MS05-014対応みたい。
JS.Trojan.Blinder は埋め込まれた JavaScript トロイの木馬で、ブラウザのアドレスバーに表示される URL を詐称します。
いわゆる【URL Spoof】のことみたいですね。
Trojan.Flush.A は、侵入先のシステムの DNS 設定を改ざんするトロイの木馬プログラムです。
これ知ってるかも。CDTとかIstBarなんかがてんこ盛りで落ちてくるっぽい。2chとかにリンク張られてるかも。
ベンダーの検出情報によるとこれが多いみたいです。全然知りませんでしたけど。
- clck.dll
- clckdataprx.dll
- ClockDataManager.bat - detected by TREND MICRO as BAT_PASSER.AK
- CPCmsclock.ExE - detected by TREND MICRO as SPYW_IRC.A
- DatexTimest.exe -detected by TREND MICRO as TROJ_CLONER.B
- download
- OGLClock.exe
- RenderxP.exe - detected by TREND MICRO as TROJ_DELSHA.D
- TimedInterp.dll -detected by TREND MICRO as WORM_RANDON.U
- TimeZoneaX.exe - detected by TREND MICRO as HKTL_HIDEWIN.A
なんか「わや」ですね。ワームにスパイウェアにハッキングツールです。ちなみにこのなかの一つ
Aliases: VX2.Transponder (PestPatrol), HackTool.HideWindow (Symantec)
「VX2」ってP2Pアプリとかについてるスパイウェアとかと思ってたんですが、かなりやっかいなものみたい?わやわやですね。
隠し属性およびシステム属性を設定して、自分自身をコピーします。その際、次のファイル名を使用します。 * %System%\msrund1l32.exe (d1l32 の "1" に留意してください) * %System%\inetinfo.exe * %System%\shell32.exe * %System%\user32.exe * %System%\mdm.exe * %System%\mspsdt.exe 次の値を "(標準)" = "mspsdt.exe "%1"" 次のレジストリサブキーに追加することによって、 HKEY_CLASSES_ROOT\txtfile\shell\open\command .txt ファイル (メモ帳プログラム) が開かれるたびに Backdoor.Binghe が実行されるように設定します。
This Trojan arrives either through manual download from the Internet or as a dropped component of another malware. It drops a copy of itself in the Windows system folder and creates a registry entry to enable its execution every startup. It tries to connect and download files from the following URLs * []http://dapsol.com/private/X/22.exe[] * []http://www.awmcash.biz/adverts/progs/0.exe[] * []http://www.awmcash.biz/adverts/progs/ieac.exe[] * []http://www.awmcash.biz/temp/on-line.exe[] * []http://www.awmcash.biz/adverts/progs/desktop.exe[] * []http://www.awmcash.biz/adverts/progs/toolbar.exe[] * []http://www.awmcash.biz/adverts/progs/block.exe []
この【awmcash.biz】って以前にDownload.Jectが置かれてたところですね。現在は403、404ですけど。
mp3ファイルなんかを削除しちゃうみたいです。【shell\open\command】に書き込むやつって最近また増えてるんでしょうかねぇ。レジストリエディタとか使えなくするようです。HijackThisで解除できると思うんですが、exeファイル実行する度にってことなんで、意味わかる人はinfファイルのこれに手を加えて使ってもいいかも。(対症療法ですが...)