製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
BackDoor-DOQ
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5279
対応定義ファイル
(現在必要とされるバージョン)
6329 (現在7401)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan.Win32.Buzus.cqdp Microsoft - VirTool:Win32/VBInject.gen!DP TrendMicro - WORM_PALEVO.AP Ikarus - Trojan.Win32.BuzusAVG - BackDoor.Hupigon5.ANIXIkarus - Trojan.Win32.AgentKaspersky - Trojan.Win32.Agent.djvqMicrosoft - Backdoor:Win32/Hupigon.XDIkarus - Worm.Win32.Prolaco NOD32 - Win32/Merond.O Kaspersky - P2P-Worm.Win32.BlackControl.d Microsoft - Worm:Win32/Prolaco.gen!C
情報掲載日2010/08/12
発見日(米国日付)2008/04/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・BackDoor-DOQはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報:
  • MD5 - DC70B8332CA388119D24AEE308F8D35A
  • SHA1 - B606003CCD07BC2A8B3BBB64575C611288E43D08

---------2010年8月5日更新----------------------

ファイル情報:
  • MD5 - 17751B2B8344EC0B790695C0A64E48E2
  • SHA - 8508CE2FF2A45EA3088D5EEF5E9FFE2C7BF761FA

---------2010年8月6日更新----------------------

ファイル情報:
  • MD5 - ED8F4F1EA334E50F17DEEDA0155CFEDE
  • ファイルサイズ - 143401バイト

---------2010年8月11日更新----------------------

ファイル情報
  • MD5 - F5EBD99DB047D73A3C0E8B31B9E9BFC9
  • SHA - 3A1AC775A2CA451F28E81563FCD38DFA4F28F8A2

ウイルスの特徴TOPに戻る

---------2010年8月11日更新----------------------

・実行時、BackDoor-DOQはリモートポート53から220.225.[削除].85に接続します。

・実行時、以下のファイルをドロップ(作成)します。

  • %Appdata%\SystemProc\lsass.exe [W32/Routrobot.wormという名前で検出]
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest

・また、以下の場所に自身をコピーします。

  • %WinDir%\system32\HPWuSchd8.exe [隠しファイル] [BackDoor-DOQという名前で検出]

・また、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

  • %ProgramFiles%\LimeWire\Shared\
  • %ProgramFiles%\Grokster\My Grokster\
  • %ProgramFiles%\Morpheus\My Shared Folder\

・上記のフォルダに以下のユーザの気を引くファイル名で自身のコピーを作成します。

  • K-Lite Mega Codec v5.5.1.exe
  • YouTubeGet 5.4.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Adobe Photoshop CS4 crack.exe
  • VmWare 7.0 keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Twitter FriendAdder 2.1.1.exe
  • PDF Unlocker v2.0.3.exe
  • Image Size Reducer Pro v1.0.1.exe
  • Anti-Porn v13.5.12.29.exe
  • Norton Internet Security 2010 crack.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • PDF-XChange Pro.exe
  • Windows 7 Ultimate keygen.exe
  • RapidShare Killer AIO 2010.exe
  • Ashampoo Snap 3.02.exe
  • Blaze DVD Player Pro v6.52.exe
  • Adobe Illustrator CS4 crack.exe
  • Rapidshare Auto Downloader 3.8.exe
  • Trojan Killer v2.9.4173.exe
  • PDF to Word Converter 3.0.exe
  • Google SketchUp 7.1 Pro.exe
  • McAfee Total Protection 2010.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Youtube Music Downloader 1.0.exe
  • Adobe Acrobat Reader keygen.exe
  • VmWare keygen.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ad-aware 2010.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Total Commander7 license+keygen.exe
  • LimeWire Pro v4.18.3.exe
  • Download Accelerator Plus v9.exe
  • Internet Download Manager V5.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Absolute Video Converter 6.2.exe
  • Daemon Tools Pro 4.11.exe
  • Download Boost 2.0.exe
  • Avast 4.8 Professional.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Alcohol 120 v1.9.7.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Super Utilities Pro 2009 11.0.exe
  • Power ISO v4.2 + keygen axxo.exe
  • G-Force Platinum v3.7.5.exe
  • Divx Pro 7 + keymaker.exe
  • Magic Video Converter 8 0 2 18.exe
  • Sophos antivirus updater bypass.exe
  • DVD Tools Nero 10.5.6.0.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • PDF password remover (works with all acrobat reader).exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Windows2008 keygen and activator.exe
  • Tuneup Ultilities 2010.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe
  • Starcraft2 Patch v0.2.exe
  • Starcraft2 keys.txt.exe
  • Starcraft2 Crack.exe
  • Starcraft2 Oblivion DLL.exe
  • Starcraft2.exe

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\HP8
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • HKEY_CURRENT_USER\S-1-(不定)\Software\HP8

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    “%WinDir%\System32\HPWuSchd8.exe” ="%WinDir%\System32\HPWuSchd8.exe:*:Enabled:Explorer"
  • [HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    “RTHDBPL” = %Appdata%\SystemProc\lsass.exe
  • [HKEY_CURRENT_USER\S-1-(不定\Software\Microsoft\Windows\CurrentVersion\Run\]
    “HP Software Updater8” = "%WinDir%\System32\HPWuSchd8.exe"

・上記のレジストリにより、BackDoor-DOQが乗っ取ったシステムに登録され、再起動のたびに実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    "EnableLUA" = "0x00000000"

・上記のレジストリ項目により、「管理者承認モードでの管理者」というユーザタイプを無効にします。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    "Start:" = "0x00000004"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    "Start:" = "0x00000004"

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。

・また、svchost.exeに悪質なコードを挿入し、リモートポート53を介して202.54.[削除].60に接続します。

「%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)、%Appdata%はApplication Dataフォルダ、%Programfiles%はC:\Program Files\]

---------2010年8月6日更新----------------------

・BackDoor-DOQは攻撃者が乗っ取ったコンピュータに無許可でリモートアクセスできるようにします。攻撃者は乗っ取ったコンピュータを制御し、スパムの送信、さらなるマルウェアのインストールに利用できます。

・実行時、以下の場所に自身をコピーします。

  • %System%\traymgr.exe [Backdoor-DOQという名前で検出]

・BackDoor-DOQが起動時に動作するよう、以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "MicrosoftCorp"
    %System%\traymgr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MicrosoftNAPC"
    %System%\traymgr.exe
# 注:
  • %System%はシステムフォルダを指す変数です。 (C:\Windows\System32 (Windows XP))
プロセス情報:

・「Traymgr.exe」という名前でプロセスが動作し、csrss.exe、lsass.exeなど、他の複数のプロセスにフックされます。

・以下のサーバに接続します。

  • legion014.com

・BackDoor-DOQがサーバに接続すると、リモート攻撃者はインスタントメッセンジャー(MSN)を使ってスパムを送信できます。乗っ取ったコンピュータを完全に制御したリモート攻撃者は、攻撃者が指定するコマンドを実行できます。

---------2010年8月5日更新----------------------

・実行時、以下の場所に自身をコピーします。

  • %Windir%\system32\traymgr.exe (隠しファイル) [BackDoor-DOQという名前で検出]
  • [リムーバブルドライブ]:\ice\fire\traymgr.exe (隠しファイル) [BackDoor-DOQという名前で検出]

・また、以下のファイルをドロップ(作成)します。

  • [リムーバブルドライブ]:\auTORUN.inf (隠しファイル)
  • %SYSTEMDRIVE%\ice\fire\Desktop.ini (隠しファイル)

・以下のフォルダがシステムに追加されます。

  • [リムーバブルドライブ]:\ice\fire

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

・「AutoRun.inf」ファイルはBackDoor-DOQの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、BackDoor-DOQが自動的に起動されます。

・autorun.infは以下のコマンド構文でBackDoor-DOQのファイルを起動するように設定されています。

[autorun[ [autorun] open=ice\fire\traymgr.exe icon=%SystemRoot%\system32\SHELL32.dll,4 action=Open folder to view files UseAuTOPLAY=1 shell\\open\\command=ice\fire\traymgr.exe shell\\Explore\\Command=ice\fire\traymgr.exe

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    “MicrosoftCorp” = "%Windir%\system32\traymgr.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “MicrosoftNAPC” = "%Windir%\system32\traymgr.exe"

・上記のレジストリにより、BackDoor-DOQが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

リモート攻撃者は、BackDoor-DOQを使って、さまざまなタスクを実行できます。
  • システム情報の収集
  • IRCコマンド(PING、NICK、NOTICE、JOIN)の実行

・ユーザの乗っ取り後、IRCチャネルに接続します。IRCサーバに接続したBackDoor-DOQは乗っ取ったコンピュータを完全に制御できます。リモート攻撃者はこれを利用して悪質なコマンドを実行できます。

・また、IRCチャネルに参加して、攻撃者から以下のコマンドを受け取ります。

  • ddos.supersyn
  • ddos.stop
  • dl.start
  • dl.stop
  • update.start
  • msn.spread
  • msn.msg
  • msn.stats
  • msn.addcontact

・また、以下のドメインアドレスに接続します。

  • server.l[削除]n014.com

・システムに自身が存在していることを示すため、以下のMutexオブジェクトが作成されます。

  • 7C48xX92D

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)]

------------------------2010年5月20日更新---------------------------

・BackDoor-DOQは、リモート攻撃者による乗っ取ったコンピュータへの無許可のアクセスと制御を可能にするバックドアです。バックドアサーバを開き、他のコンピュータが乗っ取ったユーザのコンピュータに接続し、リモートで制御できるようにします。

・実行時、以下のレジストリ項目が作成されます。

  • [HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
  • MSN: %WinDir%\system.exe"

・上記のレジストリ項目により、システムが起動するたびにBackDoor-DOQが実行されるようにします。

・実行時、リモートポート80を使って以下のサイトに接続します。

  • 1.justca[削除].info

・ユーザの乗っ取り後、IRCチャネルに接続します。IRCサーバに接続したBackDoor-DOQは乗っ取ったコンピュータを完全に制御できます。リモート攻撃者はこれを利用して悪質なコマンドを実行できます。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system.exe

・また、リムーバブルドライブを監視します。乗っ取ったシステムにリムーバブルドライブが挿入されると、乗っ取ったシステムに接続されたリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが他のシステムに接続されるたびに自身を実行します。

・上記のスクリーンショットのとおり、BackDoor-DOQがリムーバブルドライブの以下の場所に自身をコピーします。

  • %RemovableDrive%\ SERVICES\SYSTEM\autorunme.exe
  • %RemovableDrive%\AutORuN.inf

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files, %SystemDrive% = オペレーティングシステムがインストールされているドライブで、通常はC:\。%RemovableDrive% = システムに挿入されたリムーバブルドライブ

------------------------------------------------------------------------------------

・BackDoor-DOQが実行されると、自身を削除し、msile.exeという名前のプロセスを作成します。msile.exeは、以下のとおり、IRCを使ってリモートサーバとの接続を確立します。

PASS h4xg4ng NICK [00-USA-XP-9714670] USER SP2-ojd, コンピュータの名前

・msile.exeを%windir%\system\にドロップします。msile.exeは同じBackDoor-DOQという名前で検出されます。また、sysdrv32.sysファイルを%windir%\system32\drivers\にドロップします。このファイルはGeneric Rootkit.gという名前で検出されます。%windir%はWindowsフォルダで、通常はC:\Windowsになります。

・以下のレジストリキーを作成して、msile.exeとsysdrv32.sysをシステムサービスとしてインストールします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msile
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のIRC接続が存在します。
  • 上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る
  • トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。
  • トロイの木馬が届く原因には、セキュリティ対策が不十分、マシンに修正プログラムが適用されていない、システムが脆弱といった理由が考えられます。
  • IRC、ピアツーピアネットワーク、電子メール、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足