シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

Backdoor.Wualess

危険度1: ほとんど影響なし

発見日:
2006 年 10 月 11 日
更新日:
2007 年 2 月 13 日 1:20:43 PM
種別:
Trojan Horse
感染サイズ:
9,852 バイト7,811 バイト
影響を受けるシステム:
Windows

危険性の評価



Backdoor.Wualess は、標的のコンピュータ上にバックドアを開くトロイの木馬です。

ウイルス対策日

  • Rapid Release 初回バージョン2006 年 10 月 12 日
  • Rapid Release 最新バージョン2019 年 5 月 7 日 リビジョン006
  • Daily Certified 初回バージョン2006 年 10 月 12 日
  • Daily Certified 最新バージョン2019 年 5 月 7 日 リビジョン008
  • Weekly Certified 初回リリース日2006 年 10 月 18 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

テクニカルノート


Backdoor.Wualess が実行されると、次のことを行います。
  1. 次のファイルを作成します。

    %System%\wuauclt.dll


    注意: %System% は可変でシステムフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  2. wuauserv サービスが存在しない場合、

    次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

    次の値を追加します。

    "Start" = "2"

  3. wuauserv サービスが存在しない場合、

    次のレジストリストリサブキーへ

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

    次の値を追加します。


    "ServiceDll" = "%System%\wuauclt.dll"

  4. このサービスが存在する場合は、上記のサブキー内のレジストリエントリを変更します。

  5. ミューテックス "New20060922" を作成して、このバックドアのインスタンスが 1 つのみ実行されるようにします。

  6. チャネル #NL-VNC を使用して、次のうちのいずれかのドメインと TCP ポート上で実行されている IRC サーバーへ接続します。

    • TCP ポート 5202 上の NameLess.3322.org
    • TCP ポート 443 上の sb.hugesoft.org
    • sb.015.info

  7. 標的のコンピュータ上にバックドアを開き、リモートの攻撃者が次の操作のうちのいくつかを行うことを可能にします。

    • ファイルをダウンロードして実行する
    • いくつかの基本的なシステム情報を収集する
    • 接続のスピードをテストする
    • バックドアをアップデートする
    • DNS キャッシュをフラッシュする
    • 標的ののコンピュータ上のファイルにアクセスする
    • スレッドやプロセスを終了させる
    • ローカルファイルをアップロードする
    • そのドメイン内のサーバーの情報を収集する
    • ローカルファイルを暗号化したり復号化したりする
    • スクリーンショットやウィンドウをキャプチャする

  8. すべてのドライブから、次のファイル拡張子を持つファイルを収集します。

    • .doc
    • .pdf
    • .ppt
    • .zip
    • .rar
    • .xls

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。

駆除方法


以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。
  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウィルス定義を最新版に更新します。
  3. システム全体のスキャンを実行します。
  4. レジストリに追加されたすべての価を削除します。

具体的な手順については、以下のセクションをご覧ください。


1. システムの復元オプションを無効にする (Windows Me/XP)


Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。


システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

システムの復元機能についての詳細および別の無効化方法については、「
マイクロソフト サポート技術情報 - 263455 - _RESTORE フォルダにウィルスが発見された場合の対応方法について」を参照してください。


2. ウイルス定義ファイルを更新する


ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手できます。

  • LiveUpdate を使用して入手する方法:
    • Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上をご使用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品には、より新しいテクノロジーが含まれています。
    • Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご使用の場合は、LiveUpdate の定義は 1 週間ごとに更新されます。メジャーなウイルスが流行した場合は例外で、定義はより頻繁に更新されます。

      このウイルスへの対応は、ページ上部に記載の「
      対応日 (LiveUpdate)」欄の日付をご覧ください。

  • Intelligent Updater を使用して入手する方法:Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日)に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、ページ上部に記載の「対応日 (Intelligent Updater)」欄の日付をご覧ください。


    注意 : Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。

    Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。


3. 感染ファイルを探して削除する

  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
  2. システム全体のスキャンを実行します。

  3. 何らかのファイルが検出された場合は、ご使用のアンチウイルスプログラムによって表示される手順に従ってください。


重要: Norton AntiVirus が感染ファイルを削除できないというメッセージが表示された場合、そのファイルは Windows で使用中の可能性があります。このような場合には、コンピュータをセーフモードで再起動した後でスキャンを実行する必要があります。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。コンピュータがセーフモードで再起動したら、スキャンを再度実行してください。

(ファイルの削除後、コンピュータを通常モードで再起動してから次のセクションに進んでください。)


この時点でワームが完全に削除されていないと、コンピュータの再起動時に警告メッセージが表示される可能性があります。これらのメッセージは無視して、[OK] をクリックしてください。駆除手順の終了後は、コンピュータの再起動時に警告メッセージが表示されることはありません。警告メッセージは、次の内容に類似している可能性があります。

タイトル: [ファイルパス]
本文: Windows cannot find [ファイル名].Make sure you typed the name correctly, and then try again.To search for a file, click the Start button, and then click Search.


4. レジストリから値を削除する


重要: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず "レジストリのバックアップ方法" をお読みください。
  1. スタートメニューで[Run(ファイル名を指定して実行)] をクリックします。

  2. regedit と入力します。

  3. OK]をクリックします。


    注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを開発しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

  4. 次のサブキーへナビゲートします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

  5. オリジナル値を知っている場合、画面右側でその値に戻します。

    "Start" = "2"

  6. 次のサブキーへナビゲートします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

  7. オリジナル値を知っている場合、画面右側でその値に戻します。

    "ServiceDll" = "%System%\wuauclt.dll"

  8. レジストリエディタを終了します。