TR/PSW.PdP.CT.1.E.3 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/PSW.PdP.CT.1.E.3
発見日：	17/03/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	24.302 バイト
MD5　チェックサム	741f81f6154bd5115028579dcb9da082
VDFファージョン：	6.34.00.61 - Fri, 17 Mar 2006 05:53 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Goldun.iw
   • ウイルスバスター Rootkit.Agent.10
   • ビットディフェンダー(Bitdefender)： Trojan.Spy.Goldun.IW

プラットフォーム/OS：
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイル以下のファイルが作成されます：

– %SYSDIR%\axdebugl.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Haxdoor.GJ.1

– %SYSDIR%\axdebugld.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/PSW.PdP.CT.1.E.3

レジストリ以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\axdebugl.sys"
   • "DisplayName"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
   • "Security"=%hex値%

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
   • "0"="Root\\LEGACY_AXDEBUGLD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
   • "Service"="axdebugld"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="axdebugld"

以下のレジストリ・キーが追加されます：

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   axdebugl
   • "DllName"="axdebugl.dll"
   • "Startup"="axdebugl"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[%hex 数字% ]"

バックドア サーバに接続します。
以下のうちのどれか１つ：
   • servername1.com/**********

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。その他、定期的に接続を繰り返します。これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • 窃盗セクションに説明されている収集された情報

窃盗以下の情報を盗もうとします：
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のプログラムからのパスワード：
   • Miranda
   • Internet Explorer
   • Mozilla
   • Maxthon
   • The Bat
   • Msn
   • Icq
   • Opera

– ウェブサイトを訪問した後ログインを開始します：
   • e-gold.com

挿入(Injection) – 以下のファイルをプロセスに挿入させます： axdebugl.sys

プロセス名：｜以下のうちの１つ：
• explorer.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Sergiu Oprea によって Mon, 10 Apr 2006 11:23 (GMT+1) 書き込まれました。
この説明は Sergiu Oprea によって Tue, 11 Apr 2006 10:48 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る