BackDoor-AWQ.b!bvb対策,

ウイルス情報ウイルス名リスク度BackDoor-AWQ.b!bvb企業ユーザ: 低トロイの木馬
個人ユーザ: 低類別トロイの木馬最小定義ファイル
(初っ端に検出を確認したパブジョン)5827対応定義ファイル
(現在不可欠とされるパブジョン)5829 2009/12/09

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

<a href=http://www.dll-dl.com/ title=トロイの木馬>トロイの木馬</a>

BackDoor-AWQ.b!bvbはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの時、ファイルがメリットである、あるいはファイルを欲しいと思発言させて手動で実行させることにより繁殖します。最も一般的なインストール手立ては、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知の本職グラムを実行させることです。電坊主メール、悪質な、またはハッキングされているWebサイト、IRC、ピアツーピアネットワークなどを便秘気味て配布されます。

ファイル本職パティ

MD5 :86944EC123D54075AAC6F2D96F9D415E

SHA1 :C5401FB8D6E43704D4579DC1A1FB58974B2C7D0D

サイズ :421,944バイト

ウイルスのめりはり

BackDoor-AWQ.b!bvbはリモートサイトに接続し、リモート攻撃者が本職グラムしたとおりに反応を実行することにより、背景ドア機能を有効にします。

実行されると、以下の敷地に自身をコピーします。

%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSInfo\AutoRun.exe

%SysDir%\_AutoRun.exe

%SystemDrive%\AutoRun.exe

また、以下のファイルをドロップします。

%SystemDrive%\AutoRun.inf

以下のレジストリキーがシステムに追加されます。

HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\vschost.exe

HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\vschost.exe\Security

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\vschost.exe

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\vschost.exe\Security

以下のレジストリ値が追加されます。

[HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Services\vschost.exe\]

ImagePath= “%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSINFO\AutoRun.exe”

[HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\vschost.exe\]

ImagePath= “%SystemDrive%\Program Files\Common Files\Microsoft Shared\MSINFO\AutoRun.exe”

実行されると、iexplore.exeに挿入し、Internet Explorerがリモートポート8800を無くなってリモートサイト「wlg[削除].3322.org」と接続するようにします。

以下は一般的な合格変数の既定値です。

%SysDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)

%SystemDrive% = Windowsがインストールされている割り知ってブ

以下の症状が見られる時、このウイルスに感染している割合があります。

上記のファイルおよびレジストリキーが存在します。

上記のリモートサイトへの接続が行われます。

感染手立て

サーバコンポーネントがターゲットマシンにインストールされると、ポートが開かれ、ハッカーに通知が行われます。その後、ハッカーはクライアントコンポーネントを無くなってそのマシンに接続します。

駆逐手立て

現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した時は正常に駆逐されます。

Windows ME/XPでの駆逐についての補足

,BackDoor-AWQ.b!bvb対策