Palm84 某所の日記

有為のクマにかくれり~

ウイルス情報

えー、例によって私の気になったものだけです。この辺にやられちゃったら復旧は困難だと思われるものとか。

これと同じかも? - Viruslist.com - Trojan-Dropper.Win32.Agent.ed

Trojan.Anicmoo is a downloader Trojan that exploits the Windows User32.DLL ANI File Header Handling Stack-Based Buffer Overflow Vulnerability (as described in the Microsoft Security Bulletin MS05-002). The Trojan exists as a malformed animated cursor (.ani).

MS05-002関連が出ちゃってるわけですね。98/MEな方はパッチ出てませんのでご注意を。

The execution of aforementioned file results to the download and execution of other malware and adware programs such as the following:

    * ADW_ISTBAR.M
    * ADW_NCASE.A
    * ADW_SIDEFIND.C
    * ADW_SOLU180.A
    * ADW_TOPREBATES.B
    * ADW_TOPREBATES.C
    * SPYW_DYFUCA.E
    * TROJ_ISTBAR.EY 

Downloaded malware and adware programs eventually performs their corresponding routines and functions on affected systems.

なんかてんこ盛り系のインストーラの検出名みたいですね。 DYFUCA って【Internet Optimizer】のことですよね。 N-CASEが【MSBB.exe】ってなってますね。 180SolutionsにISTBAR、SIDEFINDですか。ってよくは知らないけど。(汗

対処法はスキャンでマルウェアのファイル名を確認後にタスクマネージャーから殺せって書いてますね。というか普通なやり方ですけど。(これだけなら、ですね)

と曖昧なこと言ってる理由はこれがいわゆる「アドウェア」ばかりだから。多分他にもバックドア系トロイや(用語おかしいかも)キーロガーなんかが入ってるんじゃないかなと思います。

思い切り私見なんですが、最近の傾向として直接的な利益を求めるマルウェアが増えて来ているように思います。Malicious(悪意ある)というよりは、はっきりCrime(犯罪)と言っていいような。

いわゆる【about:blank】系みたいですね。この辺はややこしそうでよくわかってないんですが..。

Trojan.KillAV.E はブラウザヘルパーオブジェクトをインストールしてセキュリティソフトを不能にするトロイの木馬です。インストールされたブラウザヘルパーオブジェクトはブラウザにポルノ画像のダイヤラーと銀行のパスワードスティーラーをダウンロードします。

不能にすると書いてますけど実際にはProgram Files内のソフト名のフォルダを削除するみたいです。

W32.Aimdes.A@mm は、AOL Instant Messenger と電子メールを介して拡散する単純なワームです。

単純て。「それが一番困るだがにゃ!」とツッコミたい気もしますが...私も「普通の」ワームにはあんまり興味なかったりします。殆どのものは添付ファイルを開かなければいいだけですから。でも最近のはXP_SP2向けに作られてるのが多いので油断は禁物です。

2chのリンク先からこの種のワームをもらっちゃう場合もあるように思います。個人の悪戯なのか、組織的なものかは不明ですが。実際にWORM_BUCHON.GENを検出したことがありました。(って1回だけですが...)

うぅ、こんなのにやられたらもうボロボロかも。色んなとこを無効にされちゃいます。

上の亜種みたいですが、ファイル名がちょっとやらしー。

Once W32.Ahker.D@mm is executed, it performs the following actions:

   1. Creates the following copies of itself:

          * %Windir%\CCAPP.EXE
          * %UserProfile%\Start Menu\Programs\Startup\norton.exe

Norton AntiVirus LiveUpdate Email に Bloodhound.Exploit.27 ってあるんですがなんでしょう?