English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Spy.Haxspy.AP
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Spy.Haxspy.AP - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Spy.Haxspy.AP
発見日:
19/07/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
26.332 バイト
MD5 チェックサム
3f74b3177428e511150E49584d25e150
VDFファージョン:
6.35.00.184
- Wed, 19 Jul 2006 09:40 (GMT+1)
IVDFファージョン:
6.35.00.224
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan-Spy.Win32.Haxspy.ap
• TrendMicro(トレンドマイクロ) TSPY_HAXSPY.AP
プラットフォーム/OS:
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• 悪意ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
以下のファイルが作成されます:
– 悪意のないファイル:
•
%SYSDIR%
\ksl48.bin
–
%SYSDIR%
\satau320.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
–
%SYSDIR%
\satau325.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\satau325]
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000000
• "ImagePath"="\??\
%SYSDIR%
\satau325.sys"
• "DisplayName"="SATA bus driver"
– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Security]
• "Security"=
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Enum]
• "0"="Root\\LEGACY_SATAU325\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
以下のレジストリ・キーが追加されます:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
satau320]
• DllName=satau320.dll
• Startup=satau320
• Impersonate=dword:00000001
• Asynchronous=dword:00000001
• MaxWait=dword:00000001
• "nk48id"="[
%hex値%
]"
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://dasterban1972.info/corpse/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。
以下についての情報を送ります:
• 窃盗セクションに説明されている収集された情報
窃盗
以下の情報を盗もうとします:
– 以下のプログラムからのパスワード:
• Internet Explorer
• MyIE
• miranda
• Mozilla
• Maxthon
• The Bat
• Outlook Express
• MSN
• ICQ
• Opera
– ウェブサイトを訪問した後ログインを開始します:
• E-gold
•
%ログインフォームを含むすべてのウェブサイト%
– 取り込むのは:
• ウインドウ情報
• ログイン情報
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\satau320.dll
プロセス名:|以下のすべて:
• explorer.exe
• iexplore.exe
• opera.exe
• myie.exe
• mozilla.exe
• thebat.exe
• outlook.exe
• msn.exe
• icq.exe
•
%マルウェアはメモリに起動された後のすべての新プロセス%
目的:
以下のウェブサイトへのアクセスは効果的に無効にされています。
• updates1.kaspersky-labs.com; customer.symantec.com;
download.mcafee.com; downloads1.kaspersky-labs.com;
downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com; avp.com;
avp.ru; awaps.net; downloads3.kaspersky-labs.com; dispatch.mcafee.com;
downloads4.kaspersky-labs.com; avp.ch; updates1.kaspersky-labs.com;
updates2.kaspersky-labs.com; virustotal.com;
updates3.kaspersky-labs.com; d-ru-2f.kaspersky-labs.com;
updates3.kaspersky-labs.com; updates4.kaspersky-labs.com;
updates5.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
engine.awaps.net; f-secure.com; ftp.avp.ch;
ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
d-eu-1f.kaspersky-labs.com; rads.mcafee.com;
d-eu-2f.kaspersky-labs.com; liveupdate.symantec.com;
d-us-1f.kaspersky-labs.com; ftp.sophos.com; ids.kaspersky-labs.com;
kaspersky.com; kaspersky-labs.com; kaspersky.ru;
liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
my-etrust.com; networkassociates.com; phx.corporate-ir.net;
securityresponse.symantec.com; service1.symantec.com; sophos.com;
spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
updates.symantec.com; us.mcafee.com
ルートキット・テクノロジー(Rootkit Technology)
それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。
– 以下のファイル:
• sc02.ies4
• satau320.dll
• sc03.ies4
• satau325.sys
• sc01.ies4
使用されているメソッド:
• ウインドウズAPIから隠されています:
以下のAPI機能にホック(HOOK)します:
• NtCreateProcess
• ZwCreateProcess
• NtCreateProcessEx
• ZtCreateProcessEx
• NtQueryDirectoryFile
• ZwQueryDirectoryFile
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG 2.0
簡単な説明は
ココ
にあります。.
この説明は Victor Tone によって Mon, 31 Jul 2006 14:57 (GMT+1) 書き込まれました。
この説明は Victor Tone によって Mon, 31 Jul 2006 19:24 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
