mysql:11805
From: "Keiji Watanabe" <"Keiji Watanabe" <keiji@xxxxxxxxxx>>
Date: Tue, 26 Jul 2005 10:21:55 +0900
Subject: [mysql 11805] Re: バックドア(BKDR_SHELLFUR.A)対策について
渡邉です。 > 被害状況: > ・C:\mysql\data\FurQ.dll というファイルが作られる。 > ・furqと vuln というデータベースが作成される。 > ・system32\dllcache\mysql ディレクトリ内に複数のプログラムファイル > が作成され、mstask32.exe というプログラムがレジストリ内で自動起 > 動設定される。 > ・一部システムファイル(netstat等)が削除される。 > > なお、レンドマイクロのウィルスチェックにより、 > mstask32.exeはBKDR_IRCBOT.I。 > FurQ.dllはBKDR_SHELLFUR.Aと判定されました。 > http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR%5FSHELLFUR%2EA&VSect=P こちらを見ると This memory-resident backdoor program may be dropped on the system by other malware. とのことですので、 [1.何かのウィルス] -> [2.BKDR_SHELLFUR.A] -> [3.BKDR_IRCBOT.I]というような 順で感染したのではないでしょうか? でも、2番目以降のウィルスに「1番目を削除する」ような機能が入っていたら 感染原因の調査はお手上げに近いかも・・・ # トレンドマイクロのウィルスチェックに引っかかったのなら、同社の # ソフトをインストールすれば、とりあえずBKDR_SHELLFUR.A対策に # なるのでは?
11804 2005-07-26 10:02 ["pix@xxxxxxxxxx" <pi] バックドア(BKDR_SHELLFUR.A)対策について -> 11805 2005-07-26 10:21 ┗["Keiji Watanabe" <ke] 11807 2005-07-26 17:41 ┗["pix@xxxxxxxxxx" <pi] 11808 2005-07-26 18:20 ┗[Kiyotaka Doumae <don] 11809 2005-07-26 23:52 ┗["T.Sasaki" <papasan2] 11810 2005-07-27 08:49 ┗["T.Sasaki" <papasan2]