English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Winko.I
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Winko.I - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Winko.I
発見日:
22/10/2007
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
低~中
ダメージ・ポテンシャル
中
スタティック・ファイル
いいえ
ファイル・サイズ
~17.000 バイト
IVDFファージョン:
7.00.00.117
- Mon, 22 Oct 2007 14:13 (GMT+1)
一般情報
感染方法
• 割り当てられたネットワーク・ドライブ
別名
• Kaspersky(カスペルスキー) Worm.Win32.AutoRun.cxp
• F-Secure(エフ・セキュア) Worm:W32/AutoRun.CX
• Grisoft Downloader.Small.BYN
• Eset Win32/TrojanDownloader.Flux.AC
• ビットディフェンダー(Bitdefender): Win32.Worm.Winko.I
同じような検出:
• Worm/Winko.I.
%番号%
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• 悪意ファイルを作成します。
• レジストリの改変。
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\
%ランダムにいくつか選ばれた0から9までの数%
.EXE
•
%ドライバ%
\auto.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%ドライバ%
\autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
•
–
%SYSDIR%
\C
%ランダムにいくつか選ばれた0から9までの数%
.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Autorun.CA
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://33.xingaide8.cn/**********/update.txt
このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%ランダムな文字列%
]
• Type = 10
• Start = 2
• ErrorControl = 1
• ImagePath =
%SYSDIR%
\
%ランダムにいくつか選ばれた0から9までの数%
.EXE -k
• DisplayName =
%ランダムな文字列%
• ObjectName = LocalSystem
• Description = C
%ランダムにいくつか選ばれた0から9までの数%
– [HKLM\SYSTEM\CurrentControlSet\Services\
%ランダムな文字列%
\Security]
• Security =
%hex値%
以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
• [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
新しい値
• CheckedValue = 0
– [HKLM\SOFTWARE\Microsoft\Windows NT]
新しい値
• ReportBootOk= 1
– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
新しい値
• DoReport = 0
• ShowUI = 0
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\C
%ランダムにいくつか選ばれた0から9までの数%
.dll
プロセス名:|以下のすべて:
• explorer.exe
• winlogon.exe
•
%すべての起動中のプロセス%
成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Upack
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Mon, 16 Jun 2008 11:43 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 19 Jun 2008 07:59 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Mytob.W
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
