|
|
ウイルス情報ウイルス情報| 種別 | トロイの木馬 | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4189 | 対応定義ファイル
(現在必要とされるバージョン) | 4363 (現在7080) | | 対応エンジン | 4.1.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Backdoor.Egghead (NAV) | | 情報掲載日 | 02/03/06 | | 発見日(米国日付) | 02/02/17 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る |
- Eggheadは、Win2K/XPを対象としたトロイの木馬です。フリーウェアのIRC(Internet Relay Chat)BOTに組み込まれており、複数のシステム ユーティリティ、環境設定ファイル、.REGファイル、および.BATファイルを利用します。インストーラ コンポーネントは、ダウンローダのバッチ ファイルです。このバッチ ファイルが実行されると、ローカル システム上でリモート アクセスが開始され、2つのファイル(SS.RARとUNRAR.EXE)がダウンロードされます。UNRAR.EXEは、SS.RARを解凍するときに使用されます。Eggheadの作者によって、SS.RARファイルは定期的に改変される可能性があるため、感染時の現象は一定していません。AVERTは、実際に流布しているこの脅威のサンプルを1件確認しており、先の2つのファイルがダウンロードされるサーバは、現在、機能していません。
- RARファイルが%SystemRoot%\inf\ssディレクトリに抽出されると、他のバッチ ファイルが実行されます。このバッチ ファイルにより、%systemroot%\system32\svchostディレクトリが作成され、そのディレクトリにSERVICES.EXE(Firedaemonアプリケーションで、トロイの木馬ではない)とPSKILL.EXE(PSKillアプリケーションで、トロイの木馬ではない)がコピーされます。EVENTSサービスが作成されます。このサービスにより、IRC BOTが開始します。SERVICES.EXE、TCPSVCS.EXE、およびGOOD_CLIENT.EXE(BackDoor-EX)は、%SystemRoot%に置かれます。4つの.REGファイルがWin2K/XPのレジストリにインポートされ、次の値が設定されます(これらのレジストリがある場合は、削除してください)。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr
"DependOnService" = "RpcSs.TcpI"
"Description" = "Allows a remote user to log on to the system and run console programs using the command line."
"DisplayName" = "Telnet"
"ErrorControl" = dword:00000001
"ImagePath" = "%SystemRoot%\system32\tlntsvr.exe"
"ObjectName" = "LocalSystem"
"Start" = dword:00000003
"Type" = dword:00000010
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr\Enum
"0" = "Root\LEGACY_TLNTSVR\0000"
"Count" = dword:00000001
"NextInstance" = dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0
"AllowTrustedDomain" = dword:00000001
"DefaultDomain" = "."
"DefaultShell" = %SystemRoot%\system32\cmd.exe /q /k
"LoginScript" = %SystemRoot%\system32\login.cmd
"MaxConnections" = dword:0000003f
"MaxFailedLogins" = dword:00000003
"NTLM" = dword:00000000
"TelnetPort" = dword:00001a8e
"AltKeyMapping" = dword:00000001
"Termcap" = "%SystemRoot%\system32\termcap"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\Performance
"NumThreadsPerProcessor" = dword:00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
"AutoShareServer" = dword:00000000
"AutoShareWks" = dword:00000000
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RemoteRegistry
"Start" = dword:00000003
"Type" = dword:00000020
- また、次のレジストリ キーも作成されます(該当のレジストリがあった場合は、削除してください)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Events
- EVENTSサービスが開始されます。次の共有が削除されます。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
- 以下のファイルが存在する。
- 254.com
- 254.dll
- 254.reg
- 254r.exe
- 1.reg
- 3.reg
- 5.reg
- 7.reg
- b.bat
- fire.bat
- s.bat
- v.bat
- ClearEL.exe(トロイの木馬ではない)
- good_client.exe
- inetinfo.exe(トロイの木馬ではない)
- kill.exe(トロイの木馬ではない)
- Pskill.exe(トロイの木馬ではない)
- services.exe(トロイの木馬ではない)
- tcpsvcs.exe
- unrar.exe(トロイの木馬ではない)
- uptime.exe(トロイの木馬ではない)
|
|
|
|
|  |
