Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コントロールサーバー名を作成する新たなBackDoor.Butirat

2013年1月30日

株式会社Doctor Web Pacific


Doctor Webは、新たなバックドアの大量拡散についてユーザーの皆様に警告します。BackDoor.Butirat.245と名付けられたこのプログラムは、コントロールサーバー名を作成する新しいメカニズムを使用しています。その目的は、コントロールサーバーの1つが閉鎖された場合でも出来るだけ長くマルウェアを動作可能な状態にしておくことであると考えられます。

BackDoor.Butiratファミリーに属するマルウェアは、コントロールサーバーから該当するコマンドを受け取った後、感染したシステム内に実行ファイルをダウンロードして実行し、ポピュラーなFTPクライアント(FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなど)からパスワードを盗むことが出来ます。

screen

一方、これらのバックドアが使用する感染メカニズムは、システムファイル内に自身を複製し、Windowsが起動する度にそれらのコピーが自動実行されるようレジストリに変更を加えるという比較的一般的なものです。

サーバー名がプログラム内に埋め込まれていた従来のバージョンに対し、BackDoor.Butirat.245の注目すべき特徴は、コントロールサーバー名を作成するというこれまでにないメカニズムにあります。BackDoor.Butirat.245を解析したDoctor Webアナリストは、このプログラムがサードレベルドメイン名を自動的に作成するという事実に、先日発見されたBackDoor.BlackEnergyのケース同様、驚かされることになりました。続くセカンドレベルドメイン名は、いかなるリクエスト及びクレームも受け付けないという会社によって登録されていることが明らかになりました。ウイルス製作者達はこの手法によって、コントロールサーバーの1つが閉鎖された状況下での悪意のあるプログラムの活動停止を先延ばしにすることが出来ると目論んでいるようです。

Dr.Webのウイルスデータベースには既にBackDoor.Butirat.245 のシグネチャが追加されているため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F