発見日: May 07, 2009
更新日: July 11, 2013 8:17:50 AM
別名: BKDR_QAKBOT.AF [Trend], Win32/Qakbot [Computer Associates], W32/QakBot [Sophos], W32/Akbot [McAfee], Trojan-PSW.Win32.Qbot.mk [Kaspersky]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2007-0015 | CVE-2007-4673

W32.Qakbot は、ネットワーク共有とリムーバブルドライブを介して拡散するワームです。追加のファイルをダウンロードし、情報を盗み取り、侵入先のコンピュータのバックドアを開きます。また、このワームは自分の存在を隠すためのルートキット機能を備えています。


感染

W32.Qakbot は、ユーザーが特定の Web ページを訪問したときに、複数の脆弱性を悪用することによって拡散します。これらのリモートロケーションでホストされるエクスプロイトコードは、この脅威を侵入先のコンピュータにダウンロードします。感染の多くは、悪質なリンクをユーザーが何気なくクリックすることにより発生します。Web を利用して拡散する脅威が増加するにつれ、ワンクリックの重要性がより明らかになっていきます (英語資料「Every Click Matters 」)。

また、このワームは、リモートの攻撃者の命令に従って共有フォルダに自分自身をコピーすることにより、ネットワーク共有を介して拡散します。さらに、自分自身をリムーバブルドライブにコピーします。


機能
W32.Qakbot は、複数の機能を備えていますが、最終的な目標は情報を盗み取ることです。ID の窃盗は、サイバー犯罪の世界ではビッグビジネスであり、脅威が盗み取るデータが多ければ多いほど、より大きな利益を生み出すことができます。W32.Qakbot は、次の機密情報を含む、多種多様な情報を収集することができます。

  • Flash cookie を含む認証 cookie
  • DNS、IP、ホスト名の詳細
  • オペレーティングシステムとシステム情報
  • 地理的情報とブラウザのバージョン情報
  • ログイン情報を含むキーストローク
  • FTP、IRC、POP3 電子メール、および IMAP 電子メールのログイン詳細情報
  • Outlook のアカウント情報
  • システム証明書の秘密鍵
  • 特定の Web サイトのログイン資格情報
  • 訪問した URL

サイバー犯罪はビッグビジネスであり 、現実の犯罪です。米国財務省の報告によると、サイバー犯罪は、違法薬物取引以上の犯罪資金を生み出し、5 人に 1 人が被害にあっています。サイバー犯罪者は、ほとんど労力を使うことなく、計画を立て、ID を盗み取り、売りさばくことで、何百万ドルともいわれる収益を上げています。「Introduction to the Black Market 」(英語) などの情報でブラックマーケットについて理解を深めることにより、一般のインターネットユーザーもサイバー犯罪の狡猾な本質を理解することができます。

クレジットカードを使いながら走り回る未開人と、「財布には何が入っているの?」というタグラインを採用した興味深いクレジットカードのテレビ広告があります。サイバー犯罪者たちが「コンピュータには何が入っているんだろう?」と自問する声が聞こえてきそうです。コンピュータを所有しているということは、危険にさらされていることを意味します (英語資料「If you have a computer, you're at risk 」)。自分の危険度を評価することをお勧めします。

ログイン詳細情報、特定の Web サイトからの資格情報、パスワード、口座情報、およびその他の個人の身分証明情報が盗まれると、ブラックマーケットで売られる可能性があります。最終的に、なりすまし犯罪につながります。もっとも頻繁に使用されるテクニックであるキーロギング(キー入力の記録)は、可能な限り大量のデータを提供しようと試みます。リモートの攻撃者の手に入るユーザーに関する詳細情報が多ければ多いほど、ブラックマーケットのキーロギング収益も増大します (英語資料「Black Market Keylogging 」)。


ホワイトペーパー: W32.Qakbot in Detail
シマンテックは、ワームの内部構造を明らかにするための調査に関するホワイトペーパーを公開しました。このワームに関する詳細については、「W32.Qakbot in Detail 」(英語) のコピーをダウンロードしてください。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ

W32.Qakbot


ウイルス対策 (ヒューリスティック/汎用)



ブラウザ保護

シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシーのリンク を右クリックして、ブラウザの [対象をファイルに保存] オプションを選択し、「W32.Qakbot.dat」としてファイルを保存することで、ポリシーをダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働 モードでポリシーを配備し、アクティブ保護を有効にします。

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド 」(PDF) を参照してください。

注意: シマンテックセキュリティレスポンスで開発されたアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用することをお勧めします。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン May 07, 2009 リビジョン 001
  • Rapid Release 最新バージョン April 20, 2018 リビジョン 017
  • Daily Certified 初回バージョン May 07, 2009 リビジョン 003
  • Daily Certified 最新バージョン April 20, 2018 リビジョン 009
  • Weekly Certified 初回リリース日 May 13, 2009

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Angela Thigpen and Eric Chien

発見日: May 07, 2009
更新日: July 11, 2013 8:17:50 AM
別名: BKDR_QAKBOT.AF [Trend], Win32/Qakbot [Computer Associates], W32/QakBot [Sophos], W32/Akbot [McAfee], Trojan-PSW.Win32.Qbot.mk [Kaspersky]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2007-0015 | CVE-2007-4673

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用

1.3 特定アドレスへのアクセスのブロック

1.4 ネットワークポートのブロック

1.5 ネットワーク共有

2. 感染方法

2.1 Web サイト

2.2 ネットワーク共有
2.3 リムーバブルドライブ
3. 機能
3.1 システムの変更

3.2 ネットワーク関連操作

3.3 その他の機能

4. 追加情報




1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
未知のソースからのファイルを開いたり実行したりしないでください。また、不要なスクリプトの実行を阻止するために、クライアントアプリケーションでの JavaScript の実行を無効にしておくことをお勧めします。

不要な場合は、ファイル共有を無効にしてください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。また、ファイアウォールや IDS を利用して、バックドアサーバーとリモートクライアントアプリケーションとの通信をブロック、または検出します。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策とファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、ベンダーから最新のパッチや更新プログラムが配布されたときにコンピュータが受信できるようにしておきます。

この脅威は、特定の脆弱性を悪用して拡散することが確認されています。次の脆弱性 (英語) に対応したパッチを適用することで、コンピュータに対するリスクを軽減できます。


1.3 特定アドレスへのアクセスのブロック
ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。
  • 66.219.30.219
  • 78.129.207.47
  • abc-hobbies.com
  • acadubai.org
  • adserv.co.in
  • alfamex.com
  • b.nt002.cn
  • b.rtbn2.cn
  • b.tn001.cn
  • bckp01.in
  • boogiewoogiekid.com
  • buldrip.com
  • cdcdcdcdc212121cdsfdfd.com
  • cdcdcdcdc2121cdsfdfd.com
  • citypromo.info
  • du01.in
  • du02.in
  • ftp.acmeinformation.com
  • ftp.hunterscentral.com
  • ftp.periodicopuruvida.com
  • gator862.hostgator.com
  • googcnt.co.in
  • hostrmeter.com
  • inetrate.info
  • ip-adress.com
  • ipaddressworld.com
  • laststat.co.in
  • nt002.cn
  • nt010.cn
  • nt101.cn
  • nt13.co.in
  • nt16.in
  • nt17.in
  • nt20.in
  • nt202.cn
  • ppcimg.in
  • prstat.in
  • redserver.com.ua
  • s046.panelboxmanager.com
  • saper.in
  • spotrate.info
  • successful-marketers.com
  • swallowthewhistle.com
  • up002.cn
  • up003.com.ua
  • up004.cn
  • up01.co.in
  • up02.co.in
  • up03.in
  • whitepix.info
  • yimg.com.ua
  • zenpayday.com
  • zurnretail.com

1.4 ネットワークポートのブロック
コンピュータの侵害に悪用される脆弱性のいくつかは、16666 から 16669 の範囲の TCP ポートを使用して拡散することが確認されています。ネットワーク境界でこのポート範囲をブロックすることにより、コンピュータに対するリスクを軽減できます。


1.5 ネットワーク共有
この脅威は、共有を利用してネットワーク内で拡散することも確認されています。次のような対応により、この脅威からコンピュータを保護することができます。

  • すべてのネットワーク共有が、必要な場合のみ有効になっていることを確認します。
  • 強力なパスワードを使用して、共有フォルダやアカウントを保護します。強力なパスワードには、8 文字以上の文字を使います。数字、大文字と小文字の英字、1 つ以上の記号を組み合わせて使用します。日常的に使われる単語は、辞書攻撃によって容易に解読される可能性があるため、使用しないようにします。
  • 自動実行機能を無効にし、ネットワークドライブが開かれているときに自動的に投下されたファイルが実行されるのを阻止します。
  • 自動実行機能とその無効化に関する詳細情報については、このブログエントリ (英語) を参照してください。



2. 感染方法
この脅威は、主に、意図的に作成またはハッキングされた Web サイトを介したドライブバイダウンロードを利用して、または自分自身をネットワーク共有にコピーすることにより拡散します。


2.1 Web サイト
次のアドレスは、この脅威ファミリーをホスト、または感染を促進することが確認されています。
  • 66.219.30.219
  • 78.129.207.47
  • abc-hobbies.com
  • acadubai.org
  • adserv.co.in
  • alfamex.com
  • b.nt002.cn
  • b.rtbn2.cn
  • b.tn001.cn
  • bckp01.in
  • boogiewoogiekid.com
  • buldrip.com
  • cdcdcdcdc212121cdsfdfd.com
  • cdcdcdcdc2121cdsfdfd.com
  • citypromo.info
  • du01.in
  • du02.in
  • ftp.acmeinformation.com
  • ftp.hunterscentral.com
  • ftp.periodicopuruvida.com
  • gator862.hostgator.com
  • googcnt.co.in
  • hostrmeter.com
  • inetrate.info
  • ip-adress.com
  • ipaddressworld.com
  • laststat.co.in
  • nt002.cn
  • nt010.cn
  • nt101.cn
  • nt13.co.in
  • nt16.in
  • nt17.in
  • nt20.in
  • nt202.cn
  • ppcimg.in
  • prstat.in
  • redserver.com.ua
  • s046.panelboxmanager.com
  • saper.in
  • spotrate.info
  • successful-marketers.com
  • swallowthewhistle.com
  • up002.cn
  • up003.com.ua
  • up004.cn
  • up01.co.in
  • up02.co.in
  • up03.in
  • whitepix.info
  • yimg.com.ua
  • zenpayday.com
  • zurnretail.com

この脅威の拡散に悪用されている脆弱性 (英語) を次に示します。

ドライブバイダウンロードは、エクスプロイトが仕込まれた Web サイトをユーザーが訪問したときに発生します。このエクスプロイトによって、ユーザーの許可を得ることなく、コンピュータにマルウェアがダウンロードされます。


2.2 ネットワーク共有
W32.Qakbot は、Command and Control サーバーから命令を受け取って、ネットワーク共有を介した拡散を開始する可能性があります。

ファイルをコピーする前に、この脅威は共有フォルダを列挙して、共有名とユーザー名が次のファイルにリストされているかどうかチェックします。
%CurrentFolder%\nbl_[ユーザー名].txt

リストされている場合は、そのネットワーク共有をスキップします。リストされてない場合は、ファイル %CurrentFolder%\_qbot[ランダムな文字列] と %CurrentFolder%\q1.dll がリモートコンピュータに存在しているかどうかチェックします。存在していなければ、それらのファイルをダウンロードします。

続いて、q1.dll を次のいずれかのロケーションにコピーします。
  • [リモートコンピュータ]\C$\windows\q1.dll
  • [リモートコンピュータ]\ADMIN$\q1.dll

また、_qbot[ランダムな文字列] を次のいずれかのロケーションにコピーします。
  • [リモートコンピュータ]\C$\windows\_qbot[ランダムな文字列].exe
  • [リモートコンピュータ]\ADMIN$\_qbot [ランダムな文字列].exe

ファイルをコピーした後、ローカルコンピュータ上のファイル %CurrentFolder%\nbl_[ユーザー名].txt に、共有名とユーザー名を書き込みます。これにより、このワームは感染したコンピュータの記録を管理することができます。


2.3 リムーバブルドライブ
Qakbot は、リムーバブルドライブにランダムなファイル名で自分自身をコピーし、autorun.inf も同じドライブにコピーして、そのドライブがコンピュータに挿入されるたびに自分自身が実行されるようにします。


3. 機能

W32.Qakbot は、ファイルとレジストリエントリを追加してシステムを変更します。また、iexplore.exe または explorer.exe に自分自身を挿入し、この脅威によって実行されるその後のすべての操作が、正規の Windows プロセスによる処理であるかのように見せかけます。それらの操作には、検出の回避やファイアウォールの通過も含まれます。どちらのプロセスもファイアウォールによって許容されているため、この脅威はこれらのプロセスを利用して疑いを持たれることなく収集した情報をリモートの攻撃者に送信することができます。



この脅威は、機密情報を盗み取り、リモートサーバーに接続してインターネット接続をチェックします。

この脅威は、リモートの Command and Control サーバーに接続し、バックドアを開いて追加の命令を受け取ります。ネットワーク共有を列挙する命令を受け取った後、自分自身をネットワーク共有フォルダにコピーしようと試みます。また、msadvapi.dll をフックして、ファイルと送信ネットワーク接続を隠します。

このワームは、自分自身の主な機能の一部として、またはリモートの攻撃者から受け取った追加の命令を介して、自分自身を更新したり、追加のファイルをダウンロードして実行することができます。これらの追加のファイルには、設定ファイルが含まれている可能性があります。この設定ファイルには、盗み取った情報が含まれるテキストファイルをアップロードする FTP サイトのリストと、各 FTP サイトで使用するユーザー名とパスワードが含まれています。




3.1 システムの変更
この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。

作成されるファイルまたはフォルダ
  • %System%\sconnect.js
  • %Temp%\drwatson.exe
  • %Temp%\msvcrt81.dll
  • C:\Documents And Settings\All Users\_qbothome\updates.cb
  • C:\Documents And Settings\All Users\_qbothome\_installed
  • C:\Documents And Settings\All Users\_qbothome\_qbot.dll
  • C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe
  • C:\Documents And Settings\All Users\_qbothome\_qbotnti.exe
  • C:\Documents And Settings\All Users\_qbothome\crontab.cb
  • C:\Documents And Settings\All Users\_qbothome\msadvapi32.dll
  • C:\Documents And Settings\All Users\_qbothome\nbl_[ユーザー名].txt
  • C:\Documents And Settings\All Users\_qbothome\q1.dll
  • C:\Documents And Settings\All Users\_qbothome\qbot.cb
  • C:\Documents And Settings\All Users\_qbothome\uninstall.tmp
  • C:\windows\_qbot[ランダムな文字列].exe

削除されるファイルまたはフォルダ
なし

変更されるファイルまたはフォルダ
このワームは、次のフォルダの任意アクセス制御リスト (DACL) を変更します。
%ProgramFiles%\Common Files\Symantec Shared

作成されるレジストリサブキーまたはレジストリエントリ
このワームは、次のレジストリエントリを作成して、Windows が起動されたときに自分自身が実行されるようにします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[正規のアプリケーション名]" = "\"C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe\" \"C:\Documents And Settings\All Users\_qbothome\_qbot.dll\" /c [正規のアプリケーションへのパス]"

注意: [正規のアプリケーション名] は、コンピュータ上に存在している正規のプログラムで、この脅威によってランダムに選択されます。

削除されるレジストリサブキーまたはレジストリエントリ
なし

変更されるレジストリサブキーまたはレジストリエントリ

なし

プロセス
  • explorer.exe (プロセスに挿入される)
  • iexplorer.exe (プロセスに挿入される)


3.2 ネットワーク関連操作

この脅威は、次のネットワーク関連操作を実行する可能性があります。

ダウンロード
この脅威は、追加のファイルをダウンロードすることができます。自分自身の更新をダウンロードする可能性もあります。W32.Qakbot は、sconnect.js という名前のファイルのダウンロードに成功すると、侵入先のコンピュータにスケジュールされたタスクを追加して、%Windir%\Tasks\[ランダムな名前].job として sconnect.js を実行します。このタスク自体は、スケジュールされたタスクの一覧ウィンドウに表示され、4 日おきに実行するように設定されますが、実際には、このタスクは 5 時間おきに自分自身を更新します。

また、このワームは、追加の実行可能ファイル、命令と設定ファイルをダウンロードします。設定ファイルには、この脅威の状態、たとえば、インストール時刻、実行クラス (ユーザー、管理者、FTP サイトなど)、その他の情報などが含まれる可能性があります。

アップロード
この脅威は、侵入先のコンピュータから収集したシステムおよび設定情報を Command and Control サーバーにアップロードする可能性があります。また、侵入先のコンピュータのブラウザ情報と地理的位置を定期的に収集して、事前に設定されたリモートロケーションに送信します。



その他のネットワーク関連動作
この脅威は、FTP または IRC を介して Command and Control サーバーに接続することによりバックドアを開きます。そのロケーションは、このワームが新しい設定ファイルをダウンロードするときに頻繁に変更されます。




3.3 追加の機能
ファイル _qbot.dll は、特定の情報を収集し、盗み取った情報を FTP サーバーにアップロードする役割を果たします。侵入先のコンピュータから次の機密情報を収集します。
  • Flash cookie を含む認証 cookie
  • DNS の詳細、IP アドレス、ホスト名
  • オペレーティングシステム情報全般
  • 地理的情報とブラウザのバージョン情報
  • ログイン情報を含むキーストローク
  • FTP、IRC、POP3 電子メール、および IMAP 電子メールのログイン詳細情報
  • Outlook のアカウント情報
  • システム証明書の秘密鍵
  • 特定の Web サイトのログイン資格情報
  • 訪問した URL

この脅威は、侵入先のコンピュータのシステム証明書から秘密鍵を収集するためにいくつかのテクニックを使用します。1 つ目は、証明書に関連するすべてのダイアログボックスを置き換えて、ダイアログが表示されると直ちに [OK] ボタンが自動的にクリックされるようにします。これにより、ユーザーから [OK] ボタンを隠します。また、すべてのメッセージボックスが表示されなくなります。2 つ目は、パスワード入力ウィンドウをフックして、入力された文字列を盗み取ります。3 つ目は、CPExportKey API にパッチを適用して、セキュリティチェックを回避し、秘密鍵を列挙します。

このワームは、通常のブラウザセッションの cookie だけでなく、Flash cookie も盗み取ろうと試みます。 Flash cookie は、従来のブラウザ cookie とは異なり、ブラウザのプライバシー管理では制御されないことに注意する必要があります。これは、Flash cookie は、普通にトラックした cookie を削除するような単純な方法では消去または削除することはできないことを意味します。

ユーザーが訪問した URL は、記録され、リモートの攻撃者に送信されます。この情報は、ユーザーのインターネット利用の詳細が含まれることから、しばしば、サイバー犯罪者の新たな収入源となる、的を絞った広告を作成するために使用されます。専用データは、正規の広告に資金提供する会社に売られることもあります。

また、このワームはインターネット銀行の Web サイトに関連する次の URL を確認して、銀行口座情報を盗み取ろうと試みます。
  • cashproonline.bankofamerica.com
  • singlepoint.usbank.com
  • netconnect.bokf.com
  • business-eb.ibanking-services.com
  • cashproonline.bankofamerica.com
  • cashplus
  • ebanking-services.com
  • cashman
  • web-cashplus.com
  • treas-mgt.frostbank.com
  • business-eb.ibanking-services.com
  • treasury.pncbank.com
  • access.jpmorgan.com
  • ktt.key.com
  • onlineserv/CM
  • premierview.membersunited.org
  • directline4biz.com
  • onb.webcashmgmt.com
  • tmconnectweb
  • moneymanagergps.com
  • ibc.klikbca.com
  • directpay.wellsfargo.com
  • express.53.com
  • itreasury.regions.com
  • itreasurypr.regions.com
  • cpw-achweb.bankofamerica.com
  • businessaccess.citibank.citigroup.com
  • businessonline.huntington.com
  • cmserver

また、次のセキュリティ関連の文字列を含む URL を確認して、Web サイトへのアクセスを遮断する可能性があります。
  • webroot
  • agnitum
  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • avp
  • bitdefender
  • bit9
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • .eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate


4. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Angela Thigpen and Eric Chien

発見日: May 07, 2009
更新日: July 11, 2013 8:17:50 AM
別名: BKDR_QAKBOT.AF [Trend], Win32/Qakbot [Computer Associates], W32/QakBot [Sophos], W32/Akbot [McAfee], Trojan-PSW.Win32.Qbot.mk [Kaspersky]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2007-0015 | CVE-2007-4673

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Angela Thigpen and Eric Chien