Full description

ウイルス	TR/Skelf.A
発見日：	17/05/2012
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	中～高
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	34.477 バイト
MD5　チェックサム	78EE9C318793ADB145A5ABDC07DB8F1B
VDFファージョン：	7.11.30.90 - 2012年5月17日木曜日
IVDFファージョン：	7.11.30.90 - 2012年5月17日木曜日

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Eset Win32/Trustezeb.B
   • DrWeb: Trojan.Winlock.5908

プラットフォーム/OS：
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

副作用
   • セキュリティの設定を低くします。
   • レジストリの改変。

起動後以下の情報が表示されます：

ファイルそれ自体を以下の場所にコピーします。
   • %TEMPDIR%\%ランダムな文字列%.pre
   • %SYSDIR%\%ランダムな文字列% .exe
   • %APPDATA%\%ランダムな文字列%\%ランダムな文字列%.exe

最初に実行したコピーの方を削除します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %ランダムな文字列% = %APPDATA%\%ランダムな文字列%\%ランダムな文字列%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%ランダムな文字列%.exe,"

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

以下のレジストリ・キーが追加されます：

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%ランダムな文字列%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%ランダムな文字列%.EXE"

以下のレジストリ・キーは変更されます：

Regedit（レジストリ編集ツール）及びタスクマネージャを無効化します。

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   新しい値
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   新しい値
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名：｜以下のうちの１つ：
   • %SYSDIR%\ctfmon.exe

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

暗号化 :
暗号化 - ファイル内のウイルスコードは暗号化されます。

説明の挿入者 Ana Maria Niculescu の 2012年5月17日木曜日
説明の更新者 Andrei Gherman の 2012年5月17日木曜日

戻る . . . .

PCの修理が必要ですか?

マイアカウント