PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Kazy.24846.24
発見日:09/06/2011
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ181.248 バイト
MD5 チェックサム34F129596DE430B1A902272EB62FDD01
VDFファージョン:7.11.09.128 - 2011年6月9日木曜日
IVDFファージョン:7.11.09.128 - 2011年6月9日木曜日

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  DrWeb: Trojan.DownLoader3.7697
   •  Norman: W32/Crypt.AVAU


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %TEMPDIR%\csrss.exe



次のファイルを変更:
   • %APPDATA%\Mozilla\Firefox\Profiles\f81lb9un.default\prefs.js
その結果、さまざまなセキュリティ機能が無効になります。



以下のファイルが作成されます:

– %APPDATA%\%hex値%.%hex値% マルウェアに使用されたパラメータを含みます。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Load"="%TEMPDIR%\csrss.exe"



以下のレジストリ・キーが追加されます:

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新しい値
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%番号% "

 プロセス中断 以下の文字列を含むプロセスは終了されます:
   • Alwil Software*; avast; Avast*; AvastUI.exe; AVG; avgnt.exe; avira;
      Avira*; BitDefender; ccsvchst.exe; Dr.Web; ESET NOD32; Kaspersky;
      mcafee; McAfee*; mcagent.exe; none; norton; Norton*; Symantec*


 バックドア 以下のポートが開かれます:

%実行ファイル% 無作為に選ばれたTCPポート上に プロキシ・サーバを準備するため
%実行ファイル% 無作為に選ばれたTCPポート上に バックドアを開くため

 窃盗 – 以下の文字列をチェックするネットワーク・スニファーを利用します。
   • google

 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • {5D92BB9F-9A66-458f-ACA4-66172A7016D4}

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

説明の挿入者 Andrei Ilie の 2011年9月1日木曜日
説明の更新者 Andrei Ilie の 2011年9月1日木曜日

戻る . . . .
https:// このウィンドウは暗号化されています。