PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Spy.ZBot.awgq
発見日:16/02/2011
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ184.832 バイト
MD5 チェックサム8142026d807be4faedaec15bc1256fb6
VDFファージョン:7.10.08.215
IVDFファージョン:7.11.03.121 - 2011年2月16日水曜日

 一般情報 別名
   •  McAfee: PWS-Spyeye
   •  Kaspersky: Trojan-Spy.Win32.Zbot.awgq
   •  Sophos: Mal/FakeAV-BW
   •  Bitdefender: Trojan.Generic.KD.95303
   •  Panda Trj/SpyEyes.E
   •  GData: Trojan.Generic.KD.95303


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • C:\windowsxxx.exe\windowsxxx.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

– C:\windowsxxx.exe\config.bin



以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • C:\windowsxxx.exe\windowsxxx.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "windowsxxx.exe"="C:\windowsxxx.exe\windowsxxx.exe"



以下のレジストリ・キーの値が消えています:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "WarnOnIntranet"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "ShownServiceDownBalloon"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   新しい値
   • "EnabledV8"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

 バックドア サーバに接続します。
以下のもの:
   • 94.228.22**********.67:9933 (TCP)
   • http://my-trust.net:81/var/**********?guid=%文字列%&ver=%番号% &stat=%文字列%&ie=%文字列%&os=%文字列%&ut=%文字列%&cpu=%番号% &ccrc=%文字列%&md5=%文字列%



以下についての情報を送ります:
    • コンピュータ名
    • CPUの種類
    • ログインしているユーザ
    • 現在のマルウェアのステータス
    • ユーザーネーム
    • ウインドウズOSについての情報

 窃盗 以下の情報を盗もうとします:

– 以下のプログラムからのパスワード:
   • Mozilla Firefox
   • Internet Explorer

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe



– プロセスにリモートスレッドとして挿入します。

すべてのプロセスにインジェクションされます。


 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.microsoft.com


Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • __window__
   • __SPYNET_REPALREADYSENDED__

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年4月12日火曜日
説明の更新者 Petre Galan の 2011年4月14日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。