ウイルス情報

ウイルス名 危険度

BackDoor-QW

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4196
対応定義ファイル
(現在必要とされるバージョン)
4406 (現在7661)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Theef (AVP), Backdoor/Win32.Delf.AX (GeCAD), BKDR_DELF.AX (Trend)
情報掲載日 02/06/27
発見日(米国日付) 02/03/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このリモート アクセス型トロイの木馬には、いくつかのバージョンがあります。以下の説明は、v1.37 についてのものです。ターゲット マシンでサーバ コンポーネントが実行されると、システムは危険にさらされます。

    1. インストール: サーバは、Windows ディレクトリ内に自身を( SYSDAMON.EXE などの名前で)コピーし、次のレジストリ キーを追加します。

      HKEY_LOCAL_MACHINE "MsgQueue" = C:\WINDOWS\SYSDAMON.EXE

      また、サーバ コンポーネントは通常、システム起動時に実行されるように、レジストリ キーを追加します(クライアントを介して設定可能)。

    2. 脆弱化: サーバは、ターゲット マシン上のさまざまなポート(例 : ポート69、4700、13500、2800)を開きます。

    3. 通知: サーバは、インターネット サーバ上のスクリプト ライブラリにアクセスし、このトロイの木馬の作者に次の詳細を( ICQ を介して)電子メールで送信します。

      • サーバのバージョン
      • 開いているポート
      • ターゲット マシンの IP アドレス

  • 次に示すのは、このリモート アクセス型トロイの木馬のクライアント コンポーネントのスクリーン ショットです。機能もいくつか表示されています。

  • ターゲット マシンでサーバ コンポーネントが実行されると、ハッカーは、そのマシンでさまざまな機能を実行できるようになり、マシンは完全に脆弱になります。これらの機能には、次のものがあります。

    • File system : アップロード/ダウンロード、実行など
    • Regsitry : 完全な編集
    • System : 強制終了、マウス/キーボードの無効化、ファイアウォール/ウイルス対策ソフトウェアの停止、ユーザ名の設定(その他多数)
    • Spy : キーロガーの起動/停止、ログ データの取得
    • Machine Info : 電子メール/ダイヤルアップ/ユーザの詳細 - それぞれに検索または設定のオプション付き

  • 検出されたバックドア(サーバおよびクライアント)のコピーをすべて削除します。システム起動時にサーバを起動するためのレジストリ フック( CurrentVersion\Run など)も削除します。

  • 上記の説明は、このリモート アクセス型トロイの木馬の特定のバージョン( v1.37 )についてのものです。詳細(ファイル名、レジストリ キー名など)はバージョンによって異なります。また、機能についても、バージョンによって異なる場合があります。一般に、新しいバージョンほど、さらに多くの機能が追加されているといえます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • バージョンによって異なる可能性があるが、次のような症状がある。

    • ターゲット マシンで見慣れないポート(例:69、4700、13500、2800)が開いたままになっている。
    • 上記のような詳細を含む送信トラフィックが(ポート 80 で)見られる。

TOPへ戻る

感染方法

  • ターゲット マシンでサーバ コンポーネントが実行されると、そのマシンが危険にさらされる。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る