ウイルス(Trojan)情報など

MS05-014対応みたい。

JS.Trojan.Blinder は埋め込まれた JavaScript トロイの木馬で、ブラウザのアドレスバーに表示される URL を詐称します。

いわゆる【URL Spoof】のことみたいですね。

Trojan.Flush.A は、侵入先のシステムの DNS 設定を改ざんするトロイの木馬プログラムです。

これ知ってるかも。CDTとかIstBarなんかがてんこ盛りで落ちてくるっぽい。2chとかにリンク張られてるかも。

ベンダーの検出情報によるとこれが多いみたいです。全然知りませんでしたけど。

  • clck.dll
  • clckdataprx.dll
  • ClockDataManager.bat - detected by TREND MICRO as BAT_PASSER.AK
  • CPCmsclock.ExE - detected by TREND MICRO as SPYW_IRC.A
  • DatexTimest.exe -detected by TREND MICRO as TROJ_CLONER.B
  • download
  • OGLClock.exe
  • RenderxP.exe - detected by TREND MICRO as TROJ_DELSHA.D
  • TimedInterp.dll -detected by TREND MICRO as WORM_RANDON.U
  • TimeZoneaX.exe - detected by TREND MICRO as HKTL_HIDEWIN.A

なんか「わや」ですね。ワームにスパイウェアにハッキングツールです。ちなみにこのなかの一つ

Aliases: VX2.Transponder (PestPatrol), HackTool.HideWindow (Symantec)

「VX2」ってP2Pアプリとかについてるスパイウェアとかと思ってたんですが、かなりやっかいなものみたい?わやわやですね。

隠し属性およびシステム属性を設定して、自分自身をコピーします。その際、次のファイル名を使用します。

    * %System%\msrund1l32.exe (d1l32 の "1" に留意してください)
    * %System%\inetinfo.exe
    * %System%\shell32.exe
    * %System%\user32.exe
    * %System%\mdm.exe
    * %System%\mspsdt.exe

次の値を

"(標準)" = "mspsdt.exe "%1""

次のレジストリサブキーに追加することによって、

HKEY_CLASSES_ROOT\txtfile\shell\open\command

.txt ファイル (メモ帳プログラム) が開かれるたびに Backdoor.Binghe が実行されるように設定します。
This Trojan arrives either through manual download from the Internet or as a dropped component of another malware. It drops a copy of itself in the Windows system folder and creates a registry entry to enable its execution every startup.

It tries to connect and download files from the following URLs
    * []http://dapsol.com/private/X/22.exe[]
    * []http://www.awmcash.biz/adverts/progs/0.exe[]
    * []http://www.awmcash.biz/adverts/progs/ieac.exe[]
    * []http://www.awmcash.biz/temp/on-line.exe[]
    * []http://www.awmcash.biz/adverts/progs/desktop.exe[]
    * []http://www.awmcash.biz/adverts/progs/toolbar.exe[]
    * []http://www.awmcash.biz/adverts/progs/block.exe []

この【awmcash.biz】って以前にDownload.Jectが置かれてたところですね。現在は403、404ですけど。

mp3ファイルなんかを削除しちゃうみたいです。【shell\open\command】に書き込むやつって最近また増えてるんでしょうかねぇ。レジストリエディタとか使えなくするようです。HijackThisで解除できると思うんですが、exeファイル実行する度にってことなんで、意味わかる人はinfファイルのこれに手を加えて使ってもいいかも。(対症療法ですが...)