発見日: 2005 年 4 月 23 日
更新日: 2008 年 10 月 20 日 12:46:08 AM
別名: Zlob.VideoActiveXObject [Spybot-S&D], Trojan-Downloader-Zlob [Sunbelt Software]
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
Trojan.Zhopa の名称を、 Trojan.Zlob に変更しました。
Trojan.Zlob は、リモートの攻撃者による侵入先のコンピュータでの各種の有害な操作を可能にする、トロイの木馬です。
Trojan.Zlob は実行時に、以下のいずれかとして自分自身をコピーします。
- %System%\msmsgs.exe
- %System%\ld100.tmp
- %System%\regperf.exe
また、Windows 起動毎に自分自身を実行するために、次のレジストリエントリを作成します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MSN Messenger" = "%System%\msmsgs.exe"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, msmsgs.exe"
また、次のレジストリエントリを追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\"wininet.dll" = "regperf.exe"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"notepad.exe" = "msmsgs.exe"
また、レジストリに次の値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"uuid" = "86c29b2f-3389-418b-9b47-c2b09b6abc07"
続いて、 explorer.exe に自分自身を挿入しようとします。
次のホストと HTTP 接続を確立しようとします。
- vnp7s.net
- zxserv0.com
- dumpserv.com
複数の異なる URL を使用することで、ping、状況の報告、リモートファイルの実行を可能にします。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
