PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Onlinegames.B
発見日:19/05/2008
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルいいえ
ファイル・サイズ~100.000 バイト
IVDFファージョン:7.00.04.63 - 2008年5月20日火曜日

 一般情報 感染方法
   • 割り当てられたネットワーク・ドライブ


別名
   •  McAfee(マカフィー) PWS-LegMir.gen.k
   •  Kaspersky(カスペルスキー) Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure(エフ・セキュア) Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft Worm/AutoRun.Y
   •  Eset Win32/PSW.OnLineGames.NLI
   •  ビットディフェンダー(Bitdefender): Trojan.PWS.OnlineGames.WME

同じような検出:
   •  TR/Onlinegames.B.%番号%


プラットフォーム/OS:
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\amvo.exe



それ自身のコピーを、表の中のファイル名を使って作成します。
– 宛先: %ドライバ% \ 以下の名前のうちのどれかを利用します:
   • %ランダムな文字列%.exe
   • %ランダムな文字列%.bat
   • %ランダムな文字列%.cmd
   • %ランダムな文字列%.com




以下のファイルが作成されます:

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %TEMPDIR%\%ランダムな文字列%.sys
   • %TEMPDIR%\%ランダムな文字列%.dll

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

%TEMPDIR%\%ランダムな文字列%.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: RKIT/Vanti

%TEMPDIR%\%ランダムな文字列%.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Crypt.NSPM.Gen

%SYSDIR%\amvo0.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Crypt.NSPM.Gen

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



以下のレジストリ・キーは変更されます:

あらゆるExplorerの設定:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   前の値
   • Hidden = %ユーザ設定%
   • ShowSuperHidden = %ユーザ設定%
   新しい値
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   前の値
   • CheckedValue = %ユーザ設定%
   新しい値
   • CheckedValue = 0

 窃盗 以下の情報を盗もうとします:

– 以下のプログラムからのパスワード:
   • Maple Story
   • Lineage

 挿入(Injection) –  以下のファイルをプロセスに挿入させます: %SYSDIR%\amvo0.dll

    プロセス名:|以下のうちの1つ:
   • explorer.exe

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Andrei Gherman の 2008年6月13日金曜日
説明の更新者 Andrei Gherman の 2008年6月13日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。