English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Agent.XM
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Agent.XM - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Agent.XM
発見日:
27/07/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
低~中
スタティック・ファイル
はい
ファイル・サイズ
57.344 バイト
MD5 チェックサム
f2abf3e4a11693d67a8bfc820Cc09c9e
VDFファージョン:
6.35.01.09
IVDFファージョン:
6.35.01.09
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Trojan.Win32.Agent.xm
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• ファイルを作成します。
• 悪意ファイルを作成します。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%SYSDIR%
\ws386.ini
–
%TEMPDIR%
\_check32.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
–
%SYSDIR%
\aspi
%番号%
.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Hijack.Site.8
–
%TEMPDIR%
\_td
%hex 数字%
.tmp
レジストリ
以下のキーを追加してbrowser helper object(BHO)を登録します。
– HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• "(Default)"="%SystemRoot%\system32\webcheck.dll"
以下のレジストリ・キーが追加されます:
– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
Policies\System
• "DisableTaskMgr"=dword:00000001
– HKEY_USERS\.DEFAULT\Software\Microsoft\Sft
• "(Default)"="{11EB0085-8FA4-4F94-BFA0-1721654617C1}"
ホスト
ホストファイルは以下のように改変されます:
– 以下のドメインへのアクセスは効果的に無効にされています。
• "avp.com"; "ca.com"; "f-secure.com"; "housecall.trendmicro.com";
"kaspersky.com"; "mcafee.com"; "my-etrust.com"; "nai.com";
"networkassociates.com"; "secure.nai.com";
"securityresponse.symantec.com"; "sophos.com"; "symantec.com";
"trendmicro.com"; "us.mcafee.com"; "v4.windowsupdate.microsoft.com";
"v5.windowsupdate.microsoft.com";
"v5windowsupdate.microsoft.nsatc.net"; "viruslist.com";
"windowsupdate.com"; "windowsupdate.microsoft.com"; "www.avp.com";
"www.bitdefender.com"; "www.ca.com"; "www.f-secure.com";
"www.kaspersky.com"; "www.mcafee.com"; "www.my-etrust.com";
"www.nai.com"; "www.networkassociates.com"; "www.pandasoftware.com";
"www.ravantivirus.com"; "www.sophos.com"; "www.symantec.com";
"www.trendmicro.com"; "www.viruslist.com"; "www.windowsupdate.com";
"www3.ca.com"; "downloads1.kaspersky-labs.com";
"downloads2.kaspersky-labs.com"; "downloads3.kaspersky-labs.com";
"downloads4.kaspersky-labs.com"; "downloads-us1.kaspersky-labs.com";
"downloads-eu1.kaspersky-labs.com"; "kaspersky-labs.com";
"mast.mcafee.com"; "dispatch.mcafee.com"; "update.symantec.com";
"liveupdate.symantec.com"; "customer.symantec.com"; "rads.mcafee.com";
"liveupdate.symantecliveupdate.com"; "download.mcafee.com";
"updates.symantec.com"
改変されたホストファイルの外見は以下のようになります。
プロセス中断
以下のプロセスは終了されます:
• "_avp32.exe"; "_avpcc.exe"; "_avpm.exe"; "actalert.exe";
"adaware.exe"; "addestroyer.exe"; "advxdwin.exe"; "agentw.exe";
"alertsvc.exe"; "alevir.exe"; "anti-trojan.exe"; "antivirus.exe";
"atguard.exe"; "atupdater.exe"; "atwatch.exe"; "au.exe";
"aupdate.exe"; "autoupdate.exe"; "ave32.exe"; "avengine.exe";
"avgcc32.exe"; "avgctrl.exe"; "avgnt.exe"; "avgserv.exe";
"avgserv9.exe"; "avguard.exe"; "avgw.exe"; "avkpop.exe";
"avkserv.exe"; "avkservice.exe"; "avkwctl9.exe"; "avnt.exe";
"avp.exe"; "avp32.exe"; "avpcc.exe"; "avpdos32.exe"; "avpm.exe";
"avptc32.exe"; "avpupd.exe"; "avsched32.exe"; "avsynmgr.exe";
"avwin95.exe"; "avwinnt.exe"; "avwupd.exe"; "avwupd32.exe";
"avwupsrv.exe"; "avxmonitor9x.exe"; "avxmonitornt.exe"; "bidef.exe";
"bidserver.exe"; "ccapp.exe"; "ccevtmgr.exe"; "cclaw.exe";
"ccpxysvc.exe"; "ccsetmgr.exe"; "claw95.exe"; "claw95cf.exe";
"clean.exe"; "cleaner.exe"; "cleaner3.exe"; "cleanpc.exe";
"cmgrdian.exe"; "cpf9x206.exe"; "cpfnt206.exe"; "defalert.exe";
"defscangui.exe"; "defwatch.exe"; "drweb32.exe"; "drweb32w.exe";
"drwebscd.exe"; "drwebupw.exe"; "esafe.exe"; "etherd.exe";
"ethereal.exe"; "f-agnt95.exe"; "f-agobot.exe"; "f-prot.exe";
"f-prot95.exe"; "f-stopw.exe"; "findviru.exe"; "firedaemon.exe";
"firewall.exe"; "fnrb32.exe"; "fp-win.exe"; "fp-win_trial.exe";
"fprot.exe"; "frw.exe"; "fsav.exe"; "fsav32.exe"; "fsav95.exe";
"guard.exe"; "guarddog.exe"; "guw32.exe"; "hacktracersetup.exe";
"hbinst.exe"; "hbsrv.exe"; "hijackthis.exe"; "ifw2000.exe";
"kavlite40eng.exe"; "kavpers40eng.exe"; "kavpf.exe"; "kavsvc.exe";
"kerio-pf-213-en-win.exe"; "kerio-wrl-421-en-win.exe";
"kerio-wrp-421-en-win.exe"; "mcagent.exe"; "mcmnhdlr.exe";
"mcshield.exe"; "mctool.exe"; "mcupdate.exe"; "mcvsrte.exe";
"mcvsshld.exe"; "mfin32.exe"; "mfw2en.exe"; "mfweng3.02d30.exe";
"mgavrtcl.exe"; "mgavrte.exe"; "mpfagent.exe"; "mpfservice.exe";
"mpftray.exe"; "mrflux.exe"; "n32scanw.exe"; "nav.exe";
"navap.navapsvc.exe"; "navapsvc.exe"; "navapw32.exe"; "navdx.exe";
"navengnavex15.navlu32.exe"; "navlu32.exe"; "navnt.exe";
"navstub.exe"; "navw32.exe"; "navwnt.exe"; "nisum.exe"; "njeeves.exe";
"nod32.exe"; "npf40_tw_98_nt_me_2k.exe"; "npfmessenger.exe";
"nprotect.exe"; "npscheck.exe"; "npssvc.exe"; "nsched32.exe";
"nssys32.exe"; "nstask32.exe"; "nsupdate.exe"; "nupgrade.exe";
"outpost.exe"; "outpostinstall.exe"; "outpostproinstall.exe";
"periscope.exe"; "persfw.exe"; "perswf.exe"; "pf2.exe";
"pfwadmin.exe"; "safeweb.exe"; "spidernt.exe"; "trickler.exe";
"trjscan.exe"; "trojantrap3.exe"; "undoboot.exe"; "updmgr.exe";
"utpost.exe"; "virusmdpersonalfirewall.exe"; "visualguard.exe";
"zonalm2601.exe"; "zonealarm.exe"; "zapro.exe"
以下のサービスは無効にされます:
• "wscsvc"
• "SharedAccess"
• "kavsvc"
• "KAV"
• "SAVScan"
• "Symantec Core LC"
• "navapsvc"
• "wuauserv"
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://203.122.29.121:8081/**********
• http://210.0.141.78:8010/**********
• http://202.103.24.202:8010/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。
以下についての情報を送ります:
• 現在のマルウェアのステータス
リモート・コントロール機能
• メールを送る
その他
インターネット接続をチェックするため、以下のDNSサーバにつなぎます:
• ns.uk2.net
インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
• www.yahoo.com
• www.web.de
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
簡単な説明は
ココ
にあります。.
この説明は Marius T. Nicolae によって Mon, 31 Jul 2006 13:12 (GMT+1) 書き込まれました。
この説明は Marius T. Nicolae によって Mon, 07 Aug 2006 10:06 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
