English
Deutsch
Français
Español
Italiano
ホーム
ウイルス情報
Worm/Aimbot.ER
検索
ホーム
サポート
ソリューション
製品
ダウンロード
ウイルス情報
統計
フィッシングの発生地域
VDF の公開履歴
ウイルス関連用語
サンプルの送信
セキュリティ ニュース
In the Wild ウイルス
会社
広報
パートナー
ニュースレター
TechBlog
Worm/Aimbot.ER - Worm
参照
概要
詳しい説明
統計
この情報の評価をお聞かせください。
最低
最高
ウイルス
Worm/Aimbot.ER
発見日:
16/08/2006
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
52.224 バイト
MD5 チェックサム
48d99490c725f9820Bd34f221ef8d59b
VDFファージョン:
6.35.01.101
IVDFファージョン:
6.35.01.102
- Wed, 16 Aug 2006 15:23 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
• メッセンジャー
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.Aimbot.er
• ビットディフェンダー(Bitdefender): Backdoor.Sdbot.HXK
プラットフォーム/OS:
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\taskms.exe
最初に実行したコピーの方を削除します。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\System\CurrentControlSet\Services\TSKMS
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%WINDIR%
\taskms.exe"
• "DisplayName"="Task Manager Message Service"
• "ObjectName"="LocalSystem"
• "FailureActions"=%hexvalues%
• "Description"="Provides task manager information reguarding with the Microsoft Messenger Service."
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Enum
• "0"="Root\\LEGACY_TSKMS\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TSKMS\Security
• "Security"=%hexvalues%
以下のレジストリ・キーが追加されます:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
• "Melt"="
%実行されたマルウェアのディレクトリ%
\
%実行ファイル%
"
– HKLM\SOFTWARE\Microsoft\Security Center
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
• "DoNotAllowXPSP2"=dword:00000001
以下のレジストリ・キーは変更されます:
ウインドウズ XPのFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
新しい値
• "EnableFirewall"=dword:00000000
ウインドウズ XPのFirewall(防火壁)を無効にする:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
新しい値
• "EnableFirewall"=dword:00000000
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update
前の値
• "AUOptions"=
%ユーザ設定%
• "AUState"=
%ユーザ設定%
新しい値
• "AUOptions"=dword:00000001
• "AUState"=dword:00000007
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
前の値
• "Start"=
%ユーザ設定%
新しい値
• "Start"=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
前の値
• "restrictanonymous"=
%ユーザ設定%
新しい値
• "restrictanonymous"=dword:00000001
– HKLM\SOFTWARE\Microsoft\Ole
前の値
• "EnableDCOM"="Y"
新しい値
• "EnableDCOM"="N"
メッセンジャー
メッセンジャーを通して感染します。その特徴は以下の通りです:
– AIMメッセンジャー
– ICQメッセンジャー
– MSNメッセンジャー
– Yahooメッセンジャー
宛先:
すべての開かれた会話ウインドウ。
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS03-039
(RPCSS サービス のバッファ オーバーランによりコードが実行される (824146))
–
MS03-049
(Workstation サービスのバッファ オーバーランにより、コードが実行される (828749))
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS04-011
(LSASSの脆弱性)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ pwn.ultimate**********
ポート: 405
サーバ・パスワード nigga
チャンネル #sti
ニックネーム [P00|USA|
%5桁のランダムな文字列%
]
パスワード torque
– このマルウェアは以下の情報を収集し送る能力があります:
• キャッシュに入ったパスワード
• マルウェアの起動時間
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• DCOMを無効にする
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• レジストリの編集
• DCOMを有効にする
• ネットワークシェアを有効にする
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• 伝染ルーチンの開始
• プロセスを終了する
• それ自身をアップデートします。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• tghynjk
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• PECompact
簡単な説明は
ココ
にあります。.
この説明は Teodor Onisor によって Fri, 18 Aug 2006 08:45 (GMT+1) 書き込まれました。
この説明は Teodor Onisor によって Fri, 18 Aug 2006 14:32 (GMT+1) 更新されました。
»
マルウェアについて
»
フィッシングについて
»
In the Wild ウイルス
« 戻る
このページを印刷
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Avira からの最新情報を取得
各種のマルウェアとその変形を検出して削除します。
ここからダウンロード
パネルを取得するには
ここ
をクリック...
© 2009 Avira GmbH
著作権情報
|
プライバシー
|
サイトマップ
|
フィードバック
|
会社情報
|
FAQ
|
連絡先
ウイルス情報 Worm/Aimbot.ER
このページを印刷
.gif)
