BKDR_QAKBOT.EA
Windows 2000, XP, Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。
詳細
侵入方法
マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。
- EXPLORER.EXE
- IEXPLORER.EXE
バックドア活動
マルウェアは、自身の環境設定ファイルを読み取ります。この環境設定ファイルには、リモートサーバに送信されるコマンドおよびデータが含まれています。
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}cdc2121cdsfdfd.com
- {BLOCKED}v.co.in
- {BLOCKED}4.cn
- {BLOCKED}1.co.in
- {BLOCKED}2.co.in
- {BLOCKED}3.in
- {BLOCKED}3.com.ua
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- agnitum
- ahnlab
- arcabit
- avast
- avg
- avira
- avp
- bitdefender
- bit9
- castlecops
- centralcommand
- clamav
- comodo
- computerassociates
- cpsecure
- defender
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- malware
- mcafee
- microsoft
- networkassociates
- nod32
- norman
- norton
- panda
- pctools
- prevx
- quickheal
- rising
- rootkit
- securecomputing
- sophos
- spamhaus
- spyware
- sunbelt
- symantec
- threatexpert
- trendmicro
- virus
- wilderssecurity
- windowsupdate
- msdev.exe
- dbgview.exe
- mirc.exe
- ollydbg.exe
- ccApp.exe
- skype
- R&Q.exe
- photoed
- outlook.exe
- mmc.exe
- ctfmon.exe
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}2.cn/cgi-bin/jl/jloader.pl
- http://{BLOCKED}6.in/cgi-bin/jl/jloader.pl
- http://{BLOCKED}ver.com.ua/cgi-bin/exhandler4.pl
- http://{BLOCKED}ver.com.ua/cgi-bin/ss.pl
- http://{BLOCKED}wthewhistle.com/cgi-bin/clientinfo3.pl
マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}2.cn/
- http://{BLOCKED}6.in/
- http://{BLOCKED}ver.com
- http://{BLOCKED}ver.com
- http://{BLOCKED}wthewhistle.com
- http://www.{BLOCKED}cdc2121cdsfdfd.com
対応方法
手順 1
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「BKDR_QAKBOT.EA」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
「BKDR_QAKBOT.EA」として検出されたファイルを検索し削除します。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_QAKBOT.EA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください