TR/Proxy.Delf.CA - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Proxy.Delf.CA
発見日：	26/02/2007
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	28.833 バイト
MD5　チェックサム	916ede7e54c83f11f0f99f7e53178a3b
IVDFファージョン：	6.37.01.162 - Mon, 26 Feb 2007 09:41 (GMT+1)

一般情報 感染方法
   • ローカル・ネットワーク
   • 割り当てられたネットワーク・ドライブ

別名
   • McAfee(マカフィー) W32/Fujacks
   • Kaspersky(カスペルスキー) Worm.Win32.Delf.bd
   • F-Secure(エフ・セキュア) Worm.Win32.Delf.bd
   • Sophos(ソフォス) W32/Fujacks-AU
   • Grisoft Worm/Delf.AEP
   • Eset Win32/Fujacks.O
   • ビットディフェンダー(Bitdefender)： Win32.Worm.Fujacks.J

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルをダウンロードします。
   • ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\drivers\spoclsv.exe
   • %ドライバ% \setup.exe

以下のファイルにセクションが追加されます。
– 宛先: %すべてのディレクトリ%\*.htm 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

再起動後ファイルの名前を変更します。
– 宛先: %すべてのディレクトリ%\*.html 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– 宛先: %すべてのディレクトリ%\*.asp 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– 宛先: %すべてのディレクトリ%\*.php 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– 宛先: %すべてのディレクトリ%\*.jsp 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– 宛先: %すべてのディレクトリ%\*.aspx 以下の内容：
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

以下のファイルが作成されます：

– %すべてのディレクトリ%\Desktop_.ini これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • %現在の日付%

– %ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです：
   •

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://www.baidu8.org/**********/xm.txt
このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

レジストリ以下のレジストリ・キーが、再起動後そのプロセスを実行するため、無限ループの中に持続的に追加されます：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe

以下のレジストリ・キーの値が消えています：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse

以下のレジストリ・キーは変更されます：

あらゆるExplorerの設定:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   前の値
   • CheckedValue = %ユーザ設定%
   新しい値
   • CheckedValue = 0

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します：

– 以下のユーザ名：
   • Administrator
   • Guest
   • admin
   • Root

– 以下のパスワード：
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の3つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
ダウンロードしたファイルは、侵入先のマシンに以下の名前で保存されます： %すべての共有フォルダ%\GameSetup.exe

処理速度の低下：
– 感染スレッドを以下の数だけ作成します： 9
– 帯域幅の大きさによって、ネットワーク速度の低下が見られるかもしれません。このマルウェアは回線の利用量が中程度のため、ブロードバンド回線を使って接続している場合、ネットワーク速度の低下に気づかないこともあります。
– さらに、ネットワーク・スレッドをいくつか作成するために起こるわずかな速度の低下に気づくかもしれません。

プロセス中断以下のプロセスは終了されます：
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

以下のウインドウのタイトルを含むプロセスが終了されます：
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert

以下のサービスは無効にされます：
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Thu, 19 Jun 2008 13:28 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 19 Jun 2008 13:40 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る