7/7 9:27 日本語情報公開の連絡
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_DUMADOR.AO
とか思ってたら、また検索に引っかからないウィルスが 2種。
トレンドマイクロには2つとも。Symantec には report.log.exe のみ検体の提出を行いました。
zip + password でしたが、http://www.virustotal.com/ へ展開して与えてみました。
This is a report processed by VirusTotal on 07/07/2005 at 04:15:10 (CET) after scanning the file "document.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 07.06.2005 no virus found
AVG 718 07.07.2005 Dropper.Agent.7.AC
Avira 6.31.0.7 07.06.2005 TR/Proxy.Agent.DL.2
BitDefender 7.0 07.07.2005 no virus found
ClamAV devel-20050501 07.06.2005 Trojan.Dropper.Agent-9
DrWeb 4.32b 07.06.2005 Trojan.PWS.Agu
eTrust-Iris 7.1.194.0 07.07.2005 no virus found
eTrust-Vet 11.9.1.0 07.06.2005 no virus found
Fortinet 2.36.0.0 07.06.2005 W32/Agent.LO-dr
Ikarus 2.32 07.06.2005 no virus found
Kaspersky 4.0.2.24 07.07.2005 Trojan-Dropper.Win32.Agent.lo
McAfee 4529 07.06.2005 no virus found
NOD32v2 1.1162 07.06.2005 Win32/TrojanDropper.Agent.LO
Norman 5.70.10 07.05.2005 no virus found
Panda 8.02.00 07.06.2005 Trj/Dropper.ID
Sybari 7.5.1314 07.07.2005 Trojan-Dropper.Win32.Agent.lo
Symantec 8.0 07.06.2005 no virus found
TheHacker 5.8.2.066 07.05.2005 no virus found
VBA32 3.10.4 07.06.2005 suspected of Trojan.PWS.Agu.1
==================
exe ファイルをそのまま添付されていたので、そのまま与えてみる。
This is a report processed by VirusTotal on 07/07/2005 at 04:44:56 (CET) after scanning the file "report.log.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 07.06.2005 no virus found
AVG 718 07.07.2005 no virus found
Avira 6.31.0.7 07.06.2005 no virus found
BitDefender 7.0 07.07.2005 BehavesLike:Win32.ExplorerHijack
ClamAV devel-20050501 07.06.2005 no virus found
DrWeb 4.32b 07.06.2005 no virus found
eTrust-Iris 7.1.194.0 07.07.2005 no virus found
eTrust-Vet 11.9.1.0 07.06.2005 no virus found
Fortinet 2.36.0.0 07.06.2005 suspicious
Ikarus 2.32 07.06.2005 no virus found
Kaspersky 4.0.2.24 07.07.2005 no virus found
McAfee 4529 07.06.2005 no virus found
NOD32v2 1.1162 07.06.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 07.05.2005 W32/Malware
Panda 8.02.00 07.06.2005 no virus found
Sybari 7.5.1314 07.07.2005 W32/Malwar
Symantec 8.0 07.06.2005 no virus found
TheHacker 5.8.2.066 07.05.2005 no virus found
VBA32 3.10.4 07.06.2005 no virus found
strings の結果から推測してみると、Zone alerm や、outpost のようなパーソナルファイヤーウォールを止めた上で、proxy として動作する物のようです。勿論 Software\Microsoft\Windows\CurrentVersion\Run に登録し、自動起動します。firefox.exe という文字列も見えるので、http/ftp なパスワードも盗むようです。502 Bad Gateway なんて文字から、HTTP サーバーにもなりそうですねぇ。たった 67k ですが、色々とやってくれるようです
ファイルの先頭にはこんな文字列が...
uggcf://r-tbyq.pbz/nppg/ybtva.nfc|r-tbyq.pbz/nppg/onynapr.nfc|uggc://ybpnyubfg/2cnp/
rot13 してやると
https://e-gold.com/acct/login.asp|e-gold.com/acct/balance.asp|http://localhost/2pac/
もっとひねろうよ。でも、ウィルスとどういう関係なのかは謎。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_DUMADOR.AO
とか思ってたら、また検索に引っかからないウィルスが 2種。
トレンドマイクロには2つとも。Symantec には report.log.exe のみ検体の提出を行いました。
zip + password でしたが、http://www.virustotal.com/ へ展開して与えてみました。
This is a report processed by VirusTotal on 07/07/2005 at 04:15:10 (CET) after scanning the file "document.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 07.06.2005 no virus found
AVG 718 07.07.2005 Dropper.Agent.7.AC
Avira 6.31.0.7 07.06.2005 TR/Proxy.Agent.DL.2
BitDefender 7.0 07.07.2005 no virus found
ClamAV devel-20050501 07.06.2005 Trojan.Dropper.Agent-9
DrWeb 4.32b 07.06.2005 Trojan.PWS.Agu
eTrust-Iris 7.1.194.0 07.07.2005 no virus found
eTrust-Vet 11.9.1.0 07.06.2005 no virus found
Fortinet 2.36.0.0 07.06.2005 W32/Agent.LO-dr
Ikarus 2.32 07.06.2005 no virus found
Kaspersky 4.0.2.24 07.07.2005 Trojan-Dropper.Win32.Agent.lo
McAfee 4529 07.06.2005 no virus found
NOD32v2 1.1162 07.06.2005 Win32/TrojanDropper.Agent.LO
Norman 5.70.10 07.05.2005 no virus found
Panda 8.02.00 07.06.2005 Trj/Dropper.ID
Sybari 7.5.1314 07.07.2005 Trojan-Dropper.Win32.Agent.lo
Symantec 8.0 07.06.2005 no virus found
TheHacker 5.8.2.066 07.05.2005 no virus found
VBA32 3.10.4 07.06.2005 suspected of Trojan.PWS.Agu.1
==================
exe ファイルをそのまま添付されていたので、そのまま与えてみる。
This is a report processed by VirusTotal on 07/07/2005 at 04:44:56 (CET) after scanning the file "report.log.exe" file.
Antivirus Version Update Result
AntiVir 6.31.0.7 07.06.2005 no virus found
AVG 718 07.07.2005 no virus found
Avira 6.31.0.7 07.06.2005 no virus found
BitDefender 7.0 07.07.2005 BehavesLike:Win32.ExplorerHijack
ClamAV devel-20050501 07.06.2005 no virus found
DrWeb 4.32b 07.06.2005 no virus found
eTrust-Iris 7.1.194.0 07.07.2005 no virus found
eTrust-Vet 11.9.1.0 07.06.2005 no virus found
Fortinet 2.36.0.0 07.06.2005 suspicious
Ikarus 2.32 07.06.2005 no virus found
Kaspersky 4.0.2.24 07.07.2005 no virus found
McAfee 4529 07.06.2005 no virus found
NOD32v2 1.1162 07.06.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 07.05.2005 W32/Malware
Panda 8.02.00 07.06.2005 no virus found
Sybari 7.5.1314 07.07.2005 W32/Malwar
Symantec 8.0 07.06.2005 no virus found
TheHacker 5.8.2.066 07.05.2005 no virus found
VBA32 3.10.4 07.06.2005 no virus found
strings の結果から推測してみると、Zone alerm や、outpost のようなパーソナルファイヤーウォールを止めた上で、proxy として動作する物のようです。勿論 Software\Microsoft\Windows\CurrentVersion\Run に登録し、自動起動します。firefox.exe という文字列も見えるので、http/ftp なパスワードも盗むようです。502 Bad Gateway なんて文字から、HTTP サーバーにもなりそうですねぇ。たった 67k ですが、色々とやってくれるようです
ファイルの先頭にはこんな文字列が...
uggcf://r-tbyq.pbz/nppg/ybtva.nfc|r-tbyq.pbz/nppg/onynapr.nfc|uggc://ybpnyubfg/2cnp/
rot13 してやると
https://e-gold.com/acct/login.asp|e-gold.com/acct/balance.asp|http://localhost/2pac/
もっとひねろうよ。でも、ウィルスとどういう関係なのかは謎。
F-Secure で 7/1 に報告されていました。なのに未対応だったんですねぇ。
http://www.f-secure.com/weblog/#00000592
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050708/164238/
メアド晒してると楽しいですねぇ(^^)