ウイルスWorm/Rimecud.B.70
発見日:24/09/2009
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ188.554 バイト
MD5 チェックサムB1C1B5301E149769FB8376A885D2A5D8
VDFファージョン:7.01.06.29
IVDFファージョン:7.01.06.31 - 2009年9月24日木曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  TrendMicro: WORM_PALEVO.YRS
   •  Sophos: W32/Rimecud-BV
   •  Microsoft: Worm:Win32/Rimecud.B


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %ごみ箱%\%ランダムな文字列%\test.exe



以下のファイルが作成されます:

%ごみ箱%\%ランダムな文字列%\Desktop.ini

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ごみ箱%\%ランダムな文字列%\test.exe"

 バックドア サーバに接続します。
以下のもの:
   • symkone**********.com:7781 (UDP)
   • wiset**********.com:7781 (UDP)
   • yog**********.info:7781 (UDP)

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

以下についての情報を送ります:
    • 訪問したURL
    • ウインドウズOSについての情報


リモート・コントロール機能
    • DDoS攻撃を実行する

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • %WINDIR%\explorer.exe


 ファイルの詳細 プログラム言語:
 このマルウェアプログラムはVisual Basicで書かれています。

説明の挿入者 Andrei Ilie の 2011年9月5日月曜日
説明の更新者 Andrei Ivanes の 2011年9月9日金曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。