PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Drop.Muha.462027
発見日:17/12/2008
タイプトロイの木馬
サブタイプDropper
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ462.050 バイト
MD5 チェックサム4f30003916cc70fca3ce6ec3f0ff1429
IVDFファージョン:7.01.00.249 - 2008年12月17日水曜日

 一般情報 感染方法
   • Autorun feature (jp)


別名
   •  McAfee(マカフィー) W32/Autorun.worm.h
   •  Sophos(ソフォス) W32/AHKHeap-A
   •  Panda W32/AHKHeap.A.worm
   •  Eset Win32/AHKHeap.A
   •  ビットディフェンダー(Bitdefender): Win32.Worm.Ahkheap.C


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %ドライバ% \MicrosoftPowerPoint.exe



以下のファイルが作成されます:

– C:\heap41a\offspring\autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%TEMPDIR%\MicrosoftPowerPoint\svchost.exe
– C:\heap41a\Icon.ico
– C:\heap41a\script1.txt 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/AutoHK.A

– C:\heap41a\drivelist.txt
%TEMPDIR%\MicrosoftPowerPoint\Install.txt 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Agent.aoe.1

– C:\heap41a\2.mp3
%TEMPDIR%\MicrosoftPowerPoint\drivelist.txt
– C:\heap41a\std.txt 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/AHKHeap.B

– C:\heap41a\svchost.exe
– C:\heap41a\reproduce.txt 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/AHKHeap.C

%TEMPDIR%\MicrosoftPowerPoint\Icon.ico
%TEMPDIR%\MicrosoftPowerPoint\2.mp3
%TEMPDIR%\MicrosoftPowerPoint\pathlist.txt 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/AHKHeap.A

 レジストリ 以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "status"="present"
   • "winlogon"="C:\heap41a\svchost.exe C:\heap41a\std.txt"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新しい値
   • "checkedvalue"=dword:0x00000000

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年3月11日木曜日
説明の更新者 Petre Galan の 2010年3月11日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。