【詳細情報】パスワードを盗み出すAvisaトロイの木馬

◆概要：
　AvisaはVisual Basicで作成された新種のパスワード盗用型トロイの木馬プログラムである。ターゲットにされたユーザーがトロイの木馬をコンピューターにダウンロードするリンクをクリックすると、C:WindowsTest de inteligencia.html（NTベースの環境で動作している場合はC:WinntTest de inteligencia.html）ファイルをドロップし、利用可能なウェブブラウザーでファイルを開く。

　スペイン語で書かれたウェブサイトには、テキストページだけで、ページには悪意のあるコンテンツは存在しないと書かれている。さらに、Avisaトロイの木馬は、Windows 95/98/Me環境ではC:WindowsSystemRundII32.exe、Windows NT 4.0/2000環境ではC:WinntSystem32RundII32.exe、Windows XP環境ではC:WindowsSystem32RundII32.exeとして自己コピーを作成する。

　また、Windowsが再起動するたびに自動的に実行されるよう、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーに"RunDII32 %sysdir%RundII32.exe"という値を作成する。この時点で、プログラムはシステムのパスワードを監視し、アウトバウンドFTP接続を介して送信する。

◆情報ソース：
・Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/pwsteal.avisa.html ) , Oct. 25, 2002

◆キーワード：
　Trojan: Password stealing

◆分析：
　（iDEFENSE米国）当該記事の掲載時点では、トロイの木馬の拡散の仕方や拡散に用いられている手法を示す情報はほとんどない。さらに、使用されるFTPコマンドシーケンス、収集されたデータの送信アドレスも不明である。

◆検知方法：
　"Test de inteligencia.html"というタイトルのウェブページが表示された場合、感染の可能性が高い。ユーザーは、ファイルシステムに当該ファイルがないか検索する必要がある。さらに、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーに"RunDII32 %sysdir%RundII32.exe"という値がないか、レジストリを検索する。最後に、TCP/UDPポート20、21上でアウトバウンドFTP接続を監視する。

◆リカバリー方法：
　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunレジストリキーから"RunDII32 %sysdir%RundII32.exe"という値を削除する。

◆ベンダー情報：
　現在、アップデートされた署名ファイルを持つシマンテック社のアンチウイルスソフトウェアは、この悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【17:20 GMT、11、26、2002】