Win32/Agent.NTZ
公開日:2016年05月09日
危険度:1
| 定義名称 | Win32/Agent.NTZ |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Agent.NTZ |
| 別名 | DNSChanger.AD(AVG)、Trojan.Virtumod.based.22(Dr.Web) |
| 種別 | トロイの木馬、ワーム |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Agent.NTZの亜種 トロイの木馬またはワーム」という名称で警告が出ます。 |
| 対応時期 | バージョン3054(20080425)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | これは、リモートからコントロール可能なバックドア型のトロイの木馬です。別のマルウェアの一部であると考えられます。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%windir%\%variable1%.exe
次のファイルを同じフォルダー内に作成します。
%system%\%variable2%.dll
システムが起動するたびに実行されるよう、次のレジストリーエントリーを設定します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"%variable3%" = "%windir%\%variable1%.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%system%\%variable2%.dll %originalcontent%"
次のレジストリーエントリーを設定します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{625B529F-9E03-4475-9F3D-33F9B7B410F2}]
"Separate Device ID" = "%windir%\%variable1%.exe"
"Manufacturer Name" = "%variable2%.dll"
"Organization Name" = "%variable3%"
"Sub-system ID" = %binvalue%
%variable1-3%には可変の文字列が入ります。
その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
2つのURLを保持しています。通信にはTCPプロトコルが使用されます。
インターネットからファイルをダウンロードする場合があります。
ダウンロードしたファイルを次の場所に保存します。
%temp%\exx%variable%.exe
このファイルを実行します。
%variable%には可変の文字列が入ります。
特定の実行中のプロセスを停止させる場合があります。