ウイルス情報

ウイルス名 危険度

BackDoor-YQ

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4181
対応定義ファイル
(現在必要とされるバージョン)
4902 (現在7628)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Lithium (AVP), W32/LithBack (Norman), Win32/Lithium (Eset)
情報掲載日 02/05/08
発見日(米国日付) 02/01/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • リモート アクセス型トロイの木馬の多くの亜種が、BackDoor-YQという名前で検出されます。したがって、特定のサンプルの検出に必要な定義ファイルのバージョンは、亜種によって異なります。新しい亜種ほど、より新しいバージョンの定義ファイルが必要になります。

  • このトロイの木馬は、複数のコンポーネントから成ります。クライアント コンポーネントは、ハッカーによって、ターゲット マシン上で動作するサーバ コンポーネントに接続するために利用されます。また、3つめのコンポーネントは、サーバ ファイルを落とし込み、構成データのダウンローダとして機能することが確認されています(以下で説明します)。

  • このトロイの木馬には多くの亜種があるため、正確なファイル名、レジストリ キー名、ポート番号などは特定できません。以下は、ターゲット マシン上でサーバ コンポーネントが実行された場合に行われることの概要です。

    • このトロイの木馬は、ターゲット マシンに自身をコピーする。

      例:
      C:\WINDOWS\SYSTEM\IEXPLORER.EXE.

    • このトロイの木馬に必要な追加ライブラリを、マシンにコピーする。

      例:
      C:\WINDOWS\SYSTEM\SRV_CAPTURE.DLL

    • システム起動時にこのトロイの木馬が読み込まれるように、レジストリを改変する。

      例:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion_\Run "Shell32" = IEXPLORER.EXE

      または

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_\Run "Shell32" = IEXPLORER.EXE

    • ターゲット マシン上でポート(例: ポート31416)を開く。

    • サーバ(ポート80経由、WWPMsg.dllライブラリを利用)は、ターゲット マシンがオンラインになっていることをハッカーに知らせる。

  • このトロイの木馬の機能は、亜種によって異なりますが、通常、クライアントは、ハッカーが次の操作をできるようにします。

    • カスタム メッセージ ボックスを表示する
    • ファイルシステムを参照する
    • ネットワーク共有を表示する
    • レジストリを参照する
    • タスク マネージャを表示する
    • サーバを起動/停止/削除する

  • このトロイの木馬の1つ以上のドロッパが、自身の構成データを含むテキスト ファイルをダウンロードしようとします。構成ファイルには、次のようなセクションがあります。

    • [cgipass]
    • [cginotify]
    • [fileget]
    • [uninstall]

  • ドロッパ/ダウンローダ コンポーネントは、サーバ コンポーネントを落とし込んで実行することに加えて、システム起動時に自身が読み込まれるように、レジストリ自体をフックします。

    例:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_\Run "Registry Services" = C:\WINDOWS\SYSTEM\REGISTRY.EXE

  • レジストリをフックする目的は、システム起動時に、確実に最新の構成データがダウンロードされるようにすることだと思われます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 予期しないポートがマシン上で開いている。
  • 予期しないファイルがマシン上に存在し、レジストリが上記のようにフックされる。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る