English
Deutsch
Français
Español
Italiano
Home
Virus Info
Worm/Aimbot.ER
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
Worm/Aimbot.ER - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Aimbot.ER
発見日:
16/08/2006
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
52.224 バイト
MD5 チェックサム
48d99490c725f9820Bd34f221ef8d59b
VDFファージョン:
6.35.01.101
IVDFファージョン:
6.35.01.102
- Wed, 16 Aug 2006 15:23 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
• メッセンジャー
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.Aimbot.er
• ビットディフェンダー(Bitdefender): Backdoor.Sdbot.HXK
プラットフォーム/OS:
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\taskms.exe
最初に実行したコピーの方を削除します。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\System\CurrentControlSet\Services\TSKMS
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%WINDIR%
\taskms.exe"
• "DisplayName"="Task Manager Message Service"
• "ObjectName"="LocalSystem"
• "FailureActions"=%hexvalues%
• "Description"="Provides task manager information reguarding with the Microsoft Messenger Service."
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Enum
• "0"="Root\\LEGACY_TSKMS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Security
• "Security"=%hexvalues%
以下のレジストリ・キーが追加されます:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
• "Melt"="
%実行されたマルウェアのディレクトリ%
\
%実行ファイル%
"
– HKLM\SOFTWARE\Microsoft\Security Center
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
• "DoNotAllowXPSP2"=dword:00000001
以下のレジストリ・キーは変更されます:
ウインドウズ XPのFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
新しい値
• "EnableFirewall"=dword:00000000
ウインドウズ XPのFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
新しい値
• "EnableFirewall"=dword:00000000
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update
前の値
• "AUOptions"=
%ユーザ設定%
• "AUState"=
%ユーザ設定%
新しい値
• "AUOptions"=dword:00000001
• "AUState"=dword:00000007
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
前の値
• "restrictanonymous"=
%ユーザ設定%
新しい値
• "restrictanonymous"=dword:00000001
– HKLM\SOFTWARE\Microsoft\Ole
前の値
• "EnableDCOM"="Y"
新しい値
• "EnableDCOM"="N"
メッセンジャー
メッセンジャーを通して感染します。その特徴は以下の通りです:
– AIMメッセンジャー
– ICQメッセンジャー
– MSNメッセンジャー
– Yahooメッセンジャー
宛先:
すべての開かれた会話ウインドウ。
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS03-039
(RPCSS サービス のバッファ オーバーランによりコードが実行される (824146))
–
MS03-049
(Workstation サービスのバッファ オーバーランにより、コードが実行される (828749))
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS04-011
(LSASSの脆弱性)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ pwn.ultimate**********
ポート: 405
サーバ・パスワード nigga
チャンネル #sti
ニックネーム [P00|USA|
%5桁のランダムな文字列%
]
パスワード torque
– このマルウェアは以下の情報を収集し送る能力があります:
• キャッシュに入ったパスワード
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• DCOMを無効にする
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• レジストリの編集
• DCOMを有効にする
• ネットワークシェアを有効にする
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• 伝染ルーチンの開始
• プロセスを終了する
• それ自身をアップデートします。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• tghynjk
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PECompact
簡単な説明は
ココ
にあります。.
この説明は Teodor Onisor によって Fri, 18 Aug 2006 08:45 (GMT+1) 書き込まれました。
この説明は Teodor Onisor によって Fri, 18 Aug 2006 14:32 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info Worm/Aimbot.ER
Print this page
.gif)
