TR/Spy.ProAg.21.3.A - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Spy.ProAg.21.3.A
発見日：	19/09/2005
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	246.349 バイト
MD5　チェックサム	85fa8947452cfcc3da30d54f888fbf10
VDFファージョン：	6.32.00.16 - Mon, 19 Sep 2005 12:24 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.ProAgent.21
   • Sophos(ソフォス) Troj/Progent-P
   • Grisoft PSW.Agent.NR
   • ウイルスバスター trojan TrojanSpy.ProAgent.I
   • ビットディフェンダー(Bitdefender)： Trojan.Spy.Proagent.21

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルを作成します。
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。

起動後以下の情報が表示されます：

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\qservice.exe

ファイルを上書きします。
– %SYSDIR%\drivers\symredrv.sys

以下の内容：
   • No more Mail Scanning =)
     Powered by ProAgent

以下のファイルが作成されます：

– 悪意のないファイル：
   • %TEMPDIR%\htmpl.htm

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

– %SYSDIR%\drivers\KeenSense.sys これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • Hi criminal =)

– %SYSDIR%\drivers\ksdevice.sys これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • Hi criminal =)

– %WINDIR%\kurlmon.dll 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Spy.ProAgent.21.1

– %WINDIR%\services.dll 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Spy.ProAgent.21.2

– %SYSDIR%\HookApi.dll 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Spy.ProAgent.21

– %WINDIR%\k_urlmon.dll このファイルは入力されたキーについて収集された情報を含みます。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"

以下のレジストリ・キーが追加されます：

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%hex 数字%
   • "pPid" = dword:%hex 数字%

Eメールそれ自身に伝染する能力はありませんが、メールを送る能力はあります。たいていは受信者が作成者になっているようです。特徴は下記のようになっています:

送信者
メールの送信者は以下の通りです：
   • "ProAgent v2.1.0"

宛先:
メールの受信者は以下の通りです：
   • maturpejos@yahoo.com

件名
以下のもの：
   • %コンピュータ名% is Online

本文
メールの本文は以下の通りです：
   • %盗まれた情報%

プロセス中断以下のサービスは無効にされます：
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

窃盗以下の情報を盗もうとします：
– ウインドウズ製品のID
– パスワード入力箇所に入力されたパスワード
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のCDキー：
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– 以下のプログラムからのパスワード：
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– 取り込むのは：
    • キー入力
    • ウインドウ情報

挿入(Injection) – 以下のファイルをプロセスに挿入させます： kurlmon.dll

    プロセス名：｜以下のすべて：
   • explorer.exe

– 以下のファイルをプロセスに挿入させます： HookApi.dll

    プロセス名：｜以下のすべて：
   • explorer.exe

– 以下のファイルをプロセスに挿入させます： services.dll

    プロセス名：｜以下のすべて：
   • iexplore.exe

その他 インターネット接続
インターネット接続をチェックするため、以下のDNSサーバにつなぎます：
   • ege.edu.tr
   • ankara.edu.tr

インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします：
   • www.aol.com

文字列
さらに以下の文字列を含みます：
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル
– それ自身のプロセス
– それ自身のレジストリ・キー

– 以下のファイル:
• msehk.dll

– ファイル名に以下のサブストリングを含むファイル：
• wins32

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Daniel Constantin によって Tue, 11 Apr 2006 16:10 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Wed, 12 Apr 2006 08:23 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る