TR/Qhost.N - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Qhost.N
発見日：	04/10/2004
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	5.632 バイト
MD5　チェックサム	5202fa609639e020622d5ad42e21f11a
VDFファージョン：	6.27.00.84 - Mon, 04 Oct 2004 10:11 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Symantec(シマンテック) Downloader.Lunii
   • McAfee(マカフィー) QHosts-18
   • Kaspersky(カスペルスキー) Trojan.Win32.Qhost.n
   • TrendMicro(トレンドマイクロ） TROJ_QHOST.N
   • ビットディフェンダー(Bitdefender)： Trojan.Qhost.N

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 特定のウェブサイトへのアクセスを無効にします。
   • ファイルをダウンロードします。
   • 悪意ファイルをダウンロードします。
   • ファイルを作成します。
   • レジストリの改変。

ファイル以下のファイルを消去します。
   • C:\temp\bdl74125.exe
   • C:\temp\Installer2.exe
   • C:\temp\msbb.exe
   • %SYSDIR%\host32.exe
   • %SYSDIR%\telnet.exe.tmp
   • %SYSDIR%\mouse.exe
   • %SYSDIR%\com.exe
   • %SYSDIR%\fnnmqi.exe
   • %SYSDIR%\exdl.exe
   • %SYSDIR%\exe2bin.exe
   • %SYSDIR%\exul.exe
   • %SYSDIR%\fastopen.exe
   • %SYSDIR%\mscdexnt.exe
   • %SYSDIR%\printer.exe
   • %SYSDIR%\printer32.exe
   • %SYSDIR%\ykyrtws.exe
   • %SYSDIR%\lpt.exe
   • %SYSDIR%\ir.exe
   • %SYSDIR%\intron.exe
   • %SYSDIR%\intronet.exe
   • %SYSDIR%\twink64.exe
   • %SYSDIR%\usb.exe
   • %WINDIR%\alchem.exe
   • %WINDIR%\adp8027_ISEARCHTECH5.exe
   • %WINDIR%\preInsTT.exe
   • %WINDIR%\preInsln.exe
   • %WINDIR%\preInMPP.exe
   • %WINDIR%\loadclean.exe

以下のファイルが作成されます：

– 悪意のないファイル：
   • %WINDIR%\hosts

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://213.159.117.133/dl/**********
ハードディスクの以下のパスにセーヴされます： %WINDIR%\test

– 場所は以下の通りです：
   • http://213.159.117.133/newprogs/**********
ハードディスクの以下のパスにセーヴされます： %WINDIR%\toolbar.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Qhost.N.2

– 場所は以下の通りです：
   • http://213.159.117.133/newprogs/**********
ハードディスクの以下のパスにセーヴされます： %WINDIR%\mstask1.t\exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Killav.DB.2

レジストリ以下のレジストリ・キーの値が消えています：

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Ukbybc
   • Tern
   • ControlPanel
   • alchem
   • BullsEye Network
   • dmesewxqtj
   • Internet Optimizer
   • IST Service
   • msbb
   • Power Scan
   • Winad Client

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は削除されます。

– 以下のドメインへのアクセスは効果的に無効にされています。
   • allforadult.com
   • www.allforadult.com
   • www.iframe.biz
   • iframe.biz
   • www.newiframe.biz
   • newiframe.biz
   • www.vesbiz.biz
   • vesbiz.biz
   • www.pizdato.biz
   • pizdato.biz
   • www.aaasexypics.com
   • aaasexypics.com
   • www.virgin-tgp.net
   • virgin-tgp.net

改変されたホストファイルの外見は以下のようになります。

プロセス中断以下のプロセスは終了されます：
   • lpt.exe; ir.exe; intron.exe; intronet.exe; twink64.exe; usb.exe;
      teur.exe; host32.exe; sidefind.exe; alchem.exe; powerscan.exe;
      bdl74125.exe; Installer2.exe; ttgkirnl.exe; bargains.exe; WinClt.exe;
      Winad.exe; istsvc.exe; actalert.exe; optimize.exe; iinstall.exe;
      fnnmqi.exe; exdl.exe; printer.exe; printer32.exe; ykyrtws.exe;
      loadclean.exe; telnet.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Wed, 19 Apr 2006 16:21 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Wed, 19 Apr 2006 16:28 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る