clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2009 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
Category 1 BackDoor.G

最終更新日: 1999年6月9日 00:00 (米国時間)

BackDoor.Gは、他のバックドアトロイの木馬と同様の形態で動作するトロイの木馬です。

別名: Backdoor.Trojan

種別: バックドアトロイの木馬


  • 対応日(Intelligent Updater)*
    		•  02/02/26(米国時間)
  • 対応日(Live UpdateTM)**
    		•  02/02/27(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    Low Low Low

    被害状況:

    ダメージ:

    感染力:

    感染力

    technical details

    このトロイの木馬は、単一実行形式のインストーラとして配布されています。

    このトロイの木馬が実行されると、インストーラは次の動作を行います。

    1. ローダプログラムを\Windowsディレクトリに作成する。
    2. サーバDLLを\Windows\Systemディレクトリに作成する。
    3. WIN.INIまたはレジストリを改変し、システム起動時にローダが実行されるようにする。

    ローダが実行されると、サーバがメモリに読み込まれます。サーバがメモリに読みこまれると、そのコンピュータに対して、不正なユーザからのアクセスが可能になってしまいます。以後、クライアントプログラムを実行することにより、離れた場所からでも、そのコンピュータに不正アクセスすることが可能になります。

    Symantec Security Response の研究者は、このトロイの木馬にはほとんど危険性がないと結論を出しました。ユーザのコンピュータに不正アクセスするためには、侵入者は、サーバが読み込まれていて、正常に動作していることを知っておく必要があるためです。

    Symantec Security Response の研究者は、BackDoor.Gの2つの変種を分析しました。Norton AntiVirusは現在、古い方の変種からの保護機能を備えています。新しい方の変種は、Symantec Security Response に寄せられているサンプルはわずか1件のみです。新しい方の変種に対しては、1999年6月3日以降のウイルス定義アップデートで対応しています。ただし、システムが既に攻撃を受けていると思われる場合には、ウイルスの存在が疑われるファイルを全てSymantec Security Response に提出してください。

    変種 1

     ・インストーラ:DATA2.EXE
     ・ローダ:TINURAK.EXE
     ・サーバ:WATCHING.DLL

    次のレジストリキーにKERNEL16という名前の値を追加する。

     HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices

    変種 2

     ・インストーラ:WINDOW.EXE
     ・ローダ:NODLL.EXE
     ・サーバ:LMDRKI_33.DLL

    WIN.INIに"run=nodll"という行を追加する。

    BackDoor.Gのいずれのバージョンも、次の3つのポートを監視します。

    1243

    6711

    6776

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    感染の疑いがある場合には、LiveUpdateを実行するか、あるいはSymantec Security Response のホームページから最新のウイルス定義ファイルをダウンロードしてください。

    • LiveUpdateを使ってウイルス定義ファイルを更新する方法については、こちらをクリックしてください。
    • Symantec Security Response のホームページから手動でダウンロード、インストールするには、こちらをクリックしてください。