テクニカルサポート > Virus
Information Center > 2007年公開情報リスト > Win32/Pecoan Family
Win32/Pecoan Family
| タイプ: |
トロイの木馬 |
| カテゴリ: |
Win32 |
| 別名: |
CME-711, W32/Downloader.AYDY (F-Secure), Troj/DwnLdr-FYD (Sophos), Trojan.Peacomm (Symantec), Win32/Pecoan, Win32/Pecoan.B, Win32/Pecoan.E, Win32/Pecoan.F, Win32/Pecoan.G, Downloader-BAI.sys!M711 (McAfee) |
|
説明
Win32/Pecoanは、特定のP2Pネットワーク上で多くのシステムと通信を確立するトロイの木馬群です。P2Pネットワークを利用して、Pecoanは、感染システム上の任意のファイルをダウンロードおよび実行することができます。
感染方法
Win32/Pecoanは、さまざまな配信方法で感染システム上に配信されると報告されています。Win32/Pecoanは、ワームであるWin32/Luder.KまたはWin32/Luder.Lによって埋め込まれ、スパムメールで配信されます。そのメールの件名および添付ファイル名はさまざまです。
スパムメールに使用される件名の例
230 dead as storm batters Europe.
British Muslims Genocide
Chinese missile shot down USA satellite
If I Knew
Naked teens attack home director.
Radical Muslim drinking enemies'' blood.
Russian missle shot down Chinese satellite
Russian missle shot down USA aircraft
Sadam Hussein alive!
Sadam Hussein safe and sound!
The commander of a U.S. nuclear submarine lunch the rocket by mistake.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
U.S. Southwest braces for another winter blast. More then 1000 people are dead.
WG: A killer at 11, he''s free at 21 and kill again!
添付ファイル名の例
Click Here.exe
flash postcard.exe
Full News.exe
Full Story.exe
Full Text.exe
Full Video.exe
FullClip.exe
Greeting Card.exe
greeting postcard.exe
More Here.exe
Read More.exe
video.exe
スパムメールの例
Win32/Pecoanが実行されると、「wincom32.sys」というファイル名のドライバが%System%ディレクトリに埋め込まれ、インストールされます。このドライバは、トロイの木馬の次のアクティビティがこのプロセスから生じていると見せるために、「services.exe」プロセスを埋め込むのに使用されます。Win32/Pecoan.Gの亜種などは、ドライバに特別な機能を持っているものもあります。その特別な機能とは、ディスク上のファイルおよびレジストリエントリをユーザから見えないようにするものです。
注:「%System%」は可変ロケーションです。悪意のプログラムはオペレーティングシステムを検索し、現行のSystemフォルダのロケーションを調べます。 Systemディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になります。
トップに戻る
ペイロード
任意のファイルのダウンロードおよび実行
トロイの木馬は、特定のP2Pネットワーク上に他のシステムとの通信の確立を試みます。感染システム上に任意のファイルをダウンロードおよび実行するために、ローカルのUDPポート4000 (Win32/Pecoan.Gは、ローカルのUDPポート7821を使用) を経由して特定のIPアドレスに接続します。
これらのIPアドレスは、トロイの木馬がブラックリストに載せているIPアドレスと共に、%System%ディレクトリのファイル内に保存されます。ほとんどの亜種は、ファイル名に「peers.ini」を使用しますが、「wincom32.ini」というファイル名を使用する亜種もあります。
Analysis by Amir Fouda
駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。
eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ
システムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。
Windows
MEおよびXPをご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ
ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust
Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ
システムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。
Windows
MEおよびXPをご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ
ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
| このセキュリティ脅威は、最新のシグネチャ更新で検出されました。 |
|
|
|
