PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Scar.aywk
発見日:20/12/2009
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ66.560 バイト
MD5 チェックサム13de040017144a6276172d08bfd1e7f4
IVDFファージョン:7.10.02.23 - 2009年12月20日日曜日

 一般情報 感染方法
   • Autorun feature (jp)


別名
   •  McAfee(マカフィー) W32/Slenping
   •  Panda W32/OscarBot.XY
   •  Eset Win32/AutoRun.IRCBot.CX
   •  ビットディフェンダー(Bitdefender): Worm.Pushbot.G


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %HOME%\Application Data\afd.exe
   • %ドライバ% \Folder\SubFolder\file.exe



以下のファイルが作成されます:

%ドライバ% \Folder\SubFolder\Desktop.ini
%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"



以下のレジストリ・キーは変更されます:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   新しい値
   • "%実行ファイル%"="%実行ファイル%:*:Enabled:Cftmon32"

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ one.af**********.com
ポート: 22
チャンネル #!stdin
ニックネーム [USA|00|P|%番号% ]

 バックドア 以下のポートが開かれます:

– freebieslounge.com UDPポートに 44500

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年3月16日火曜日
説明の更新者 Petre Galan の 2010年3月16日火曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。