PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Koobface.exa
発見日:08/02/2010
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ59.392 バイト
MD5 チェックサム339e910b5aec569e30a73362fa4a851b
IVDFファージョン:7.10.03.235 - 2010年2月8日月曜日

 一般情報 別名
   •  McAfee(マカフィー) W32/Koobface.worm.gen.e
   •  Panda W32/Koobface.JT.worm
   •  Eset Win32/Koobface.NCL
   •  ビットディフェンダー(Bitdefender): Worm.Generic.225291


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\freddy84.exe



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %実行されたマルウェアのディレクトリ%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • c:\3.reg



以下のファイルが作成されます:

– c:\3.reg これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%WINDIR%\dxxdv34567.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
%実行されたマルウェアのディレクトリ%\sd.dat
%WINDIR%\bk23567.dat



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://mm2dc.com/**********/?action=&v=%番号% &crc=%番号%
   • http://welovetweet.com/**********/?action=&v=%番号% &crc=%番号%
   • http://dentistschoice-fl.com/**********/?action=&v=%番号% &crc=%番号%
   • http://optimumorg.com/**********/?action=&v=%番号% &crc=%番号%
   • http://optimumorg.com/**********/?action=&mode=&age=%番号% &a=%番号% &v=%番号% &crc=%番号% &ie=
   • http://beautiteen.hostmaniacs.com/**********/?action=&v=%番号% &crc=%番号%
   • http://whoffmanchiro.com/**********/?action=&v=%番号% &crc=%番号%
   • http://pactivefranchises.com/**********/?action=&v=%番号% &crc=%番号%
   • http://mag5.kiev.ua/**********/?action=&v=%番号% &crc=%番号%
   • http://cia.gg/**********/?action=&v=%番号% &crc=%番号%
   • http://greystoneofellijay.com/**********/?action=&v=%番号% &crc=%番号%
   • http://ilivemusic.co.il/**********/?action=&v=%番号% &crc=%番号%
   • http://miltecit.co.uk/**********/?action=&v=%番号% &crc=%番号%




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • %WINDIR%\freddy84.exe


– 以下のファイルのうちのどれかを起動しようとします:
   • cmd /c %WINDIR%\dxxdv34567.bat


– 以下のファイルのうちのどれかを起動しようとします:
   • regedit /s c:\2.reg

 レジストリ 以下のレジストリ・キーが追加されます:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.google.com

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年4月7日水曜日
説明の更新者 Petre Galan の 2010年4月7日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。