PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Drefir.E
発見日:24/06/2005
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ128.328 バイト
MD5 チェックサム33be61dcfce0efaf88fda9adda4ddf7c
IVDFファージョン:6.31.00.108 - 2005年6月24日金曜日

 一般情報 感染方法
   • Eメール


別名
   •  McAfee(マカフィー) W32/Drefir.worm
   •  Sophos(ソフォス) W32/Dref-C
   •  Panda W32/Drefir.E.worm
   •  Eset Win32/Drefir.E
   •  ビットディフェンダー(Bitdefender): Win32.Worm.Drefir.E.DAM@MM


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\SysDrefIWv2.exe

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



以下のレジストリ・キーは変更されます:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   新しい値
   • "%実行されたマルウェアのディレクトリ%\%実行ファイル%" = "%実行されたマルウェアのディレクトリ%\%実行ファイル%:*:Enabled:%実行ファイル%"

ウインドウズ XPのFirewall(防火壁)を無効にする:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   新しい値
   • "Start" = 00000004

 Eメール MAPI(Messaging Application Programming Interface)を使ってメールを送ります。特徴は以下の通りです:


送信者
送信者のアドレスはユーザーのアウトルックのアカウントです。


宛先:
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス


件名
以下のもの:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



添付ファイル
添付ファイルの名前は:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

添付ファイルは、マルウェア自身のコピーです。

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ irc.e**********.net
ポート: 6667

サーバ eu.u**********.org
ポート: 6667

サーバ us.u**********.org
ポート: 6667

サーバ irc.d**********.net
ポート: 6667

サーバ irc.r**********.net
ポート: 6667

サーバ irc.fr.i**********.net
ポート: 6667

サーバ irc.i**********.ee
ポート: 6667

サーバ random.i**********.de
ポート: 6667

サーバ irc.us.i**********.net
ポート: 6667

サーバ irc.q**********.org
ポート: 6667

サーバ leak.e**********.co.uk
ポート: 8080
チャンネル #irc


– その他以下のアクションを実行することもできます:
    • メールを送る
    • ウェブサイトを訪問します。

 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.google.com/

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年2月5日金曜日
説明の更新者 Petre Galan の 2010年2月5日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。