TR/PSW.Small.bs - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/PSW.Small.bs
発見日：	08/01/2007
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	19.240 バイト
MD5　チェックサム	73dc2446341699857aaf39489508f7d7
VDFファージョン：	6.36.00.023
IVDFファージョン：	6.36.00.033

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • McAfee(マカフィー) FormSpy
   • Kaspersky(カスペルスキー) Trojan-PSW.Win32.Small.bs
   • Sophos(ソフォス) Mal/Behav-044
   • Grisoft PSW.Generic2.REJ
   • Eset Win32/PSW.Small.NAD
   • ビットディフェンダー(Bitdefender)： Generic.Malware.SBg.56DBD99F

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
• %WINDIR%\9129837.exe

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– %実行されたマルウェアのディレクトリ%\a.bat 作成が完了した後、起動されます。このバッチ・ファイルはファイルを削除するのに使われます。
– %WINDIR%\hide_evr2.sys 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/PSW.Small.bs.SYS

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"

以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%hex値%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

以下のレジストリ・キーが追加されます：

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%hex 数字%
   • "k2"=%hex 数字%

以下のレジストリ・キーは変更されます：

ウインドウズ XPのＦｉｒｅｗａｌｌ（防火壁）を無効にする:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   前の値
   • "Start"=%ユーザ設定%
   新しい値
   • "Start"=dword:00000004

バックドア以下のポートが開かれます：

– %WINDIR%\9129837.exe 無作為に選ばれたTCPポート上に Socks 4 プロキシ・サーバを準備するため

サーバに接続します。
以下のもの：
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • 現在のマルウェアのステータス
    • 開かれたポート
    • 窃盗セクションに説明されている収集された情報
    • ユーザーネーム
    • 訪問したURL

リモート・コントロール機能
    • ファイルをアップロードする

窃盗以下の情報を盗もうとします：
– パスワード入力箇所に入力されたパスワード

– ウェブサイトを訪問した後ログインを開始します：
• %ログインフォームを含むすべてのウェブサイト%

– 取り込むのは：
• ログイン情報

その他 インターネット接続

以下の名前を試します：
• mc-in-f99.google.com
• ip-147-107.rbnnetwork.com

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のプロセス

– 以下のファイル:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– 以下のレジストリ・キーの値:
   • ttool

使用されているメソッド：
    • ウインドウズAPIから隠されています：

以下のAPI機能にホック（ＨＯＯＫ）します:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Monica Ghitun によって Mon, 08 Jan 2007 15:29 (GMT+1) 書き込まれました。
この説明は Monica Ghitun によって Tue, 09 Jan 2007 11:08 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る