McAfee for Small Businesses

ウイルス名 危険度 BackDoor-AWQ.b 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 4313 対応定義ファイル (現在必要とされるバージョン) 6266　（現在7080) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Ikarus - Backdoor.Win32.ServU-based Kaspersky - not-a-virus:Server-FTP.Win32.Serv-U.gme NOD32 - a variant of Win32/ServU-Daemon TrendMicro - BKDR_SERVU.AKAVG - BackDoor.Generic12.KBY F-Secure - MemScan:Backdoor.Generic.200723 Microsoft - Backdoor:Win32/FlyAgent.F NOD32 - Win32/FlyStudio.NYH 情報掲載日 2010/07/13 発見日（米国日付） 2004/01/06 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/20 RDN/Generic.... 05/20 RDN/Generic ... 05/20 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2010年7月29日更新 -- ファイル情報 MD5 - CF7568B7C1435A0DBCEA32F5E3CA9565 SHA - 0293303917A5CCA64CAF7F70A567F587E89D99D0 ・実行時、以下のファイルをドロップ（作成）します。 %Userprofile%\Desktop\xpab2res.dll (構成ファイル) %Userprofile%\Application Data\TEMP\675FB12C.TMP ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\Programmable HKEY_LOCAL_MACHINE\SOFTWARE\Licenses ・以下のレジストリ値がシステムに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\whKsxicpXx: "]ho\pxnv|uRCwSNcNNTG|" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\nvuxEnldix: "Q[xjQBFIb^{UYTpQnJdZZc{Gh" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\DAaejunnJixd: "^]OmdtHH\U[~afYwswQwfgWyjE}TA" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\izXcnzfRcNwqy: "cBhq@S\GUeTDIofQRT\H" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\CaaarqvZKkfi: "`BX|uVAPKpGr_E@mej][y" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\mGnmuozex: "jiL|SoYP[hBSh~{uZ^gTG@u]D" ・これにより、攻撃者はマシンにアクセスしてバックドア活動を仕掛けることができるようになります。また、乗っ取ったユーザの情報が攻撃者に送信されます。 ・システムの乗っ取り後、攻撃者はマシンにアクセスして、さまざまなバックドア活動を仕掛けます。ドロップ（作成）されたファイルがサーバとして機能し、クライアントから受け取ったコマンドを実行します。 ・また、ユーザの情報をログファイルに保存し、攻撃者に送信します。 [%UserProfile%はc:\Documents and Settings\Administrator\] -------------------------------------------------------------------------------------------------- -- 2010年7月12日更新 -- ファイル情報 MD5 - A84437AA6D9B829EE4DBA018AF963854 SHA1 - 875B700CF26283EA6E57E9D2970BBF8DC16BD348 ・実行時、以下の場所に自身をコピーします。 %Windir%\System32\372109\C00285.EXE [BackDoor-AWQ.bという名前で検出] ・explorer.exeに自身を挿入し、バックドア活動を仕掛け、以下の場所にファイルをドロップ（作成）します。 %Windir%\System32\499E86\cnvpe.fne %Windir%\System32\499E86\dp1.fne %Windir%\System32\499E86\eAPI.fne %Windir%\System32\499E86\HtmlView.fne %Windir%\System32\499E86\internet.fne %Windir%\System32\499E86\krnln.fnr %Windir%\System32\499E86\shell.fne %Windir%\System32\499E86\spec.fne %Windir%\System32\499E86\RegEx.fnr %Temp%\E_N4\cnvpe.fne %Temp%\E_N4\dp1.fne %Temp%\E_N4\eAPI.fne %Temp%\E_N4\HtmlView.fne %Temp%\E_N4\internet.fne %Temp%\E_N4\krnln.fnr %Temp%\E_N4\shell.fne %Temp%\E_N4\spec.fne ・また、ドロップしたコピーを指すリンクをスタートアップフォルダに作成する可能性があります。 %UserProfile%\Start Menu\Programs\Startup\C00285.lnk ・上記の項目により、Windowsが起動すると必ずBackDoor-AWQ.bが実行されるようにします。 ・以下のフォルダがシステムに追加されます。 %Windir%\System32\372109 %Windir%\System32\499E86 %Windir%\System32\2B4FA4 %Windir%\System32\A9C3FF %Temp%\E_N4 %Userprofile% - C:\Documents and Settings\[ユーザ名] %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) -- 2009年12月17日更新 -- ・BackDoor-AWQ.bの新しい亜種で以下の特徴が確認されました。 ・この亜種はGeneric Dropper.mxによってドロップ（作成）されることが確認されています。 ・このファイルはランダムな名前のエクスポートを含むDLLです。 0x00001820h hfburt 0x00001930h nrufk 0x00001A40h vwsknm 0x00001950h wllpsdg ・実行時、以下のレジストリキーを追加します。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid\url0: <データ> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe rundll32.exe wdni.buo nrufk" （<データ>は16進数データ） ・次に、%WINDIR%\system32\svchost.exeを起動し、自身をこの新しいインスタンスに挿入します。実行時、以下のWebサイトに接続します。 http://193.[削除].91/limpopo/bb.php?id=[削除]&v=[削除]&tm=[削除]&b=[削除] ・このページから以下のメッセージが返されます。メッセージには、マルウェアを更新するためのコマンドが組み込まれている可能性があります。 [info]delay:45|upd:0|backurls:[/info] -- ・BackDoor-AWQ.bはリモートアクセス型トロイの木馬で、Borland Delphiで作成されています。BackDoor-AWQ.bをダウンロードして実行するように設定された電子メールメッセージが、スパムメールで送信されます。 ・このメッセージはHTMLフォーマットで構成されています。件名はランダムな文字列からなり、本文には以下の女性の顔写真（このメッセージを表示するとリモートサーバから読み込まれます）があります。 ・本文にはHTMLタグが含まれていて、リモートサーバから2つ目のファイルを読み込みます。このファイルはMIMEで、リモートアクセス型トロイの木馬（base64でエンコード化）を含んでいます。 インストール ・実行すると、%SysDir%ディレクトリに自身をGRAYPIGEON.EXEというファイル名でインストールします。以下のように、DLLファイルが展開されて%SysDir%ディレクトリにコピーされます。 %SysDir%\GRAYPIGEON.EXE （システムおよび不可視属性の設定） %SysDir%\GRAYPIGEON.DLL （%Sysdir%は、Windows Systemディレクトリです。例：C:\WINNT\SYSTEM32） ・以下のレジストリキーが追加されてシステム起動時にフックされます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \RunOnce "ScanRegedit" = "%SysDir%\GRAYPIGEON.EXE" ・DLLファイル（バックドア機能が含まれています）は、ターゲットマシン上でEXPLORER.EXEの処理スペースに挿入されます。一般に、この方法はパーソナルファイアウォール設定を回避するために使用されます（explorer.exeはファイアウォール規則によって排除されることがよくあります）。 ・実行すると、ハッカーは以下のようなさまざまな操作ができます。 CDトレイの開閉 ターゲットマシン上でFTPサーバを開く ターゲットマシンから情報の取得（OS、CPU、メモリなど） 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る スパムメールのメッセージに、以下のサーバの画像とエンコードされたトロイの木馬へのリンクが含まれています。 http://ns1.jilinfarm.com/member/(非表示)/index.mht ターゲットマシンから、たとえば以下のサーバへの送信HTTPトラフィックが確認できます。 http://shaowenqi.3322.org 上記のファイルとレジストリキーが存在します。 感染方法 TOPへ戻る ・BackDoor-AWQ.bをダウンロードして実行するように設定されているHTML電子メールメッセージが、スパムメールで送信されます。 ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。