PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Spy.ZBot.RS.1
発見日:07/04/2009
タイプトロイの木馬
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ192.512 バイト
MD5 チェックサム948ba9e36338cfd2a789b8a49094fefb
VDFファージョン:7.01.03.22
IVDFファージョン:7.01.03.23 - 2009年4月7日火曜日

 一般情報 別名
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.hry
   •  Bitdefender: Trojan.Generic.KD.230624
   •  GData: Trojan.Generic.KD.230624
   •  DrWeb: Trojan.DownLoader3.1932


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • C:\svchostxxx.exe\svchostxxx.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

– C:\svchostxxx.exe\config.bin



以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • C:\svchostxxx.exe\svchostxxx.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svchostxxx.exe"="C:\svchostxxx.exe\svchostxxx.exe"



以下のレジストリ・キーの値が消えています:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "WarnOnIntranet"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   新しい値
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   新しい値
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "EnableHttp1_1"=dword:0x00000000
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000000
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   新しい値
   • "1406"=dword:0x00000000
   • "1409"=dword:0x00000003
   • "1609"=dword:0x00000000

 バックドア サーバに接続します。
以下のもの:
   • http://cnc0098510m.cz.cc/mmmmmmaaaaaa/**********?guid=%文字列%&ver=%番号% &stat=%文字列%&ie=%文字列%&os=%文字列%&ut=%文字列%&cpu=%番号% &ccrc=%文字列%&md5=%文字列%


 窃盗 以下の情報を盗もうとします:
– オートコンプリート機能を利用して記録されたパスワード

– 以下のプログラムからのパスワード:
   • Mozilla Firefox
   • Internet Explorer

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe



– プロセスにリモートスレッドとして挿入します。

すべてのプロセスにインジェクションされます。


 その他  インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
   • http://www.microsoft.com/


Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • __svxxxx__
   • __SPYNET_REPALREADYSENDED__

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年7月12日火曜日
説明の更新者 Petre Galan の 2011年7月12日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。