|||||
Symantec.com > セキュリティレスポンス > Backdoor.Akak
印刷

Backdoor.Akak

危険度 1: ほとんど影響なし

ドキュメントを印刷する

発見日: 2004 年 9 月 2 日
更新日: 2007 年 2 月 13 日 12:35:02 PM
別名: Backdoor.Win32.BoomRaster.a (K
種別: トロイの木馬
感染サイズ: 8704 バイト
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


Backdoor.Akak はユーザが Internet Explorer を使用して、有害な Web サイトにアクセスしたときにインストールされる可能性のあるバックドアサーバです。これらの Web ページには Microsoft Internet Explorer のドラッグアンドドロップ ファイルインストールの脆弱性を悪用するコードが含まれている可能性があります。

Backdoor.Akak が実行されると、Windows のスタートアップフォルダに Testexe.exe ファイルまたは Rb.exe ファイルを ダウンロードします。

さらに、ユーザが Windows を起動すると次のことを行います。
  1. ダウンロードしたファイルを実行します。
  2. "J&^srl!hsl^AHSgh" というミューテックスを作成することによって、バックドアのインスタンスが 1 つのみメモリ上に存在するように設定します。
  3. 自分自身をサービスとして登録することによって、ユーザがログオフしても引き続きバックドアが実行されるように設定します。
  4. 自分自身を %System%\rb.exe としてコピーします。

    注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
  5. 次のレジストリキーに

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    次の値を作成することによって、

    "RamBooster2"="%System%\rb.exe "


    Windows の起動時に毎回、トロイの木馬が実行されるように設定します。
  6. "net stop SharedAccess" というコマンドを発行することによって、Windows インターネット接続ファイアウォール (ICF) がシステム上で実行されている場合、これを無効にします。(Windows 2000/XP)
  7. TCP ポート 4321 上の 202.104.242.156 に存在するマスターサーバに接続し、%System%\lhosts.txt ファイルに保存される情報をダウンロードします。
  8. バックドアは lhosts.txt ファイルを作成できない場合、その代わりとして現在のワーキングフォルダに Kaka2.txt ファイルを作成し、ダウンロードした情報を保存します。
  9. TCP ポート 5555 上に SOCKS プロキシを作成します。これにより、侵入先のコンピュータが HTTP のようなプロキシプロトコルに利用できるように設定します。
  10. TCP ポート 4321 でリモートの攻撃者からのコマンドを待機します。攻撃者は次のことを実行する可能性があります。
    • システム情報を入手する
    • 侵入先のコンピュータでファイルをダウンロードして実行する
    • バックドアをアンインストールする
    • マスターサーバのアドレスを更新する

    推奨する感染予防策

    シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
    • パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

    記述: Maryl Magee
    ノートン 2010 シリーズ登場
    Symantec Endpoint Protection
    ©1995 - 2009 Symantec Corporation
    サイトマップ|
    利用規約|
    プライバシーポリシー|
    お問い合わせ|
    各国サイト|
    使用許諾契約