TR/Tcom.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Tcom.2
発見日：	20/07/2005
タイプ	トロイの木馬
サブタイプ	Downloader
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低
スタティック・ファイル	はい
ファイル・サイズ	26.624 バイト
MD5　チェックサム	8e3cf147f6d642b4e0808cec743d856e
VDFファージョン：	6.31.0.234

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Backdoor.Nibu.L
   • McAfee(マカフィー) BackDoor-CCT
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Agent.fe
   • TrendMicro(トレンドマイクロ） TROJ_DUMADOR.AV
   • ウイルスバスター Backdoor.Dumador.BM

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • セキュリティの設定を低くします。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\windldra.exe

以下のファイルを消去します。
• %WINDIR%\send_logs_trigger

以下のファイルが作成されます：

– %WINDIR%\netdx.dat このファイルは内部ルーチンのフラッグとして働きます。
– %WINDIR%\dvpd.dll
– %WINDIR%\prntsvra.dll
– %TEMPDIR%\fe43e701.htm このファイルは入力されたキーについて収集された情報を含みます。
– %WINDIR%\prntc.log
– %WINDIR%\prntk.log

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"

以下のレジストリ・キーが追加されます：

– [HKCU\software\sars\]
   • "SocksPort"=dword:%ランダムな文字列%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は変更されません。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com

改変されたホストファイルの外見は以下のようになります。

バックドア以下のポートが開かれます：

– %実行ファイル% 無作為に選ばれたTCPポート上にプロキシ・サーバを準備するため
– %実行ファイル% TCPポートに 9125 バックドアを開くため

サーバに接続します。
以下のうちのどれか１つ：
   • http://222.36.41.**********/system32/logger.php

結果、いくつかの情報を送る可能性があります。これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。

以下についての情報を送ります：
    • 作成されたログファイル
    • ネットワークについての情報
    • プラットフォームID

窃盗以下の情報を盗もうとします：

– 以下のプログラムからのパスワード：
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– 以下のサブストリングをURLに含むウェブサイトを訪問した後ログインを開始します：
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– 取り込むのは：
    • キー入力
    • ウインドウ情報
    • ブラウザ・ウインドウ
    • ログイン情報

挿入(Injection) – それ自身をプロセスに挿入させます。

プロセス名：｜以下のうちの１つ：
• Internet Explorer

簡単な説明はココにあります。.

この説明は Sergiu Oprea によって Wed, 03 Aug 2005 11:04 (GMT+1) 書き込まれました。
この説明は Oliver Auerbach によって Tue, 18 Oct 2005 21:47 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back