McAfee for Small Businesses

ウイルス名 危険度 BackDoor-AHS 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 4213 対応定義ファイル (現在必要とされるバージョン) 4281　（現在7084) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Backdoor.Latinus (NAV), Backdoor.Pestdoor.10 (AVP), W32/PestBD.1_0 (Norman) 情報掲載日 02/07/18 発見日（米国日付） 02/07/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る このリモート アクセス型トロイの木馬のサーバ コンポーネントがターゲット マシンで実行されると、クライアント コンポーネントを実行するハッカーが、そのマシンにアクセスできるようになります。 定義ファイル 4096 以降を（プログラム ヒューリスティックを有効にして）使用すると、この（圧縮されていない）サーバ コンポーネントは ’New BackDoor’ として検出されます。BackDoor-AHS として正確に検出するには、定義ファイル 4212 が必要となります。 サーバ コンポーネントの設定を行えるアプリケーションが発行されています（これも BackDoor-AHS として検出されます）。ハッカーは、このアプリケーションを使用して、次のようなサーバの詳細を設定できます。 ICQ の通知 - ハッカーに新しいターゲット マシンを知らせる インストール ディレクトリ（Windows または Windows\System） サーバで使用するファイル名 レジストリ キー名 サーバ ポート アップロード ポートとダウンロード ポート 次の説明は、AVERT に寄せられた1件のサンプルについてのものです。実際のファイル名、レジストリ キー名、ポート番号は異なる可能性があります（上記参照）。 サーバ コンポーネントは Borland Delphi で作成されており、サイズは約 505 キロバイトです（圧縮されていません）。ターゲット マシンで実行されると、次の操作が行われます。 サーバは、Windows System ディレクトリに WINREGSE.EXE として自身をコピーする。 システム起動時にこのサーバのコピーが実行されるように、レジストリ キーが追加される。 例： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_\Run "winregse" = c:\Windows\System\winregse.exe サーバは、ターゲット マシンのポートを開く（例：ポート番号 11,831 および 29,559）。 ハッカーは、クライアント コンポーネントを使用して、ターゲット マシンに接続できるようになります。 上記のエンジンと定義ファイルを使用すると、サーバ コンポーネントはウイルス駆除時に削除されます。レジストリ フックも削除されます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記の症状（ポートが開かれる、レジストリ キーが追加される）がある。 感染方法 TOPへ戻る ターゲット マシンでサーバ コンポーネントが実行されると、ハッカーは、クライアント コンポーネントを利用してそのマシンにリモートでアクセスできるようになる。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。 Windows ME/XPでの駆除についての補足