本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan-Downloader.Win32.VB

検出日 04/13/2010
クラス Trojan-Downloader
プラットフォーム Win32
説明

トロイの木馬は、以下のシステムレジストリキーパラメータを変更することにより、Explorer.exeによって隠しファイルを表示できないようにします。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "0"
"ShowSuperHidden" = "0"

トロイの木馬は、以下のシステムレジストリキーパラメータを設定することにより、Explorer.exeによってファイル拡張子を表示することもできません。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = "1"

これらのパラメータが元に戻らないようにするため、トロイの木馬は以下のシステムレジストリキーパラメータを設定して、Explorer.exeの「フォルダオプション」を無効にします。

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = "1"

トロイの木馬は、Windowsシステムディレクトリに "psador18.dll"と呼ばれる隠しフォルダを作成します。

%System%ðsdîr18.dll

このファイルには、次の電子メールアドレスが含まれています。

ot01_***@mail.ru
ot02_***@mail.ru

このトロイの木馬は、その本体から "psagor18.sys"というルートキットも抽出します。このファイルは、トロイの木馬の作業ディレクトリに置かれます。このルートキットには、 "psador18.dll"ファイルと "AHTOMSYS19.exe"ファイルの存在を隠す機能が含まれています。また、トロイの木馬ファイルを削除したり、トロイの木馬のプロセスを終了させることができないため、トロイの木馬に最高のシステム特権が与えられます。

システムがシャットダウンされると、このファイルは削除されますが、システムが再起動されると再作成されます。

トロイの木馬は、次のタイトルのウィンドウの外観を追跡します。

NOD32 2.5コントロールセンター
СканерNOD32поのтребованию – [Профильцентрауправления – Локально]СканерNOD32поのтребованию – [Профильконтекстногоменю] NOD32 – ПредупреждениеПpeдупpeждeниeРедакторконфигурацииNOD32 – [無題]АнтивирусКасперского個人0-выполняетсяпроверка…КарантинНастройкаобновленияНастройкакарантинаирезервногохранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall – configuration.cfgНастройкасистемыРедакторреестраRegEdit_RegEdit

トロイの木馬がこのようなウィンドウを検出した場合、それらは自動的に閉じられます。

このトロイの木馬は、フラッシュデバイスも探します。このようなデバイスが検出された場合、そのトロイの木馬はその本体を "CDburn.exe"としてコピーし、 "autorun.inf"というファイルを作成します。このファイルには、トロイの木馬の本体へのリンクが含まれています。これにより、デバイスが接続されるたびにトロイの木馬ファイルが自動的に起動されます。

トロイの木馬はまた、被害者マシンから電子メールアドレスを収集し、それらに電子メールメッセージを送信します。電子メールには空白の件名と次の内容があります。

Янезнаюеетемпомоемунебыло(((…вот、посмотриhttp://softclub.land.ru/seeing/katie.rar)

オリジナルへのリンク