■ - なんとか覚えておかなくちゃ(^^;)

ホーム > セキュリティ情報 > ウイルスデータべ−ス > BKDR_CABROTOR.A

BKDR_CABROTOR.A

概　要詳　細

参　照対応方法

- - - - -

ウイルスタイプ: トロイの木馬型

破壊活動の有無: なし

別　名: Backdoor-WO, Backdoor:Win32/Cabrotor.3_0, カブロトー, Backdoor.Cabrotor.30, Win32.Cabronator.A.Trojan

対応パターンファイル: 1.413.42

危険度: 低

- - - - -

特　徴:

　これは「トロイの木馬型」不正プログラムで、サーバー＝クライアント型のハッキングツールです。サーバープログラムとクライアントプログラムに分かれて動作し、サーバープログラムはトロイの木馬としてマシンのシステムに潜入します。ハッカーはクライアントプログラムを使用してサーバープログラムが潜入したマシンをリモートコントロールできます。このようなハッキングツールを一般に「バックドア型」と呼びます。
他のファイルへの感染活動は行いません。

対応方法:

　検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。ウイルスバスターなどウイルス対策製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できませんでした。隔離できませんでした。」と表示されますが正常な表示です

・侵入方法：
　メール送信やネットワーク越しの感染などはありません。人間による感染ファイルの受け渡しによってのみ他のマシンに頒布されます。

・感染確認方法：

①ツールを実行してしまった場合には、不正プログラム"ASDAPI.EXE"がWindows ディレクトリに作成されます。

註：Windows ディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、

　*Windows9x/Meの場合*
Windows ディレクトリ＝　C:\Windows

　*WindowsNTの場合*
Windows ディレクトリ＝　C:\WinNT

　*Windows2000の場合*
Windows ディレクトリ＝　C:\WinNT

　*WindowsXP の場合*
Windows ディレクトリ＝　C:\Windows

　です。

②マシン起動時にプログラムを実行する為レジストリの値が変更されます。

③ハッカーによるマシンの侵入が可能となりリモート操作が行われる場合があります。

・感染していた場合の対処：
　実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。

・手動削除手順：
１）　不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。

場所:HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run
値：LoadPowerProfile = ＜Windows ディレクトリ＞\Asdapi.exe

場所:HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\
CurrentVersion\RunServices
値：LoadPowerProfile = ＜Windows ディレクトリ＞\Asdapi.exe

２)　マシンを再起動後、最新のウイルス対策プログラムを利用してウイルス検索を行い、検出したファイルをすべて「削除」してください。

お問い合わせ先：質問の送信フォーム

このウイルスに関する詳しい情報はこちらを参照してください。

これはG o o g l eのhttp://www.f-secure.co.jp/v-descs/v-descs3/cabrotor.htmのキャッシュです。
G o o g l eがクロール時にページを保存したものです。
そのため、このページの最新版でない場合があります。こちらから最新のページ（ハイライト表示なし）を参照してください。
このキャッシュページにはすでに参照不可能な画像が使用されている可能性があります。テキストのみのキャッシュページを参照する場合はここをクリックしてください。
このページのリンク又はお気に入りの登録にはこのURLをお使い下さい：http://www.google.com/search?q=cache:v-kk9H5tjtsJ:www.f-secure.co.jp/v-descs/v-descs3/cabrotor.htm+Cabrotor&hl=ja&lr=lang_ja&inlang=ja

Googleはこのページまたはページ内のコンテンツとは関連ありません。
これらのキーワードがハイライトされています： cabrotor

- - - - -

製品・ソリューションウィルス情報サポート情報発信会社案内
・製品概要
・希望小売価格
・試用版のダウンロード
・導入支援サービス・最新ウィルス一覧
・ウィルスDB検索
・ウィルスグロッサリ
・ウィルス統計・パターンファイル
・最新ソフトウェア
・製品別サポート情報
・ニュースリリース
・緊急ウィルスメール
・メールマガジン
・無償ウィルス検査・会社概要
・パートナー
・横浜FCについて
・お問い合わせ
TOP :: ウィルス情報DB :: Cabrotor

F-Secure ウイルス情報 NAME: Cabrotor
ALIAS: Backdoor.Cabrotor.10.a, Cabronator
VARIANT:

概要

Cabrotorは感染PCが起動しているとアタッカーにPCのコントロールを許してしまうバックドアプログラムです。このトロイの木馬はWindowsのPE実行形式でDelphiで書かれています。

詳細情報

オリジナルのトロイの木馬は、3つの主要な実行ファイルを含んでいます。

CaBrONaToR.exe - クライアントがリモートサーバにコマンドを送信する時に使用。
CaBrONeDiT.exe - サーバの設定を変更する際に使用されるエディタ。
8======D.exe - トロイの木馬本体。

Cabrotorが実行されると、Windowsフォルダに自身のコピーを作成し、レジストリの自動起動セクションに自身を登録します。バックドアプログラムのバージョンによって、登録される実行ファイル名が異なります。以下が知られている別バージョンです。

実行ファイル名:

ASDAPI.EXE

レジストリのキーは以下の場所に作成されます。

[HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
[HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices]

作成されるキーの名前は以下です:

LoadPowerProfile

CabrotorはIRCチャンネルに接続し、Cabrotorのアタッカーからの命令を待ちます。

Cabrotorはアタッカーからの以下のコマンドの実行を許可してしまいます。

PC情報のレポート (Windowsバージョン，CPUタイプ，ユーザ名，コンピュータ名)
CD-ROMドライブの開閉
ディレクトリとファイル名のレポート
ファイル及びコマンドの実行
リモートアクセスサービス，MSメッセンジャー，.NETサービス情報の送信
Windowsの終了
任意のファイルのダウンロード
任意のアドレスへのDoS攻撃の実行
Cabrotorの終了

検知

チェック中にエラー発生！: Cabrotor (Datei C:＼WINDOWS＼win.ini kann nicht geoffnet werden. プロセスはファイルにアクセスできません。別のプロセスが使用中です

F-SecureアンチウィルスはCabrotorを2002年7月22日のパターンファイルで検知します。

[FSAV_Database_Version]

Version=2002-07-22_01

技術詳細: Kaspersky Lab