前回のウィルスの日本語解説が出ない間に、また検出できないウィルスが...パスワード付きの zip ファイルで、例によって展開して送りつけるとVirusTotal ではこんな感じ。
This is a report processed by VirusTotal on 07/14/2005 at 21:53:43 (CET) after scanning the file "__12487" file.
Antivirus Version Update Result
AntiVir 6.31.0.9 07.14.2005 TR/Proxy.Agent.DL.2
AVG 718 07.14.2005 no virus found
Avira 6.31.0.9 07.14.2005 TR/Proxy.Agent.DL.2
BitDefender 7.0 07.14.2005 no virus found
CAT-QuickHeal 7.03 07.14.2005 no virus found
ClamAV devel-20050501 07.14.2005 no virus found
DrWeb 4.32b 07.14.2005 no virus found
eTrust-Iris 7.1.194.0 07.13.2005 no virus found
eTrust-Vet 11.9.1.0 07.14.2005 Win32.Dermon.A
Fortinet 2.36.0.0 07.14.2005 no virus found
F-Prot 3.16c 07.14.2005 no virus found
Ikarus 2.32 07.14.2005 no virus found
Kaspersky 4.0.2.24 07.14.2005 no virus found
McAfee 4535 07.14.2005 BackDoor-CIU
NOD32v2 1.1169 07.14.2005 no virus found
Norman 5.70.10 07.14.2005 no virus found
Panda 8.02.00 07.14.2005 no virus found
Sybari 7.5.1314 07.14.2005 BackDoor-CIU
Symantec 8.0 07.14.2005 no virus found
TheHacker 5.8.2.070 07.13.2005 no virus found
VBA32 3.10.4 07.14.2005 suspected of Embedded.Trojan-Spy.Win32.Agent.dt
Trendmicro からは 7/15 5:13 に受付メールを送信されました。メールの届いたのが 7/13 20:30 なんだから、もっと早く提出しようよって気がしなくもなく...
ちなみに Symantec は、どうも proxy の中からでは提出が不可能な模様 ー> 早く気づけよσ(-_-)
しかしまぁ、最近は検出できないウィルスが多いなぁ。
例によって strings dos.exe
Software\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Classes\http\shell\open\command\
SOFTWARE\Classes\https\shell\open\command\
Internet Explorer\Iexplore.exe
.....
[IE:%s]
internet explorer
%s %s
[%02d.%02d.%d %02d:%02d:%02d]
[ CLIPBOARD: %s ]
body.exe
.....
lsass.exe
.....
[PASSWORDS]
POP3 Password2
POP3 Server
POP3 User Name
HTTPMail Password2
Hotmail
HTTPMail User Name
Software\Microsoft\Internet Account Manager\Accounts
kPStoreCreateInstance
pstorec.dll
AutoComplete Passwords
IE Auto Complete
https:/
http:/
:String
StringIndex
e161255a
MSN Explorer Signup
OutlookExpress
b9819c52
IE:Password-Protected sites
5e7e8100
Deleted OE Account
220d5cc1
.?AV_com_error@@
.?AVtype_info@@
qbyynezhygvcyvre.pbz
.....
127.0.0.1
HTTP/1.0 404 Not Found
Proxy-Connection: close
Content-type: text/html; unsigned charset=us-ascii
<html><head><title>404 Not Found</title></head>
<body><h2>404 Not Found</h2><h3>File not found</body></html>
HTTP/1.0 200 Connection established
Content-Type: text/html
HTTP/1.0 200 Connection established
HTTP/1.0 407 Proxy Authentication Required
Proxy-Authenticate: Basic realm="proxy"
Proxy-Connection: close
.....
%s/r.php?i=%u&s=%u&o=%u&c=%u&v=%u&h=%u&ip=%s&un=%s&uv=%s
.....
perflibs_.dat
.....
mustlive_%u.exe
NULL
%slp.php?i=%u&v=%u&win=%s&un=%s&uv=%s
こんな感じで、レジストリに登録されたり、インターネットに勝手に接続に行くのかな?とか、Webサーバーになるのかな?とか。でも、アクセスしに行く URL がそのまま書いていない辺り、頭がいいのかな?
% strings doc.exe | grep DOS
!This program cannot be run in DOS mode.
!This program cannot be run in DOS mode.
!This program cannot be run in DOS mode.
と言う辺りから、実行ファイルが3つ入っているのかな?とか
% echo qbyynezhygvcyvre.pbz | rot13
dollarmultiplier.com
時刻は、トレンドマイクロの出したメールのタイムスタンプ。
07/15 05:13 Webにて検体提供。
07/15 05:13 トレンドマイクロより受付メール受信。
07/15 13:12 メールの内容を添付するとまとめて隔離されるため、メールの内容を書かずに検体のみ提供するよう指示を受ける。
07/15 16:37 再度 Web ページより検体を提出。受付メール受信
07/19 17:30 パターンファイル「2.733.00」以降で、ウイルス「TROJ_DERMON.C」として検出可能。と連絡あり。
07/27 03:00 現在 日本のトレンドマイクロには同名のウイルス解説ページは存在しない模様。...
えげれすのさいとにはあるみたいです。