ウイルス情報

ウイルス名 危険度

BackDoor-DKI.dldr

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4921
対応定義ファイル
(現在必要とされるバージョン)
5692 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2009/07/30
発見日(米国日付) 2006/12/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

-- 2009年7月29日更新 --

・BackDoor-DKI.dldrはExploit-PDF.mという名前で検出されるPDFファイルに埋め込まれています。BackDoor-DKI.dldrは乗っ取ったシステムのキー入力を記録できます。乗っ取ったコンピュータから収集した情報は定期的に攻撃者のサーバに送信される可能性があります。

-- 2007年4月6日更新 ---

・BackDoor-DKI.dldrの最も新しい亜種は、「一太郎」ドキュメントビューアのゼロデイの脆弱性を利用するExploit-TaroDropによってドロップ(作成)されます。

・BackDoor-DKI.dldrはBackDoor-DKIをダウンロードするためのトロイの木馬です。

TOPへ戻る

ウイルスの特徴

-- 2009年7月29日更新 --

・BackDoor-DKI.dldrは実行時、%system%フォルダに自身をコピーし、最初の場所から自身を削除します。また、%system%フォルダに同じ名前のログファイルを作成し、感染したコンピュータのキー入力を保存します。

・実行時、以下のファイルが作成されます。

  • %system%\arteagent.exe
  • %system%\arteagent (キー入力のログファイル)

・以下のレジストリ項目が作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {3DEDF8F4-59AB-5FD4-38F2-6D83EBAF8314}

“StubPath” = “%system%\arteagent.exe”

(%sysdir%は、デフォルトのシステムフォルダ。例:C:\Windows\System、C:\windows\System32)

・保存したキー入力のログファイル(%system%\arteagent)をリモートホストに送信して、感染マシンの情報を盗み出す可能性があります。

・DNSクエリの解決後、以下のホストへの接続を確立します。

http://worldbank.[非表示].com

-- 2007年4月6日更新 ---

・BackDoor-DKI.dldrは実行時、Internet Explorerのプロセスにコードを挿入します。挿入されたコードは以下のURLからBackDoor-DKIをダウンロードしようとします。

  • http ://www.maritimesquare.com/[削除]/kz.exe (ウイルス定義ファイル5003で検出)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリ項目が存在します。
  • 感染マシンと上記のリモートホストの間でネットワーク活動が行われます。

TOPへ戻る

感染方法

-- 2009年7月29日更新 ---

・BackDoor-DKI.dldrは、脆弱なコンピュータで悪質なPDFファイル(Exploit-PDF.m)を開くと、気付かないうちにドロップ(作成)されます。

・この悪質なPDFファイルは電子メールの添付ファイルとして送信される可能性があります。

-- 2007年4月6日更新 ---

・BackDoor-DKI.dldrは「一太郎」ドキュメントビューアの脆弱性を利用するExploit-TaroDropによってドロップされます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る