English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Mutech.B
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Mutech.B - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Mutech.B
発見日:
13/02/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
26.624 バイト
MD5 チェックサム
952e07ec0077f25ea55c844c38bb43ef
VDFファージョン:
6.33.00.222
- Mon, 13 Feb 2006 07:19 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan-Downloader.Win32.Agent.acv
• TrendMicro(トレンドマイクロ) TROJ_MUTECH.H
• ビットディフェンダー(Bitdefender): Trojan.Mutech.E
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\perfont.exe
以下のファイルが作成されます:
–
%SYSDIR%
\wbem\wmiprvi.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Mutech.B
–
%SYSDIR%
\DRIVERS\netpt.sys
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\NetPT]
• Type = dword:00000001
• Start = dword:00000001
• ErrorControl = dword:00000000
• ImagePath = system32\DRIVERS\netpt.sys
• DisplayName = NetBIOS Protection
– [HKLM\SYSTEM\CurrentControlSet\Services\NetPT\Security]
• Security =
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\NetPT\Enum]
• 0 = Root\LEGACY_NETPT\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT\0000]
• Service = NetPT
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
• DeviceDesc = NetBIOS Protection
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT\0000\Control]
• *NewlyCreated* = dword:00000000
• ActiveService = NetPT
– [HKLM\SYSTEM\CurrentControlSet\Services\PerfFont]
• Type = dword:00000010
• Start = dword:00000002
• ErrorControl = dword:00000000
• ImagePath =
%SYSDIR%
\perfont.exe
• DisplayName = Performance True Type Font
• ObjectName = LocalSystem
– [HKLM\SYSTEM\CurrentControlSet\Services\PerfFont\Security]
• Security =
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\PerfFont\Enum]
• 0 = Root\LEGACY_PERFFONT\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT\0000]
• Service = PerfFont
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT\0000\
Control]
• *NewlyCreated* = dword:00000000
• ActiveService = PerfFont
以下のレジストリ・キーが追加されます:
– [HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\InprocServer32]
• @ =
%SYSDIR%
\wbem\wmiprvi.dll
• ThreadingModel = Both
– [HKLM\SOFTWARE\Classes\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\
InprocServer32]
• @ =
%SYSDIR%
\wbem\wmiprvi.dll
• ThreadingModel = Both
バックドア
サーバに接続します。
以下のもの:
• 85.255.117.**********
ルートキット・テクノロジー(Rootkit Technology)
それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。
以下のものを隠します:
– それ自身のプロセス
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Fri, 10 Mar 2006 10:30 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 10 Mar 2006 10:47 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
