TR/Agent.DL.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Agent.DL.2
発見日：	24/08/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	36.969 バイト
MD5　チェックサム	13f81b6b0d9cd62837cfebc22777cf63
VDFファージョン：	6.31.01.176 - Wed, 24 Aug 2005 21:03 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Agent.gf
   • TrendMicro(トレンドマイクロ） TROJ_AGENT.XZ
   • Sophos(ソフォス) Troj/Dermon-D
   • Panda Trj/Agent.AII
   • ウイルスバスター Trojan.Agent.PK

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルを作成します。
   • セキュリティの設定を低くします。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\winserver.exe

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– %SYSDIR%\winserv.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
– %SYSDIR%\winserv32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
– %SYSDIR%\winserv.ini マルウェアに使用されたパラメータを含みます。
– %SYSDIR%\winserv.dat このファイルは入力されたキーについて収集された情報を含みます。

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
• http://pleskin.**********.ua/part3/check.dat

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   前の値
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   新しい値
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   前の値
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   新しい値
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

プロセス中断以下のプロセスは終了されます：
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe

バックドア以下のポートが開かれます：

– %SYSDIR%\lsass.exe 無作為に選ばれたTCPポート上にバックドアを開くため
– %SYSDIR%\lsass.exe 無作為に選ばれたTCPポート上にバックドアを開くため

サーバに接続します。
以下のうちのどれか１つ：
   • http://pleskin.**********.ua/

結果、いくつかの情報を送る可能性があります。これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。
これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。

以下についての情報を送ります：
    • 作成されたログファイル
    • 環境変数
    • IPアドレス
    • ネットワークについての情報
    • 開かれたポート
    • ウインドウズOSについての情報

窃盗 – ウェブサイトを訪問した後ログインを開始します：
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します：
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– 取り込むのは：
    • キー入力
    • ウインドウ情報

挿入(Injection) – プロセスにスレッドとして挿入します。

プロセス名：｜以下のうちの１つ：
• lsass.exe

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• IS_ALIVE

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル

使用されているメソッド：
• ウインドウズAPIから隠されています：

ファイルの詳細 プログラム言語:
このマルウェアプログラムはBorland C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Oliver Auerbach によって Wed, 24 Aug 2005 20:58 (GMT+1) 書き込まれました。
この説明は Oliver Auerbach によって Fri, 26 Aug 2005 00:31 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back