PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Yakes.li
発見日:14/06/2011
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ51.200 バイト
MD5 チェックサムA5423C14D3E1BD10791A7B1DA79AE8F5
VDFファージョン:7.11.09.168 - 2011年6月14日火曜日
IVDFファージョン:7.11.09.168 - 2011年6月14日火曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  McAfee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.Yakes.li
   •  Microsoft: Worm:Win32/Autorun.ABO


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\svrwsc.exe



以下のファイルが作成されます:

%TEMPDIR%\Low%hex値%.tmp.bat このバッチ・ファイルはファイルを削除するのに使われます。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

 バックドア サーバに接続します。
以下のもの:
   • etrademone.**********/point/forum/index.php

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

 挿入(Injection) – これ自体がリモート スレッドとしてプロセスにインジェクションされます。

    プロセス名:|以下のすべて:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Andrei Ilie の 2011年8月1日月曜日
説明の更新者 Andrei Ilie の 2011年8月3日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。