English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Proxy.Wopla.Q.4
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Proxy.Wopla.Q.4 - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Proxy.Wopla.Q.4
発見日:
02/02/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
低~中
スタティック・ファイル
はい
ファイル・サイズ
20.992 バイト
MD5 チェックサム
f021056fd653f96ea629dd6bfca6d444
VDFファージョン:
6.33.00.187
- Thu, 02 Feb 2006 14:13 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Trojan.Tannick.B
• Kaspersky(カスペルスキー) Trojan-Proxy.Win32.Wopla.q
• ビットディフェンダー(Bitdefender): Trojan.Proxy.Wopla.Q
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルを作成します。
• それ自身のメール・エンジンを利用します。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\
%8桁のランダムな文字列%
.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%SYSDIR%
\xtempx.xxx
–
%SYSDIR%
\
%8桁のランダムな文字列%
.dll 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Proxy.Wopla.Q.1
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"
– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
InProcServer32]
• @="
%SYSDIR%
\
%マルウェアdll%
"
• "ThreadingModel"="Apartment"
以下のレジストリ・キーが追加されます:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
• "Placeholder_Datagl"=
%hex値%
gl.secd**********
%hex値%
gl.nulladd**********
%hex値%
Eメール
それはスパムメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
送信者
送信者のアドレスは改変されています(spoof)。
インターネットで収集されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。
宛先:
– インターネットで収集されたアドレス
件名
以下のもの:
•
%インターネットで収集された%
本文
メールの本文は以下の通りです:
•
%インターネットで収集された%
バックドア
以下のポートが開かれます:
–
%WINDIR%
\explorer.exe 無作為に選ばれたTCPポート上に Socks 5 プロキシ・サーバを準備するため
サーバに接続します。
以下のもの:
• gl.secd**********
結果、リモート・コントロール機能が生まれます。
リモート・コントロール機能
• メールを送る
• ウェブサイトを訪問します。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PECompact
簡単な説明は
ココ
にあります。.
この説明は Daniel Constantin によって Mon, 06 Mar 2006 16:37 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Thu, 09 Mar 2006 16:27 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
