TR/Drop.Small.afo.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Drop.Small.afo.2
発見日：	19/10/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	20.992 バイト
MD5　チェックサム	C15B84E4255421287EE76E4CDAFBE04D
VDFファージョン：	6.32.00.101 - Wed, 19 Oct 2005 17:07 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Dropper.Win32.Small.afo
   • ビットディフェンダー(Bitdefender)： Trojan.Mailer.AVKiller.BM

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
• %SYSDIR%\%ランダムな文字列%.exe

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– %SYSDIR%\%ランダムな文字列%.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Drop.Sma.afo.2.A

レジストリ以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Classes\CLSID\
   {7368D5FC-6F5C-4f5b-B964-E67214F67852}]
– [HKLM\SOFTWARE\Classes\CLSID\{7368D5FC-6F5C-4f5b-B964-E67214F67852}\
   InProcServer32]
   • @="%ランダムな文字列%.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exys"="{7368D5FC-6F5C-4f5b-B964-E67214F67852}"

Eメールそれはスパムメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
インターネットで収集されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。

宛先:
– インターネットで収集されたアドレス

送信 アドレスの収集
以下のウェブサイトに接続してアドレスを収集します：
• 209.160.72.**********
• http://ys.sec**********.info

プロセス中断以下のプロセスは終了されます：
   • ARMOR2NET.EXE; SAVSCAN.EXE; NPROTECT.EXE; NVSVC32.EXE; _AVP32.EXE;
      _AVPCC.EXE; _AVPM.EXE; ACKWIN32.EXE; ANTI-TROJAN.EXE; APVXDWIN.EXE;
      AUTODOWN.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCTRL.EXE; AVKSERV.EXE;
      AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE; AVPM.EXE;
      AVPTC32.EXE; AVPUPD.EXE; AVSCHED32.EXE; AVWIN95.EXE; AVWUPD32.EXE;
      BLACKD.EXE; BLACKICE.EXE; CFIADMIN.EXE; CFIAUDIT.EXE; CFINET.EXE;
      CFINET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEANER.EXE; CLEANER3.EXE;
      DVP95.EXE; DVP95_0.EXE; ECENGINE.EXE; ESAFE.EXE; ESPWATCH.EXE;
      F-AGNT95.EXE; FINDVIRU.EXE; FPROT.EXE; F-PROT.EXE; F-PROT95.EXE;
      FP-WIN.EXE; FRW.EXE; F-STOPW.EXE; IAMAPP.EXE; IAMSERV.EXE; IBMASN.EXE;
      IBMAVSP.EXE; ICLOAD95.EXE; ICLOADNT.EXE; ICMON.EXE; ICSUPP95.EXE;
      ICSUPPNT.EXE; IFACE.EXE; IOMON98.EXE; JEDI.EXE; LOCKDOWN2000.EXE;
      LOOKOUT.EXE; LUALL.EXE; MOOLIVE.EXE; MPFTRAY.EXE; N32SCANW.EXE;
      NAVAPW32.EXE; NAVLU32.EXE; NAVNT.EXE; NAVW32.EXE; NAVWNT.EXE;
      NISUM.EXE; NMAIN.EXE; NORMIST.EXE; NUPGRADE.EXE; NVC95.EXE;
      OUTPOST.EXE; PADMIN.EXE; PAVCL.EXE; PAVSCHED.EXE; PAVW.EXE;
      PCCWIN98.EXE; PCFWALLICON.EXE; PERSFW.EXE; RAV7.EXE; RAV7WIN.EXE;
      RESCUE.EXE; SAFEWEB.EXE; SCAN32.EXE; SCAN95.EXE; SCANPM.EXE;
      SCRSCAN.EXE; SERV95.EXE; SMC.EXE; SPHINX.EXE; SWEEP95.EXE; TBSCAN.EXE;
      TCA.EXE; TDS2-98.EXE; TDS2-NT.EXE; VET95.EXE; VETTRAY.EXE;
      VSCAN40.EXE; VSECOMR.EXE; VSHWIN32.EXE; VSSTAT.EXE; WEBSCANX.EXE;
      WFINDV32.EXE; ZONEALARM.EXE

ファイルの詳細 プログラム言語:
このマルウェアプログラムはBorland C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PecBundle
• PECompact

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Tue, 25 Oct 2005 11:05 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Tue, 01 Nov 2005 10:25 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back