PCの修理が必要ですか?
専門家に頼む
ウイルスTR/Tcom.2
発見日:13/12/2012
タイプトロイの木馬
サブタイプDownloader
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ26.624 バイト
MD5 チェックサム8e3cf147f6d642b4e0808cec743d856e
VDFファージョン:7.11.53.216

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Symantec: Backdoor.Nibu.L
   •  McAfee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • セキュリティの設定を低くします。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\windldra.exe



以下のファイルを消去します。
   • %WINDIR%\send_logs_trigger



以下のファイルが作成されます:

%WINDIR%\netdx.dat このファイルは内部ルーチンのフラッグとして働きます。
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm このファイルは入力されたキーについて収集された情報を含みます。
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



以下のレジストリ・キーが追加されます:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%ランダムな文字列%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 ホスト ホストファイルは以下のように改変されます:

– この場合、存在する登録情報は変更されません。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




改変されたホストファイルの外見は以下のようになります。


 バックドア 以下のポートが開かれます:

%実行ファイル% 無作為に選ばれたTCPポート上に プロキシ・サーバを準備するため
%実行ファイル% TCPポートに 9125 バックドアを開くため


サーバに接続します。
以下のうちのどれか1つ:
   • http://222.36.41.**********/system32/logger.php

結果、いくつかの情報を送る可能性があります。 これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。


以下についての情報を送ります:
    • 作成されたログファイル
    • ネットワークについての情報
    • プラットフォームID

 窃盗 以下の情報を盗もうとします:

– 以下のプログラムからのパスワード:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– 取り込むのは:
    • キー入力
    • ウインドウ情報
    • ブラウザ・ウインドウ
    • ログイン情報

 挿入(Injection) – それ自身をプロセスに挿入させます。

    プロセス名:|以下のうちの1つ:
   • Internet Explorer


説明の挿入者 Sergiu Oprea の 2005年8月3日水曜日
説明の更新者 Oliver Auerbach の 2005年10月18日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。