各位
キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
Malicious Programs Logging Keystrokes and Mouse Clicks
http://www.jpcert.or.jp/at/2004/at040008.txt
I. 概要
最近のコンピュータウィルスには、感染後に特定のサイトから (任意の) プログラムをダウンロードしてインストールするものがあります。このようにしてインストールされたプログラムは、日々新しいプログラムに置き換わっている可能性があるため、一般的なウィルス検知ソフトで検知するのは極めて困難です。
JPCERT/CC では、このようなプログラムによってユーザのキーボードやマウスなどの操作が全て記録され、その情報が特定のサイトに送付されているとの報告をいただいています。
例えば、そのようなウィルスとして以下のものが報告されています。
[トレンドマイクロ]
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_PSYME.V
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_PSYME.V
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_PSYME.A
[シマンテック]
http://www.symantec.com/region/jp/sarcj/data/t/trojan.trunlow.html
http://www.symantec.com/region/jp/sarcj/data/d/downloader.psyme.html
[McAfee]
http://www.nai.com/japan/security/virPQ2003.asp?v=VBS/Psyme
[ソフォス]
http://www.sophos.co.jp/virusinfo/analyses/trojpsymev.html
http://www.sophos.co.jp/virusinfo/analyses/trojpsymeu.html
II. 対象
プログラムをダウンロードしてインストールするウィルスに感染しているホスト、または感染したことのあるホスト
III. 影響
インストールされたプログラムが、ユーザのキーボードやマウスなどの操作を全て記録し、特定のサイトに送信するようなプログラムである場合は、クレジットカード番号や銀行口座番号、暗証番号、パスワードなどの機密情報が漏洩している可能性があります。
IV. 対処方法
インストールされたプログラム自体はコンピュータウィルスではなく、日々新しいプログラムに置き換わっている可能性があるため、一般的なウィルス検知ソフトで検知するのは極めて困難です。
しかしながら、きっかけとなるのはコンピュータウィルスであることから、まずはパターンファイルを最新版に更新したウィルス検知ソフトで、ウィルスに感染していないかどうかを確認してください。もし何らかのウィルスに感染している場合は、ウィルス以外のプログラムがインストールされている可能性があります。システムを復旧するためには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールすることを強くお勧めします。
なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を利用する場合は、バックアップされた情報自体に、ウィルスなどによって置き換えられたファイルやインストールされたプログラム等が記録されてしまっていないか、十分にご注意頂くようにお願いします。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-06-17 初版
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2004-0008
JPCERT/CC
2004-06-17
JPCERT/CC Alert 2004-06-17
キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
Malicious Programs Logging Keystrokes and Mouse Clicks
http://www.jpcert.or.jp/at/2004/at040008.txt
I. 概要
最近のコンピュータウィルスには、感染後に特定のサイトから (任意の) プログラムをダウンロードしてインストールするものがあります。このようにしてインストールされたプログラムは、日々新しいプログラムに置き換わっている可能性があるため、一般的なウィルス検知ソフトで検知するのは極めて困難です。
JPCERT/CC では、このようなプログラムによってユーザのキーボードやマウスなどの操作が全て記録され、その情報が特定のサイトに送付されているとの報告をいただいています。
例えば、そのようなウィルスとして以下のものが報告されています。
[トレンドマイクロ]
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_PSYME.V
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_PSYME.V
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_PSYME.A
[シマンテック]
http://www.symantec.com/region/jp/sarcj/data/t/trojan.trunlow.html
http://www.symantec.com/region/jp/sarcj/data/d/downloader.psyme.html
[McAfee]
http://www.nai.com/japan/security/virPQ2003.asp?v=VBS/Psyme
[ソフォス]
http://www.sophos.co.jp/virusinfo/analyses/trojpsymev.html
http://www.sophos.co.jp/virusinfo/analyses/trojpsymeu.html
II. 対象
プログラムをダウンロードしてインストールするウィルスに感染しているホスト、または感染したことのあるホスト
III. 影響
インストールされたプログラムが、ユーザのキーボードやマウスなどの操作を全て記録し、特定のサイトに送信するようなプログラムである場合は、クレジットカード番号や銀行口座番号、暗証番号、パスワードなどの機密情報が漏洩している可能性があります。
IV. 対処方法
インストールされたプログラム自体はコンピュータウィルスではなく、日々新しいプログラムに置き換わっている可能性があるため、一般的なウィルス検知ソフトで検知するのは極めて困難です。
しかしながら、きっかけとなるのはコンピュータウィルスであることから、まずはパターンファイルを最新版に更新したウィルス検知ソフトで、ウィルスに感染していないかどうかを確認してください。もし何らかのウィルスに感染している場合は、ウィルス以外のプログラムがインストールされている可能性があります。システムを復旧するためには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールすることを強くお勧めします。
なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を利用する場合は、バックアップされた情報自体に、ウィルスなどによって置き換えられたファイルやインストールされたプログラム等が記録されてしまっていないか、十分にご注意頂くようにお願いします。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-06-17 初版
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
