PCの修理が必要ですか?
専門家に頼む
ウイルスTR/VB.BG
発見日:03/03/2004
タイプトロイの木馬
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ131.116 バイト
MD5 チェックサムe4a6af3171e95e337527bbffc1201382
VDFファージョン:6.24.00.39

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Kaspersky: Virus.Win32.VB.bg
   •  F-Secure: Virus.Win32.VB.bg
   •  Grisoft Worm/VB.ZU
   •  Eset Win32/VB.DA


プラットフォーム/OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • C:\mig2.exe
   • %WINDIR%\mig2.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • %ドライバ% \Data %現在のユーザ名%.exe
   • %現在のディレクトリ%\%現在のディレクトリ名%.exe
   • %ドライバ% \mig2\New Folder.exe



以下のディレクトリを作成します:
   • %ドライバ% \mig2



以下のファイルが作成されます:

– C:\Untukmu.txt これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • Untukmu
     
     Apa yang aku lakukan tak akan kau rasakan
     Apa yang kau lakukan tak akan aku rasakan
     Benar-benar jauh, jarak kita
     Aku terpaksa,lakukan ini krana kau yang mengawali..
     
     Senyummu adalah sedihku
     Sedihmu adalah tawaku
     
     Tangisku bukan milikmu
     Tangismu adalah milikku
     
     masih ada lagi yang ku kejar saat ini
     saat,ini aku akan mulai mengejar yang lain
     Lepaskan Dendam dan tawaku saat ini
     JUST, 4u MIG - MIG

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
%ドライバ% \mig2\Folder.htt
%ドライバ% \desktop.ini

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%現在のユーザ名%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mig2"="%WINDIR%\mig2.exe"
   • "Service%現在のユーザ名%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   前の値
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   新しい値
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

– [HKCR\exefile]
   前の値
   • @="Application"
   新しい値
   • @="File Folder"

– [HKCR\exefile\shell\open\command]
   前の値
   • @=""%1" %*"
   新しい値
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   前の値
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   新しい値
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

あらゆるExplorerの設定:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   前の値
   • "Hidden"=%ユーザ設定%
   • "HideFileExt"=%ユーザ設定%
   • "ShowSuperHidden"=%ユーザ設定%
   新しい値
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   前の値
   • "ScreenSaverIsSecure"="1"
   • "SCRNSAVE.EXE"=%ユーザ設定%
   新しい値
   • "ScreenSaverIsSecure"="0"
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   前の値
   • "AlternateShell"="cmd.exe"
   新しい値
   • "AlternateShell"="%WINDIR%\mig2.exe"

– [HKCR\lnkfile\shell\open\command]
   前の値
   • @=" "%1" %*"
   新しい値
   • @=" "%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   前の値
   • @=""%1" %*"
   新しい値
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   前の値
   • @=""%1" %*"
   新しい値
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\comfile\shell\open\command]
   前の値
   • @=""%1" %*"
   新しい値
   • @="%SYSDIR%\shell.exe" "%1" %*"

Regedit(レジストリ編集ツール)及びタスクマネージャを無効化します。
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   前の値
   • "DisableCMD"=%ユーザ設定%
   • "DisableTaskMgr"=%ユーザ設定%
   • "DisableRegistryTools"=%ユーザ設定%
   新しい値
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

あらゆるExplorerの設定:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   前の値
   • "NoFolderOptions"=%ユーザ設定%
   新しい値
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   前の値
   • "DisableConfig"=%ユーザ設定%
   • "DisableSR"=%ユーザ設定%
   新しい値
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   新しい値
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   新しい値
   • "FullPathAddress"=dword:00000001

 プロセス中断 以下のプロセスは終了されます:
   • regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
      ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
      nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
      Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

以下の文字列を含むプロセスは終了されます:
   • ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
      REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
      KASPERSKY; VAKSIN; ANTI; VIRUS

以下のウインドウのタイトルを含むプロセスが終了されます:
   • RegEdit_RegEdit
   • Registry Editor
   • Folder Options
   • Local Settings


以下のサービスは無効にされます:
   • System Restore

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。

説明の挿入者 Adriana Popa の 2006年11月21日火曜日
説明の更新者 Adriana Popa の 2006年11月23日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。