PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Rogue.kdv.640189
発見日:03/07/2012
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
ファイル・サイズ94.720 バイト
MD5 チェックサムC142F7941922369C46E948FF508F67CE
VDFファージョン:7.11.34.246 - 2012年7月3日火曜日
IVDFファージョン:7.11.34.246 - 2012年7月3日火曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  McAfee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
   •  Microsoft: Worm:Win32/Cridex.B
   •  Grisoft SHeur4.AHBZ
   •  Eset Win32/AutoRun.Spy.Banker.M worm
   •  DrWeb: Trojan.DownLoader6.13798


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %APPDATA%\KB00027502.exe

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   • %マルウェアを実行するコード%

%TEMPDIR%\POS1.tmp 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
– [HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 バックドア サーバに接続します。
以下のうちのどれか1つ:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • %WINDIR%\Explorer.EXE


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX

説明の挿入者 Daniel Mocanu の 2012年8月8日水曜日
説明の更新者 Daniel Mocanu の 2012年8月8日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。