説明

OPTIXPRO.12.C VIRUS!
Backdoor.OptixPro.12.c, は Backdoor.OptixPro.12 の亜種トロイの木馬です。
ポート 3410 上に感染コンピュータへの未承認のリモート アクセスを許可します。
もしファイル名 \"Kazza.exe\" があれば、感染の可能性を示しています。
別名: Backdoor.Optix.Pro.12 [KAV],
Backdoor.Optix.1_2 [RAV],
BackDoor-ACH [McAfee]
亜種: Backdoor.OptixPro.12,
Backdoor.OptixPro.12.b,
Backdoor.OptixPro.13
タイプ: トロイの木馬
感染サイズ: 321,536 bytes
当該ウイルスは自身をファイル名 %System%Kazza.exe としてコピーします。
注意:
%System% = C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000),
C:WindowsSystem32 (Windows XP).
ICQ を経由してハッカに通知します。 TCP ポート 3410 をリッスンして、トロイの木馬作成者からコマンドを待機します。
トロイの木馬作成者に以下の情報を漏洩します: キャッシュされたパスワード、コンピュータへの完全なリモートアクセス、電源のオン/オフ、ファイルの改変、システムの盗視。
およそ 200 種類のアンチウイルスと盗視ツール プロセスを終了しようとします。

追加/変更される値

\"InternalSystray\" = \"%System%\\Kazza.exe\"
を以下のレジストリキーに追加します: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run これにより Windows 起動時にトロイの木馬が実行されるようにします。
\"EnableAutodial\" = \"00 00 00 00\"
を次のレジストリキーに追加します: HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Hardware Profiles\\Current\\Software\\Microsoft\\windows\\CurrentVersion\\Internet Settings4.

削除方法

1. システム復旧を無効化します (Windows Me/XP)。
2. アンチウイルス プログラムでフルシステムスキャンをかけ、 Backdoor.OptixPro.12.c. 3 として検出された全てのファイルを削除してください。
3. レジストリに追加された値を消去してください。
Greatis RegRun をご使用ください。HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
次の値を消去してください: \"InternalSystray\" = \"%System%\\Kazza.exe
\"HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Hardware Profiles\\Current\\Software\\Microsoft\\windows\\CurrentVersion\\Internet Settings
次の値
\"EnableAutodial\"
をオリジナルの値に変更してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/07 (Tue)