TR/PSW.Proxy.A.1 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/PSW.Proxy.A.1
発見日：	19/10/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	56.320 バイト
MD5　チェックサム	5B1DBA6A3EE664D5A77A72F5CFF96E6E
VDFファージョン：	6.32.00.101 - Wed, 19 Oct 2005 17:07 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Banker.aid
   • ビットディフェンダー(Bitdefender)： Dropped:Trojan.Spy.Small.DG

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • レジストリの改変。
   • 情報を盗みます。

ファイル以下のファイルが作成されます：

– 悪意のないファイル：
   • %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\$_2341234.tmp

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\$_2341233.tmp これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • %盗まれた情報%

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/PSW.Proxy.A.3

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/PSW.Proxy.A.2

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/PSW.Proxy.A.4

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://us15.info/gamma/x25.php?id%ランダムにいくつか選ばれた0から9までの数%&sv=%ランダムにいくつか選ばれた0から9までの数%&build%ランダムにいくつか選ばれた0から9までの数%&ts%ランダムにいくつか選ばれた0から9までの数%&ip=%現在のIPアドレス%&sport=%開かれたポート%&hport=%開かれたポート%&os=%ランダムにいくつか選ばれた0から9までの数%
ハードディスクの以下のパスにセーヴされます： %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\$_2341233.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="\"%PROGRAM FILES%\Common Files\\Microsoft Shared\\Web Folders\\ibm00001.exe\""

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   前の値
   • "Shell"="Explorer.exe"
   新しい値
   • "Shell"="explorer.exe%スペース%\"%PROGRAM FILES%\Common Files\\Microsoft Shared\\Web Folders\\ibm00001.exe\""

バックドア以下のポートが開かれます：

– explorer.exe 無作為に選ばれたTCPポート上にプロキシ・サーバを準備するため
– explorer.exe 無作為に選ばれたTCPポート上に Socks 5 プロキシ・サーバを準備するため

サーバに接続します。
以下のうちのどれか１つ：
   • http://us15.info/**********/x25.php

結果、いくつかの情報を送る可能性があります。これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • IPアドレス
    • 開かれたポート
    • 窃盗セクションに説明されている収集された情報
    • ウインドウズOSについての情報

窃盗以下の情報を盗もうとします：
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– ウェブサイトを訪問した後ログインを開始します：
   • %ログインフォームを含むすべてのウェブサイト%

– 取り込むのは：
    • ウインドウ情報
    • ログイン情報

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll

    プロセス名：｜以下のすべて：
   • explorer.exe

– 以下のファイルをプロセスに挿入させます： %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll

    プロセス名：｜以下のすべて：
   • explorer.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはBorland C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Mon, 24 Oct 2005 09:23 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 28 Oct 2005 12:40 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back