TR/Drop.Bomka.G.2 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Drop.Bomka.G.2
発見日：	09/02/2006
タイプ	トロイの木馬
サブタイプ	Dropper
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	185.953 バイト
MD5　チェックサム	141dd10Ecaaffae90828993c1f2aab70
VDFファージョン：	6.33.00.212 - Thu, 09 Feb 2006 07:20 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • McAfee(マカフィー) AdClicker-DW
   • TrendMicro(トレンドマイクロ） TROJ_BOMKA.G
   • Sophos(ソフォス) Troj/Bombka-F
   • Panda Trj/Dropper.QN
   • ビットディフェンダー(Bitdefender)： Trojan.Downloader.Bomka.G

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • ファイルを作成します。
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

ファイル以下のファイルが作成されます：

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
• %TEMPDIR%\ns%ランダムな文字列%.tmp

– %SYSDIR%\kaboom.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Dldr.Bomka.G

– %TEMPDIR%\game1.exe 作成が完了した後、起動されます。

レジストリ以下のキーを追加してbrowser helper object(BHO)を登録します。

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
   • @="Labspak"

– [HKCR\Horde.Labspak\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\Horde.Labspak\CurVer]
   • @="Horde.Labspak.1"

– [HKCR\Horde.Labspak.1]
   • @="Labspak"

– [HKCR\Horde.Labspak.1\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
   • @="Labspak"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
   • @="%SYSDIR%\kaboom.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
   • @="Horde.Labspak.1"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
   VersionIndependentProgID]
   • @="Horde.Labspak"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
   • @="KABOOMLib"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
   • @="%SYSDIR%\kaboom.dll"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
   • @="%SYSDIR%\"

以下のレジストリ・キーが追加されます：

– [HKLM\SOFTWARE\Microsoft\Zeal]
   • "campaign_id"="18"
   • "is_dialup"=dword:%hex 数字%
   • "user_id"="%6桁のランダムな文字列%"
   • "sleep_delay"=dword:%hex 数字%
   • "install_delay"=dword:%hex 数字%
   • "main_delay"=dword:%hex 数字%
   • "stage"=dword:%hex 数字%
   • "timeout"=dword:%hex 数字%

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
   • @="ILabspak"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
   • "Version"="3.0"

バックドア サーバに接続します。
以下のうちのどれか１つ：
   • joywebserfer.com/counter11/**********
   • cleverhead.info/counter11/**********
   • wannabcool.info/counter11/**********
   • somethngcool.info/counter11/**********
   • sortbycool.info/counter11/**********
   • mucho-cool.com/counter11/**********
   • epromosystems.com/counter11/**********

以下のもの：
   • mucho-cool.com/counter11/**********

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。
サーバの回答がファイルに書き込まれます： %TEMPDIR%\s32o.%random number%

以下についての情報を送ります：
    • コンピュータ名
    • ログインしているユーザ
    • インターネット接続のタイプ
    • プラットフォームID

リモート・コントロール機能
    • ウェブサイトを訪問します。

挿入(Injection) – 以下のファイルをプロセスに挿入させます： kaboom.dll

プロセス名：｜以下のうちの１つ：
• iexplore.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Daniel Constantin によって Tue, 14 Feb 2006 09:21 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Tue, 14 Feb 2006 09:37 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back