PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Buzus.czoc.1
発見日:20/01/2010
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ626.442 バイト
MD5 チェックサムef524124ce636c95617cde6d151ae49f
IVDFファージョン:7.10.02.242 - 2010年1月20日水曜日

 一般情報 感染方法
   • Autorun feature (jp)
   • メッセンジャー


別名
   •  McAfee(マカフィー) W32/Palack.worm virus
   •  Panda W32/IRCBot.CVV
   •  Eset Win32/AutoRun.IRCBot.EM
   •  ビットディフェンダー(Bitdefender): Trojan.Generic.3013808


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\svchost.exe
   • %ドライバ% \system.exe



以下のファイルが作成されます:

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

– %HOME%\Application Data\Microsoft\Crypto\RSA\%CLSID%\af569e2015741bf1f8157a89c2ae5ce2_1c1a3893-4672-472f-afbd-f2c903f9947c

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%WINDIR%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%WINDIR%\svchost.exe"



以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%WINDIR%\svchost.exe"

 メッセンジャー メッセンジャーを通して感染します。その特徴は以下の通りです:

– MSNメッセンジャー

URLは上記のマルウェアのコピーを指します。ユーザがそれをダウンロードし実行すると、感染を再び開始します。

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ ee**********.info
ポート: 4723
チャンネル #EaGLeZ#
ニックネーム EaGLeZ[USA][XP][00]%番号%

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年4月8日木曜日
説明の更新者 Petre Galan の 2010年4月8日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。