ウイルス情報

ウイルス名 危険度

BackDoor-AIT

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4215
対応定義ファイル
(現在必要とされるバージョン)
4215 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Irtih.10 (AVP), BackDoor.Irtth.10 (DrWeb), Backdoor/IRTTH.10 (Panda)
情報掲載日 02/08/20
発見日(米国日付) 02/07/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このトロイの木馬は、Visual Basic 6 で作成されており、起動する為にホストマシンに MSVBVM60.DLL が必要です。

  • このトロイの木馬がホストマシン上で起動すると、クライアントコンポーネントからの指示を 15000 ポートで受けます。下記のアクションを含みます。

    • クリップボードのコンテンツをコピー
    • CD-ROM トレイの開け閉め
    • ハードディスク参照
    • ファイルの削除、アップロード、ダウンロード、実行。
    • ディレクトリ、またはフォルダの削除、作成。

  • 他にもアクションは可能です。下記は、クライアントコンポーネントの例です。

  • このトロイの木馬は、別名 "IRTTH" で、これは "In route to the hell" の頭文字を取ったものです。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 15000 ポートが空いている。
  • レジストリキーが改変され、Windows 起動時に Backdoor-AIT が起動する。

TOPへ戻る

感染方法

  • このトロイの木馬が起動すると、次回の Windows 起動時に自身を起動するようにレジストリを改変します。

    • HKEY_USERS\[logged in username]\Software\Microsoft\Windows\CurrentVersion\Run\UserConfig=(path of Trojan)\server.exe

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\RegSetWindowsKey=(path of Trojan)\server.exe

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る