TR/Proxy.Ciumz.BG - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Proxy.Ciumz.BG
発見日：	22/12/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	39.341 バイト
MD5　チェックサム	ae4ad95ab05a565abf20bac0b21090b8
VDFファージョン：	6.32.00.53 - Fri, 30 Sep 2005 08:20 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Trojan.Repsamo
   • Kaspersky(カスペルスキー) Trojan-Proxy.Win32.Cimuz.bg
   • TrendMicro(トレンドマイクロ） TROJ_DROPPER.LF
   • ビットディフェンダー(Bitdefender)： Trojan.Proxy.Cimuz.BG

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\mdms.exe

以下のファイルを消去します。
   • c:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • c:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo

以下のファイルを使えなくする可能性があります：
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\MpfUi.Dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Hacker\perfiloc.dll
   • %PROGRAM FILES%\Tiny Firewall Pro\SnortImp.dll
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\Localized.DLL
   • %PROGRAM FILES%\Agnitum\Outpost Firewall\Engine.dll
   • %PROGRAM FILES%\Norton Internet Security Professional\FRERules.dll
   • %PROGRAM FILES%\Kerio\Personal Firewall 4\kfe.dll
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\vsruledb.dll

以下のファイルが作成されます：

– %SYSDIR%\winacpi.dll タスク・マネージャからプロセスを隠すのに利用されます。以下のように検出されました： TR/Drop.Agen.bd.A.1

– 場所は以下の通りです：
   • http://ozonung.biz/**********?%rランダムな言葉%
   • http://votreenton.biz/**********?%rランダムな言葉%
   • http://troonety.biz/**********?%rランダムな言葉%
   • http://breenten.biz/**********?%rランダムな言葉%
   • http://zurrusco.com/**********?%rランダムな言葉%
   • http://freelife4ever.com/**********?%rランダムな言葉%
   • http://213.21.215.186/**********?%rランダムな言葉%
ハードディスクの以下のパスにセーヴされます： %temporary internet files%\takeme2.htm このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%sysdir%\mdms.exe"

ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します：

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"

以下のレジストリ・キーが追加されます：

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"
   • "Version"="1.0"

– [HKCR\*\shellex\ContextMenuHandlers\sysacpildap]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}

– [HKCU\Software\mzs\mdms\mzu]
   • "cid"=%hex 数字%
   • "newhost"=dword:00000001
   • "pt"=dword:000006c4

– [HKCR\acpi.acpi.1]
   • @="acpi Class"

– [HKCR\acpi.acpi.1\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext]
   • @="acpi Class"

– [HKCR\acpi.ext\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext\CurVer]
   • @="acpi.acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}]
   • @="acpi"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32]
   • @="%SYSDIR%\winacpi.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ProgID]
   • @="acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\Programmable]
– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\
   VersionIndependentProgID]
   • @="acpi"
   •

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0]
   • @="SimpleExt 1.0 Type Library"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0\win32]
   • @="%SYSDIR%\winacpi.dll"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}]
   • @="ISimpleShlExt"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

プロセス中断以下のプロセスは終了されます：
   • amon.exe; ehmas.exe; firewall.exe; gcasDtServ.exe; gcasServ.exe;
      kpf4gui.exe; kpf4ss.exe; MpfService.exe; NPROTECT.EXE; outpost.exe;
      ZAPRO.EXE; zonealarm.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG

簡単な説明はココにあります。.

この説明は Iulia Diaconescu によって Wed, 21 Dec 2005 13:56 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Mon, 30 Jan 2006 11:22 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back