PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Obisty.A
発見日:19/12/2012
タイプトロイの木馬
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ148.992 バイト
MD5 チェックサム89FA070B12AEE94C97F15AFBC8404E00
VDFファージョン:7.11.54.86 - 2012年12月19日水曜日
IVDFファージョン:7.11.54.86 - 2012年12月19日水曜日

 一般情報 感染方法
   • 感染した Web サイトへのアクセスに起因

同じような検出:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • サード・パーティ・コントロール
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %APPDATA%\KB%8桁のランダムな文字列%.exe



以下のファイルが作成されます:

%TEMPDIR%\exp3.tmp.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%8桁のランダムな文字列% .exe

 バックドア サーバに接続します。
以下のうちのどれか1つ:
   • http://84.22.100.108:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://182.237.17.180:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://123.49.61.59:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://204.15.30.202:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://64.76.19.236:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://59.90.221.6:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://210.56.23.100:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://94.73.129.120:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://174.143.174.136:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://203.217.147.52:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://74.207.237.170:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://23.29.73.220:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://69.64.89.82:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://74.63.229.10:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://74.86.113.66:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://174.121.188.156:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://50.22.94.96:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://173.203.102.204:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://74.117.107.25:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://174.142.68.239:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://188.212.156.170:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://188.120.226.30:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://78.28.120.32:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://217.65.100.41:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://81.93.250.157:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%
   • http://188.40.109.204:8080/%ランダムな文字列%/%ランダムな文字列%/%ランダムな文字列%

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。

 挿入(Injection) – これ自体がスレッドとしてプロセスにインジェクションされます。

すべてのプロセスにインジェクションされます。


 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Liviu Serban の 2012年12月19日水曜日
説明の更新者 Andrei Gherman の 2012年12月19日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。