English
Deutsch
Français
Español
Italiano
Home
Virus Info
TR/PSW.PdP.CT.1.E.3
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/PSW.PdP.CT.1.E.3 - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/PSW.PdP.CT.1.E.3
発見日:
17/03/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
24.302 バイト
MD5 チェックサム
741f81f6154bd5115028579dcb9da082
VDFファージョン:
6.34.00.61
- Fri, 17 Mar 2006 05:53 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan-Spy.Win32.Goldun.iw
• ウイルスバスター Rootkit.Agent.10
• ビットディフェンダー(Bitdefender): Trojan.Spy.Goldun.IW
プラットフォーム/OS:
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
以下のファイルが作成されます:
–
%SYSDIR%
\axdebugl.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GJ.1
–
%SYSDIR%
\axdebugld.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/PSW.PdP.CT.1.E.3
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\axdebugl.sys"
• "DisplayName"="OPENSSL cryptoapi"
– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
• "Security"=
%hex値%
– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
• "0"="Root\\LEGACY_AXDEBUGLD\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
• "Service"="axdebugld"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="OPENSSL cryptoapi"
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
Control
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="axdebugld"
以下のレジストリ・キーが追加されます:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
axdebugl
• "DllName"="axdebugl.dll"
• "Startup"="axdebugl"
• "Impersonate"=dword:00000001
• "Asynchronous"=dword:00000001
• "MaxWait"=dword:00000001
• "nk48id"="[
%hex 数字%
]"
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• servername1.com/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 その他、定期的に接続を繰り返します。 これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。
以下についての情報を送ります:
• キャッシュに入ったパスワード
• 窃盗セクションに説明されている収集された情報
窃盗
以下の情報を盗もうとします:
– レジストリ・キーから取り出されたメール・アカウント情報:HKCUSoftwareMicrosoftInternet Account ManagerAccounts
– 以下のプログラムからのパスワード:
• Miranda
• Internet Explorer
• Mozilla
• Maxthon
• The Bat
• Msn
• Icq
• Opera
– ウェブサイトを訪問した後ログインを開始します:
• e-gold.com
挿入(Injection)
– 以下のファイルをプロセスに挿入させます: axdebugl.sys
プロセス名:|以下のうちの1つ:
• explorer.exe
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Sergiu Oprea によって Mon, 10 Apr 2006 11:23 (GMT+1) 書き込まれました。
この説明は Sergiu Oprea によって Tue, 11 Apr 2006 10:48 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info TR/PSW.PdP.CT.1.E.3
Print this page
.gif)
