PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Fakealert.C.17
発見日:15/10/2009
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ171.024 バイト
MD5 チェックサムd6084176f7ef6ff28c544e7a9f8adb94
IVDFファージョン:7.01.06.114 - 2009年10月15日木曜日

 一般情報 別名
   •  McAfee(マカフィー) W32/Autorun.worm
   •  Panda W32/Autorun.JPK
   •  Eset Win32/AutoRun.Agent.TK
   •  ビットディフェンダー(Bitdefender): Worm.Generic.95428


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル 最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %SYSDIR%\RCX3.tmp



以下のファイルが作成されます:

%SYSDIR%\abfdcfedc.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Dldr.Agent.wif.9

%TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

 挿入(Injection) – プロセスにスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • winlogon.exe


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年3月5日金曜日
説明の更新者 Petre Galan の 2010年3月5日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。