Worm/Autorun.czg - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Autorun.czg
発見日：	27/03/2008
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	低～中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	13.824 バイト
MD5　チェックサム	d7de4f1f1f388613616ab2f68abeaa62
IVDFファージョン：	7.00.03.32 - Sun, 16 Mar 2008 14:48 (GMT+1)

一般情報 感染方法
   • 割り当てられたネットワーク・ドライブ

別名
   • McAfee(マカフィー) BackDoor-ACA.b
   • Kaspersky(カスペルスキー) Worm.Win32.AutoRun.czg
   • F-Secure(エフ・セキュア) Worm.Win32.AutoRun.czg
   • Grisoft Flooder.EZD
   • Eset Win32/AutoRun.IX
   • ビットディフェンダー(Bitdefender)： Trojan.Autorun.PK

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルを作成します。
   • レジストリの改変。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %ドライバ% :\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

以下のファイルが作成されます：

– 悪意のないファイル：
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

– %ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです：
   •

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
• StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ tassweq.com
ポート： 7000
サーバ・パスワード trb123trb
チャンネル #hisham#
ニックネーム %ランダムな文字列%

– その他以下のアクションを実行することもできます：
    • IRCサーバと接続します。
    • IRCチャンネルに入室する
    • DDoS攻撃を実行する

挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名：｜以下のうちの１つ：
   • EXPLORER.EXE

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Wed, 06 Aug 2008 13:19 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Wed, 06 Aug 2008 13:30 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back