-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2004-0008 JPCERT/CC 2004-06-17 <<< JPCERT/CC Alert 2004-06-17 >>> キーボード入力などを記録し外部に送信するプログラムに関する注意喚起 Malicious Programs Logging Keystrokes and Mouse Clicks http://www.jpcert.or.jp/at/2004/at040008.txt I. 概要 最近のコンピュータウィルスには、感染後に特定のサイトから (任意の) プ ログラムをダウンロードしてインストールするものがあります。このようにし てインストールされたプログラムは、日々新しいプログラムに置き換わってい る可能性があるため、一般的なウィルス検知ソフトで検知するのは極めて困難 です。 JPCERT/CC では、このようなプログラムによってユーザのキーボードやマウ スなどの操作が全て記録され、その情報が特定のサイトに送付されているとの 報告をいただいています。 例えば、そのようなウィルスとして以下のものが報告されています。 [トレンドマイクロ] http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_PSYME.V http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_PSYME.V http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_PSYME.A [シマンテック] http://www.symantec.com/region/jp/sarcj/data/t/trojan.trunlow.html http://www.symantec.com/region/jp/sarcj/data/d/downloader.psyme.html [McAfee] http://www.nai.com/japan/security/virPQ2003.asp?v=VBS/Psyme [ソフォス] http://www.sophos.co.jp/virusinfo/analyses/trojpsymev.html http://www.sophos.co.jp/virusinfo/analyses/trojpsymeu.html II. 対象 プログラムをダウンロードしてインストールするウィルスに感染しているホ スト、または感染したことのあるホスト III. 影響 インストールされたプログラムが、ユーザのキーボードやマウスなどの操作 を全て記録し、特定のサイトに送信するようなプログラムである場合は、クレ ジットカード番号や銀行口座番号、暗証番号、パスワードなどの機密情報が漏 洩している可能性があります。 IV. 対処方法 インストールされたプログラム自体はコンピュータウィルスではなく、日々 新しいプログラムに置き換わっている可能性があるため、一般的なウィルス検 知ソフトで検知するのは極めて困難です。 しかしながら、きっかけとなるのはコンピュータウィルスであることから、 まずはパターンファイルを最新版に更新したウィルス検知ソフトで、ウィルス に感染していないかどうかを確認してください。もし何らかのウィルスに感染 している場合は、ウィルス以外のプログラムがインストールされている可能性 があります。システムを復旧するためには、まず必要なファイルのバックアッ プを取り、ハードディスクをフォーマットした上で、OS を再インストールす ることを強くお勧めします。 なお、システムの改竄が行われたと考えられるホストからのデータの移行や、 そのホストの OS の再インストールの際にバックアップテープ等を利用する場 合は、バックアップされた情報自体に、ウィルスなどによって置き換えられた ファイルやインストールされたプログラム等が記録されてしまっていないか、 十分にご注意頂くようにお願いします。 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2004-06-17 初版 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQNGkaYx1ay4slNTtAQHDQgQAlNPH8dLcZZl8F2PCIg4q8IuFHchIizPY q/yLYiB9fK8gm0GQTCpUGFZfCLZxx7TO73UDkYaxPBgZDAgcteguzW63IE9zyzRW 0Xp0dHW4D+UpVFjiMJOvv5gQV08NF81npsZkankTWfIkIzc7zAVI/vjQ1RRe2RTx 2OPlr6DcDII= =Locz -----END PGP SIGNATURE-----