本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Backdoor Win32

Backdoor.Win32.RA-based

クラス
Backdoor
プラットフォーム
Win32

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Backdoor

バックドアは、悪意のあるユーザーが感染したコンピュータをリモートコントロールできるように設計されています。機能性の面では、バックドアはソフトウェア開発者が設計し配布する多くの管理システムに似ています。これらの種類の悪質なプログラムは、ファイルの送受信、ファイルの起動や削除、メッセージの表示、データの削除、コンピュータの再起動など、感染したコンピュータ上で必要な作業を可能にします。このカテゴリのプログラムは、被害者のコンピュータのグループを結びつけ、ボットネットまたはゾンビネットワークを形成するためです。これにより、悪意のあるユーザーは感染したコンピュータの軍隊を集中管理し、犯罪目的で使用することができます。 Net-Wormのように、ネットワークを介して拡散して他のコンピュータに感染することができるバックドアのグループもあります。違いは、このようなBackdoorは(Net-Wormのように)自動的に広がるのではなく、それらを制御する悪意のあるユーザーからの特別な「コマンド」に限られるということです。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これは、シマンテック社の「pcAnywhere」と同様に、リアルタイムでその(自身の)システムリソースを管理するために、リモートコンピュータに接続できる典型的なクライアント/サーバリモート管理ユーティリティです。このユーティリティには "Remote-Anything"という名前があり、TWD Industries社(http://www.twd-industries.com)によって開発され、配布されています。

このプログラムは、バックドアの動作を完全に満たしているため、バックドア型トロイの木馬として検出され、分類されます( バックドアを参照)。

  • システムへの隠されたインストール
  • アクティブなときにシステム内に完全に隠れる
  • リモートホストから感染したシステムを管理できます

このプログラムのサーバーコンポーネントは、システム内に隠れており、他のリモート管理ツールとは異なり、一般ユーザーには見えません。

  • 標準インストールとアンインストールの手順があります。
  • 任意の目に見えるインターフェース(たとえば、トレイバーのアイコン)

サーバー

サーバーコンポーネントにはインストール動作が表示されません。メッセージなしで実行すると、SLAVE.EXEという名前のWindowsディレクトリに自身を(ファイル全体)コピーし、自動実行セクションのシステムレジストリに登録します。

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RAサーバー" = "C: WINDOWS Slave.exe"

その結果、サーバーコンポーネントは、再起動するたびにWindowsによってアクティブ化され、ユーザーに通知されません。

クライアント

ハッカーは、クライアントコンポーネントによって、感染したコンピュータに接続し、コンピュータのデスクトップをリアルタイムで監視することができます。キーボードやマウスで感染したシステムにコマンドを送信する。ファイルシステムにアクセスする。コンピュータを再起動またはシャットダウンします。

サーバーの削除

システムからサーバーコンポーネントを削除するには、最新の更新プログラムを使用してAVPを実行し、サーバーを削除する必要があります。また、レジストリキーを手動で削除する必要があります。

手動でレジストリキーを削除し、コンピュータを再起動し、WindowsディレクトリのSLAVE.EXEサーバーファイルを削除することもできます。

また、WebサイトでTWD Industriesによって配布されている特別な削除ユーティリティを使用することもできます。

このユーティリティに関する重要な情報:

バージョン3.5.11から、TWD Industriesは以下の変更を行いました:

あなたはあなたの製品に追加することができます:

  • 起動時にシステムにインストールされるものを通信するサーバーコンポーネント
  • サーバーコンポーネントが動作している間にアイコンがシステムトレイに表示されます
  • サーバーをアンインストールするように設計されたコンポーネントがあります

    バージョン3.5.11以降では、「バックドア」タイプの有害なプログラムは扱いません。

    も参照してください

    お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

    この脆弱性についての記述に不正確な点がありますか? お知らせください!
    • 新しいカスペルスキー
    あなたのデジタルライフを守る
    も参照してください
    Kaspersky IT Security Calculator
    も参照してください
    この脆弱性についての記述に不正確な点がありますか?
    新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
    newvirus@kaspersky.com
    新しい脅威または脆弱性が見つかりましたか?
    新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
    newvirus@kaspersky.com
    ソリューション
    個人向け製品
    小規模企業
    中規模企業
    大企業
    Select language
    Sorting
    脅威
    Confirm changes?
    Your message has been sent successfully.