ウイルスTR/PSW.Magania.czpe
発見日:22/03/2010
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ114.688 バイト
MD5 チェックサム59ba42e89422164c215a9891bb283b16
IVDFファージョン:7.10.05.158 - 2010年3月22日月曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  McAfee: Generic PWS.y
   •  Bitdefender: Trojan.Downloader.JIRG
   •  Panda W32/Gamania.MH
   •  Eset Win32/PSW.OnLineGames.NWF


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %ドライバ% \puia6h.exe
   • %TEMPDIR%\xvassdf.exe



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %TEMPDIR%\4tddfwq0.dll
   • %TEMPDIR%\ar.exe
   • %TEMPDIR%\ar1.rar



以下のファイルが作成されます:

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

%TEMPDIR%\ar.exe
%TEMPDIR%\4tddfwq0.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/PSW.Magania.czpf

%TEMPDIR%\ar1.rar
%TEMPDIR%\doscp0.dll
%TEMPDIR%\doscp.exe



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://www.baiduplk.com/1rb/**********


– 場所は以下の通りです:
   • http://www.yahoosd3.com/1rb/**********




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"


– 以下のファイルのうちのどれかを起動しようとします:
   • "%TEMPDIR%\ar.exe"

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "54dfsger"="%TEMPDIR%\xvassdf.exe"
   • "doscp"="%TEMPDIR%\doscp.exe"



以下のレジストリ・キーが追加されます:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="tyily.i"

 挿入(Injection) –  以下のファイルをプロセスに挿入させます: %TEMPDIR%\4tddfwq0.dll

    プロセス名:|以下のすべて:
   • explorer.exe



– プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • iexplore.exe



–  以下のファイルをプロセスに挿入させます: %TEMPDIR%\doscp0.dll

    プロセス名:|以下のすべて:
   • explorer.exe


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年9月17日金曜日
説明の更新者 Petre Galan の 2010年9月17日金曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。