ウイルスTR/EyeStye.N.107
発見日:07/06/2011
タイプトロイの木馬
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ172.067 バイト
MD5 チェックサム9D2FC019B4B7582C7AFD0D5D55E23449
VDFファージョン:7.11.09.66 - 2011年6月7日火曜日
IVDFファージョン:7.11.09.66 - 2011年6月7日火曜日

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  Kaspersky: Trojan.Win32.Jorik.SpyEyes.sy
   •  Bitdefender: Trojan.Generic.KDV.285014
   •  Eset Win32/Kryptik.QER
   •  DrWeb: Trojan.PWS.SpySweep.45


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • C:\Recycle.Bin\Recycle.Bin.exe



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

– 悪意のないファイル:
   • C:\Recycle.Bin\config.bin

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "%ランダム%"="C:\Recycle.Bin\Recycle.Bin.exe"



以下のレジストリ・キーが追加されます:

– HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "WarnOnIntranet"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003



以下のレジストリ・キーは変更されます:

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   前の値
   • "WarnOnPost"=hex:01,00,00,00
   • "ProxyHttp1.1"=dword:00000000
   • "WarnOnPostRedirect"=dword:00000001
   新しい値
   • "WarnOnPost"=hex:00,00,00,00
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPostRedirect"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   前の値
   • "1406"=dword:00000001
   新しい値
   • "1406"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   前の値
   • "1406"=dword:00000003
   新しい値
   • "1406"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   前の値
   • "1406"=dword:00000003
   新しい値
   • "1406"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   前の値
   • "1609"=dword:00000001
   新しい値
   • "1609"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   前の値
   • "1406"=dword:00000001
   • "1609"=dword:00000001
   新しい値
   • "1406"=dword:00000000
   • "1609"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   前の値
   • "1609"=dword:00000001
   新しい値
   • "1609"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   前の値
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   新しい値
   • "1406"=dword:00000000
   • "1609"=dword:00000000

Internet Explorerセキュリティの設定を低くします:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   前の値
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   新しい値
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 その他 インターネット接続
インターネット接続をチェックするため、以下のDNSサーバにつなぎます:
   • www.fa**********ok.com

以下の名前を試します:
   • www.fa**********ok.com/log**********hp?guid**********2EB1&ver=10325&ie=**********&md5=**********&plg=**********=online

 ファイルの詳細 プログラム言語:
 このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX V2.00-V2.90

説明の挿入者 Szewee Tan の 2011年7月13日水曜日
説明の更新者 Szewee Tan の 2011年7月13日水曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。