製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-DIQ
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4792
対応定義ファイル
(現在必要とされるバージョン)
6185 (現在7605)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Nod32 - a variant of Win32/Injector.RP Ikarus - VirTool.Win32.Vbinder Norman - W32/VBTroj.APWI Backdoor.PoisonIvy.CX(BitDefender) Backdoor:Win32/Poison.M(Microsoft)
情報掲載日2010/05/25
発見日(米国日付)2006/06/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

--2010年12月1日更新------

ファイル情報

  • MD5 - AFBC365E901CEA84E42E2B0564DD1869

-- 2010年7月2日更新 --

ファイル情報

  • MD5 - 645592DE0031E2DAD2830788806658C7
  • SHA - 5D6765695909815CFF046482DA903D10374199D4

-- 2010年5月25日更新 --

ファイル情報

  • MD5 - ECC5EDA2CABCB0532235A21EA55247F7
  • SHA - 1CA89C6F2A3DBFF7DA3DF4FF9A630485FA60E96B

----2010年5月1日更新------

ファイル情報

  • MD5 - 09B5ADF82420C3E095707CF5A9A08A8A
  • SHA - 44B6FE5358F407A835900DAE3F3E9CFEC039064A

ウイルスの特徴TOPに戻る

--2010年12月1日更新------

・実行時、msn32.exeという名前で%APPDATA%フォルダに自身のコピーをドロップ(作成)し、以下のレジストリ項目を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{690BC237-682F-8F6C-BCC1-0CE648265715}\StubPath = "%APPDATA%\msn32.exe"

・また、以下のドメインに接続します。

  • www[.]microsoft[.]acmetoy[.]com
  • www[.]microsoft[.]instanthq.com
  • www[.]microsoft[.]proxydns[.]com

-- 2010年7月2日更新 --

・実行時、以下の場所に自身をコピーします。

  • %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\memory.exe (隠しファイル) [BackDoor-DIQという名前で検出]
  • [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23\memory.exe (隠しファイル) [BackDoor-DIQという名前で検出]

・また、以下のファイルをドロップ(作成)します。

  • [リムーバブルドライブ]:\autorun.inf (隠しファイル)
  • %SYSTEMDRIVE%\autorun.inf [隠しファイル]
  • %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini (隠しファイル)

・以下のフォルダがシステムに追加されます。

  • %SYSTEMDRIVE%\SYSTEM
  • %SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23
  • [リムーバブルドライブ]:\SYSTEM
  • [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23

・上記の「SYSTEM」フォルダはBackDoor-DIQによって作成される隠しフォルダです。

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

・「AutoRun.inf」ファイルはBackDoor-DIQの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-DIQが自動的に起動されます。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132}

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A187132}]
    “StubPath” = "%SYSTEMDRIVE%\SYSTEM\G-923-321232-3232-32211-23\memory.exe"

・上記のレジストリ項目により、Windowsが起動するたびにmemory.exeが実行されるようにします。

[%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)]

------------------------------------------------------

-- 2010年5月25日更新 --

・実行時、explorer.exeにコードを挿入し、リモートポート5900を介してIPアドレス64.[削除].81.252に接続します。

・実行時、以下の場所に自身をコピーします。

  • %SystemDrive%\DUB\WONK\tux.exe [隠しファイル] [BackDoor-DIQという名前で検出]

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\DUB\WONK\DesKTop.ini

・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・「AutoRun.inf」ファイルはBackDoor-DIQの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-DIQが自動的に起動されます。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112}

・以下のレジストリ値がシステムに追加されます。

・以下のレジストリにより、BackDoor-DIQが乗っ取ったシステムにサービスとして登録され、起動のたびに実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-01WE-AAX2-5657QCA224112}\]
    “StubPath” = "%SystemDrive%\DUB\WONK\tux.exe"

[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

----2010年5月1日更新------

・実行時、BackDoor-DIQはexplorer.exeに自身のコードを挿入し、バックドア活動を有効にして、リモートサーバから悪質なファイルをダウンロードします。

・以下の場所に自身をコピーします。

  • %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23\driver.exe

・さらに、以下の場所に悪質でないファイルをドロップ(作成)します。

  • %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini

・以下のレジストリキーがシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A182132}]

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC3A182132}\] “StubPath:” = "c:\SYSTEM\G-923-321232-3232-32211-23\driver.exe"

・上記のレジストリ項目により、Windowsが起動するたびにBackDoor-DIQが実行されるようにします。

・以下のフォルダがシステムに追加されます。

  • %SystemDrive%:\SYSTEM
  • %SystemDrive%:\SYSTEM\G-923-321232-3232-32211-23

・ユーザのシステムの乗っ取り後、リムーバブルデバイス(USBメモリ、フラッシュメモリなど)を探します。見つかると、以下の場所に自身をコピーします。

  • [リムーバブルドライブ]:\autorun.inf
  • [リムーバブルドライブ]:\SYSTEM\G-923-321232-3232-32211-23\driver.exe

・感染したリムーバブルドライブが別のシステムに挿入されると、BackDoor-DIQが拡散します。

注:[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

-------------------------------

・実行時、以下のアプリケーションを表示します。

・自身を%system%フォルダにコピーします。ファイル名と場所はバックドアの作者がPoison Ivyキットを使ってサーバプログラムを作成する際に定義されます。BackDoor-DIQには、Alternate Data Stream(ADS)に自身を作成するオプションが組み込まれています。コンピュータが起動するたびにBackDoor-DIQが起動するよう、レジストリ項目が追加されます。

・さらに、サーバ部の作成時に定義されたアドレスを使って、クライアントに接続します。

・「)!VoqA.I4」という名前のmutexを作成して他のシステムプロセスに挿入し、作成者のコマンドに従ってキーロガーを有効にします。

・クライアント側では、作成者の入力に従ってTCP/IPポートを開きます。

・バックドアの機能は亜種によって異なります。

* ファイルの名前の変更、削除、実行が可能です。
* Windowsレジストリを表示、編集できます。
* また、デスクトップのスクリーンショットを撮影し、音声またはWebカメラの映像を記録することにより、情報を盗み出すことができます。また、保存されているパスワード、パスワードハッシュにアクセスできます。さらに、キーロガーなどが組み込まれた亜種もあります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

* 上記のファイルが存在します。
* クライアントコンポーネントを介してリモートアクセスしている人物がいることを示す、説明の付かない活動がターゲットマシン上で行われています。

感染方法TOPへ戻る
  • トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。
  • トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。
  • IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。

Windows ME/XPでの駆除についての補足