Kaspersky Threats

検出日

04/13/2010

クラス

Trojan-Downloader

プラットフォーム

Win32

説明

トロイの木馬は、以下のシステムレジストリキーパラメータを変更することにより、Explorer.exeによって隠しファイルを表示できないようにします。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "0"
"ShowSuperHidden" = "0"

トロイの木馬は、以下のシステムレジストリキーパラメータを設定することにより、Explorer.exeによってファイル拡張子を表示することもできません。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = "1"

これらのパラメータが元に戻らないようにするため、トロイの木馬は以下のシステムレジストリキーパラメータを設定して、Explorer.exeの「フォルダオプション」を無効にします。

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = "1"

トロイの木馬は、Windowsシステムディレクトリに "psador18.dll"と呼ばれる隠しフォルダを作成します。

％System％ðsdîr18.dll

このファイルには、次の電子メールアドレスが含まれています。

ot01_***@mail.ru

ot02_***@mail.ru

このトロイの木馬は、その本体から "psagor18.sys"というルートキットも抽出します。このファイルは、トロイの木馬の作業ディレクトリに置かれます。このルートキットには、 "psador18.dll"ファイルと "AHTOMSYS19.exe"ファイルの存在を隠す機能が含まれています。また、トロイの木馬ファイルを削除したり、トロイの木馬のプロセスを終了させることができないため、トロイの木馬に最高のシステム特権が与えられます。

システムがシャットダウンされると、このファイルは削除されますが、システムが再起動されると再作成されます。

トロイの木馬は、次のタイトルのウィンドウの外観を追跡します。

NOD32 2.5コントロールセンター
СканерNOD32поのтребованию – [Профильцентрауправления – Локально]СканерNOD32поのтребованию – [Профильконтекстногоменю] NOD32 – ПредупреждениеПpeдупpeждeниeРедакторконфигурацииNOD32 – [無題]АнтивирусКасперского個人0-выполняетсяпроверка…КарантинНастройкаобновленияНастройкакарантинаирезервногохранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall – configuration.cfgНастройкасистемыРедакторреестраRegEdit_RegEdit

トロイの木馬がこのようなウィンドウを検出した場合、それらは自動的に閉じられます。

このトロイの木馬は、フラッシュデバイスも探します。このようなデバイスが検出された場合、そのトロイの木馬はその本体を "CDburn.exe"としてコピーし、 "autorun.inf"というファイルを作成します。このファイルには、トロイの木馬の本体へのリンクが含まれています。これにより、デバイスが接続されるたびにトロイの木馬ファイルが自動的に起動されます。

トロイの木馬はまた、被害者マシンから電子メールアドレスを収集し、それらに電子メールメッセージを送信します。電子メールには空白の件名と次の内容があります。

Янезнаюеетемпомоемунебыло（（（…вот、посмотриhttp://softclub.land.ru/seeing/katie.rar）

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

Trojan-Downloader.Win32.VB