PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/Mirc-based.K.5
発見日:23/12/2008
タイプバックドア・サーバ型
感染報告有りはい
感染報告低~中
感染の可能性中~高
ダメージ・ポテンシャル中~高
スタティック・ファイルはい
ファイル・サイズ782.336 バイト
MD5 チェックサム375306f0f224df1542b0343d5756b8a5
IVDFファージョン:7.01.01.27 - 2008年12月23日火曜日

 一般情報 感染方法
   • Infects files (jp)


別名
   •  McAfee(マカフィー) W32/Virut.gen
   •  Sophos(ソフォス) W32/Vetor-A
   •  Panda W32/Virutas.gen
   •  Eset Win32/Virut.Q
   •  ビットディフェンダー(Bitdefender): IRC-Worm.Generic.4269


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • Infects files (jp)
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル 以下のファイルが作成されます:

%PROGRAM FILES%\mIRC\IRC Bot\control.ini
%PROGRAM FILES%\mIRC\IRC Bot\remote.ini
%PROGRAM FILES%\mIRC\IRC Bot\svchost.exe
%PROGRAM FILES%\mIRC\IRC Bot\Anjing_Malingsia.sys
%PROGRAM FILES%\mIRC\IRC Bot\Stupid.sys
%PROGRAM FILES%\Microsoft Office
%PROGRAM FILES%\mIRC\IRC Bot\fuck.sys
%PROGRAM FILES%\mIRC\IRC Bot\kontol.mrc
%PROGRAM FILES%\mIRC\IRC Bot\perampok_budaya.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Anjing.sys
%PROGRAM FILES%\mIRC\IRC Bot\Channel_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Asshole.sys

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\WINWORD.EXE"



以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • "AntiVirusDisableNotify"=dword:0x00000001
   • "AntiVirusOverride"=dword:0x00000001
   • "FirewallDisableNotify"=dword:0x00000001
   • "FirewallOverride"=dword:0x00000001
   • "FirstRunDisabled"=dword:0x00000001
   • "UpdatesDisableNotify"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"



以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   新しい値
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新しい値
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Classes\exefile]
   新しい値
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   新しい値
   • "CheckedValue"=dword:0x00000000
   • "DefaultValue"=dword:0x00000000
   • "UncheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   新しい値
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   新しい値
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   新しい値
   • "load"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   新しい値
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   新しい値
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

 ファイル感染 Infector type: (jp)

Appender (jp)
– Infector modifies last section (jp)


Self Modification (jp)

Infector polymorphic (jp)


メソッド:

このダイレクト・アクション型感染者は、活発にファイルを検索します。

このメモリ・レジスタント型感染者はメモリ内でアクティブのままであり続けます。


Infection Length (jp)

- 11.264 バイト


The following file is infected (S) (jp)

By file type (jp)
   • .exe

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ proxim.irc**********.pl
ポート: 80
チャンネル &virtu
ニックネーム %ランダムな文字列%

サーバ srv201.cy**********.name
ポート: 80
チャンネル &virtu
ニックネーム %ランダムな文字列%

サーバ 60.190.2**********.1**********
ポート: 80
チャンネル &virtu
ニックネーム %ランダムな文字列%

 挿入(Injection) – プロセスにスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • winlogon.exe



– バックドア・ルーチンをプロセスに挿入します。

    プロセス名:|以下のすべて:
   • %すべての起動中のプロセス%


 ルートキット・テクノロジー(Rootkit Technology)  以下のAPI機能にホック(HOOK)します:
   • NtCreateFile
   • NtOpenFile
   • NtCreateProcess
   • NtCreateProcessEx

説明の挿入者 Petre Galan の 2010年3月22日月曜日
説明の更新者 Petre Galan の 2010年3月24日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。