解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。

  詳細

ファイルサイズ 81,920 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年10月28日
ペイロード ファイルのダウンロード, プロセスの強制終了, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

  • EXPLORER.EXE
  • IEXPLORER.EXE

バックドア活動

マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}cdc2121cdsfdfd.com
  • {BLOCKED}v.co.in
  • {BLOCKED}4.cn
  • {BLOCKED}1.co.in
  • {BLOCKED}2.co.in
  • {BLOCKED}3.in
  • {BLOCKED}3.com.ua

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • agnitum
  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • avp
  • bitdefender
  • bit9
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • microsoft
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate
  • msdev.exe
  • dbgview.exe
  • mirc.exe
  • ollydbg.exe
  • ccApp.exe
  • skype
  • R&Q.exe
  • photoed
  • outlook.exe
  • mmc.exe
  • ctfmon.exe

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}2.cn/cgi-bin/jl/jloader.pl
  • http://{BLOCKED}6.in/cgi-bin/jl/jloader.pl
  • http://{BLOCKED}ver.com.ua/cgi-bin/exhandler4.pl
  • http://{BLOCKED}ver.com.ua/cgi-bin/ss.pl
  • http://{BLOCKED}wthewhistle.com/cgi-bin/clientinfo3.pl

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}2.cn/
  • http://{BLOCKED}6.in/
  • http://{BLOCKED}ver.com
  • http://{BLOCKED}ver.com
  • http://{BLOCKED}wthewhistle.com
  • http://www.{BLOCKED}cdc2121cdsfdfd.com

  対応方法

対応検索エンジン: 8.900

手順 1

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「BKDR_QAKBOT.EA」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

「BKDR_QAKBOT.EA」として検出されたファイルを検索し削除します。

[ 詳細 ]
[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_QAKBOT.EA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください