Full description

ウイルス	Worm/Koobface.exa
発見日：	08/02/2010
タイプ	ワーム
感染報告有り	はい
感染報告	低～中
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	59.392 バイト
MD5　チェックサム	339e910b5aec569e30a73362fa4a851b
IVDFファージョン：	7.10.03.235 - 2010年2月8日月曜日

一般情報別名
   • McAfee(マカフィー) W32/Koobface.worm.gen.e
   • Panda W32/Koobface.JT.worm
   • Eset Win32/Koobface.NCL
   • ビットディフェンダー(Bitdefender)： Worm.Generic.225291

プラットフォーム/OS：
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\freddy84.exe

最初に実行したコピーの方を削除します。

以下のファイルを消去します。
   • %実行されたマルウェアのディレクトリ%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • c:\3.reg

以下のファイルが作成されます：

– c:\3.reg これは以下の内容を含む、悪意のないテキスト・ファイルです：
   •

– %WINDIR%\dxxdv34567.bat 作成が完了した後、起動されます。このバッチ・ファイルはファイルを削除するのに使われます。
– %実行されたマルウェアのディレクトリ%\sd.dat
– %WINDIR%\bk23567.dat

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://mm2dc.com/**********/?action=&v=%番号% &crc=%番号%
   • http://welovetweet.com/**********/?action=&v=%番号% &crc=%番号%
   • http://dentistschoice-fl.com/**********/?action=&v=%番号% &crc=%番号%
   • http://optimumorg.com/**********/?action=&v=%番号% &crc=%番号%
   • http://optimumorg.com/**********/?action=&mode=&age=%番号% &a=%番号% &v=%番号% &crc=%番号% &ie=
   • http://beautiteen.hostmaniacs.com/**********/?action=&v=%番号% &crc=%番号%
   • http://whoffmanchiro.com/**********/?action=&v=%番号% &crc=%番号%
   • http://pactivefranchises.com/**********/?action=&v=%番号% &crc=%番号%
   • http://mag5.kiev.ua/**********/?action=&v=%番号% &crc=%番号%
   • http://cia.gg/**********/?action=&v=%番号% &crc=%番号%
   • http://greystoneofellijay.com/**********/?action=&v=%番号% &crc=%番号%
   • http://ilivemusic.co.il/**********/?action=&v=%番号% &crc=%番号%
   • http://miltecit.co.uk/**********/?action=&v=%番号% &crc=%番号%

以下のファイルを起動しようとします：

– 以下のファイルのうちのどれかを起動しようとします：
   • %WINDIR%\freddy84.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • cmd /c %WINDIR%\dxxdv34567.bat

– 以下のファイルのうちのどれかを起動しようとします：
   • regedit /s c:\2.reg

レジストリ以下のレジストリ・キーが追加されます：

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

その他インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします：
• http://www.google.com

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年4月7日水曜日
説明の更新者 Petre Galan の 2010年4月7日水曜日

戻る . . . .

マイアカウント