PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/Fanbot.B
発見日:13/12/2012
タイプワーム
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ37.888 バイト
MD5 チェックサムa1e3737d0b5dd6ee3fdb84170b8f7ab8
VDFファージョン:7.11.53.216

 一般情報 感染方法
   • Eメール


別名
   •  Symantec: W32.Mytob@mm
   •  Kaspersky: Backdoor.Win32.Fanbot.b
   •  TrendMicro: WORM_MYTOB.KV
   •  F-Secure: W32/Mytob.MI@mm
   •  Bitdefender: Backdoor.Fanbot.B


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


副作用
   • 特定のウェブサイトへのアクセスを無効にします。
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • サード・パーティ・コントロール


起動後以下の情報が表示されます:


 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\Phantom.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

– c:\Shell.sys このファイルは入力されたキーについて収集された情報を含みます。

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="userinit.exe,Phantom.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe Phantom.exe"

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス
– 作成されたアドレス


件名
以下のもの:
   • *DETECTED* Online User Violation
   • Email Account Suspension
   • Important Notification
   • Members Support
   • Notice of account limitation
   • Security measures
   • Warning Message: Your services near to be closed.
   • You have successfully updated your password
   • Your Account is Suspended
   • Your Account is Suspended For Security Reasons
   • Your new account password is approved
   • Your password has been successfully updated
   • Your password has been updated

件名はランダムな文字列になっていることもあります。


本文

   • Dear user %受信者のメールアドレスから取られたユーザ名%,
     
     You have successfully updated the password of your %メールアドレスから取られた受信者のドメイン名% account.
     
     If you did not authorize this change or if you need assistance with your account, please contact %メールアドレスから取られた受信者のドメイン名% customer service at: %送信者のメールアドレス%
     
     Thank you for using %メールアドレスから取られた受信者のドメイン名%!
     The %メールアドレスから取られた受信者のドメイン名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた受信者のドメイン名% Antivirus - www.%メールアドレスから取られた受信者のドメイン名と最上位ドメイン%

   •
     Dear user %受信者のメールアドレスから取られたユーザ名%,
     
     It has come to our attention that your %メールアドレスから取られた受信者のドメイン名% User Profile ( x ) records are out of date. For further details see the attached document.
     
     Thank you for using %メールアドレスから取られた受信者のドメイン名%!
     The %メールアドレスから取られた受信者のドメイン名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた受信者のドメイン名% Antivirus - www.%メールアドレスから取られた受信者のドメイン名と最上位ドメイン%

   •
     Dear %メールアドレスから取られた受信者のドメイン名% Member,
     
     We have temporarily suspended your email account %受信者のメールアドレス%.
     
     This might be due to either of the following reasons:
     
     1. A recent change in your personal information (i.e. change of address).
     2. Submiting invalid information during the initial sign up process.
     3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.
     See the details to reactivate your %メールアドレスから取られた受信者のドメイン名% account.
     
     Sincerely,The %メールアドレスから取られた受信者のドメイン名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus (Clean)
     +++ %メールアドレスから取られた受信者のドメイン名% Antivirus - www.%メールアドレスから取られた受信者のドメイン名と最上位ドメイン%

   •
     Dear %メールアドレスから取られた受信者のドメイン名% Member,
     
     Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
     
     If you choose to ignore our request, you leave us no choice but to cancel your membership.
     
     Virtually yours,
     The %メールアドレスから取られた受信者のドメイン名% Support Team
     
     
     
     
     
     
     +++ Attachment: No Virus found
     +++ %メールアドレスから取られた受信者のドメイン名% Antivirus - www..%メールアドレスから取られた受信者のドメイン名と最上位ドメイン%


添付ファイル
添付ファイルの名前は:
   • accepted-password.zip
   • account-details.zip
   • account-info.zip
   • account-password.zip
   • account-report.zip
   • approved-password.zip
   • document.zip
   • email-details.zip
   • email-password.zip
   • important-details.zip
   • new-password.zip
   • password.zip
   • readme.zip
   • updated-password.zip
   • %ランダムな文字列%

添付ファイルは、マルウェア自身のコピーです。

 送信 アドレスの検索:
以下のファイルからメールアドレスを検索します:
   • wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm; txt


FROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • webmaster
   • register
   • info
   • admin
   • service
   • mail
   • administrator
   • support

最初の文字列は以下のものをつなげている場合があります:
   • %メールアドレスから取られた受信者のドメイン名%



TO欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • kula; sandra; adam; frank; linda; julie; jimmy; jerry; helen; debby;
      claudia; brenda; anna; sales; brent; paul; ted; fred; jack; bill;
      stan; smith; steve; matt; dave; dan; joe; jane; bob; robert; peter;
      tom; ray; mary; serg; brian; jim; maria; leo; jose; andrew; sam;
      george; david; kevin; mike; james; michael; alex; josh; john

最初の文字列は以下のものをつなげている場合があります:
   • %メールアドレスから取られた受信者のドメイン名%



アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
   • .edu; abuse; www; fcnz; spm; master; accoun; certific; listserv;
      ntivi; icrosoft; admin; page; the.bat; gold-certs; feste; submit; not;
      help; service; privacy; somebody; soft; contact; site; rating; bugs;
      you; your; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; info; root; be_loyal:; slashdot; sourceforge;
      mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; support; messagelabs; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; msn.;
      icrosof; syma; avp


MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ **********.3322.org
チャンネル #xiaoyu
ニックネーム [Phantom]%ランダムな文字列%



– このマルウェアは以下の情報を収集し送る能力があります:
    • 収集されたメールアドレス
    • CPU速度
    • 空きディスク容量
    • 空きメモリ
    • マルウェアの起動時間
    • ネットワークについての情報
    • メモリサイズ
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCサーバと接続します。
    • DDoS ICMP flood 攻撃を開始します。
    • DDoS SYN flood 攻撃を開始します。
    • DDoS TCP flood 攻撃を開始します。
    • DDoS UDP flood 攻撃を開始します。
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • システム再起動
    • メールを送る
    • システムをシャットダウンする
    • キーログの開始
    • マルウェアを終了する
    • プロセスを終了する
    • それ自身をアップデートします。
    • ファイルをアップロードする
    • ウェブサイトを訪問します。

 ホスト ホストファイルは以下のように改変されます:

– この場合、存在する登録情報は削除されます。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • jiangmin.com
   • www.jiangmin.com
   • Update2.JiangMin.com
   • Update3.JiangMin.com
   • rising.com.cn
   • www.rising.com.cn
   • online.rising.com.cn
   • iduba.net
   • www.iduba.net
   • kingsoft.com
   • db.kingsoft.com
   • scan.kingsoft.com
   • kaspersky.com.cn
   • www.kaspersky.com.cn
   • symantec.com.cn
   • www.symantec.com.cn
   • www.symantec.com
   • securityresponse.symantec.com
   • symantec.com
   • www.sophos.com
   • sophos.com
   • www.mcafee.com
   • mcafee.com
   • liveupdate.symantecliveupdate.com
   • www.viruslist.com
   • viruslist.com
   • viruslist.com
   • f-secure.com
   • www.f-secure.com
   • kaspersky.com
   • kaspersky-labs.com
   • www.avp.com
   • www.kaspersky.com
   • avp.com
   • www.networkassociates.com
   • networkassociates.com
   • www.ca.com
   • ca.com
   • mast.mcafee.com
   • my-etrust.com
   • www.my-etrust.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • secure.nai.com
   • nai.com
   • www.nai.com
   • update.symantec.com
   • updates.symantec.com
   • us.mcafee.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • rads.mcafee.com
   • trendmicro.com
   • www.pandaguard.com
   • pandasoftware.com
   • www.pandasoftware.com
   • www.trendmicro.com
   • www.grisoft.com
   • www.microsoft.com
   • microsoft.com
   • www.virustotal.com
   • virustotal.com
   • www.amazon.com
   • www.amazon.co.uk
   • www.amazon.ca
   • www.amazon.fr
   • www.paypal.com
   • paypal.com
   • moneybookers.com
   • www.moneybookers.com
   • www.ebay.com
   • ebay.com




改変されたホストファイルの外見は以下のようになります。


 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • [Phantom]


文字列
さらに以下の文字列を含みます:
   • [Phantom] 2005 by Evil[xiaoyu](2005.10.04). Special Thanks: x140d4n(my real&&best friend&&brother!!!).

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • PEPack

説明の挿入者 Razvan Olteanu の 2005年10月11日火曜日
説明の更新者 Razvan Olteanu の 2005年11月30日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。