ウイルス情報

ウイルス名 危険度

BackDoor-CQY

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4470
対応定義ファイル
(現在必要とされるバージョン)
4470 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2005/04/15
発見日(米国日付) 2005/04/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・BackDoor-CQYは元々、MultiDropper-MYトロイの木馬によってドロップ(作成)され(て実行され)ました。ドロップ(作成)されるファイルの名前は以下のとおりです。

  • scvhost.exe

・このEXEファイルは「%SYSTEMROOT%\SYSTEM32」にドロップ(作成)されて実行され、ここにDLLファイルをドロップ(作成)します。

  • scvhost.asf

・さらに、.DATファイルを作成する場合もあります。

  • 00540.DAT

・ただし、この.DATファイルの名前はランダムなようです。

システムの改変:

・次に、BackDoor-CQYはレジストリを改変し、Windowsタスクスケジューラサービスを変更します。

・具体的には、以下の変更がWindows XP Professionalシステムで確認されました。

・以下のレジストリキー

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule
の「ImagePath」の値が %SystemRoot%\System32\svc host.exe -k netsvcs から以下に変更されていました。 C:\WINDOWS\System32\scv host.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルが存在し、MultiDropper-MYトロイの木馬のウイルス情報に記載されている文書が表示されている場合、システムが感染している可能性があります。

TOPへ戻る

感染方法

・手動でBackDoor-CQYまたはMultiDropper-MYトロイの木馬を実行すると、BackDoor-CQYがインストールされます。

・システムが感染すると、BackDoor-CQYがサービスとして機能するため、Windowsタスクスケジューラサービスが正常に機能しなくなります。

・最新のエンジンとウイルス定義ファイルを使用してBackDoor-CQYを駆除しても、存在していないファイルを指しているため、サービスは正常に機能しないままです。

・サービスを正常に機能させるには、手作業でレジストリの設定を元の値に変更する必要があります。Windows XPを実行しているユーザは上記の方法で変更できますが、Windows NT 4.0、Windows 2000を実行しているユーザの場合、オリジナルのサービス名は「svchost.exe」ではなく、「MSTask.exe」になります。このファイルの場所を確認する必要があります(一般的には、%SYSTEMROOT%\SYSTEM32フォルダにあります)。

・しかしながら、レジストリまたはシステム全体のバックアップからこの設定を復元する方をお勧めします。

TOPへ戻る

駆除方法

検出と駆除には最新のエンジンと定義ファイルを使用してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る