09/03/04 21:09:47 +AbCuUjT0
>>277
Trojan-Dropper.Win32.Joiner.a
Trojan-Dropper:W32/Agent.REKは一度実行されると下記ファイルを生成し実行します。
%System%\WinNt32.dll
%System%\drivers\[random filename].sys
生成されたファイルはTrojan-Downloader:W32/Agent.GLHとTrojan-Dropper:W32/Agent.REKと検知されます。
また、インストール作業の一部として下記レジストリエントリーを生成します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32 DLLName = "WinNt32.dll" StartShell = WLEventStartShell
HKLM\SYSTEM\CurrentControlSet\Services\[random filename] ImagePath = "%System%\drivers\[random filename]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\[random filename].sys (default) = Driver
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[random filename].sys (default) = Driver
Trojan-Downloader:W32/Agent.GLHは下記IPアドレスにアクセスを行います。
208.66.195.15
217.170.77.146
66.232.113.80
注記
%System%とはたいてい\Windows\System32を意味します。
[ramdom filename]はこのトロイにより感染時にOiv23.sysまたはTqy10.sysのようにランダムに生成されたファイル名を意味します。