製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-BAC.gen.d
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4649
対応定義ファイル
(現在必要とされるバージョン)
4649 (現在7498)
対応エンジン4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Trojan-Downloader.Win32.Hanlo.h (F-Secure)
情報掲載日2005/12/14
発見日(米国日付)2005/12/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/12Generic.tfr!...
07/12RDN/Generic....
07/12Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7498
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・BackDoor-BAC.genは、系統は異なりますが、BackDoor-BACの亜種として検出されるトロイの木馬です。

・このサンプルは、マカフィーの正規のWebサイトを装う偽のWebサイトから抽出されました。

・このドメイン名を登録し、コンテンツを作成したハッカーは、マカフィーの実際のWebサイト(http://www.mcafee.com/)で使用されているのと同じような色と構造(下記参照)を使用して、本物に見せかけています。

・問題のWebサイトには、以下のファイルをダウンロードするハイパーリンクが組み込まれています。

ファイルデータ:

ファイル名ak26xrw-patch-installer-win32.exe
ファイルサイズ(圧縮時)6203バイト
ファイルサイズ(非圧縮時)70203バイト
ファイル圧縮プログラムUPX

インストール

・実行時、BackDoor-BAC.genはupdB1.sysファイルを%WINDIR%\System32にドロップ(作成)します。

(%Windir%は、Windowsディレクトリ。例:C:\WINDOWS)
(%Sysdir%は、Windowsのシステムディレクトリ。例:C:\WINDOWS\SYSTEM)

・また、乗っ取ったシステムの再起動時にBackDoor-BAC.genを起動するように設定された新しいWin32サービスも作成します。具体的には、システムのレジストリを以下のように改変します。

レジストリ

・以下のレジストリが作成されます。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\updB1

・このレジストリには以下を含む値と関連するデータが含まれています。

キー値:値データ:
表示名GPU HL interface
イメージへのパス%WINDIR%\System32\updB1.sys

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

・2005年12月13日、BackDoor-BAC.genが組み込まれた偽のマカフィーのサイトに誘導する電子メールメッセージが大量送信されました。メッセージの内容は以下のとおりです(現在、偽装されたMcAfeeのサイトには接続できません)。

Attention!

A dangerous virus was detected in your system!

Attention! McAfeeョ informs you that your system contains a dangerous virus known as Kongos.31XRW.Worm.

The worm activates on December 31, 2005, at 00:00:00 on all the infected computers, deletes the operation system and BIOS without any chance for
restoration.

Moreover, the virus steals private information of users, including personal documents, credit card numbers, typed passwords (keylogger), as well as access
to internet banking.

By approximate estimation, the malicious worm is now settled on more than 90 mln PCs worldwide, with about 700,000 computers infected daily.

The primary problem is the constant mutation of the virus body, which prevents antivirus software from tracking Kongos.31XRW.Worm.

The virus distributes itself through infected sites, network PCs, email, peer-to-peer networks.

McAfeeョ strongly recommends to download a patch from the official site which will interrupt the virus mutation, delete Kongos.31XRW.Worm from your system
and prevent future infections.

Official site: http://www.mcafee-center.net/?page=update

We see it as our obligation to inform you about the coming epidemic!

Kind Regards,
McAfee Analysts.
Phone: +44 (0) 1753 217500
Fax: +44 (0) 1753 217520

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足