Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

ウイルス(Trojan)情報 - シマンテック

レジストリいじりまくりです。むちゃしよんな!ですわ。

いくつかのサービスのプロパティを変更することにより、投下された .dll ファイルをコンピュータ上に既に存在する可能性をもつサービスとして登録します。 注意: サービスの説明は変更されず、また実行ファイルのパスは正規のものと類似しているため、既存のサービスの変更に気付くのは困難である可能性があります。このような方法で、トロイの木馬は侵入先のコンピュータ上で自身の存在を隠そうとします。

こういうのが怖かったんですが既にあったんですか。

Trojan.Mochi は、迷惑メールをリレー配信するトロイの木馬プログラムです。

Bloodhound.Exploit.30 is a heuristic detection for the McAfee Multiple Products LHA File Handling Buffer Overflow as described in CAN-2005-0643.

マカフィーの脆弱性に対応です。太っ腹です。(違

Trojan.Magise は、Microsoft Internet Explorer HTML Help Control のローカルゾーンのセキュリティ制限バイパスの脆弱性 (マイクロソフトセキュリティ情報 MS05-001 参照) を悪用

# ミスタイプした Web サイトまたはアクセスできない Web サイトの検索を Microsoft のポータル (auto.search.msn.com) ではなく、有害な Web サイトに導くことにより、結果のページに不要な広告を表示します。

# ユーザのホームページ設定に関わらず、www.online-service.cc から Internet Explorer のスタートページを表示しようとします。

MS05-001です。

Trojan.Prevert は、mIRC を使用して他のユーザにメッセージを送信したり、すべての固定ドライブに存在する全ファイルを削除したりするトロイの木馬です。

4. Sends multiple HTTP requests to the following Web sites
 causing a Denial of Service:

          * www2.accsjp.or.jp
          * www3.accsjp.or.jp
          * www0.accsjp.or.jp
          * www1.accsjp.or.jp
          * ww2.accsjp.or.jp
          * ww3.accsjp.or.jp
          * 2www.accsjp.or.jp
          * accsjp.or.jp
          * www.accsjp.or.jp

ACCSにDOS攻撃。

Desktop Wallpaper contains the following text:

Warning! You're in danger.

画像もありますね。トレンドマイクロ社のん?TROJ_FAVADD.Aと画像は同じですけど、デスクトップ項目の設定変更に関する記述がないですね。

Displays following fake warning message:

Title: Windows Security Center

Message:
WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords.
Do you want to learn how to protect your computer?

Windows Security Center のフェイク・メッセージ画面出すやつ。この辺亜種がいっぱいありそうな。

通知領域にバルーン出すやつですね。これも既に亜種がいっぱいあるのでは?

Trojan.Alpiok は、次のことを行うトロイの木馬です。

    * Hosts ファイルを改ざんする。
    * セキュリティ設定を低下させる。
    * 侵入先のコンピュータを電子メールのリレー配信に利用できるようにする。


次のファイルを作成します。

    * %System%\[ランダムな 8 文字].exe
    * %System%\[ランダムな 8 文字].dll

# 次の値を

"SysTray.Ex" = "{F5B7D0BE-5f02-4255-96DB-388DFA244900}"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad

Internet Explorer の起動時に必ずトロイの木馬が実行されるように設定します。

# 次の値を

"(標準)" = "%System%\[ランダムな 8 文字].dll"
"ThreadingModel" = "Apartment"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\Software\Classes\CLSID
\{F5B7D0BE-5f02-4255-96DB-388DFA244900}\InProcServer32

Internet Explorer の起動時に必ずトロイの木馬が実行されるように設定します。
# Warning: Spyware Deteced! (677 Browser Warning)
System: Your computer is infected with malicious applications without your knowledge.
It is estimated that over 91% of all computers that have Internet access are infected with adware and/or spyware viruses. You need special software to resolve this problem,
Click here now
[Followed by more text and links]

# SPYWARE ALERT!!
Malicious spyware/adware infections has been found in your computer!
You're in trouble! Protect yourself!
What is Spyware? And what is Adware?
How to Remove Spyware?
Is there Free Spyware Removal Tool?
Act Now! Click here to Learn More...
次の値を

"CLSID" = "{2862736E-7B27-418A-A4E8-F13FB2E8C945}"

次のレジストリサブキーに追加することにより、

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain

プロトコルフィルタとして自分自身を登録します。これにより、トロイの木馬は Internet Explorer で表示されるコンテンツを改ざんできるようになります。

色々な手がありますね。