PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Dorkbot.I.385
発見日:07/05/2012
タイプワーム
感染報告有りいいえ
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
ファイル・サイズ947.200 バイト
MD5 チェックサムe8e2ba08f9aff27eed45daa8dbde6159
VDFファージョン:7.11.29.80 - 2012年5月7日月曜日
IVDFファージョン:7.11.29.80 - 2012年5月7日月曜日

 一般情報 感染方法
   • 自動実行機能
   • ローカル・ネットワーク
   • メッセンジャー


別名
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750742
   •  DrWeb: BackDoor.IRC.NgrBot.42
   •  Norman: Trojan W32/Injector.BMHF


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • マルウェアの潜在的な挙動を可能にする、または増大させる目的でシステムの設定を変更するために使用されることがあります。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %appdata%\%6桁のランダムな文字列%.exe



以下のファイルが作成されます:

– %appdata%\%1 digit random character string%.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%6桁のランダムな文字列%.exe"

 その他 インターネット接続
インターネット接続をチェックするため、以下のDNSサーバにつなぎます:
   • s177.hot**********.com
   • venus.time**********.pl


イベント ハンドラ:
次のイベント ハンドラが作成されます。
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


文字列
さらに以下の文字列を含みます:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはBorland C++で書かれています。

説明の挿入者 Wensin Lee の 2012年10月8日月曜日
説明の更新者 Wensin Lee の 2012年10月8日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。