PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Spy.303104.52
発見日:03/11/2009
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ117.148 バイト
MD5 チェックサム470f47b873e4453fb4e603a83ea8c5c6
IVDFファージョン:7.01.06.185 - 2009年11月3日火曜日

 一般情報 感染方法
• Autorun feature (jp)


別名
   •  ビットディフェンダー(Bitdefender): Win32.Worm.Autorun.UG


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\rttrwq.exe
   • %ドライバ% \t9ajs9fo.exe



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %SYSDIR%\drivers\cdaudio.sys



以下のファイルが作成されます:

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%SYSDIR%\mkfght0.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Crypt.ZPACK.Gen




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://cdju9.com/xjj/**********
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ertyuop"="%SYSDIR%\rttrwq.exe"



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Connections]
   新しい値
   • "DefaultConnectionSettings"=hex:46,00,00,00,04,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,00,5D,BA,DF,B3,79,CA,01,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,C0,A8,6B,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新しい値
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新しい値
   • "CheckedValue"=dword:0x00000000

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2009年12月10日木曜日
説明の更新者 Petre Galan の 2009年12月10日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。