発見日: 2005 年 11 月 3 日
更新日: 2008 年 1 月 29 日 6:02:53 AM
別名: Win32.Glieder.CE [Panda Software]
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Trojan.Lodear.C は、リモートファイルをダウンロードしようとするトロイの木馬です。
このトロイの木馬は、いったん実行されると、自分自身を %System%\hloader_exe.exe としてコピーします。
- 次に、次のレジストリエントリを作成して、Windows が開始されるたびにこのトロイの木馬が実行されるようにします。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"auto__hloader__key" = "%System%\hloader_exe.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"auto__hloader__key" = "%System%\hloader_exe.exe"
その後このトロイの木馬は、次の .dll ファイル(5646 バイト)を作成し、それを EXPLORER.EXE プロセス内に挿入します。
%System%\hleader_dll.dll
この .dll ファイルは、Internet Explorer を使い TCP ポート 80 を介して次の Web サイトへコンタクトし、リモートファイルをダウンロードしようと試みます。
- http://1st-new-orleans-hotels.com/w.php
- http://202.44.52.38/w.php
- http://209.126.128.203/w.php
- http://25kadr.org/w.php
- http://65.108.195.73/w.php
- http://757555.ru/w.php
- http://80.146.233.41/w.php
- http://abtechsafety.com/w.php
- http://abtechsafety.com/w.php
- http://acentrum.pl/w.php
- http://adavenue.net/w.php
- http://adoptionscanada.ca/w.php
- http://adventecgroup.com/w.php
- http://africa-tours.de/w.php
- http://agenciaspublicidadinternet.com/w.php
- http://ahava.cafe24.com/w.php
- http://aibsnlea.org/w.php
- http://aikidan.com/w.php
- http://ala-bg.net/w.php
- http://alevibirligi.ch/w.php
- http://alfaclassic.sk/w.php
- http://allanconi.it/w.php
- http://allinfo.com.au/w.php
- http://americasenergyco.com/w.php
- http://amerykaameryka.com/w.php
- http://amistra.com/w.php
- http://analisisyconsultoria.com/w.php
- http://av2026.comex.ru/w.php
- http://calamarco.com/w.php
- http://ccooaytomadrid.org/w.php
- http://charlies-truckerpage.de/w.php
- http://drinkwater.ru/w.php
- http://eleceltek.com/w.php
- http://furdoszoba.info/w.php
- http://home.1000km.ru/w.php
- http://kepter.kz/w.php
- http://lifejacks.de/w.php
- http://mijusungdo.net/w.php
- http://oklens.co.jp/w.php
- http://phrmg.org/w.php
- http://s89.tku.edu.tw/w.php
- http://sacafterdark.net/w.php
- http://sarancha.ru/w.php
- http://template.nease.net/w.php
- http://tkdami.net/w.php
- http://virt33.kei.pl/w.php
- http://wunderlampe.com/w.php
- http://www.8ingatlan.hu/w.php
- http://www.a2zhostings.com/w.php
- http://www.abavitis.hu/w.php
- http://www.adamant-np.ru/w.php
- http://www.agroturystyka.artneo.pl/w.php
- http://www.americarising.com/w.php
- http://www.aro-tec.com/w.php
- http://www.barth.serwery.pl/w.php
- http://www.bmswijndepot.com/w.php
- http://www.etwas-mode.de/w.php
- http://www.leap.co.il/w.php
- http://www.OTT-INSIDE.de/w.php
- http://www.rewardst.com/w.php
- http://www.stanislawkowalczyk.netstrefa.com/w.php
- http://www.timecontrol.com.pl/w.php
- http://www.ubu.pl/w.php
このトロイの木馬は、ダウンロードしたファイルを保存するための次のフォルダを作成します。
%Windir%\exefld
このトロイの木馬は、.zip ファイルの添付ファイルを含んでいる電子メールを介してユーザーへスパム送信されているようです。この .zip ファイルは、次のいずれかのファイル名を持つこのトロイの木馬のコピーを含んでいます。
記述: Candid Wueest
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
