ウイルス情報

ウイルス名 危険度

BackDoor-BCG

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4333
対応定義ファイル
(現在必要とされるバージョン)
6322 (現在7633)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor:Win32/FlyAgent.F [Microsoft]W32.SillyDC [Symantec]Worm.Win32.FlyStudio.cl [Kaspersky Lab]WORM_FL.DCDB48AE [Trend Micro]
情報掲載日 2010/11/17
発見日(米国日付) 2004/03/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・BackDoor-BCGはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

-- 2010年11月16日更新 --

ファイル情報

  • MD5 - D99FF46B03F8AC35FDC8ADF60E6E1E70
  • SHA - AC47831F1E302CE438D6135221793B0C7D228094

TOPへ戻る

ウイルスの特徴

-- 2010年11月16日更新 --

・BackDoor-BCGはアクセス可能なディスクボリュームのルートに自身をコピーするワームです。さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームがマウントされたときに実行されるようにします。

・実行時、以下の場所に自身をコピーします。

  • %WINDIR%\system32\ACF7EF\74BE16.EXE
  • [リムーバブルドライブ]:\ XXX

[注:XXXはリムーバブルドライブの「フォルダの名前」]

・BackDoor-BCGはリムーバブルドライブに感染します。[フォルダの名前].exeという名前で自身をコピーします。次に、ファイルのコピーが正規のものであるとユーザに思わせるため、オリジナルのフォルダの属性を「Hidden」に設定します。ユーザがファイルを開くと、BackDoor-BCGがバックグラウンドで実行されると同時に、対応するオリジナルのフォルダが開かれ、ユーザに表示されます。

・また、以下のファイルをシステムにドロップ(作成)します。

  • %WINDIR%\system32\5A8DCC\cnvpe.fne [generic.dx!tzpという名前で検出]
  • %WINDIR%\system32\5A8DCC\dp1.fne
  • %WINDIR%\system32\5A8DCC\eAPI.fne [generic!bg.etrという名前で検出]
  • %WINDIR%\system32\5A8DCC\HtmlView.fne
  • %WINDIR%\system32\5A8DCC\internet.fne
  • %WINDIR%\system32\5A8DCC\krnln.fnr
  • %WINDIR%\system32\5A8DCC\RegEx.fnr
  • %WINDIR%\system32\5A8DCC\shell.fne [Generic PWS.y!hv.sという名前で検出]
  • %WINDIR%\system32\5A8DCC\spec.fne [Generic Vundo.gen.cgという名前で検出]
  • %Temp%\E_N4\cnvpe.fne[generic.dx!tzpという名前で検出]
  • %Temp%\E_N4\dp1.fne
  • %Temp%\E_N4\eAPI.fne [generic!bg.etrという名前で検出]
  • %Temp%\E_N4\HtmlView.fne
  • %Temp%\E_N4\internet.fne
  • %Temp%\E_N4\krnln.fnr
  • %Temp%\E_N4\shell.fne [Generic PWS.y!hv.sという名前で検出]
  • %Temp%\E_N4\spec.fne [Generic Vundo.gen.cgという名前で検出]
  • [リムーバブルドライブ]:\AutoRun.inf

・「AutoRun.inf」ファイルはBackDoor-BCGの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-BCGが自動的に起動されます。

・autorun.infは以下のコマンド構文でBackDoor-BCGのファイルを起動するように設定されています。

[AutoRun]

open=Recycle.exe

shell\1=´oソ

shell\1\Command=Recycle.exe

shell\2\=a ̄AA(&B)

shell\2\Command=Recycle.exe

shellexecute=Recycle.exe

・また、BackDoor-BCGのコピーを指すリンクをスタートアップフォルダに作成する可能性があります。

  • %userprofile%\Start Menu\Programs\Startup\74BE16.lnk

・上記の項目により、Windowsが起動すると必ずBackDoor-BCGが実行されるようにします。

・以下のフォルダがシステムに追加されます。

  • %WINDIR%\system32\0F6226
  • %WINDIR%\system32\5A8DCC
  • %WINDIR%\system32\76682F
  • %WINDIR%\system32\ACF7EF
  • %Temp%\E_N4

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    9F21A4="%WINDIR%\system32\8F4483\9F21A4.EXE"

・上記の項目により、Windowsが起動すると必ずBackDoor-BCGが実行されるようにします。

・また、以下のサイトから他の悪質なファイルをダウンロードする可能性があります。

  • www.ba[削除]u.com、リモートポート80を使用

・また、以下のWebブラウザによって保存されたパスワードと機密データを盗み出し、攻撃者に送信します。

  • mozilla,
  • Chrome,
  • Opera
  • Avant
  • Netscape
  • Safari
  • Flock
  • AOL Explorer
  • SeaMonkey
  • K-Meleon

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000), %userprofile% - C:\Documents and Settings\[ユーザ名], %Temp%はテンポラリフォルダ]


・BackDoor-BCGは乗っ取ったマシンでバックドアを開き、攻撃者がリモートアクセスできるようにします。

・バックドアが実行されると、WindowsまたはWindowsのシステムフォルダに自身のファイルをコピーし、Windowsの各セッション中にそのファイルを始動するためのレジストリキーを作成します。また、バックドアの中には、WIN.INI、SYSTEM.INIファイルを改変したり、別のユーザのスタートアップフォルダに自身をコピーしたりするものもあります。

・実行時、以下のようなメッセージボックスが表示されます。

・以下のファイルがシステムに追加されます。

ファイル名マカフィーの検出名
%Temp%\E_N4\cnvpe.fne%System%\13E92A\cnvpe.fneTool-EPLLib
%Temp%\E_N4\dp1.fne%System%\13E92A\dp1.fneTool-EPLLib
%Temp%\E_N4\eAPI.fne%System%\13E92A\eAPI.fneGeneric.dx
%Temp%\E_N4\HtmlView.fne%System%\13E92A\HtmlView.fneTool-EPLLib
%Temp%\E_N4\internet.fne%System%\13E92A\internet.fneTool-EPLLib
%Temp%\E_N4\krnln.fnr%System%\13E92A\krnln.fnrTool-EPLLib
%Temp%\E_N4\shell.fne%System%\13E92A\shell.fneGeneric.dx
%Temp%\E_N4\spec.fne%System%\13E92A\spec.fneTool-EPLLib

・以下のフォルダがシステムに追加されます。

%Temp%\E_N4
%System%\2B4FA4
%System%\372109
%System%\499E86
%System%\A9C3FF

・以下のレジストリキーがシステムに追加されます。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\3\0\1\2
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\155
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\155\Shell

・以下の値が追加されます。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\3\0\1 "2"
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\3\0\1\2 "MRUListEx"
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\3\0\1\2
"NodeSlot"
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\155\Shell
"Address"
"Buttons"
"Col"
"ColInfo"
"FFlags"
"FolderType" = Documents
"HotKey"
"Links"
"MaxPos1680x1050(1).x"
"MaxPos1680x1050(1).y"
"MinPos1680x1050(1).x"
"MinPos1680x1050(1).y"
"Mode"
"Rev"
"ScrollPos1680x1050(1).x"
"ScrollPos1680x1050(1).y"
"ShowCmd"
"Sort"
"SortDir"
"Vid" = {65F125E5-7BE1-4810-BA9D-D271C8432CE3}
"WFlags"
"WinPos1680x1050(1).bottom"
"WinPos1680x1050(1).left"
"WinPos1680x1050(1).right"
"WinPos1680x1050(1).top"

・以下のレジストリ要素が変更されます。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU "MRUListEx
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\3\0\1 "MRUListEx"
・HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU "NodeSlots"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリファイルが存在します。

TOPへ戻る

感染方法

・ネットワークで自身を複製しようとするネットワーク型ワームの可能性があります。Windowsのスタートアッププログラムフォルダまたはautorun.infファイルを介して自動実行します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る