Worm/Zhelatin.ZI - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Zhelatin.ZI
発見日：	22/07/2008
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	低
ダメージ・ポテンシャル	低
スタティック・ファイル	いいえ
ファイル・サイズ	90624 バイト
MD5　チェックサム	a9d0ed60fec2530a497554de364d5693
IVDFファージョン：	7.00.05.148 - Tue, 22 Jul 2008 08:50 (GMT+1)

一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク

別名
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Zhelatin.aep
   • ビットディフェンダー(Bitdefender)： Dropped:Rootkit.Agent.AITJ

プラットフォーム/OS：
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。

ファイル以下のファイルが作成されます：

– %WINDIR%\glok+serv.config これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400


– %WINDIR%\glok+22bd-6274.sys 作成が完了した後、起動されます。以下のように検出されました： TR/Rootkit.Gen

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\System\ControlSet001\Services\glok+b89-6227
• %WINDIR%\glok+b89-6227.sys

送信 アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
• postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

IPアドレス作成
ランダムなIPアドレスを作り、それらと接続しようとします。

ルートキット・テクノロジー(Rootkit Technology) それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。

以下のものを隠します：
– それ自身のファイル
– それ自身のレジストリ・キー

– 以下のファイル:
   • glok+22bd-6274.sys
   • glok+serv.config

– 以下のレジストリ・キー:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000

使用されているメソッド：
    • IDTから隠されています。

以下のAPI機能にホック（ＨＯＯＫ）します:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Viktor Graeber によって Tue, 22 Jul 2008 08:33 (GMT+1) 書き込まれました。
この説明は Viktor Graeber によって Tue, 22 Jul 2008 10:33 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る