ウイルス情報

ウイルス名 危険度

BackDoor-ARR

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4254
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.GrayBird (AVP)
情報掲載日 03/03/18
発見日(米国日付) 03/03/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--- 2003年8月15日更新情報 ---
SearchSecurity.comのTrojan preying on Lovsan hits inboxesという記事が出たため、BackDoor-ARRの危険度を低[要注意]に引き上げました。

・このトロイの木馬は最近大量にメール送信されました。現行のエンジンでヒューリスティックスキャンを有効にしてスキャンすると、新しい亜種はMalware.bとして検出されます。4286定義ファイルを使うと通常の検出が行なえます。


以下はスパムメッセージの例になります。
差出人:webmaster@microsoft.com
件名:updated
本文:Dear customer:

At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.

Download the attached update program. To begin the download process, do one of the following:

To download the attached program to your computer for installation at a later time, click Save or Save this program to disk.then run it. If you have any problem ,connect to us immediately.

添付ファイル:

03-26updated.exe (319,670 bytes)

・このトロイの木馬には亜種がいくつか存在します。BackDoor-ARRのサーバコンポーネントがターゲットマシンで実行されると、ハッカーはターゲットマシンに接続して管理できます。

・このトロイの木馬が実行されるとターゲットシステムに自身をインストールし、Systemディレクトリに自身をコピーします。例えば、C:\WINDOWS\SYSTEM\SVCH0ST.EXEというファイル名で自身をコピーします。

・以下のレジストリキーを作成してWindowsの起動時に自身を実行します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "winlogon" = %SysDir%\SVCH0ST.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    "winlogon" = %SysDir%\SVCH0ST.EXE
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "winlogon" = %SysDir%\SVCH0ST.EXE

・またWIN.INIファイルに以下のエントリを作成し、Windowsの起動時に自身を実行します。

  • run=%SysDir%\SVCH0ST.EXE

・ハッカーは、ターゲットマシン上で以下のタスクを実行できます。

  • ターゲットマシン情報(特にパスワード)の取得
  • ターゲットマシンからメッセージを送信
  • CDトレイの開閉
  • キーロギング

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・BackDoor-ARRに見られる以下の感染症状は、リモートアクセス型トロイの木馬の感染症状の代表的なものです。

  • 通常開かない/予期していないマシンのポートが開いています(テストでは、ポート1040、1041、および1043が開きました)。
  • 上記のファイルが存在します。
  • 不正なリモート管理以外では説明できない不自然な動作がターゲットマシン上で起こります。

TOPへ戻る

感染方法

・トロイの木馬は自己複製せず、ユーザが「便利なファイル」を装った実行ファイルを手動で実行することで繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る