English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Nichgig
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Nichgig - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/Nichgig
発見日:
28/06/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
10.901 バイト
MD5 チェックサム
62c776499583a39c3e613ead52e23c9c
VDFファージョン:
6.35.00.87
IVDFファージョン:
6.35.00.95
- Thu, 29 Jun 2006 16:39 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Symantec(シマンテック) Trojan.Gobrena
• McAfee(マカフィー) PWS-Goldun.dr
• Kaspersky(カスペルスキー) Trojan-Spy.Win32.Goldun.mf
• F-Secure(エフ・セキュア) Trojan-Spy.Win32.Goldun.mf
• ウイルスバスター TrojanSpy.Goldun.LG
• Eset Win32/Spy.Goldun.LX
プラットフォーム/OS:
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
ファイル
以下のディレクトリを作成します:
•
%TEMPDIR%
\4185XXXX
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%TEMPDIR%
\4185XXXX\
%番号%
.tmp
–
%SYSDIR%
\hdtvu6.dll 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Spy.Goldun.ME
–
%SYSDIR%
\nkudpn1.sys 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Nichgig
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000000
• "ImagePath"="\??\
%SYSDIR%
\nkudpn1.sys"
• "DisplayName"="NKU UDPN1-01"
– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
• "0"="Root\LEGACY_NKUDPN1\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
• "Security"=
%hex値%
以下のレジストリ・キーが追加されます:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
hdtvu6
• "DllName"="hdtvu6.dll"
• "Startup"="hdtvu6"
• "Impersonate"=dword:00000001
• "Asynchronous"=dword:00000001
• "MaxWait"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Control
• "isfr2"="[
%番号%
[%current user%]"
バックドア
サーバに接続します。
以下のもの:
• www.proxyland.net/**********
結果、いくつかの情報を送る可能性があります。 これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。
以下についての情報を送ります:
• 窃盗セクションに説明されている収集された情報
• ウインドウズOSについての情報
窃盗
以下の情報を盗もうとします:
– レジストリ・キーから取り出されたメール・アカウント情報:HKCUSoftwareMicrosoftInternet Account ManagerAccounts
– ウェブサイトを訪問した後ログインを開始します:
• https://www.e-gold.com/acct/login.html
– 取り込むのは:
• ログイン情報
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\hdtvu6.dll
プロセス名:|以下のすべて:
•
%マルウェアはメモリに起動された後のすべての新プロセス%
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG
簡単な説明は
ココ
にあります。.
この説明は Teodor Onisor によって Tue, 19 Sep 2006 08:36 (GMT+1) 書き込まれました。
この説明は Teodor Onisor によって Wed, 20 Sep 2006 11:26 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
