本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Backdoor.Win32.RA-based

クラス Backdoor
プラットフォーム Win32
説明

技術的な詳細

これは、シマンテック社の「pcAnywhere」と同様に、リアルタイムでその(自身の)システムリソースを管理するために、リモートコンピュータに接続できる典型的なクライアント/サーバリモート管理ユーティリティです。このユーティリティには "Remote-Anything"という名前があり、TWD Industries社(http://www.twd-industries.com)によって開発され、配布されています。

このプログラムは、バックドアの動作を完全に満たしているため、バックドア型トロイの木馬として検出され、分類されます( バックドアを参照)。

  • システムへの隠されたインストール
  • アクティブなときにシステム内に完全に隠れる
  • リモートホストから感染したシステムを管理できます

このプログラムのサーバーコンポーネントは、システム内に隠れており、他のリモート管理ツールとは異なり、一般ユーザーには見えません。

  • 標準インストールとアンインストールの手順があります。
  • 任意の目に見えるインターフェース(たとえば、トレイバーのアイコン)

サーバー

サーバーコンポーネントにはインストール動作が表示されません。メッセージなしで実行すると、SLAVE.EXEという名前のWindowsディレクトリに自身を(ファイル全体)コピーし、自動実行セクションのシステムレジストリに登録します。

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RAサーバー" = "C: WINDOWS Slave.exe"

その結果、サーバーコンポーネントは、再起動するたびにWindowsによってアクティブ化され、ユーザーに通知されません。

クライアント

ハッカーは、クライアントコンポーネントによって、感染したコンピュータに接続し、コンピュータのデスクトップをリアルタイムで監視することができます。キーボードやマウスで感染したシステムにコマンドを送信する。ファイルシステムにアクセスする。コンピュータを再起動またはシャットダウンします。

サーバーの削除

システムからサーバーコンポーネントを削除するには、最新の更新プログラムを使用してAVPを実行し、サーバーを削除する必要があります。また、レジストリキーを手動で削除する必要があります。

手動でレジストリキーを削除し、コンピュータを再起動し、WindowsディレクトリのSLAVE.EXEサーバーファイルを削除することもできます。

また、WebサイトでTWD Industriesによって配布されている特別な削除ユーティリティを使用することもできます。

このユーティリティに関する重要な情報:

バージョン3.5.11から、TWD Industriesは以下の変更を行いました:

あなたはあなたの製品に追加することができます:

  • 起動時にシステムにインストールされるものを通信するサーバーコンポーネント
  • サーバーコンポーネントが動作している間にアイコンがシステムトレイに表示されます
  • サーバーをアンインストールするように設計されたコンポーネントがあります

    バージョン3.5.11以降では、「バックドア」タイプの有害なプログラムは扱いません。


  • オリジナルへのリンク