PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Agent.ies
発見日:24/12/2008
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルいいえ
ファイル・サイズ~1.390.000 バイト
VDFファージョン:7.01.01.28

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Kaspersky(カスペルスキー) Worm.Win32.AutoRun.arif
   •  F-Secure(エフ・セキュア) Worm.Win32.AutoRun.arif
   •  Eset Win32/FlyStudio.NET


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP


副作用
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %systemdir%\XP-290F2C69.EXE
   • %systemdir%\XP-%8 random hexa digits%.exe



以下のファイルが作成されます:

– 悪意のないファイル:
   • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\ˇˇˇˇˇˇ
      (short-cut to XP-290F2C69.EXE)

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %systemdir%\com.run
   • %systemdir%\dp1.fne
   • %systemdir%\eAPI.fne
   • %systemdir%\internet.fne
   • %systemdir%\krnln.fnr
   • %systemdir%\RegEx.fnr
   • %systemdir%\shell.fne
   • %systemdir%\spec.fne
   • %systemdir%\og.EDT
   • %systemdir%\og.dll
   • %systemdir%\ul.dll
   • %tempdir%\E_4\com.run
   • %tempdir%\E_4\dp1.fne
   • %tempdir%\E_4\eAPI.fne
   • %tempdir%\E_4\internet.fne
   • %tempdir%\E_4\krnln.fnr
   • %tempdir%\E_4\RegEx.fnr
   • %tempdir%\E_4\shell.fne
   • %tempdir%\E_4\spec.fne




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • %systemdir%\XP-%8 random hexa digits%.exe
実その上さらに害のあるコードを含みます。 以下のように検出されました: TR/Agent.ies

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "XP-290F2C69"="%SYSDIR%\XP-290F2C69.EXE"

 バックドア サーバに接続します。
以下のうちのどれか1つ:
   • http://www.hidatabase.cn/**.***


 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

説明の挿入者 Mihai Dilimot の 2009年7月29日水曜日
説明の更新者 Mihai Dilimot の 2009年7月29日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。