//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
ホーム
ウイルス情報
TR/Norip.1
検索
ホーム
サポート
ソリューション
製品
ダウンロード
ウイルス情報
統計
フィッシングの発生地域
VDF の公開履歴
ウイルス関連用語
サンプルの送信
セキュリティ ニュース
In the Wild ウイルス
会社
広報
パートナー
ニュースレター
TechBlog
TR/Norip.1 - Trojan
参照
概要
詳しい説明
統計
この情報の評価をお聞かせください。
最低
最高
ウイルス
TR/Norip.1
発見日:
20/07/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
89.911 バイト
MD5 チェックサム
c38df15f1aae333a7dac39cb9646ed55
VDFファージョン:
6.35.00.195
- Thu, 20 Jul 2006 15:38 (GMT+1)
IVDFファージョン:
6.35.00.235
一般情報
感染方法
• それ自体に伝染能力はない
プラットフォーム/OS:
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• セキュリティの設定を低くします。
• レジストリの改変。
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\LSASS.EXE
•
%WINDIR%
\EXERT.EXE
•
%WINDIR%
\Debug\DebugProgram.exe
•
%SYSDIR%
\MSCONFIG.EXE
•
%SYSDIR%
\dxdiag.com
•
%SYSDIR%
\regedit.com
•
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.COM
•
%PROGRAM FILES%
\Common Files\INTEXPLORE.PIF
以下のファイルを使えなくする可能性があります:
• RAVMON.EXE
• TROJDIE*
• KPOP*
• CCENTER*
• *ASSISTSE*
• KPFW*
• AGENTSVR*
• KV*
• KREG*
• IEFIND*
• IPARMOR*
• SVI.EXE
• UPHC*
• RULEWIZE*
• FYGT*
• RFWSRV*
• RFWMA*
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• ToP =
%WINDIR%
\LSASS.exe
以下のレジストリ・キーが追加されます:
– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
• @ = %1
– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
• @ =
%WINDIR%
\EXERT.exe "%1" %*
以下のレジストリ・キーは変更されます:
– [HKCR\.exe]
新しい値
• @ = WindowFiles
– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
前の値
• @ =
%ユーザ設定%
新しい値
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCU\Software\Microsoft\Internet Explorer\Main]
前の値
• Check_Associations =
%ユーザ設定%
新しい値
• Check_Associations = No
– [HKCR\Applications\iexplore.exe\shell\open\command]
前の値
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1
新しい値
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command]
前の値
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe"
新しい値
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com"
– [HKCR\ftp\shell\open\command]
前の値
• @ =
%ユーザ設定%
新しい値
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\htmlfile\shell\open\command]
前の値
• @ =
%ユーザ設定%
新しい値
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCR\htmlfile\shell\opennew\command]
前の値
• @ =
%ユーザ設定%
新しい値
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" %1
– [HKCR\http\shell\open\command]
前の値
• @ =
%ユーザ設定%
新しい値
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" -nohome
プロセス中断
以下のプロセスは終了されます:
• RAVMON.EXE
以下の文字列を含むプロセスは終了されます:
• TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://upd.etsoft.com.cn/UPD/**********
• http://upd.etsoft.com.cn/upd/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。
ファイルの詳細
プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Fri, 28 Jul 2006 15:49 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 28 Jul 2006 16:22 (GMT+1) 更新されました。
»
マルウェアについて
»
フィッシングについて
»
In the Wild ウイルス
« 戻る
このページを印刷
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
TR/Rootkit.Gen
W32/Sality.Y
TR/Silentbanker.BA
TR/Dldr.Zitan.A
EXP/Pidief.axa
TR/Click.Yabector.A.29
Worm/Palevo.kmq
Avira からの最新情報を取得
各種のマルウェアとその亜種を検出、削除します。
ここからダウンロード
パネルを取得するには
ここ
をクリック
© 2010 Avira GmbH
著作権情報
|
プライバシー
|
サイトマップ
|
フィードバック
|
会社情報
|
FAQ
|
連絡先
ウイルス情報 TR/Norip.1
このページを印刷
.gif)
