McAfee for Small Businesses

ウイルス名 危険度 BackDoor-DIQ 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 4792 対応定義ファイル (現在必要とされるバージョン) 6185　（現在7084) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Nod32 - a variant of Win32/Injector.RP Ikarus - VirTool.Win32.Vbinder Norman - W32/VBTroj.APWI Backdoor.PoisonIvy.CX(BitDefender) Backdoor:Win32/Poison.M(Microsoft) 情報掲載日 2010/05/25 発見日（米国日付） 2006/06/23 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2010年12月1日更新------ ・実行時、msn32.exeという名前で%APPDATA%フォルダに自身のコピーをドロップ（作成）し、以下のレジストリ項目を追加します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{690BC237-682F-8F6C-BCC1-0CE648265715}\StubPath = "%APPDATA%\msn32.exe" ・また、以下のドメインに接続します。 www[.]microsoft[.]acmetoy[.]com www[.]microsoft[.]instanthq.com www[.]microsoft[.]proxydns[.]com -- 2010年7月2日更新 -- ・実行時、以下の場所に自身をコピーします。 %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\memory.exe (隠しファイル) [BackDoor-DIQという名前で検出] [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23\memory.exe (隠しファイル) [BackDoor-DIQという名前で検出] ・また、以下のファイルをドロップ（作成）します。 [リムーバブルドライブ]:\autorun.inf (隠しファイル) %SYSTEMDRIVE%\autorun.inf [隠しファイル] %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini (隠しファイル) ・以下のフォルダがシステムに追加されます。 %SYSTEMDRIVE%\SYSTEM %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23 [リムーバブルドライブ]:\SYSTEM [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23 ・上記の「SYSTEM」フォルダはBackDoor-DIQによって作成される隠しフォルダです。 ・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。 ・「AutoRun.inf」ファイルはBackDoor-DIQの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-DIQが自動的に起動されます。 ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132} ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132}] “StubPath” = "%SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\memory.exe" ・上記のレジストリ項目により、Windowsが起動するたびにmemory.exeが実行されるようにします。 [%SystemDrive% = Windowsがインストールされているドライブ（ほとんどのコンピュータではC:がデフォルトになります）] ------------------------------------------------------ -- 2010年5月25日更新 -- ・実行時、explorer.exeにコードを挿入し、リモートポート5900を介してIPアドレス64.[削除].81.252に接続します。 ・実行時、以下の場所に自身をコピーします。 %SystemDrive%\DUB\WONK\tux.exe [隠しファイル] [BackDoor-DIQという名前で検出] ・また、以下のファイルをドロップ（作成）します。 %SystemDrive%\DUB\WONK\DesKTop.ini ・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ（作成）し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。 ・「AutoRun.inf」ファイルはBackDoor-DIQの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-DIQが自動的に起動されます。 ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112} ・以下のレジストリ値がシステムに追加されます。 ・以下のレジストリにより、BackDoor-DIQが乗っ取ったシステムにサービスとして登録され、起動のたびに実行されるようにします。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112}\] “StubPath” = "%SystemDrive%\DUB\WONK\tux.exe" [%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] ----2010年5月1日更新------ ・実行時、BackDoor-DIQはexplorer.exeに自身のコードを挿入し、バックドア活動を有効にして、リモートサーバから悪質なファイルをダウンロードします。 ・以下の場所に自身をコピーします。 %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23\driver.exe ・さらに、以下の場所に悪質でないファイルをドロップ（作成）します。 %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini ・以下のレジストリキーがシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A182132}] ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A182132}\] “StubPath:” = "c:\SYSTEM\G-923-321232-3232-32211-23\driver.exe" ・上記のレジストリ項目により、Windowsが起動するたびにBackDoor-DIQが実行されるようにします。 ・以下のフォルダがシステムに追加されます。 %SystemDrive%:\SYSTEM %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23 ・ユーザのシステムの乗っ取り後、リムーバブルデバイス（USBメモリ、フラッシュメモリなど）を探します。見つかると、以下の場所に自身をコピーします。 [リムーバブルドライブ]:\autorun.inf [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23\driver.exe ・感染したリムーバブルドライブが別のシステムに挿入されると、BackDoor-DIQが拡散します。 注：[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] ------------------------------- ・実行時、以下のアプリケーションを表示します。 ・自身を%system%フォルダにコピーします。ファイル名と場所はバックドアの作者がPoison Ivyキットを使ってサーバプログラムを作成する際に定義されます。BackDoor-DIQには、Alternate Data Stream（ADS）に自身を作成するオプションが組み込まれています。コンピュータが起動するたびにBackDoor-DIQが起動するよう、レジストリ項目が追加されます。 ・さらに、サーバ部の作成時に定義されたアドレスを使って、クライアントに接続します。 ・「)!VoqA.I4」という名前のmutexを作成して他のシステムプロセスに挿入し、作成者のコマンドに従ってキーロガーを有効にします。 ・クライアント側では、作成者の入力に従ってTCP/IPポートを開きます。 ・バックドアの機能は亜種によって異なります。 * ファイルの名前の変更、削除、実行が可能です。 * Windowsレジストリを表示、編集できます。 * また、デスクトップのスクリーンショットを撮影し、音声またはWebカメラの映像を記録することにより、情報を盗み出すことができます。また、保存されているパスワード、パスワードハッシュにアクセスできます。さらに、キーロガーなどが組み込まれた亜種もあります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る * 上記のファイルが存在します。 * クライアントコンポーネントを介してリモートアクセスしている人物がいることを示す、説明の付かない活動がターゲットマシン上で行われています。 感染方法 TOPへ戻る トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。 トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。 IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン（特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを）を信用しないことを推奨します。 Windows ME/XPでの駆除についての補足