English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Haxdoor.GA.12
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Haxdoor.GA.12 - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Haxdoor.GA.12
発見日:
24/07/2006
タイプ
バックドア・サーバ型
感染報告有り
はい
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
56.276 バイト
MD5 チェックサム
82a365b7a90B47d9cf0F2c9cd63c3ad1
VDFファージョン:
6.35.00.208
- Mon, 24 Jul 2006 12:39 (GMT+1)
IVDFファージョン:
6.35.00.248
一般情報
別名
• Symantec(シマンテック) Backdoor.Haxdoor.O
• McAfee(マカフィー) BackDoor-BAC
• Kaspersky(カスペルスキー) Backdoor.Win32.Haxdoor.ga
• Sophos(ソフォス) Troj/Haxdoor-CP
• ウイルスバスター trojan Trojan.DR.Haxdoor.JI
• ビットディフェンダー(Bitdefender): Backdoor.Haxdoor.JK
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
副作用
• セキュリティ関係のウェブサイトへのアクセスを無効にします。
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
以下のファイルが作成されます:
–
%SYSDIR%
\yvsvga.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/PSW.PdPi.CT.1.D
–
%SYSDIR%
\qo.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/PSW.PdPi.CT.1.D
–
%SYSDIR%
\yvsvga.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GA.13
–
%SYSDIR%
\ycsvga.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GA.13
–
%SYSDIR%
\qo.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GA.13
–
%SYSDIR%
\lps.dat
–
%SYSDIR%
\kgctini.dat
–
%SYSDIR%
\kps001.sys このファイルは入力されたキーについて収集された情報を含みます。
–
%SYSDIR%
\shsvga.bin
–
%SYSDIR%
\gsvga.bin
–
%SYSDIR%
\mnsvgas.bin
–
%SYSDIR%
\ttsvga.dat
–
%SYSDIR%
\tnstt.a3d
–
%SYSDIR%
\wagfola4w.dat
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
yvsvga
• "CID"=%hex value%
• "DllName"="yvsvga.dll"
• "Startup"="XFD00Safex"
• "Impersonate"=dword:00000001
• "Asynchronous"=dword:00000001
• "MaxWait"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvga.sys
• @="Driver"
– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvga.sys
• @="Driver"
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\ycsvga.sys"
• "DisplayName"="NDIS OSI"
– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga
• "Type"=dword:00000001
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\ycsvg.sys"
• "DisplayName"="NDIS OSI32"
以下のレジストリ・キーが追加されます:
– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga\Enum
• "0"="Root\\LEGACY_YCSVGA\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Security
• "Security"=%hex value%
– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Enum
• "Count"=dword:00000000
• "NextInstance"=dword:00000000
• "INITSTARTFAILED"=dword:00000001
プロセス中断
以下のプロセスは終了されます:
• zapro.exe
• vsmon.exe
• jamapp.exe
• atrack.exe
• iamapp.exe
• FwAct.exe
• mpfagent.exe
• outpost.exe
• zlclient.exe
• mpftray.exe
バックドア
以下のポートが開かれます:
–
%SYSDIR%
\yvsvga.dll 無作為に選ばれたTCPポート上に
–
%SYSDIR%
\yvsvga.dll 無作為に選ばれたTCPポート上に
–
%SYSDIR%
\yvsvga.dll 無作為に選ばれたTCPポート上に
以下についての情報を送ります:
• キャッシュに入ったパスワード
• 作成されたログファイル
リモート・コントロール機能
• ダウンロード・ファイル
• 実行ファイル
• メールを送る
• キーログの開始
窃盗
以下の情報を盗もうとします:
– レジストリ・キーから取り出されたメール・アカウント情報:HKCUSoftwareMicrosoftInternet Account ManagerAccounts
– 取り込むのは:
• キー入力
– ウェブサイトを訪問した後ログインを開始します:
• www.e-gold.com
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\yvsvga.dll
プロセス名:|以下のすべて:
•
%マルウェアはメモリに起動された後のすべての新プロセス%
目的:
以下のウェブサイトへのアクセスは効果的に無効にされています。
• customer.symantec.com; dispatch.mcafee.com; download.mcafee.com;
avp.com avp.ru awaps.net; virustotal.com; engine.awaps.net;
f-secure.com; updates.drweb-online.com; ftp.kaspersky.ru;
rads.mcafee.com; ftp.sophos.com; liveupdate.symantec.com;
kaspersky.com; kaspersky-labs.com; kaspersky.ru;
liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
my-etrust.com; networkassociates.com; phx.corporate-ir.net;
securityresponse.symantec.com; service1.symantec.com; sophos.com;
spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
updates.symantec.com; us.mcafee.com; u2.eset.com
ルートキット・テクノロジー(Rootkit Technology)
以下のものを隠します:
– それ自身のファイル
– それ自身のプロセス
使用されているメソッド:
• ウインドウズAPIから隠されています:
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG
簡単な説明は
ココ
にあります。.
この説明は Bogdan Iliuta によって Wed, 20 Sep 2006 15:11 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Mon, 16 Oct 2006 12:08 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
