ウイルス情報

ウイルス名 危険度

BackDoor-CXR

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4694
対応定義ファイル
(現在必要とされるバージョン)
4695 (現在7634)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2006/02/15
発見日(米国日付) 2006/02/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・BackDoor-CXRは、サーバコンポーネント、ネットワークドライブを検索して他のシステムに感染するVBスクリプト、BackDoor-CXRをOutlookのアドレス帳に記載されているすべてのアドレスに送信するVBスクリプト(VBS/Generic@MMという名前で検出)で構成されるリモートアクセス型トロイの木馬です。また、IRCチャネルを使用してコマンドを受け取る機能も組み込まれています。

・実行時、BackDoor-CXRは「%sysdir%\drivers\etc\hosts」ファイルを改変し、システムが以下のセキュリティ関連サイトにアクセスできないようにします。

・以下の項目をホストファイルに追加します。

127.0.0.1 macafee.com
127.0.0.1 sophos.com
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.mcafee.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com

・BackDoor-CXRが作成するメールの一例は以下のとおりです。

・以下の件名を使用して、メールを送信できます。

  • A s*xy Thing!
  • Very Hot!
  • s*xy Girl
  • Nancy Ajram live!
  • Hot Movie And Pic
  • s*xy Arabic Girl
  • s*x s*x s*x
  • Oh yeahh thats hot
  • Very hot and s*xy girl in this video
  • s*xy Nancy Ajram

・以下のテキストを含むLibancall[at]14hotmail.de.txtという名前のファイルを%windir%に作成します。

 Backdoor NancyAjram v 1.0 by Khaled El-Mir

Hello Mr Victim
You've been infected by Khaled

・攻撃者が利用可能な機能は以下のとおりです。

  • opencd - ターゲットのCD-ROMを開く
  • bomb - ノートパッドを使ってターゲットマシンを作動不能に
  • restart - ターゲットマシンを再起動
  • url - 「www.s*x.com」を起動
  • down - リモートマシンを終了(終了前に%windir%\Libancall14@hotmail.deファイルを読み込み、ファイルに書かれているコメントを表示)
  • label - ラベルの名前を「hacked by Khaled」に変更(Cドライブの名前を変更)
システムの改変 ファイルの追加
  • c:\security.vbs ( 741バイト )
  • %WINDIR% \system32\nancyajram.exe ( 49152バイト )
  • %WINDIR% \libancall14@hotmail.de.txt ( 93バイト )
  • %WINDIR% \system32\drivers\etc\hosts ( 1026バイト )
  • c:\dlls\mailit.vbs ( 899バイト )
  • c:\dlls\s*xynancy.jpg.exe ( 49152バイト )
  • c:\dlls\hotmovie.wma.exe ( 49152バイト )
  • c:\dlls\myfirsts*x.wma.exe ( 49152バイト )
  • c:\dlls\misslebanon.jpg.exe ( 49152バイト )
  • c:\dlls\s*xyarabicgirl.jpg.exe ( 49152バイト )
  • c:\dlls\s*xylebanesegirl.jpg.exe ( 49152バイト )
  • c:\dlls\windowsscreen.vbs ( 407バイト )
  • c:\dlls\s*xyhaifa.jpg.exe ( 49152バイト )
  • c:\dlls\s*xmovie.mpg.exe ( 49152バイト )
  • c:\dlls\s*xcaptured.jpg.exe ( 49152バイト )
  • c:\dlls\f**kmovie.wma.exe ( 49152バイト )
  • c:\dlls\arabicstrip.wma.exe ( 49152バイト )
  • c:\dlls\stolens*xvideo.wma.exe ( 49152バイト )
  • c:\dlls\f**kf**kf**k.mpg.exe ( 49152バイト )
レジストリの変更
  • hkey_local_machine\software\microsoft\windows
    \currentversion\run\ya salam="%WINDIR% \System32\NancyAjram.exe"
  • hkey_current_user\software\microsoft\windows
    \currentversion\policies\winoldapp\disabled="1"
  • hkey_current_user\software\microsoft\windows
    \currentversion\policies\system\noadminpage="1"
  • hkey_current_user\software\microsoft\windows
    \currentversion\policies\system\disableregistrytools="1"
その他
  • BackDoor-CXRに作者が付けた名前は「nancyAjRam」です。
  • 作者の名前は「Khaled El-Mir」です。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • ポート2006が開いています。
  • デスクトップファイアウォールプログラムが、見知らぬプログラムがインターネットにアクセスしようとしていることを警告します。
  • 上記のファイルおよびレジストリキーが存在します。
  • クライアントコンポーネントを介してリモートアクセスしている人物がいることを示す、説明の付かない活動がターゲットマシン上で行われています。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る