製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-YQ
企業ユーザ:
個人ユーザ:
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)		4181
対応定義ファイル
(現在必要とされるバージョン)		4902 (現在7109)
対応エンジン5.1.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Backdoor.Lithium (AVP), W32/LithBack (Norman), Win32/Lithium (Eset)
情報掲載日02/05/08
発見日(米国日付)02/01/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/17RDN/Sdbot.bf...
06/17VBS/LoveLett...
06/17Generic Qhos...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る
  • リモート アクセス型トロイの木馬の多くの亜種が、BackDoor-YQという名前で検出されます。したがって、特定のサンプルの検出に必要な定義ファイルのバージョンは、亜種によって異なります。新しい亜種ほど、より新しいバージョンの定義ファイルが必要になります。

  • このトロイの木馬は、複数のコンポーネントから成ります。クライアント コンポーネントは、ハッカーによって、ターゲット マシン上で動作するサーバ コンポーネントに接続するために利用されます。また、3つめのコンポーネントは、サーバ ファイルを落とし込み、構成データのダウンローダとして機能することが確認されています(以下で説明します)。

  • このトロイの木馬には多くの亜種があるため、正確なファイル名、レジストリ キー名、ポート番号などは特定できません。以下は、ターゲット マシン上でサーバ コンポーネントが実行された場合に行われることの概要です。

    • このトロイの木馬は、ターゲット マシンに自身をコピーする。

      例:
      C:\WINDOWS\SYSTEM\IEXPLORER.EXE.

    • このトロイの木馬に必要な追加ライブラリを、マシンにコピーする。

      例:
      C:\WINDOWS\SYSTEM\SRV_CAPTURE.DLL

    • システム起動時にこのトロイの木馬が読み込まれるように、レジストリを改変する。

      例:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion_\Run "Shell32" = IEXPLORER.EXE

      または

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_\Run "Shell32" = IEXPLORER.EXE

    • ターゲット マシン上でポート(例: ポート31416)を開く。

    • サーバ(ポート80経由、WWPMsg.dllライブラリを利用)は、ターゲット マシンがオンラインになっていることをハッカーに知らせる。

  • このトロイの木馬の機能は、亜種によって異なりますが、通常、クライアントは、ハッカーが次の操作をできるようにします。

    • カスタム メッセージ ボックスを表示する
    • ファイルシステムを参照する
    • ネットワーク共有を表示する
    • レジストリを参照する
    • タスク マネージャを表示する
    • サーバを起動/停止/削除する

  • このトロイの木馬の1つ以上のドロッパが、自身の構成データを含むテキスト ファイルをダウンロードしようとします。構成ファイルには、次のようなセクションがあります。

    • [cgipass]
    • [cginotify]
    • [fileget]
    • [uninstall]

  • ドロッパ/ダウンローダ コンポーネントは、サーバ コンポーネントを落とし込んで実行することに加えて、システム起動時に自身が読み込まれるように、レジストリ自体をフックします。

    例:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion_\Run "Registry Services" = C:\WINDOWS\SYSTEM\REGISTRY.EXE

  • レジストリをフックする目的は、システム起動時に、確実に最新の構成データがダウンロードされるようにすることだと思われます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • 予期しないポートがマシン上で開いている。
  • 予期しないファイルがマシン上に存在し、レジストリが上記のようにフックされる。

感染方法TOPへ戻る

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足