Backdoor.IRC.Criticalは、バックドア型トロイの木馬で、感染したシステムにユーザに無断でアクセスできるようにします。また、ハッカーがインターネット・リレー・チャット(IRC)を通じてユーザのコンピュータを制御できるようにします。

種別: トロイの木馬

対応日(Intelligent Updater)* 01/09/18(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 ダメージ: 低 感染力: 低

ダメージ

• 発病症状:
  • ファイル改ざん: Win.iniがロードポイントとして使用される。
    
  • 不正アクセス: 感染したシステムへの不正アクセスを可能にする。
    

Backdoor.IRC.Criticalは、通常、1つの大きなインストーラ実行ファイルとして配布されているバックドアトロイの木馬です。この実行ファイルが実行されると、良性のウィルス対策プログラムをインストールするふりをしながら、バックグラウンドでシステム上のさまざまな場所にバックドアファイルをインストールします。

Backdoor.IRC.Criticalによって挿入されるファイルは次の通りです。

• C:\Windows\DskLoad.exe
• C:\Windows\Prun.exe
• C:\Windows\Sys.exe
• C:\Program Files\Accessories\Backup\System\Critical\Cons1.dll
• C:\Program Files\Accessories\Backup\System\Critical\Deg326.dll
• C:\Program Files\Accessories\Backup\System\Critical\Expl32.exe
• C:\Program Files\Accessories\Backup\System\Critical\Explorer2.exe
• C:\Program Files\Accessories\Backup\System\Critical\ins.dll
• C:\Program Files\Accessories\Backup\System\Critical\Mir436.dll
• C:\Program Files\Accessories\Backup\System\Critical\Mirc.ini
• C:\Program Files\Accessories\Backup\System\Critical\Moo.dll
• C:\Program Files\Accessories\Backup\System\Critical\Mstg1.dll
• C:\Program Files\Accessories\Backup\System\Critical\Scan31.dll
• C:\Program Files\Accessories\Backup\System\Critical\Updatex1.dll
• C:\Program Files\Accessories\Backup\System\Critical\Win32x.dll
• C:\Program Files\Accessories\Backup\System\Critical\Winexp32.dll
• C:\Program Files\Accessories\Backup\System\Critical\Winvar32.dll
  

備考：これらの.dllファイルのほとんどはダイナミック リンク ライブラリではなく、IRCスクリプトファイルまたはデータファイルです。

C:\Program Files\Accessories\Backup\System\Criticalフォルダ内に作成されるファイルはすべて、ユーザに気づかれないように「隠しファイル」属性が設定されています。このトロイの木馬は、感染したシステムの制御を取得するために次の動作を行います。

• C:\Windows\のWin.iniファイルのrun= 行を、次の内容に変更します。
  
  　run=C:\Windows\DskLoad.exe
  
  
• 下記のレジストリキーの値を次のように追加・変更します。
  
  
  • キー：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
    値：
    DisplayName mIRC
    
    
  • キー：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
    値：
    UninstallString c:\program files\accessories\backup\system\critical\expl32.exe"
    -uninstall"
    
    
  • キー：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    値：
    StubPath C:\Windows\DskLoad.exe
    
    
  • キー：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents\KeyName
    値：
    MSSysDisk C:\Windows\DskLoad.exe
    
    
  • 最後に、チャットファイルのオープン時に"c:\program files\accessories\backup\system\critical\expl32.exe"を呼び出すHKEY_LOCAL_MACHINE\Software\ClassesのレジストリキーにIRCファイル拡張子をフックします。
    

インストールされたファイルC:\Windows\Sys.exeは、ユーザまたはプログラムが「sys」コマンドを呼び出すまで待機します。Sys.comファイルは、DOSベースのオペレーティング システムでデータ媒体をDOSブート可能にするために使用されます。Windowsコンピュータでは、このファイルはC:\Windows\Commandフォルダに\sys.comとして格納されていますが、コマンドプロントからsysが実行された場合、正当なC:\Windows\Command\sys.comの代わりにウィルス性のC:\Windows\Sys.exeが起動されてしまいます。

このウィルス性のsys.exeファイルは、システム上にBackdoor.Subseven.22をインストールし、感染したシステムをさらに制御可能にします。

1. LiveUpdateを実行し、ウィルス定義を最新版に更新します。
   
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。スキャン対象の設定手順については、How to configure Norton AntiVirus to scan all files（英語）をご覧ください。
   
3. システム全体のスキャンを実行します。
   
4. Backdoor.IRC.CriticalまたはBackdoor.Subseven.22として検出されたファイルをすべて削除します。
   
5. 削除したファイルを、感染していないバックアップで置き換えるか、再インストールします。
   
6. レジストリおよびWin.iniファイルに行われた変更を元の設定に戻します。