TR/Dldr.Agent.tc.4 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Dldr.Agent.tc.4
発見日：	28/10/2005
タイプ	トロイの木馬
サブタイプ	Downloader
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	28.160 バイト
MD5　チェックサム	f128d971ad293672f2ced609c51cb6b2
VDFファージョン：	6.32.00.111 - Mon, 24 Oct 2005 15:17 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Trojan.Flush.A
   • Kaspersky(カスペルスキー) Trojan-Downloader.Win32.Agent.tc
   • ビットディフェンダー(Bitdefender)： Trojan.DNSChanger.R

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルをダウンロードします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\hgqhp.exe

最初に実行したコピーの方を削除します。

以下のファイルを消去します。
   • %SYSDIR%\hgqhp.exe

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/coded1.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\coded1.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Dldr.Xsvix

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/logo_small.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\logo_small.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Pipas.A

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/hlmicro.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\hlmicro.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： ADSPY/Msnagent.B

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/hwiper.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\hwiper.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Qhost.DF

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/favme.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\favme.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Favadd.AN

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/bndmod.jpg
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\bndmod.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。

– 場所は以下の通りです：
   • http://85.**********.43/dgprpsetup.exe
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\dgprpsetup.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Dldr.Agent.SY

– 場所は以下の通りです：
   • http://the**********.com/config.php
ハードディスクの以下のパスにセーヴされます： %WINDIR%\rdt.ini

– 場所は以下の通りです：
   • http://195.**********.100/users/serg/web/files/images/empty.gif
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\%5桁のランダムな文字列%.dll 以下のように検出されました： TR/Drop.Small.XL

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "hgqhp.exe"="%SYSDIR%\hgqhp.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%実行ファイル%"="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "hgqhp.exe"="%SYSDIR%\hgqhp.exe"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
   • "1dedoc"=hex:%hex値%
   • "llams_ogol"=hex:%hex値%
   • "repiwh"=hex:%hex値%
   • "ytpme"=hex:%hex値%
   • "emvaf"=hex:%hex値%
   • "domdnb"=hex:%hex値%
   • "orcimlh"=hex:%hex値%
   • "putesprpgd"=hex:%hex値%

– [HKLM\SOFTWARE\SearchToolbar\Toolbar]
   • "Version"="1.1"
   • "OptdateTest"=dword:4365eb0a

– [HKCR\ToolBand.ToolBandObj.1]
   • @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj.1\CLSID]
   • @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj]
   • @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj\CLSID]
   • @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj\CurVer]
   • @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
   • @="SearchToolbar"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\InprocServer32]
   • @="%SYSDIR%\hzpvq.dll"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\ProgID]
   • @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E\
   VersionIndependentProgID]
   • @="ToolBand.ToolBandObj"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0]
   • @="IDEHandler"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\0\win32]
   • @="%SYSDIR%\hzpvq.dll"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\HELPDIR]
   • @="%sysdir%\"

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %マルウェアdll%

プロセス名：｜以下のすべて：
• explorer.exe

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル
– それ自身のレジストリ・キー

使用されているメソッド：
• ウインドウズAPIから隠されています：

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Tue, 01 Nov 2005 17:54 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Mon, 28 Nov 2005 17:22 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back