ウィルスが来たので strings してみました。
************************************
Copyright (C) 2001, 2003 Radim Picha
http://www.ibxt.com
************************************
最近のウィルスは Copyright 入りなのか?
まぁ、コンパイラか何かの Copyright でしょうけども。
************************************
Version
[WebMoney ID list]
[Far Manager passwords]
[Total Commander ftp passwords]
[The Bat passwords]
\dvp.log
===FORMS LOG START===
===FORMS LOG END===
===KEYLOGGER DATA START===
===KEYLOGGER DATA END===
===CLIPBOARD LOG===
===CLIPBOARD LOG END===
Software\SARS
mailsended
*** Protected Storage Data ***
Protected storage not available
*** Protected Storage Data ends ***
[Protected Storage data already sended]
************************************
キーロガー付き & クリップボードの監視をするボットなんですね。
************************************
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 us.mcafee.com/root/
127.0.0.1 www.symantec.com
\DRIVERS\ETC\hosts
************************************
hosts ファイルの書き換えもしてくれるウィルスですか。
レジストリもいじりそうでした。
Software\Microsoft\Internet Account Manager\Accounts\00000000
http://72.29.74.63/~jamesfar/script/logger.php
ってのもありましたが、何も表示されませんねぇ。(サーバーは生きてます)
http://www.virustotal.com/ によると、パスワード付きの zip ファイルでは
検知できませんでしたが、解凍して与えたところ、こんな感じ。
This is a report processed by VirusTotal on 06/30/2005 at 21:21:50 (CET) after scanning the file "bill.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 06.30.2005 BDS/Dumador.CY.DLL2
Avira 6.31.0.7 06.30.2005 BDS/Dumador.CY.DLL2
BitDefender 7.0 06.30.2005 Dropped:Backdoor.Dumador.CY
ClamAV devel-20050501 06.30.2005 Trojan.Dumador-31
DrWeb 4.32b 06.30.2005 no virus found
eTrust-Iris 7.1.194.0 06.29.2005 no virus found
eTrust-Vet 11.9.1.0 06.30.2005 no virus found
Fortinet 2.36.0.0 06.30.2005 W32/Dumador.CY-bdr
Ikarus 2.32 06.30.2005 no virus found
Kaspersky 4.0.2.24 06.30.2005 Backdoor.Win32.Dumador.cy
McAfee 4525 06.30.2005 BackDoor-CCT.gen
NOD32v2 1.1158 06.29.2005 a variant of Win32/Dumador
Norman 5.70.10 06.30.2005 W32/Malware
Panda 8.02.00 06.30.2005 Suspect File
Sybari 7.5.1314 06.30.2005 Troj/Dumaru-G
Symantec 8.0 06.30.2005 no virus found
TheHacker 5.8.2.063 06.30.2005 no virus found
VBA32 3.10.4 06.30.2005 suspected of Backdoor.Win32.Dumador.1
************************************
Copyright (C) 2001, 2003 Radim Picha
http://www.ibxt.com
************************************
最近のウィルスは Copyright 入りなのか?
まぁ、コンパイラか何かの Copyright でしょうけども。
************************************
Version
[WebMoney ID list]
[Far Manager passwords]
[Total Commander ftp passwords]
[The Bat passwords]
\dvp.log
===FORMS LOG START===
===FORMS LOG END===
===KEYLOGGER DATA START===
===KEYLOGGER DATA END===
===CLIPBOARD LOG===
===CLIPBOARD LOG END===
Software\SARS
mailsended
*** Protected Storage Data ***
Protected storage not available
*** Protected Storage Data ends ***
[Protected Storage data already sended]
************************************
キーロガー付き & クリップボードの監視をするボットなんですね。
************************************
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 us.mcafee.com/root/
127.0.0.1 www.symantec.com
\DRIVERS\ETC\hosts
************************************
hosts ファイルの書き換えもしてくれるウィルスですか。
レジストリもいじりそうでした。
Software\Microsoft\Internet Account Manager\Accounts\00000000
http://72.29.74.63/~jamesfar/script/logger.php
ってのもありましたが、何も表示されませんねぇ。(サーバーは生きてます)
http://www.virustotal.com/ によると、パスワード付きの zip ファイルでは
検知できませんでしたが、解凍して与えたところ、こんな感じ。
This is a report processed by VirusTotal on 06/30/2005 at 21:21:50 (CET) after scanning the file "bill.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 06.30.2005 BDS/Dumador.CY.DLL2
Avira 6.31.0.7 06.30.2005 BDS/Dumador.CY.DLL2
BitDefender 7.0 06.30.2005 Dropped:Backdoor.Dumador.CY
ClamAV devel-20050501 06.30.2005 Trojan.Dumador-31
DrWeb 4.32b 06.30.2005 no virus found
eTrust-Iris 7.1.194.0 06.29.2005 no virus found
eTrust-Vet 11.9.1.0 06.30.2005 no virus found
Fortinet 2.36.0.0 06.30.2005 W32/Dumador.CY-bdr
Ikarus 2.32 06.30.2005 no virus found
Kaspersky 4.0.2.24 06.30.2005 Backdoor.Win32.Dumador.cy
McAfee 4525 06.30.2005 BackDoor-CCT.gen
NOD32v2 1.1158 06.29.2005 a variant of Win32/Dumador
Norman 5.70.10 06.30.2005 W32/Malware
Panda 8.02.00 06.30.2005 Suspect File
Sybari 7.5.1314 06.30.2005 Troj/Dumaru-G
Symantec 8.0 06.30.2005 no virus found
TheHacker 5.8.2.063 06.30.2005 no virus found
VBA32 3.10.4 06.30.2005 suspected of Backdoor.Win32.Dumador.1