PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Yakes.ajw
発見日:29/06/2011
タイプトロイの木馬
感染報告有りいいえ
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ50.176 バイト
MD5 チェックサム84912A4480E54ACC70D33084BA9C3A99
VDFファージョン:7.11.10.166 - 2011年6月29日水曜日
IVDFファージョン:7.11.10.166 - 2011年6月29日水曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  McAfee: W32/Autorun.worm.h
   •  Sophos: Mal/EncPk-AAG
   •  Microsoft: Worm:Win32/Autorun.ABO


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\svrwsc.exe



以下のファイルが作成されます:

%TEMPDIR%\Low%hex値%.tmp.bat このバッチ・ファイルはファイルを削除するのに使われます。

 レジストリ 以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""

 バックドア サーバに接続します。
以下のもの:
   • etrademone.**********/point/forum/index.php

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

 挿入(Injection) – これ自体がリモート スレッドとしてプロセスにインジェクションされます。

    プロセス名:|以下のすべて:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Andrei Ilie の 2011年9月22日木曜日
説明の更新者 Andrei Ilie の 2011年9月30日金曜日

戻る . . . .
https:// このウィンドウは暗号化されています。