PCの修理が必要ですか?
専門家に頼む
ウイルスTR/ZZDimy.13
発見日:15/05/2009
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ13.824 バイト
MD5 チェックサムfeb9fcb58b7537c47a0Cfc1c00702b50
IVDFファージョン:7.01.03.215 - 2009年5月15日金曜日

 一般情報 別名
   •  Symantec(シマンテック) Backdoor.Paproxy
   •  McAfee(マカフィー) Generic Proxy!a trojan !!!
   •  Kaspersky(カスペルスキー) Trojan.Win32.Agent2.jyy
   •  Panda W32/Koobface.AD.worm
   •  Eset a variant of Win32/Tinxy.AD trojan


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\SYS32DLL.exe



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • C:\SYS32DLL.bat



以下のファイルが作成されます:

– C:\SYS32DLL.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
ダウンロードが終了した後、起動されます。 これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

 レジストリ ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

 バックドア 以下のポートが開かれます:

%SYSDIR%\SYS32DLL.exe TCPポートに 7171 HTTPサーバを供給するため


サーバに接続します。
以下のうちのどれか1つ:
   • yy-d**********.com
   • zz-d**********.com


 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX

説明の挿入者 Petre Galan の 2009年10月6日火曜日
説明の更新者 Andrei Ivanes の 2009年10月7日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。