Full description

ウイルス	Worm/McMaggot.A
発見日：	04/12/2008
タイプ	ワーム
感染報告有り	はい
感染報告	低～中
感染の可能性	中
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	449.024 バイト
MD5　チェックサム	0Aa203943d1e264973b2993ca09ef4c3
IVDFファージョン：	7.01.00.184 - 2008年12月4日木曜日

一般情報 感染方法
   • Eメール

別名
   • Symantec(シマンテック) W32.Ackantta@mm
   • McAfee(マカフィー) W32/Xirtem@MM virus !!!
   • Kaspersky(カスペルスキー) Trojan-Banker.Win32.Banker.abbi
   • Grisoft Downloader.Agent.APQJ
   • ビットディフェンダー(Bitdefender)： Win32.Worm.McMaggot.A

以前に以下のように検知されました:
   • TR/Dropper.Gen

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\vxworks.exe

以下のファイルが作成されます：

– %SYSDIR%\qnx.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/McMaggot.A

レジストリ再起動後そのプロセスを実行するため、以下の値のうちの１つを追加します：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe

以下のレジストリ・キーは変更されます：

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   新しい値
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。
メールの送信者は以下の通りです：
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com

件名
以下のもの：
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!

添付ファイル
添付ファイルの名前は：
   • coupon.zip
   • postcard.zip
   • promotion.zip

添付ファイルはそのマルウェアのコピーを含むアーカイブです。

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Alexander Neth の 2008年12月4日木曜日
説明の更新者 Alexander Neth の 2008年12月4日木曜日

戻る . . . .

マイアカウント