TR/Spy.Goldun.HW - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Spy.Goldun.HW
発見日：	27/02/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	26.713 バイト
MD5　チェックサム	3135de8c7d51db981a36c372bb5c170A
VDFファージョン：	6.33.01.33 - Mon, 27 Feb 2006 15:34 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Goldun.hw
   • Sophos(ソフォス) Troj/Haxdoor-AX
   • ビットディフェンダー(Bitdefender)： Trojan.Dropper.Goldspy.A

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイル以下のファイルが作成されます：

– 悪意のないファイル：
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Proxy.Goldun.HW

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%ランダムにいくつか選ばれた0から9までの数%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%hex値%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します：

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

バックドア以下のポートが開かれます：

– winlogon.exe 無作為に選ばれたTCPポート上に
– winlogon.exe TCPポートに 4040 リモートシェルを準備するため

サーバに接続します。
以下のもの：
   • korolevlist.com/nuc/**********

結果、いくつかの情報を送る可能性があります。これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。

以下についての情報を送ります：
    • IPアドレス
    • 開かれたポート
    • 窃盗セクションに説明されている収集された情報
    • ウインドウズOSについての情報

窃盗以下の情報を盗もうとします：

– ウェブサイトを訪問した後ログインを開始します：
• %ログインのフォームのあるすべてのＨＴＴＰＳウェブサイト%
• ログイン情報

挿入(Injection) – 以下のファイルをプロセスに挿入させます： directpt.dll

    プロセス名：｜以下のすべて：
   • winlogon.exe
   • explorer.exe
   • %マルウェアはメモリに起動された後のすべての新プロセス%

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル
– それ自身のプロセス

使用されているメソッド：
• ウインドウズAPIから隠されています：

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG

簡単な説明はココにあります。.

この説明は Daniel Constantin によって Tue, 28 Feb 2006 12:15 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Thu, 09 Mar 2006 14:43 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back