TR/Vundo.HY - Trojan

参照

概要

詳しい説明

統計

ウイルス	TR/Vundo.HY
発見日：	13/06/2008
タイプ	トロイの木馬
感染報告有り	いいえ
感染報告	低～中
感染の可能性	低
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	321.536 バイト
MD5　チェックサム	985c2011d7971e33d9ace5892a51f28b
IVDFファージョン：	7.00.04.187 - Fri, 13 Jun 2008 08:09 (GMT+1)

一般情報 感染方法
   • それ自体に伝染能力はない

別名
   • Sophos(ソフォス) Troj/FakeAle-CB
   • Eset a variant of Win32/Adware.Virtumonde application

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルをダウンロードします。
   • ファイルを作成します。
   • レジストリの改変。

ファイル以下のファイルが作成されます：

– 悪意のないファイル：
   • C:\%実行されたマルウェアのディレクトリ%\rt.ini
   • C:\%実行されたマルウェアのディレクトリ%\rt.ini2

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://62.4.83.203/antispy/**********
ハードディスクの以下のパスにセーヴされます： %TEMPDIR%\%8桁のランダムな文字列%.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Monder.XO

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCR\CLSID\{2C72B974-315C-439C-B13E-FB0E062D6B1C}\InprocServer32]
   • @="%実行されたマルウェアのディレクトリ%\%マルウェアdll% "
   • "ThreadingModel"="Both"

以下のキーを追加してbrowser helper object(BHO)を登録します。

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\
   • {2C72B974-315C-439C-B13E-FB0E062D6B1C}]

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

簡単な説明はココにあります。.

この説明は Thomas Wegele によって Thu, 19 Jun 2008 14:54 (GMT+1) 書き込まれました。
この説明は Thomas Wegele によって Thu, 19 Jun 2008 15:17 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る