Full description

ウイルス	TR/Zbot.836
発見日：	22/09/2010
タイプ	トロイの木馬
感染報告有り	はい
感染報告	低～中
感染の可能性	中～高
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	43.008 バイト
MD5　チェックサム	202a068e9e52853d7ed7887ec7dfbe52
VDFファージョン：	7.10.05.78
IVDFファージョン：	7.10.11.254 - 2010年9月22日水曜日

一般情報 感染方法
   • 自動実行機能
   • ファイルに感染

別名
   • McAfee: W32/Ramnit
   • Kaspersky: Backdoor.Win32.IRCNite.aqg
   • Sophos: Mal/FakeAV-BW
   • Bitdefender: Trojan.Zbot.836
   • GData: Trojan.Zbot.836

プラットフォーム/OS：
   • Windows 2000
   • Windows XP
   • Windows 2003

副作用
   • 悪意ファイルを作成します。
   • ファイルに感染
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %ドライバ% \RECYCLER\autorun.exe

以下のファイルが作成されます：

– %ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • %マルウェアを実行するコード%

– %PROGRAM FILES%\Internet Explorer\dmlconf.dat

以下のファイルを起動しようとします：

– 以下のファイルのうちのどれかを起動しようとします：
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

レジストリ以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新しい値
• "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

ファイル感染 感染マルウェアの種類 :

末尾付加 - 感染ファイルの末尾部分にウイルスのメインコードが付加されます。
– 次のセクションが感染ファイルに追加されます :
   • .rmnet

ステルス:
検出を回避する手法は使用されません。感染ファイルの OEP (オリジナルエントリポイント) 値が、ウイルスコードを指すように改変されます。

メソッド：

このダイレクト・アクション型感染者は、活発にファイルを検索します。

次のファイルに感染 :

ファイルタイプ :
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

バックドア サーバに接続します。
以下のもの：
• jef**********.com:442 (TCP)

挿入(Injection) – プロセスにリモートスレッドとして挿入します。

プロセス名：｜以下のすべて：
• iexplore.exe

その他インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします：
   • google.com:80
   • bing.com:80
   • yahoo.com:80

Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
   • KyUffThOkYwRRtgPP

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年4月8日金曜日
説明の更新者 Petre Galan の 2011年4月8日金曜日

戻る . . . .

PCの修理が必要ですか?

マイアカウント