TR/VB.QN.1 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/VB.QN.1
発見日：	20/12/2004
タイプ	トロイの木馬
サブタイプ	Downloader
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	77.312 バイト
MD5　チェックサム	976753dd82759b6ca8f5c4b62cc25f92
VDFファージョン：	6.29.00.24 - Mon, 20 Dec 2004 11:44 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • McAfee(マカフィー) Prutec
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.VB.eh
   • Sophos(ソフォス) Troj/Prutec-K
   • ビットディフェンダー(Bitdefender)： Trojan.Spy.VB.ED

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルをダウンロードします。
   • 悪意ファイルをダウンロードします。
   • ファイルを作成します。
   • レジストリの改変。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %実行されたマルウェアのディレクトリ%\%ランダムな文字列%.exe

最初に実行したコピーの方を削除します。

以下のファイルを消去します。
   • %システム・ドライブ・ルート%\~

以下のファイルが作成されます：

– 悪意のないファイル：
   • %実行されたマルウェアのディレクトリ%\key.~
   • %実行されたマルウェアのディレクトリ%\log.~

– %TEMPDIR%\%hex 数字% .exe

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://prutect.com/**********
ハードディスクの以下のパスにセーヴされます： %実行されたマルウェアのディレクトリ%\iniwin32.dll ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： ADSPY/E2Give.D

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%実行ファイル%"="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%実行ファイル%"="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%実行ファイル%"="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

以下のレジストリ・キーの値が消えています：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

以下のレジストリ・キーが追加されます：

– [HKCR\CLSID\{%作成された CLSID%}]
   • "InprocServ32"="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]
   • @="CControl Object"
   • "AppID"=""
   • "AppId2"=dword:%hex 数字%
   • "AppID3"="Verified"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\InprocServer32]
   • "ThreadingModel"="apartment"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\ProgID]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\Programmable]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\TypeLib]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\
   VersionIndependentProgID]
– [HKCR\AppID\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}]
– [HKCR\AppID\IeBHOs.DLL]
– [HKCR\IeBHOs.Control\CurVer]
   • @="IeBHOs.Control.1"

– [HKCR\IeBHOs.Control\CLSID]
– [HKCR\IeBHOs.Control.1\CLSID]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\0\win32]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\FLAGS]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\HELPDIR]
– [HKLM\SOFTWARE\E2G]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   前の値
   • "AppInit_DLLs"="%ユーザ設定%"
   新しい値
   • "AppInit_DLLs"="iniwin32.dll"

バックドア サーバに接続します。
以下のもの：
   • http://prutect.com/**********
   • http://prutect.com/**********
   • http://216.122.145.209/**********
   • http://216.122.145.208/**********
   • http://prutect.com/**********

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはCGIスクリプトを使ったHTTP GETのリクエストを通して行われます。
これはCGIスクリプトを使ったHTTP POSTのメソッドを通して行われます。
サーバの回答がファイルに書き込まれます： %実行されたマルウェアのディレクトリ%\data.~

以下についての情報を送ります：
    • 現在のマルウェアのステータス
    • プラットフォームID
    • ウインドウズOSについての情報

リモート・コントロール機能
    • ダウンロード・ファイル
    • ウェブサイトを訪問します。

ファイルの詳細 プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Daniel Constantin によって Thu, 04 May 2006 10:17 (GMT+1) 書き込まれました。
この説明は Daniel Constantin によって Thu, 04 May 2006 12:39 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back