチャ:11.x/8809

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

WIndows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。


対応シグネチャ/エンジン情報

製品 対応シグネチャ
/エンジン情報*		 ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.67.67 上記の駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine) 11.x/8809 上記の駆除手順を参照
eTrust EZ Antivirus 6.1x 6.1x/5950 駆除手順を参照
eTrust EZ Antivirus 6.2x 6.2x/8809 駆除手順を参照
eTrust EZ Antivirus 6.3x 6.3x/8809 駆除手順を参照
Vet Anti-Virus 10.5x 10.5x/5950 駆除手順を参照
Vet Anti-Virus 10.6x 10.6x/8809 駆除手順を参照

* InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。