PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/Floder.mt
発見日:20/06/2011
タイプバックドア・サーバ型
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
ファイル・サイズ152.064 バイト
MD5 チェックサム2C172284DD0CD1D31C7F7C93E95C727C
VDFファージョン:7.11.10.37 - 2011年6月20日月曜日
IVDFファージョン:7.11.10.37 - 2011年6月20日月曜日

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Symantec: W32.Pilleuz
   •  TrendMicro: TROJ_SPNR.02FS11
   •  Microsoft: Worm:Win32/Dorkbot.I


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %APPDATA%\%ランダムな文字列%.exe



最初に実行したコピーの方を削除します。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%ランダムな文字列%"="%APPDATA%\%ランダムな文字列%.exe"



以下のレジストリ・キーが追加されます:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ **********.yourwebfind.com
ポート: 5101
サーバ・パスワード hax0r

サーバ **********.drwhox.com
ポート: 5101
サーバ・パスワード hax0r

サーバ **********.babypin.net
ポート: 5101
サーバ・パスワード hax0r

サーバ **********.beecitysearch.com
ポート: 5101
サーバ・パスワード hax0r

サーバ **********.mdmads.com
ポート: 5101
サーバ・パスワード hax0r



– このマルウェアは以下の情報を収集し送る能力があります:
    • ログインしているユーザ
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する
    • DDoS攻撃を実行する

 挿入(Injection) – これ自体がリモート スレッドとしてプロセスにインジェクションされます。

    プロセス名:|以下のすべて:
   • explorer.exe
   • svchost.exe
   • winlogon.exe


 その他 インターネット リソースへのアクセス :
   • http://api.wipmania.com


文字列
さらに以下の文字列を含みます:
   • IsDebuggerPresent

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

説明の挿入者 Andrei Ilie の 2011年8月8日月曜日
説明の更新者 Andrei Ilie の 2011年8月8日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。