PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Hacktool.Tcpz.A
発見日:22/04/2009
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル中~高
スタティック・ファイルはい
ファイル・サイズ995.328 バイト
MD5 チェックサム3911f7a8d09c467dbf3a05f73f0b8c7d
IVDFファージョン:7.01.03.91 - 2009年4月22日水曜日

 一般情報 別名
   •  McAfee(マカフィー) Generic Rootkit.g trojan
   •  Sophos(ソフォス) W32/Ircbot-AER
   •  Panda W32/IRCBot.CKA.worm
   •  Eset Win32/IRCBot
   •  ビットディフェンダー(Bitdefender): IRC-Worm.Generic.3237


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\svhost.exe



以下のファイルが作成されます:

%SYSDIR%\drivers\sysdrv32.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Hacktool.Tcpz.A

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



以下のレジストリ・キーが追加されます:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 ネットワーク感染 エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
– MS03-007 (Windows コンポーネントの未チェックのバッファにより、Web サーバーが侵害される)
– MS04-045 WINS の脆弱性により、リモートでコードが実行される
MS06-040 : Windows の重要な更新 Server サービスの脆弱性により、リモートでコードが実行される (921883)

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ 7.j3h**********.net
ポート: 57
サーバ・パスワード h4xg4ng
チャンネル #cunt
ニックネーム [00-USA-XP-%番号% ]

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2009年11月30日月曜日
説明の更新者 Petre Galan の 2009年11月30日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。