ウイルス情報

ウイルス名 危険度

BackDoor-CKB!cfaae1e6

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4766
対応定義ファイル
(現在必要とされるバージョン)
4766 (現在7634)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2006/05/22
発見日(米国日付) 2006/05/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・BackDoor-CKB!cfaae1e6は現在調査中のMicrosoft Wordの新たな脆弱性を突いた攻撃で使用されていることが判明しています。バックドア型トロイの木馬は感染コンピュータに何らかの動作を行うよう指示する手段を攻撃者に提供します。さらに、BackDoor-CKB!cfaae1e6はユーザモードのルートキットとして動作して、ユーザに存在を気づかれないようにします。

TOPへ戻る

ウイルスの特徴

BackDoor-CKB!cfaae1e6は現在調査中のMicrosoft Wordの新たな脆弱性を利用してインストールされるトロイの木馬です。

インストール

・Microsoft Wordの悪質な文書を開くと、Windows PEファイルがターゲットマシンの以下の場所に保存されます。

  • %Temp%\20060424.bak (BackDoor-CKB!cfaae1e6)
%Temp%は一時ディレクトリ(例:C:\Documents and Settings\User\Local Settings\Temp)

・BackDoor-CKB!cfaae1e6は以下のDLLをWindowsのシステムディレクトリにインストールします。

  • %Sysdir%\winguis.dll

・このファイルはAppInitDllsメソッドを介してロードされます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs = %Sysdir%\Winguis.dll

・DLLは実行中のプロセスに挿入され、winguis.dllとAppInit_DLLsの両方のレジストリを隠します。

・また、3つの0バイトのファイルが作成されます。

  • %Sysdir%\drivers\DetPort.sys
  • %Sysdir%\drivers\IsPubDRV.sys
  • %Sysdir%\drivers\RVdPort.sys
リモートアクセス機能

・サーバコンポーネントがターゲットマシン上で動作すると、以下のドメインでホストされているリモートサーバへのHTTP通信を確立します。

  • loc[非表示].3322.org

・BackDoor-CKB!cfaae1e6により、任意の外部コマンドの実行、追加のトロイの木馬のダウンロード、キー入力、パスワードの監視と記録を行えます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のドメインへのHTTP接続が行われます。

  • loc[非表示].3322.org

・以下のWindowsレジストリキーが1つ以上存在します。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gui30svr
  • HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\ {8ecc055d-047f-11d1-a537-0000f8753ed1}
  • HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\ legacy_gui30svr\0000\driver = "{8ECC055D-047F-11D1-A537-0000F8753ED1}\0024"

・以下のファイルが1つ以上存在します。

  • %Sysdir%\winguis.dll (BackDoor-CKB!cfaae1e6)
  • %Temp%\20060424.bak (BackDoor-CKB!cfaae1e6)
  • %Sysdir%\drivers\DetPort.sys (0バイトのファイル)
  • %Sysdir%\drivers\IsPubDRV.sys (0バイトのファイル)
  • %Sysdir%\drivers\RVdPort.sys (0バイトのファイル)
  • %Sysdir%は、Windowsのシステムディレクトリ(例:C:\WINDOWS\SYSTEM)

TOPへ戻る

感染方法

・BackDoor-CKB!cfaae1e6は現在調査中のMicrosoft Wordの新たな脆弱性を利用してインストールされます。

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る