ウイルス情報

ウイルス名 危険度

BackDoor-CGT

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4376
対応定義ファイル
(現在必要とされるバージョン)
4380 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/07/14
発見日(米国日付) 04/07/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2004年8月4日更新

最近のメール大量配信について、ターゲットマシンにリモートアクセス型のトロイの木馬をインストールする傾向にあると報告されています。感染の過程は以下の様になります。

  • 大量配信された電子メールが、スクリプトドロッパを組み込んだWEBページを配信します。このドロッパはVBS/Inorとして検出されます。
  • このドロッパは、2,560バイトのファイル(C:\X.EXE)をドロップ(作成)し、実行します。その際、URLをほかのリモートバイナリファイルに送信します。
  • X.EXEはダウンローダー型のトロイの木馬で、4300(2003年10月29日)以降のDATファイルでProxy-Hino.dldrとして検出されます。
  • 最終的なリモートバイナリはSS.EXE(15,360バイト)になり、これが以下で説明するBackDoor-CGTとなります。

・BackDoor-CGTはバックドア型トロイの木馬で、最近大量送信されている電子メールメッセージを表示するとインストールされる可能性があります。電子メールメッセージに組み込まれているスクリプトにより、スクリプトドロッパ(VBS/Inorとして検出)がターゲットマシン上で実行されます。このドロッパは、バックドア型トロイの木馬である以下のバイナリファイルを作成して実行します。
  • SS.EXE(15,360バイト)
・動作すると、以下のファイルがターゲットマシンにインストールされます。
  • %SysDir%\dss.dll(3,072バイト) - BackDoor-CGTのランチャ
  • %SysDir%\dssa.dll(3,072バイト) - バックアップからBackDoor-CGTを復元
  • %SysDir%\ss.dat(15,360バイト) - BackDoor-CGTのバックアップ(若干変更あり)
  • %SysDir%\ss.exe(15,360バイト) - BackDoor-CGTのコピー
・ドロップ(作成)されたDLLは、ウイルス定義ファイル4376でBackDoor-CGT.dllとして検出されます。BackDoor-CGTのバックアップは単なるコピーではなく、いくつかの変更が行われています(ASCIIの大文字と小文字の変更、Nullとスペースの入れ替えなど)。このバックアップはBackDoor-CGT.bakとして検出されます。

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \ShellServiceObjectDelayLoad "ss" = {0C5647C2-06B8-4BDD-842E-6929B0BC5833}
  • HKEY_CLASSES_ROOT\CLSID\{0C5647C2-06B8-4BDD-842E-6929B0BC5833}
    \InProcServer32 "(Default)" = dssa.dll
・動作中、BackDoor-CGTはターゲットマシン上のランダムなポートを開きます。そして、HTTPを介してハッカーに通知を送信します(IPアドレス、ポート番号)。このとき、BackDoor-CGTは、Internet Explorer(IEXPLORER.EXE)を起動して、HTTPトラフィックを送信します。これは、ソフトウェアファイアウォールを回避するためと思われます。

・通知の送信を阻止し、トロイの木馬のダウンロードを防止するため、管理者は以下のドメインへのHTTPアクセスを遮断する必要があります。

  • genmexe.biz

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • マシン上でランダムなポートが予期せず開いています。
  • 上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・BackDoor-CGTは、大量送信されている電子メールメッセージの受信後、ターゲットマシン上でスクリプトドロッパが動作することにより、受信される可能性があります。このドロッパは、SS.EXEバイナリをマシンにドロップ(作成)して実行します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

このウイルスには、4376定義ファイルで対応いたします。4376定義ファイルは04/07/15に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る