TR/Proxy.Cimuz.BG.1 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Proxy.Cimuz.BG.1
発見日：	19/10/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	39.281 バイト
MD5　チェックサム	F09B6F7DB845AF2C7B013D2E848DDDC2
VDFファージョン：	6.32.00.43 - Mon, 26 Sep 2005 13:40 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Trojan.Repsamo
   • Kaspersky(カスペルスキー) Trojan-Proxy.Win32.Cimuz.bg
   • TrendMicro(トレンドマイクロ） TROJ_REPSAMO.D
   • ビットディフェンダー(Bitdefender)： Trojan.MZU

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルをダウンロードします。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\mdms.exe

以下のファイルを消去します。
   • C:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • C:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo
   • C:\zzzzzzzzzzzzzzzzzzzzzzz222

以下のファイルを使えなくする可能性があります：
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\MpfUi.Dll"
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Hacker\perfiloc.dll"
   • %PROGRAM FILES%\Tiny Firewall Pro\SnortImp.dll"
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\Localized.DLL"
   • %PROGRAM FILES%\Agnitum\Outpost Firewall\Engine.dll"
   • %PROGRAM FILES%\Norton Internet Security Professional\FRERules.dll"
   • %PROGRAM FILES%\Kerio\Personal Firewall 4\kfe.dll"
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\vsruledb.dll"

以下のファイルが作成されます：

– %SYSDIR%\winacpi.dll タスク・マネージャからプロセスを隠すのに利用されます。以下のように検出されました： TR/Drop.Agen.bd.A.1

– 場所は以下の通りです：
   • http://ozonung.biz/**********/?%ランダムな文字列%
   • http://votreenton.biz/**********/?%ランダムな文字列%
   • http://troonety.biz/**********/?%ランダムな文字列%
   • http://breenten.biz/**********/?%ランダムな文字列%
   • http://zurrusco.com/**********/?%ランダムな文字列%
   • http://freelife4ever.com/**********/?%ランダムな文字列%
   • http://213.21.215.186/**********/?%ランダムな文字列%
ハードディスクの以下のパスにセーヴされます： %不明% このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%SYSDIR%\mdms.exe"

ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します：

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"

以下のレジストリ・キーが追加されます：

– [HKCR\*\shellex\ContextMenuHandlers\sysacpildap]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCU\Software\mzs]
– [HKCU\Software\mzs\mdms]
– [HKCU\Software\mzs\mdms\mzu]
   • "cid"=%hex 数字%
   • "newhost"=dword:00000001
   • "pt"=dword:%hex 数字%
   • "fc"=dword:%hex 数字%
   • "fu"="http://213.21.215.**********/zubox429/gotcha.php"
   • "fa"=dword:00000001

– [HKCR\acpi.acpi.1]
   • @="acpi Class"

– [HKCR\acpi.acpi.1\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext]
   • @="acpi Class"

– [HKCR\acpi.ext\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext\CurVer]
   • @="acpi.acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}]
   • @="acpi"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32]
   • @="%SYSDIR%\winacpi.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ProgID]
   • @="acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\Programmable]
– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\
   VersionIndependentProgID]
   • @="acpi"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0]
   • @="SimpleExt 1.0 Type Library"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0\win32]
   • @="%SYSDIR%\winacpi.dll"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}]
   • @="ISimpleShlExt"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"
   •

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"
   • "Version"="1.0"

プロセス中断以下のプロセスは終了されます：
   • ehmas.exe; gcasServ.exe; gcasDtServ.exe; kpf4gui.exe; NPROTECT.EXE;
      MpfService.exe; outpost.exe; ZAPRO.EXE; amon.exe; kpf4ss.exe;
      firewall.exe; zonealarm.exe

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のプロセス

ファイルの詳細 プログラム言語:
このマルウェアプログラムはBorland C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Mon, 24 Oct 2005 09:43 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 28 Oct 2005 16:00 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る