ウイルス情報

ウイルス名 危険度

BackDoor-ADM

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4202
対応定義ファイル
(現在必要とされるバージョン)
5114 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Intruzzo (AVP), Backdoor.Intrzo.A (Softwin), W32/Intruzzo.1_0 (Norman)
情報掲載日 02/05/01
発見日(米国日付) 02/04/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このリモート アクセス型トロイの木馬がターゲット マシンで初めて起動すると、前面に、走る男性の動画が表示されることがあります。動画と共に「Unknown GUY」というタイトルの縮小されたウィンドウが表示されることもあります。

       

  • また、このトロイの木馬は、このバックドアのクライアント コンポーネントを実行するハッカーからリモート コマンドを聴取するために、ポート22784を開きます。

  • このトロイの木馬は、Windows Systemディレクトリに自身をコピーし、次回のシステム起動時に自身のプログラムが確実に読み込まれるように、次のレジストリ キーを設定します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Microsoft Syscheck" = C:\WINDOWS\System\Syscheck.exe /s

  • このトロイの木馬が使用するファイル名やレジストリ キーの名前は、バックドアのバージョンによって異なることがあります。(/sスイッチはサイレント モードを呼び出し、上記のグラフィックは表示されなくなります。)

  • このトロイの木馬のサーバ コンポーネントには、ターゲット マシンの詳細(ポート番号、IPアドレス)を(ポート80経由、WWPMsg.dllライブラリを利用して)電子メールでハッカーに送るコードが含まれています。

  • サーバ機能は、このトロイの木馬のバージョンによって異なる場合がありますが、多くの一般的なバックドアに共通の操作は次のとおりです。

    • マシンをシャットダウンする
    • CD-ROMトレーを開閉する
    • PWL(Windowsパスワード)ファイルを読み込む
    • ファイル システムを操作する(アップロード、ダウンロード、コピー、削除、実行など)
    • ターゲット マシンのスクリーンダンプをキャプチャする
    • タスクバーを操作する
    • メッセージを送信する
    • マウスを移動/無効にする

  • 指定されたエンジンと定義ファイルでは、このバックドア型トロイの木馬を検出、削除できます。また、上記のようなレジストリ フックも除去できます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • Windows Systemディレクトリに、サーバ ファイルと上記のレジストリ キーが存在する。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る