TR/Spy.Agent.NZ.7 - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Spy.Agent.NZ.7
発見日：	09/10/2006
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	457.728 バイト
MD5　チェックサム	0F7f5d4c67e2726685a722c5a72aa4de
VDFファージョン：	6.35.01.96
IVDFファージョン：	6.35.01.97 - Tue, 15 Aug 2006 15:38 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Kaspersky(カスペルスキー) Trojan-Spy.Win32.Agent.nz
   • Eset Win32/Spy.Delf.NDE

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • 悪意ファイルを作成します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\sscool.scr
   • %WINDIR%\svchost.exe

ファイルにセクションが追加されます。
– 宛先: %WINDIR%\win.ini 以下の内容：
   • [win]
     temppath=%TEMPDIR%\

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– %SYSDIR%\3721_4.dll 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Spy.Agent.NZ.7

– %TEMPDIR%\iehelp.ini
– c:\auto1.bat 作成が完了した後、起動されます。このバッチ・ファイルはファイルを削除するのに使われます。

レジストリ以下のキーを追加してbrowser helper object(BHO)を登録します。

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{8D139DD1-6BB5-4103-8C89-41560FF2E107}]

以下のレジストリ・キーが追加されます：

– [HKCR\CLSID\{8D139DD1-6BB5-4103-8C89-41560FF2E107}]
   • @=""

– [HKCR\CLSID\{8D139DD1-6BB5-4103-8C89-41560FF2E107}\InprocServer32]
   • @="%SYSDIR%\3721_4.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{8D139DD1-6BB5-4103-8C89-41560FF2E107}\ProgID]
   • @="3721_4.LelePP"

– [HKCR\3721_4.LelePP]
   • @=""

– [HKCR\3721_4.LelePP\Clsid]
   • @="{8D139DD1-6BB5-4103-8C89-41560FF2E107}"

– [HKCR\htmlfile\shell\htmlfile\shell\opennew\command]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\" %1"

– [HKCR\htmlfile\shell\htmlfile\shell\opennew\command\CLSID\
   {0002DF01-0000-0000-C000-000000000046}\LocalServer32]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\""

– [HKCR\htmlfile\shell\SOFTWARE\Classes\htmlfile\shell\open\command]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\" -nohome"

– [HKCR\htmlfile\shell\SOFTWARE\Classes\htmlfile\shell\open\command\
   SOFTWARE\Classes\htmlfile\shell\opennew\command]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\" %1"

– [HKLM\SOFTWARE\Classes\htmlfile\shell\SOFTWARE\Classes\htmlfile\
   shell\open\command]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\" -nohome"

– [HKLM\SOFTWARE\Classes\htmlfile\shell\SOFTWARE\Classes\htmlfile\
   shell\open\command\SOFTWARE\Classes\htmlfile\shell\opennew\command]
   • @="\"%PROGRAM FILES%\Internet Explorer\iexplore.exe\" %1"

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %SYSDIR%\3721_4.dll

    プロセス名：｜以下のすべて：
   • explorer.exe
   • %目に見えるウインドウのあるプロセス%
   • %マルウェアはメモリに起動された後のすべての新プロセス%

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• pp_gg_flag_lala_c_1.0_setup

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Mon, 09 Oct 2006 12:07 (GMT+1) 書き込まれました。
この説明は Andrei Ivanes によって Fri, 27 Oct 2006 08:48 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back