PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/WinO.A
発見日:09/03/2010
タイプバックドア・サーバ型
感染報告有りはい
感染報告低~中
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ63.639 バイト
MD5 チェックサム463f93ee63271f385e100aafb53f7790
IVDFファージョン:7.10.05.08 - 2010年3月9日火曜日

 一般情報 別名
   •  McAfee(マカフィー) Nebuler.b
   •  ビットディフェンダー(Bitdefender): Trojan.Generic.3563493


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル 最初に実行したコピーの方を削除します。



以下のファイルを消去します。
   • %TEMPDIR%\fig24.tmp



以下のファイルが作成されます:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Spy.Gen

%TEMPDIR%\fig24.tmp 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Spy.Gen

– "%実行されたマルウェアのディレクトリ%\%executed file.bat%"



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • cmd /c start iexplore -embedding


– 以下のファイルのうちのどれかを起動しようとします:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– 以下のファイルのうちのどれかを起動しようとします:
   • cmd /c "%TEMPDIR%\fig24.bat"


– 以下のファイルのうちのどれかを起動しようとします:
   • cmd /c "%実行されたマルウェアのディレクトリ%\%executed file.bat%"

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   新しい値
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   新しい値
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • explorer.exe


 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年4月6日火曜日
説明の更新者 Petre Galan の 2010年4月6日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。