製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
Egghead
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4189
対応定義ファイル
(現在必要とされるバージョン)
4363 (現在7507)
対応エンジン4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.Egghead (NAV)
情報掲載日02/03/06
発見日(米国日付)02/02/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 




ウイルスの特徴TOPに戻る
  • Eggheadは、Win2K/XPを対象としたトロイの木馬です。フリーウェアのIRC(Internet Relay Chat)BOTに組み込まれており、複数のシステム ユーティリティ、環境設定ファイル、.REGファイル、および.BATファイルを利用します。インストーラ コンポーネントは、ダウンローダのバッチ ファイルです。このバッチ ファイルが実行されると、ローカル システム上でリモート アクセスが開始され、2つのファイル(SS.RARとUNRAR.EXE)がダウンロードされます。UNRAR.EXEは、SS.RARを解凍するときに使用されます。Eggheadの作者によって、SS.RARファイルは定期的に改変される可能性があるため、感染時の現象は一定していません。AVERTは、実際に流布しているこの脅威のサンプルを1件確認しており、先の2つのファイルがダウンロードされるサーバは、現在、機能していません。

  • RARファイルが%SystemRoot%\inf\ssディレクトリに抽出されると、他のバッチ ファイルが実行されます。このバッチ ファイルにより、%systemroot%\system32\svchostディレクトリが作成され、そのディレクトリにSERVICES.EXE(Firedaemonアプリケーションで、トロイの木馬ではない)とPSKILL.EXE(PSKillアプリケーションで、トロイの木馬ではない)がコピーされます。EVENTSサービスが作成されます。このサービスにより、IRC BOTが開始します。SERVICES.EXE、TCPSVCS.EXE、およびGOOD_CLIENT.EXE(BackDoor-EX)は、%SystemRoot%に置かれます。4つの.REGファイルがWin2K/XPのレジストリにインポートされ、次の値が設定されます(これらのレジストリがある場合は、削除してください)。

    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr
      "DependOnService" = "RpcSs.TcpI"
      "Description" = "Allows a remote user to log on to the system and run console programs using the command line."
      "DisplayName" = "Telnet"
      "ErrorControl" = dword:00000001
      "ImagePath" = "%SystemRoot%\system32\tlntsvr.exe"
      "ObjectName" = "LocalSystem"
      "Start" = dword:00000003
      "Type" = dword:00000010

    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr\Enum
      "0" = "Root\LEGACY_TLNTSVR\0000"
      "Count" = dword:00000001
      "NextInstance" = dword:00000001

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0
      "AllowTrustedDomain" = dword:00000001
      "DefaultDomain" = "."
      "DefaultShell" = %SystemRoot%\system32\cmd.exe /q /k
      "LoginScript" = %SystemRoot%\system32\login.cmd
      "MaxConnections" = dword:0000003f
      "MaxFailedLogins" = dword:00000003
      "NTLM" = dword:00000000
      "TelnetPort" = dword:00001a8e
      "AltKeyMapping" = dword:00000001
      "Termcap" = "%SystemRoot%\system32\termcap"

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\Performance
      "NumThreadsPerProcessor" = dword:00000002

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
      "AutoShareServer" = dword:00000000
      "AutoShareWks" = dword:00000000

    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteRegistry
      "Start" = dword:00000003
      "Type" = dword:00000020

  • また、次のレジストリ キーも作成されます(該当のレジストリがあった場合は、削除してください)。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Events

  • EVENTSサービスが開始されます。次の共有が削除されます。

      ADMIN$、C$、D$

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • 以下のファイルが存在する。

    • 254.com
    • 254.dll
    • 254.reg
    • 254r.exe
    • 1.reg
    • 3.reg
    • 5.reg
    • 7.reg
    • b.bat
    • fire.bat
    • s.bat
    • v.bat
    • ClearEL.exe(トロイの木馬ではない)
    • good_client.exe
    • inetinfo.exe(トロイの木馬ではない)
    • kill.exe(トロイの木馬ではない)
    • Pskill.exe(トロイの木馬ではない)
    • services.exe(トロイの木馬ではない)
    • tcpsvcs.exe
    • unrar.exe(トロイの木馬ではない)
    • uptime.exe(トロイの木馬ではない)