PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Zbot.836
発見日:22/09/2010
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性中~高
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ43.008 バイト
MD5 チェックサム202a068e9e52853d7ed7887ec7dfbe52
VDFファージョン:7.10.05.78
IVDFファージョン:7.10.11.254 - 2010年9月22日水曜日

 一般情報 感染方法
   • 自動実行機能
   • ファイルに感染


別名
   •  McAfee: W32/Ramnit
   •  Kaspersky: Backdoor.Win32.IRCNite.aqg
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Zbot.836
   •  GData: Trojan.Zbot.836


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • ファイルに感染
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %ドライバ% \RECYCLER\autorun.exe



以下のファイルが作成されます:

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

%PROGRAM FILES%\Internet Explorer\dmlconf.dat



以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


– 以下のファイルのうちのどれかを起動しようとします:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 レジストリ 以下のレジストリ・キーは変更されます:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新しい値
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 ファイル感染 感染マルウェアの種類 :

末尾付加 - 感染ファイルの末尾部分にウイルスのメイン コードが付加されます。
– 次のセクションが感染ファイルに追加されます :
   • .rmnet


ステルス:
検出を回避する手法は使用されません。 感染ファイルの OEP (オリジナル エントリ ポイント) 値が、ウイルス コードを指すように改変されます。


メソッド:

このダイレクト・アクション型感染者は、活発にファイルを検索します。


次のファイルに感染 :

ファイル タイプ :
   • exe (+44544) -> W32/Ramnit.A
   • dll (+44544) -> W32/Ramnit.A
   • html (+86498) -> HTML/Drop.Agent.AB

 バックドア サーバに接続します。
以下のもの:
   • jef**********.com:442 (TCP)


 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • iexplore.exe


 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • KyUffThOkYwRRtgPP

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年4月8日金曜日
説明の更新者 Petre Galan の 2011年4月8日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。