ウイルスTR/PSW.Magania.bgme
発見日:17/06/2010
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ104.476 バイト
MD5 チェックサム6F7D0987DF91CCD605DD2A5DDD8E2987
IVDFファージョン:7.01.04.101 - 2009年6月17日水曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.gbp
   •  TrendMicro: WORM_AUTORUN.DUY
   •  F-Secure: Trojan.PWS.OnLineGames.KCMZ
   •  Bitdefender: Trojan.PWS.OnLineGames.KCMZ
   •  Microsoft: Worm:Win32/Taterf.B
   •  AVG: Worm/AutoRun.GL
   •  PCTools: Worm.AutoRun.gbp
   •  VirusBuster: Worm.Taterf.ACC
   •  Eset Win32/PSW.OnLineGames.NNU
   •  Sunbelt: Worm.Win32.AutoRun.gbp
   •  GData: Trojan.PWS.OnLineGames.KCMZ
   •  Authentium: W32/Onlinegames.BYF
   •  DrWeb: Trojan.MulDrop.31605
   •  Rising: Trojan.PSW.Win32.GameOnline.eri


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • ファイルをダウンロードします。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\olhrwef.exe
   • %ドライバ% \fsaht.cmd



最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • C:\fsaht.cmd
   • %TEMPDIR%\am1.rar



以下のファイルが作成されます:

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

%SYSDIR%\nmdfgds0.dll 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://ngjk34.net/mg/****
ハードディスクの以下のパスにセーヴされます: %TEMPDIR%\am1.rar

 レジストリ 以下のレジストリ・キーが追加されます:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\drivers\cdaudio.sys
   • "DisplayName"="AVPsys"

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX

説明の挿入者 Irina Diaconescu の 2010年11月2日火曜日
説明の更新者 Irina Diaconescu の 2010年11月8日月曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。