[前][次][番号順一覧][スレッド一覧]

mysql:11805

From: "Keiji Watanabe" <"Keiji Watanabe" <keiji@xxxxxxxxxx>>
Date: Tue, 26 Jul 2005 10:21:55 +0900
Subject: [mysql 11805] Re: バックドア(BKDR_SHELLFUR.A)対策について

渡邉です。

> 被害状況:
> ・C:\mysql\data\FurQ.dll というファイルが作られる。
> ・furqと vuln というデータベースが作成される。
> ・system32\dllcache\mysql ディレクトリ内に複数のプログラムファイル
>  が作成され、mstask32.exe というプログラムがレジストリ内で自動起
>  動設定される。
> ・一部システムファイル(netstat等)が削除される。
>
> なお、レンドマイクロのウィルスチェックにより、
> mstask32.exeはBKDR_IRCBOT.I。
> FurQ.dllはBKDR_SHELLFUR.Aと判定されました。
>
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR%5FSHELLFUR%2EA&VSect=P
こちらを見ると
This memory-resident backdoor program may be dropped on the system by other
malware.
とのことですので、
[1.何かのウィルス] -> [2.BKDR_SHELLFUR.A] -> [3.BKDR_IRCBOT.I]というような
順で感染したのではないでしょうか?
でも、2番目以降のウィルスに「1番目を削除する」ような機能が入っていたら
感染原因の調査はお手上げに近いかも・・・

# トレンドマイクロのウィルスチェックに引っかかったのなら、同社の
# ソフトをインストールすれば、とりあえずBKDR_SHELLFUR.A対策に
# なるのでは?


[前][次][番号順一覧][スレッド一覧]

     11804 2005-07-26 10:02 ["pix@xxxxxxxxxx" <pi] バックドア(BKDR_SHELLFUR.A)対策について 
->   11805 2005-07-26 10:21 ┗["Keiji Watanabe" <ke]                                       
     11807 2005-07-26 17:41  ┗["pix@xxxxxxxxxx" <pi]                                     
     11808 2005-07-26 18:20   ┗[Kiyotaka Doumae <don]                                   
     11809 2005-07-26 23:52    ┗["T.Sasaki" <papasan2]                                 
     11810 2005-07-27 08:49     ┗["T.Sasaki" <papasan2]