本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.Alman

検出日 06/19/2007
クラス Virus
プラットフォーム Win32
説明

このウイルスは、被害者のコンピュータ上のすべてのディスクおよびアクセス可能なネットワークフォルダに、書き込み可能なすべてのWindows実行可能ファイル(PE-EXE)を感染させます。このウイルスは、以下の名前のファイルには感染しません。

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

ウイルスは、その実行可能ファイルを感染しているファイルの先頭に書き込んで、ファイルの元の内容を下に移動します。

ウイルスは、ネットワークフォルダにあるファイルに感染するために、管理者アカウントと次のいずれかのパスワードを使用してリモートマシンに接続しようとします。

 zxcv



qazwsx



qaz



qwer



!@#$%^&*()



!@#$%^&*(



!@#$%^&*



!@#$%^&



!@#$%^



!@#$%



aasdf 



sdfgh



!@#$



654321



123456



12345



1234



123



111 

このウイルスは、リモートの悪意のあるユーザーのサイトに、Cディスク上の空き容量、犠牲PC上のオペレーティングシステムとInternet Explorerのバージョン、およびリストされた名前のうちの1つを持つシステム内のドライバの存在に関する情報も送信します以下:

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

この情報は、リモートの悪意のあるユーザーのサイトに次の要求で送信されます。

 http://****mrw0rldwide.com/co.asp?action = post&HD = <空き容量>&OT = <オペレーティングシステムのバージョン>&IV = <Internet Explorerのバージョン>&AV = <インストールされたドライバ> 

ウイルスは、以下のリンクからダウンロードされるファイルのリストも取得します。

http://****mrw0rldwide.com/z.dat

その後、リストからファイルをダウンロードし、Windowsの一時ディレクトリに保存して実行用に起動します。

執筆時点で、ウイルスは次のリンクからファイルをダウンロードしました:

 http://down****net/css.jpg



http://down****net/wow.jpg 

次のように保存しました。

%Temp%css.jpg – このファイルのサイズは62 792バイトです。 Kaspersky Anti-Virusでは、Trojan-PSW.Win32.OnLineGames.afdとして検出されます。

%Temp%wow.jpg – このファイルのサイズは40 241バイトです。 Kaspersky Anti-VirusによってTrojan-PSW.Win32.WOW.svとして検出されます。


オリジナルへのリンク