BKDR_AGENT.CAZZ手動削除手順:

ウイルスタイプ: バックドア型

別 名: エージェント

感染報告の有無 : あり

破壊活動の有無: なし

言語: 英語

プラットフォーム: Windows 98, ME, NT, 2000, XP, Server 2003

・インストール:
この不正プログラムは、他の不正プログラムにより作成およびダウンロードされコンピュータに侵入します。

不正プログラムは、以下の自身のコピーを作成します。

<User Profile>\xrt_<4つのランダムな文字列>.exe
(註:<User Profile>フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

不正プログラムは、全ての実行中のプロセスにスレッドを組み込み、システムのプロセスに常駐します。

不正プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
値:
xrt_Shell = "<User Profile>\xrt_<4つのランダムな文字列>.exe"

不正プログラムは、以下のレジストリ値を追加します。

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
値:
・xrt_newversion = "0"
・xrt_opt_certs = "/cgi-bin/cert.cgi"
・xrt_opt_command = "/cgi-bin/cmd.cgi"
・xrt_opt_deletecookie = "yes"
・xrt_opt_deletesol = "no"
・xrt_opt_file = "/cgi-bin/file.cgi"
・xrt_opt_idproject = "0001"
・xrt_opt_options = "/cgi-bin/options.cgi"
・xrt_opt_pausecert = "200"
・xrt_opt_pauseopt = "800"
・xrt_opt_pstorage = "/cgi-bin/pstore.cgi"
・xrt_opt_reserv = "91.203.93.45"
・xrt_opt_ss = "/cgi-bin/ss.cgi"

場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
値:
<Windowsフォルダ>\explorer.exe = "<Windowsフォルダ>\explorer.exe:*:Enabled:Windows Explorer"

・ルートキット機能:
この不正プログラムはルートキット機能を備えており、自身に関連したプロセス、レジストリ値、ファイルを隠匿し、ユーザによる検出および削除を避けます。

・参考:

※:<Windowsフォルダ>はWindowsの種類とインストール時の設定などにより異なります。標準設定では、

Windows9x/Me/XP/Server 2003の場合、
<Windowsフォルダ>= C:\Windows
WindowsNT/2000の場合、
<Windowsフォルダ>= C:\WINNT
です。