ADSPY/Boran.O.1 - Adware / Spyware

参照

概要

詳しい説明

統計

ウイルス	ADSPY/Boran.O.1
発見日：	05/10/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	131.072 バイト
MD5　チェックサム	3c6f191fe0a913c40E7139d66ba0f7ac
VDFファージョン：	6.35.01.09
IVDFファージョン：	6.35.01.09

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Eset Win32/Adware.Boran

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルをダウンロードします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。

ファイルファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://www.update.borlander.cn/updadini/**********
ハードディスクの以下のパスにセーヴされます： %実行されたマルウェアのディレクトリ%\updadini.ini ダウンロードが終了した後、起動されます。このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

– 場所は以下の通りです：
   • http://www.update.borlander.cn/updstd/**********
ハードディスクの以下のパスにセーヴされます： %実行されたマルウェアのディレクトリ%\updstdex.ini ダウンロードが終了した後、起動されます。

– 場所は以下の通りです：
   • http://www.update.borlander.cn/updstd/**********
ハードディスクの以下のパスにセーヴされます： %実行されたマルウェアのディレクトリ%\updstdup.ini ダウンロードが終了した後、起動されます。このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

レジストリ以下のキーを追加してbrowser helper object(BHO)を登録します。

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

以下のレジストリ・キーが追加されます：

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%実行されたマルウェアのディレクトリ%\%実行ファイル%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%実行されたマルウェアのディレクトリ%\%実行ファイル%"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

– [HKCR\Ad.AxObj]
   • @="stdup"

– [HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

– [HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

– [HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.2.2"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %実行されたマルウェアのディレクトリ%\%実行ファイル%,Uninstall"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

バックドア サーバに接続します。
以下のもの：
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

接続した後他のサーバ名の表を回収します。結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。

以下についての情報を送ります：
    • 現在のマルウェアのステータス
    • マルウェアの起動時間

リモート・コントロール機能
    • ウェブサイトを訪問します。

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Fri, 06 Oct 2006 11:06 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Fri, 27 Oct 2006 08:18 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back