English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Virkel.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Virkel.A - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Virkel.A
発見日:
28/10/2005
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低~中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
104.960 バイト
MD5 チェックサム
87768eb9f0beaaac91be85d82e010B95
VDFファージョン:
6.32.00.117
- Wed, 26 Oct 2005 12:12 (GMT+1)
一般情報
感染方法
• メッセンジャー
別名
• Symantec(シマンテック) W32.Chod.D
• Kaspersky(カスペルスキー) Backdoor.Win32.Virkel.a
• ビットディフェンダー(Bitdefender): Backdoor.Chodebot.A
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\
%ランダムな文字列%
\csrss.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%SYSDIR%
\
%ランダムな文字列%
\smss.exe 作成が完了した後、起動されます。 このファイルは内部ルーチンのフラッグとして働きます。
–
%SYSDIR%
\
%ランダムな文字列%
\csrss.ini マルウェアに使用されたパラメータを含みます。
–
%SYSDIR%
\netstat.com このファイルは内部ルーチンのフラッグとして働きます。
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "csrss"=""
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "csrss"=""
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• "load"="
%SYSDIR%
\
%ランダムな文字列%
\csrss.exe"
• "run=
%SYSDIR%
\
%ランダムな文字列%
\csrss.exe"
以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CleanUp]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outpost Firewall]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gcasServ]
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pccguide.exe]
以下のレジストリ・キーが追加されます:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
• "Hidden"=dword:00000002
• "SuperHidden"=dword:00000000
• "ShowSuperHidden"=dword:00000000
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegistryTools"="1"
• "NoAdminPage"="1"
メッセンジャー
メッセンジャーを通して感染します。その特徴は以下の通りです:
– AIMメッセンジャー
– MSNメッセンジャー
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ bak.**********.net
ポート: 37737
チャンネル #.upd
ニックネーム
%10桁のランダムな文字列%
サーバ pjn.**********.net
ポート: 37737
チャンネル #.upd
ニックネーム
%10桁のランダムな文字列%
– このマルウェアは以下の情報を収集し送る能力があります:
• スクリーンを取り込む
• CPU速度
• ログインしているユーザ
• ドライバの詳細
• 空きディスク容量
• 空きメモリ
• マルウェアの起動時間
• ネットワークについての情報
• プラットフォームID
• 起動中のプロセスについての情報
• メモリサイズ
• ウインドウズ・ディレクトリ
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• DDoS ICMP flood 攻撃を開始します。
• DDoS TCP flood 攻撃を開始します。
• DDoS UDP flood 攻撃を開始します。
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• レジストリの編集
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• リモートシェルを開く
• サービスの登録
• プロセスを終了する
• それ自身をアップデートします。
• ファイルをアップロードする
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は変更されません。
– 以下のドメインへのアクセスは効果的に無効にされています。
• avp.com; www.avp.com; ca.com; dispatch.mcafee.com;
download.mcafee.com; f-secure.com; fastclick.net; ftp.f-secure.com;
ftp.sophos.com; liveupdate.symantec.com; customer.symantec.com;
pccguide.exe rads.mcafee.com; mast.mcafee.com; mcafee.com;
my-etrust.com; nai.com; networkassociates.com; secure.nai.com;
securityresponse.symantec.com; service1.symantec.com; sophos.com;
support.microsoft.com; symantec.com; update.symantec.com;
updates.symantec.com; us.mcafee.com; vil.nai.com; viruslist.com;
www.viruslist.com; www.awaps.net; www.ca.com; www.f-secure.com;
www.fastclick.net; www.mcafee.com; www.microsoft.com;
www.my-etrust.com; www.nai.com; www.networkassociates.com;
www.sophos.com; www.symantec.com; www3.ca.com; www.grisoft.com;
grisoft.com; housecall.trendmicro.com; trendmicro.com;
www.trendmicro.com; www.pandasoftware.com; pandasoftware.com;
kaspersky.com; www.kaspersky.com; www.zonelabs.com; zonelabs.com;
www.spywareinfo.com; spywareinfo.com; www.merijn.org; merijn.org
改変されたホストファイルの外見は以下のようになります。
プロセス中断
以下のプロセスは終了されます:
• mpftray.exe; microsoft antispyware*; hijackthis*; msconfig.exe;
kav.exe; kavsvc.exe; mcvsshld.exe; mcagent.exe; mcvsrte.exe;
mcshield.exe; mcvsftsn.exe; mcdash.exe; mcvsescn.exe; mcinfo.exe;
mpfagent.exe; CIzh_DataArrival; mpfservice.exe; mskagent.exe;
mcmnhdlr.exe; sndsrvc.exe; usrprmpt.exe; ccapp.exe; ccevtmgr.exe;
spbbcsvc.exe; ccsetmgr.exe; symlcsvc.exe; npfmntor.exe; navapsvc.exe;
issvc.exe; ccproxy.exe; tmpfw.exe; navapw32.exe; navw32.exe; smc.exe;
outpost.exe; zlclient.exe; vsmon.exe; isafe.exe; pandaavengine.exe;
regedit.exe; hijackthis.exe; gcasdtserv.exe; gcasserv.exe;
pcctlcom.exe; tmntsrv.exe; tmproxy.exe; pcclient.exe; ethereal.exe;
wpe pro.exe; nat.exe; winsp3.exe; zonealarm.exe; zlclient.exe;
vsmon.exe; mcupdmgr.exe; pccguide.exe; scrpres.dll; mcvsscrp.dll;
vsmonapi.dll
以下の文字列を含むプロセスは終了されます:
• KAVPersonal50; Zone Labs Client; Symantec Core LC; services;
OutpostFirewall; Tmntsrv; tmproxy; TmPfw; PcCtlCom; CAISafe; vsmon;
SBService; SAVScan; SPBBCSvc; ccSetMgr; ccPwdSvc; ccProxy; SNDSrvc;
ccEvtMgr; navapsvc; ISSVC; GuardDogEXE; MpfService; MCVSRte; McShield;
kavsvc
以下のサービスは無効にされます:
• Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
• System Restore Service
• Microsoft AntiSpyware Server Process
• System Restore Service
• Windows Security Center Service
その他
インターネット接続
インターネット接続をチェックするため、以下のDNSサーバにつなぎます:
• dynupdate.**********.info
• bak.**********.info
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• ChodeBot 8=D
ファイルの詳細
プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PE Compact 2.X
簡単な説明は
ココ
にあります。.
この説明は Catalin Jora によって Fri, 28 Oct 2005 10:44 (GMT+1) 書き込まれました。
この説明は Catalin Jora によって Wed, 02 Nov 2005 11:45 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
