English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Lager.AD.2
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Lager.AD.2 - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Lager.AD.2
発見日:
02/03/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
49.697 バイト
MD5 チェックサム
f18ee93553c7ca4b51e015cbe337879d
VDFファージョン:
6.33.01.34
- Tue, 28 Feb 2006 07:03 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Trojan.Abwiz
• McAfee(マカフィー) Downloader-ASH
• Kaspersky(カスペルスキー) Packed.Win32.Tibs
• TrendMicro(トレンドマイクロ) TROJ_ABWIZ.T
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• 悪意ファイルをダウンロードします。
• 悪意ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\taskdir.exe
以下のファイルが作成されます:
–
%SYSDIR%
\comdlj32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/RKit.Agent.BK
–
%SYSDIR%
\zlbw.dll
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://216.255.179.235/**********
ハードディスクの以下のパスにセーヴされます:
%SYSDIR%
\~update.exe これを書き込んだ時点で、そのマルウェアのアップデートされたファージョンでした。
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "taskdir"="
%SYSDIR%
\taskdir.exe"
以下のレジストリ・キーが追加されます:
– [HKEY_CURRENT_USER]
• "ColorTable19"=dword:
%hex 数字%
• "ColorTable19"=dword:
%hex 数字%
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://216.255.179.235/new/cntr/**********
• http://216.255.179.235/new/cls/**********
• http://69.50.171.172/n/**********
• http://69.50.161.106/n/**********
• http://69.50.184.194/n/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。
サーバの回答がファイルに書き込まれます:
%SYSDIR%
\log.txt
以下についての情報を送ります:
• コンピュータ名
• 現在のマルウェアのステータス
リモート・コントロール機能
• ダウンロード・ファイル
• メールを送る
挿入(Injection)
– 以下のファイルをプロセスに挿入させます: comdlj32.dll
プロセス名:|以下のすべて:
•
%すべての起動中のプロセス%
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• _alanchum
ルートキット・テクノロジー(Rootkit Technology)
以下のものを隠します:
– それ自身のプロセス
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX
簡単な説明は
ココ
にあります。.
この説明は Iulia Diaconescu によって Fri, 03 Mar 2006 11:29 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Mon, 27 Mar 2006 09:15 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Mytob.CR
Worm/Netsky.D.Dam
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
