ウイルス情報

ウイルス名 危険度

BackDoor-ZT

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
4714 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.SilentSpy (AVP)
情報掲載日 02/12/10
駆除補足 -ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • BackDoor-ZTはリモートアクセス型トロイの木馬で、多数のバージョンが検出されます。最新のバージョンを検出するには、最新のエンジンと定義ファイルを使用して下さい。

  • 他のリモートアクセス型トロイの木馬と同様に、このウイルスは複数のコンポーネント、主にクライアントコンポーネントとサーバコンポーネントで構成されています。サーバコンポーネントがターゲットマシンで実行されると、ハッカーはクライアントコンポーネントを使用してターゲットマシンに接続(及びマシンを管理)できるようになります。

  • 以下の説明は、このトロイの木馬のバージョン2.09に関するものです。バージョンによって、ファイル名、ポート番号、レジストリキー名などが明らかに異なっています。

  • サーバコンポーネント

  • ターゲットマシンで実行されると、偽のエラーメッセージを表示する場合があります。

  • 同時に自身をシステムにインストールして、 Windowsディレクトリに自身のコピーを作成し、システム起動時にフックするようにレジストリキーを設定します。例えば自身をC:\WINDOWS\WINKER.EXEとしてコピーして、次のようにレジストリキーを設定します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinKernel" = C:\WINDOWS\WINKER.EXE

  • また、ターゲットマシンのTCPポートを2つ開きます。TCPポート4225はクライアントとサーバの接続に、TCPポート2332はファイル転送に使用されます。ターゲットマシンのTCPを開くよう指示するために、サーバは例えば以下のようなレジストリキーをフラグとして追加します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main "Main" = y

  • このキーを削除する場合は、マニュアルで実行する必要があります。

  • 最後に、ハッカーにサーバコンポーネントがインストールされたことを通知しようとします。リモートサーバのスクリプトに接続して(HTTP、TCPポート80を使用)、通常は以下のようなデータを送付します。

  • ハッカーの電子メールアドレス(データの宛先)
    ターゲットマシンのIPアドレス
    サーバに接続するパスワード

  • 通常の通知メッセージには、以下のテキストが含まれています。

  • SERVER: Silent Spy Victim

  • クライアントコンポーネント

  • クライアントコンポーネントを使用すると、ハッカーはサーバコンポーネントがインストールされたターゲットマシンにリモート接続できるようになります。

  • クライアントコンポーネントにはハッカーに利用されるいろいろな機能があります。バージョンによって異なりますが、代表的なものは以下のとおりです。

  • ターゲットマシン情報の取得
    リモートファイルマネジャ(アップロード、ダウンロード、削除、実行)
    クリップボードの一覧
    キーロガーの開始/停止
    ディスプレイ解像度の一覧/変更
    テキストの印刷
    リモートのウインドウへテキストをタイプ
    ウインドウとプロセスのブラウズ/強制終了

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • リモートアクセス型トロイの木馬に代表的な感染の症状である。

  • 通常開かない/予期していないマシンのTCPポートが開いている。この場合は、TCPポート4225(クライアント・サーバ接続)とTCPポート2332(ファイル転送)である。

  • 上記のファイルとレジストリフックが存在する。

  • 不正なリモート管理以外では説明できない不自然な動作がターゲットマシンで起こる。

TOPへ戻る

感染方法

  • ターゲットマシンをリモートで管理するには、サーバコンポーネントがインストールされる必要がある。インストールの方法は複数あるが、例えばサーバコンポーネント自身の実行、マルチドロッパ型トロイの木馬の実行などが考えられる。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る