製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-CRX
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4491
対応定義ファイル
(現在必要とされるバージョン)
5274 (現在7565)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Trojan.Dropper (Symantec)
TrojanDownloader
Win32/DlRhifrem.gen!A (Microsoft)
情報掲載日2008/04/18
発見日(米国日付)2005/05/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る
-- 2008年4月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.pcworld.com/businesscenter/article/144548/ criminals_hack_ceos_with_fake_subpoenas.html

--

・BackDoor-CRXは乗っ取ったマシンでバックドアを開き、攻撃者がリモートアクセスできるようにします。

ウイルスの特徴TOPに戻る
-- 2008年4月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.pcworld.com/businesscenter/article/144548/ criminals_hack_ceos_with_fake_subpoenas.html

--

・BackDoor-CRXは「Acrobat.exe」というファイル名と偽のアイコンでAcrobatインストールプログラムを装います。

・BackDoor-CRXがターゲットマシンで実行されると、偽のエラーメッセージボックスが表示されます。

・以下のURLにアクセスします。

  • http://124.217.{削除}.118/NNN/parse.php

・以下のdllファイルをドロップ(作成)し、Explorer.exeに挿入します。

  • %Sysdir%\acrobat.dll
    (%Sysdir%は、Windowsのシステムディレクトリ。例:C:\WINNT\SYSTEM32)

・以下のレジストリキーが作成、改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}\InprocServer32\: "C:\WINDOWS\system32\acrobat.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}\InprocServer32\ThreadingModel: "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}\: "Adobe Acrobat ActiveX Control"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon\: "%SystemRoot%\system32\url.dll,0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\DefaultIcon\: "C:\Program Files\Internet Explorer\iexplore.exe,1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}\NoExplorer: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Acrobat ActiveX Control: "Rundll32 acrobat.dll,AInit"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Acrobat\1: "124.217.{削除}.118"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Acrobat\2: 0x00000050
  • HKEY_LOCAL_MACHINE\SOFTWARE\Acrobat\3: "/NNN/parse.php"

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

・ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルに益がある、あるいは欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な/ハッキングされたWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足