製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-AWQ.b
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4313
対応定義ファイル
(現在必要とされるバージョン)
6266 (現在7495)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Ikarus - Backdoor.Win32.ServU-based Kaspersky - not-a-virus:Server-FTP.Win32.Serv-U.gme NOD32 - a variant of Win32/ServU-Daemon TrendMicro - BKDR_SERVU.AKAVG - BackDoor.Generic12.KBY F-Secure - MemScan:Backdoor.Generic.200723 Microsoft - Backdoor:Win32/FlyAgent.F NOD32 - Win32/FlyStudio.NYH
情報掲載日2010/07/13
発見日(米国日付)2004/01/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・BackDoor-AWQ.bはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

-- 2010年7月29日更新 --

ファイル情報

  • MD5 - CF7568B7C1435A0DBCEA32F5E3CA9565
  • SHA - 0293303917A5CCA64CAF7F70A567F587E89D99D0

・実行時、以下のファイルをドロップ(作成)します。

  • %Userprofile%\Desktop\xpab2res.dll (構成ファイル)
  • %Userprofile%\Application Data\TEMP\675FB12C.TMP

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\Programmable
  • HKEY_LOCAL_MACHINE\SOFTWARE\Licenses

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\whKsxicpXx: "]ho\pxnv|uRCwSNcNNTG|"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\nvuxEnldix: "Q[xjQBFIb^{UYTpQnJdZZc{Gh"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\DAaejunnJixd: "^]OmdtHH\U[~afYwswQwfgWyjE}TA"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\izXcnzfRcNwqy: "cBhq@S\GUeTDIofQRT\H"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\CaaarqvZKkfi: "`BX|uVAPKpGr_E@mej][y"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B72200EE-479A-B3B3-1065-DD1E1065DD1E}\mGnmuozex: "jiL|SoYP[hBSh~{uZ^gTG@u]D"

・これにより、攻撃者はマシンにアクセスしてバックドア活動を仕掛けることができるようになります。また、乗っ取ったユーザの情報が攻撃者に送信されます。

・システムの乗っ取り後、攻撃者はマシンにアクセスして、さまざまなバックドア活動を仕掛けます。ドロップ(作成)されたファイルがサーバとして機能し、クライアントから受け取ったコマンドを実行します。

・また、ユーザの情報をログファイルに保存し、攻撃者に送信します。

[%UserProfile%はc:\Documents and Settings\Administrator\]

--------------------------------------------------------------------------------------------------

-- 2010年7月12日更新 --

ファイル情報

  • MD5 - A84437AA6D9B829EE4DBA018AF963854
  • SHA1 - 875B700CF26283EA6E57E9D2970BBF8DC16BD348

・実行時、以下の場所に自身をコピーします。

  • %Windir%\System32\372109\C00285.EXE [BackDoor-AWQ.bという名前で検出]

・explorer.exeに自身を挿入し、バックドア活動を仕掛け、以下の場所にファイルをドロップ(作成)します。

  • %Windir%\System32\499E86\cnvpe.fne
  • %Windir%\System32\499E86\dp1.fne
  • %Windir%\System32\499E86\eAPI.fne
  • %Windir%\System32\499E86\HtmlView.fne
  • %Windir%\System32\499E86\internet.fne
  • %Windir%\System32\499E86\krnln.fnr
  • %Windir%\System32\499E86\shell.fne
  • %Windir%\System32\499E86\spec.fne
  • %Windir%\System32\499E86\RegEx.fnr
  • %Temp%\E_N4\cnvpe.fne
  • %Temp%\E_N4\dp1.fne
  • %Temp%\E_N4\eAPI.fne
  • %Temp%\E_N4\HtmlView.fne
  • %Temp%\E_N4\internet.fne
  • %Temp%\E_N4\krnln.fnr
  • %Temp%\E_N4\shell.fne
  • %Temp%\E_N4\spec.fne

・また、ドロップしたコピーを指すリンクをスタートアップフォルダに作成する可能性があります。

  • %UserProfile%\Start Menu\Programs\Startup\C00285.lnk

・上記の項目により、Windowsが起動すると必ずBackDoor-AWQ.bが実行されるようにします。

・以下のフォルダがシステムに追加されます。

  • %Windir%\System32\372109
  • %Windir%\System32\499E86
  • %Windir%\System32\2B4FA4
  • %Windir%\System32\A9C3FF
  • %Temp%\E_N4

%Userprofile% - C:\Documents and Settings\[ユーザ名]
%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp
%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)


-- 2009年12月17日更新 --

・BackDoor-AWQ.bの新しい亜種で以下の特徴が確認されました。

・この亜種はGeneric Dropper.mxによってドロップ(作成)されることが確認されています。

・このファイルはランダムな名前のエクスポートを含むDLLです。

  • 0x00001820h hfburt
  • 0x00001930h nrufk
  • 0x00001A40h vwsknm
  • 0x00001950h wllpsdg

・実行時、以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\idid\url0: <データ>
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe rundll32.exe wdni.buo nrufk"

(<データ>は16進数データ)

・次に、%WINDIR%\system32\svchost.exeを起動し、自身をこの新しいインスタンスに挿入します。実行時、以下のWebサイトに接続します。

  • http://193.[削除].91/limpopo/bb.php?id=[削除]&v=[削除]&tm=[削除]&b=[削除]

・このページから以下のメッセージが返されます。メッセージには、マルウェアを更新するためのコマンドが組み込まれている可能性があります。

  • [info]delay:45|upd:0|backurls:[/info]
--

・BackDoor-AWQ.bはリモートアクセス型トロイの木馬で、Borland Delphiで作成されています。BackDoor-AWQ.bをダウンロードして実行するように設定された電子メールメッセージが、スパムメールで送信されます。

・このメッセージはHTMLフォーマットで構成されています。件名はランダムな文字列からなり、本文には以下の女性の顔写真(このメッセージを表示するとリモートサーバから読み込まれます)があります。

・本文にはHTMLタグが含まれていて、リモートサーバから2つ目のファイルを読み込みます。このファイルはMIMEで、リモートアクセス型トロイの木馬(base64でエンコード化)を含んでいます。

インストール

・実行すると、%SysDir%ディレクトリに自身をGRAYPIGEON.EXEというファイル名でインストールします。以下のように、DLLファイルが展開されて%SysDir%ディレクトリにコピーされます。

  • %SysDir%\GRAYPIGEON.EXE
    (システムおよび不可視属性の設定)
  • %SysDir%\GRAYPIGEON.DLL

(%Sysdir%は、Windows Systemディレクトリです。例:C:\WINNT\SYSTEM32)

・以下のレジストリキーが追加されてシステム起動時にフックされます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce "ScanRegedit" = "%SysDir%\GRAYPIGEON.EXE"

・DLLファイル(バックドア機能が含まれています)は、ターゲットマシン上でEXPLORER.EXEの処理スペースに挿入されます。一般に、この方法はパーソナルファイアウォール設定を回避するために使用されます(explorer.exeはファイアウォール規則によって排除されることがよくあります)。

・実行すると、ハッカーは以下のようなさまざまな操作ができます。

  • CDトレイの開閉
  • ターゲットマシン上でFTPサーバを開く
  • ターゲットマシンから情報の取得(OS、CPU、メモリなど)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

スパムメールのメッセージに、以下のサーバの画像とエンコードされたトロイの木馬へのリンクが含まれています。

  • http://ns1.jilinfarm.com/member/(非表示)/index.mht

ターゲットマシンから、たとえば以下のサーバへの送信HTTPトラフィックが確認できます。

  • http://shaowenqi.3322.org
  • 上記のファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・BackDoor-AWQ.bをダウンロードして実行するように設定されているHTML電子メールメッセージが、スパムメールで送信されます。

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。