ウイルス情報

ウイルス名 危険度

BackDoor-AKW

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4238
対応定義ファイル
(現在必要とされるバージョン)
4238 (現在7652)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Remoper (AVP)
情報掲載日 02/12/11
発見日(米国日付) 02/12/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • BackDoor-AKWはリモートアクセス型トロイの木馬で、多数のバージョンが検出されます。下記の説明及び指定されたエンジン・定義ファイルは、最近のバージョンに関するものです。

  • 他のリモートアクセス型トロイの木馬と同様に、このウイルスは2つのコンポーネントで構成されています。一度サーバコンポーネントがターゲットマシンで実行されると、ハッカーはクライアントコンポーネントを使用してターゲットマシンに接続(及びマシンを管理)できるようになります。

  • サーバコンポーネント

  • サーバコンポーネントは、ドロッパによりインストールされます。AVERTでは、このドロッパ−に“NortonAntiVirus.exe”という紛らわしい名前がつけられているという報告を少なくとも1件受けています。このドロッパが実行されると、Windows SystemディレクトリにWIN32RT.EXEとしてサーバコンポーネントをインストールします。そして、次のキーを追加してシステムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Wi32De75" = C:\WINDOWS\SYSTEM\WIN32RT.EXE
    注:ファイル名とレジストリキー名はバージョンによって異なる場合があります。

  • また、ターゲットマシンのTCPポート6066を開きます。

  • クライアントコンポーネント

  • クライアントコンポーネントを使用すると、ハッカーはサーバコンポーネントがインストールされたターゲットマシンにリモート接続できるようになります。

  • クライアントコンポ−ネントの機能はバージョンによって異なりますが、代表的な機能は以下のとおりです。

  • エラー/メッセージボックスを表示する
    ●ファイルを実行する
    ●リモートのURLを開く
    ●モニターの電源を入れる/消す
    ●デスクトップを隠す/表示する
    ●CD-ROMのトレイを開く/閉じる
    ●プロセスをブラウズする/強制終了する
    ●キーストロークのスパイを開始する/中止する
    ●Windowsを再起動する

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ターゲットマシンのTCPポート6066が開いている。

  • 上記のファイルとレジストリフックが存在する。

TOPへ戻る

感染方法

  • サーバコンポーネントはドロッパファイルによりターゲットマシンにインストールされる。このファイルは、例えば“NortonAntiVirus.exe”などの紛らわしい名前がつけられている場合がある。 一度インストールされると、ハッカーはクライアントコンポーネントを使用してターゲットマシンに接続できるようになる。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る