PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Spyeye.H.17
発見日:18/09/2010
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ252.496 バイト
MD5 チェックサム05a2d7b4d816c392632e40ac34a9d886
VDFファージョン:7.10.05.60
IVDFファージョン:7.10.11.219 - 2010年9月18日土曜日

 一般情報 別名
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bkia
   •  Bitdefender: Trojan.Generic.KD.194182
   •  GData: Trojan.Generic.KD.194182
   •  DrWeb: Trojan.PWS.SpySweep.42


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • C:\Recycle.Bin\Recycle.Bin.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

– C:\Recycle.Bin\config.bin



以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • C:\Recycle.Bin\Recycle.Bin.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Recycle.Bin.exe"="C:\Recycle.Bin\Recycle.Bin.exe"



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:0x00000000
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnIntranet"=dword:0x00000000
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft Windows]
   • "000000EDE6693FF8"=hex:3A,3D,66,99,AF,AE,AE,AE,AE,A9,AA,AA,AA,AA,A8,A8,A8,A8,A5,A5,A5,A5,D1,BE,9E,EA,8B,E9,85,E0,E0,92,F7,87,B6,C6,C4,C4,D8,F2,F2,F2,F2,90,FF,8B,D4,B3,C6,AF,CB,CB,FE,D0,E1,CF,FD,CB,FB,CB,EA,BC,E4,C9,FE,C6,FE,CE,F9,C9,8C,C9,8A,CB,FB,B8,99,AA,92,D7,E3,D0,92,AA,99,FC,FA,EB,2F,29,23,55,30,42,31,58,37,59,59,68,58,6B,5B,62,03,00,22,7E,75,75,65,09,66,05,64,08,57,23,4A,27,42,42,70,40,71,40,6E,5E,68,46,76,4E,6E,5E,69,53,67,50,6A,5F,6A,44,74,46,76,13,16,47,03,06,6A,6E,6E,7E,04,6B,05,60,60,48,48,0F,0F,42,42,16,16,36,36,1D,1D,2D,2D,1E,1E,24,24,14,14,24,24,0D,0D,2D,2D,68,68,46,D2,D2,D4,A1,A1,D3,D3,BC,BC,CC,CC,A9,E5,E1,E1,E9,BA,BA,CE,CE,AF,AF,C1,C1,A5,A5,C4,C4,B6,B6,D2,D2,F2,F2,A6,A6,CF,CF,A2,A2,C7,C7,A6,AD,BD,3F,34,57,3C,98,88,89,BA,8E,BD,8C,24,37,33,20,20,20,20,4F,3C,63,8B,9D,61,7D,95,93,93,91,FD,9C,F2,95,E0,81,E6,83,DC,B5,D1,D1,E0,D0,E3,D0,D0,D0,D0,D0,C1,C1,C1

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "EnabledV8"=dword:0x00000000
   • "ShownServiceDownBalloon"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   • "1409"=dword:0x00000003



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   新しい値
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   新しい値
   • "mp3file"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   新しい値
   • "rtffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   新しい値
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   新しい値
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   新しい値
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   新しい値
   • "WMVFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   新しい値
   • "WPLFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   新しい値
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   新しい値
   • "txtfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   新しい値
   • "m3ufile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   新しい値
   • "pngfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   新しい値
   • "soundrec"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ivf\OpenWithProgids]
   新しい値
   • "IVFfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   新しい値
   • "CSSfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   新しい値
   • "xmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   新しい値
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   新しい値
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   新しい値
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   新しい値
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   新しい値
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   新しい値
   • "WordPad.Document.1"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   新しい値
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   新しい値
   • "pjpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   新しい値
   • "icofile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   新しい値
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   新しい値
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   新しい値
   • "wmffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   新しい値
   • "WMP.DVR-MSFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   新しい値
   • "giffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   新しい値
   • "WVXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   新しい値
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   新しい値
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   新しい値
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   新しい値
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   新しい値
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   新しい値
   • "WAXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   新しい値
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   新しい値
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   新しい値
   • "xslfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   新しい値
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   新しい値
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   新しい値
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   新しい値
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   新しい値
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   新しい値
   • "emffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   新しい値
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

 バックドア サーバに接続します。
以下のもの:
   • mar**********.com:443 (TCP)
   • http://markizak.com/BViewbv32y77ebcbc/**********?guid=%文字列%&ver=%番号% &ie=%文字列%&os=%文字列%&ut=%文字列%&ccrc=%文字列%&md5=%文字列%&plg=%文字列%&stat=%文字列%



以下についての情報を送ります:
    • コンピュータ名
    • ログインしているユーザ
    • 現在のマルウェアのステータス
    • ユーザーネーム
    • ウインドウズOSについての情報

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe



– プロセスにリモートスレッドとして挿入します。

すべてのプロセスにインジェクションされます。


 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.microsoft.com


Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • QMuUDu54P2TXtUUU8dYw1F0XZ60Sg

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年6月8日水曜日
説明の更新者 Petre Galan の 2011年6月8日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。