PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/Ginwui.A.4
発見日:22/05/2006
タイプトロイの木馬
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ73.245 バイト
MD5 チェックサム6d69ab10c2e8194465ab25cbfb96dae6
VDFファージョン:6.34.01.120

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Symantec: Backdoor.Ginwui.B
   •  McAfee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


プラットフォーム/OS:
   • Windows NT
   • Windows 2000
   • Windows XP


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %TEMPDIR%\20060426.bak



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

%SYSDIR%\zsydll.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Ginwui.A.DLL

%SYSDIR%\zsyhide.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Ginwui.A

 レジストリ 以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   新しい値
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 バックドア サーバに接続します。
以下のもの:
   • http://scfzf.xi**********

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 その他、定期的に接続を繰り返します。

 挿入(Injection) –  以下のファイルをプロセスに挿入させます: %SYSDIR%\zsydll.dll

    プロセス名:|以下のうちの1つ:
   • iexplore.exe


 ファイルの詳細 プログラム言語:
 このマルウェアプログラムはDelphi(デルファイ)で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX

説明の挿入者 Andrei Gherman の 2006年5月22日月曜日
説明の更新者 Andrei Gherman の 2006年5月22日月曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。