TR/Spy.Delf.MQ.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Spy.Delf.MQ.2
発見日：	12/01/2006
タイプ	トロイの木馬
感染報告有り	はい
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	33.280 バイト
MD5　チェックサム	f15ade3360bb6bd5dc08ac179cdaef49
VDFファージョン：	6.33.00.114 - Thu, 12 Jan 2006 12:09 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Delf.mq

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ関係のウェブサイトへのアクセスを無効にします。
   • ファイルをダウンロードします。
   • レジストリの改変。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
   • c:\window\system32\system.exe
   • %SYSDIR%\tmp.bak

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://www.**********ucts-gold.net/vers.ini
ハードディスクの以下のパスにセーヴされます： c:\tmp.ini この内容を使ってホスツ・ファイルを改変します。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • System service = %SYSDIR%\system.exe

以下のレジストリ・キーは変更されます：

Internet Explorerのスタートページ:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   前の値
   • Start Page = %ユーザ設定%
   新しい値
   • Start Page = http://drc-group.net/vakantn.htm

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は削除されます。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • ad.doubleclick.net; ad.fastclick.net; ads.fastclick.net;
      ar.atwola.com; atdmt.com; avp.ch; avp.com; avp.com; avp.ru; awaps.net;
      banner.fastclick.net; banners.fastclick.net; ca.com; ca.com;
      click.atdmt.com; clicks.atdmt.com; customer.symantec.com;
      dispatch.mcafee.com; dispatch.mcafee.com; download.mcafee.com;
      download.mcafee.com; download.mcafee.com; download.microsoft.com;
      downloads.microsoft.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.com/updates;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
      engine.awaps.net; fastclick.net; f-secure.com; f-secure.com;
      ftp.avp.ch; ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.sophos.com; go.microsoft.com;
      ids.kaspersky-labs.com; kaspersky.com; kaspersky-labs.com;
      liveupdate.symantec.com; liveupdate.symantec.com;
      liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mast.mcafee.com;
      mcafee.com; mcafee.com; media.fastclick.net; msdn.microsoft.com;
      my-etrust.com; my-etrust.com; nai.com; nai.com; networkassociates.com;
      networkassociates.com; office.microsoft.com; phx.corporate-ir.net;
      rads.mcafee.com; secure.nai.com; secure.nai.com;
      securityresponse.symantec.com; securityresponse.symantec.com;
      service1.symantec.com; sophos.com; sophos.com; spd.atdmt.com;
      support.microsoft.com; symantec.com; symantec.com; trendmicro.com;
      update.symantec.com; update.symantec.com; update.symantec.com;
      updates.symantec.com; updates.symantec.com;
      updates1.kaspersky-labs.com; updates1.kaspersky-labs.com;
      updates2.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates3.kaspersky-labs.com/updates; updates4.kaspersky-labs.com;
      updates5.kaspersky-labs.com; us.mcafee.com; us.mcafee.com;
      vil.nai.com; viruslist.com; viruslist.ru; windowsupdate.microsoft.com;
      www.avp.ch; avp.com; www.avp.com; www.avp.ru; www.awaps.net; ca.com;
      www.ca.com; www.fastclick.net; www.f-secure.com; www.f-secure.com;
      www.grisoft.com; www.kaspersky.com; www.kaspersky.ru; kaspersky.ru;
      www.kaspersky-labs.com; www.mcafee.com; www.mcafee.com;
      www.my-etrust.com; www.my-etrust.com; www.nai.com; www.nai.com;
      www.networkassociates.com; www.networkassociates.com; www.sophos.com;
      www.sophos.com; www.symantec.com; www.symantec.com;
      www.trendmicro.com; www.trendmicro.com; www.viruslist.com;
      www.viruslist.ru; www3.ca.com

– 以下のドメインへのアクセスは違う行先に変更されています。
   • www.bankone.com; bankone.com; halifax.com; www.halifax.com;
      halifax.co.uk; www.halifax.co.uk; www.bankofamerica.com;
      bankofamerica.com; www.paypal.com; paypal.com; www.lloydstsb.com;
      lloydstsb.com; www.lloydstsb.co.uk; lloydstsb.co.uk; www.bbvanet.com;
      bbvanet.com; www.bancopostaonline.poste.it; bancopostaonline.poste.it;
      www.poste.it; poste.it; www.credem.it; credem.it; www.creval.it;
      creval.it; www.gruppocarige.it; gruppocarige.it; www.rasbank.it;
      rasbank.it; www.bancagenerali.it; bancagenerali.it;
      www.garanti.com.tr; garanti.com.tr; www.kocbank.com.tr;
      kocbank.com.tr; www.disbank.com.tr; disbank.com.tr;
      www.cassarimini.it; cassarimini.it; www.unicredit.it; unicredit.it;
      www.chase.com; chase.com; www.southtrust.com; southtrust.com;
      www.wachovia.com; wachovia.com; www.wellsfargo.com; wellsfargo.com;
      www.barclays.co.uk; barclays.co.uk; www.barclays.com; barclays.com;
      www.barclays.pt; barclays.pt; www.barclays.pt; barclays.pt;
      online.cassarimini.it; www.bancacarim.it; bancacarim.it; www.citi.com;
      citi.com; www.citibank.com; citibank.com; www.etrade.com; etrade.com;
      www.neteller.com; neteller.com; tcfbank.com; www.tcfbank.com;
      hsbc.com; www.hsbc.com; hsbc.co.uk; www.hsbc.co.uk

改変されたホストファイルの外見は以下のようになります。

バックドア以下のポートが開かれます：

– sys32.exe TCPポートに 3398 Socks 5 プロキシ・サーバを準備するため

サーバに接続します。
以下のうちのどれか１つ：
• http://216.32.94.**********/log/inf.php

これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。

以下についての情報を送ります：
• 窃盗セクションに説明されている収集された情報

窃盗以下の情報を盗もうとします：
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のプログラムからのパスワード：
• The Bat

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Fri, 13 Jan 2006 10:10 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Sat, 14 Jan 2006 03:57 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back