RTKT_ALUREON
Tidserv, TDSServ, Alureon, Sisron, Malex, AdClicker, DNSChanger, Ertfor, Nvv
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「Tidserv」、「TDSServ」および「Alureon」としても知られる「TDSS」は、2008年中期に初めて確認されました。「TDSS」は、ルートキット機能やセキュリティ関連ソフトの機能を回避する機能を備えるとして知られおり、これらの機能は、「TDSS」の検出を困難にし、その結果、感染コンピュータからの削除を難しくします。
「TDSS」は、偽セキュリティソフト型マルウェア「FAKEAV」やDNS設定の変更を行なうトロイの木馬型マルウェア(DNSチェンジャー)といった他のマルウェアの拡散にしばしば利用されます。また、クリック詐欺やSEOポイズニング、広告の表示などにも利用されます。
初期に確認された「TDSS」の亜種は、3つのメインコンポーネントを含んでいました。ドロッパー、ルートキットコンポーネント、およびメインの不正活動を行うDLLファイルです。これら3つのコンポーネントは、マルウェアの動作を密かにそして継続的に行うことを可能にする複数の機能を果たします。「TDSS」の2世代目となる亜種は、初代「TDSS」の亜種と同じ不正活動をします、自身を隠ぺいするための機能が改良されています。
3世代目の「TDSS」である「TDL3」は、2009年後半に確認されました。「TDL3」の亜種は、自身のファイルを隠ぺいするために新しい方法を実施します。目視やアクセスができないハードディスクの最終セクタにファイルを保存するというものです。そして、コンピュータ起動時に自身を自動的に起動させるために、「TDL3」は正規のSYSファイルを変更します。なおこの変更を隠ぺいするために、「TDL3」は、複数のAPIをフックします。
4世代目の「TDSS」である「TDL4」は、2010年に発見されました。「TDL4」の亜種は、64ビットのWindowsオペレーティングシステム(OS)に感染します。「TDL4」は、マスター・ブート・レコード(MBR)を改変します。これにより、OSが読み込まれる前に自身を実行することが可能になります。また「TDL4」は、「TDL3」のように、検出を回避するためにハードディスクの最終セクタにコンポーネントファイルを書き込みます。
マルウェアは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\Microsoft\{malware file name}.exe
- %User Temp%\{malware file name}.tmp
- %User Temp%\{malware file name}.exe
- %Windows%\{malware file name}.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
自動実行方法
マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
maxhttpredirects = "{hex value}"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
featurecontrol\FEATURE_BROWSER_EMULATION
{executable name} = "{hex value}"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
enablehttp1_1 = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PopupMgr = "Yes"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
UserID = "{hex numbers}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Styles
マルウェアは、レジストリ値を変更し、以下のシステムサービスを無効化します。
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
CurrentLevel = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
1601 = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\International
acceptlanguage = "{local}"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{10 random characters}.com/index.html?{random}
- http://{10 random characters}.net/index.html?{random}
- http://{10 random characters}.org/index.html?{random}
- http://{10 random characters}.info/index.html?{random}
- http://{10 random characters}.biz/index.html?{random}
- http://{10 random characters}.in/index.html?{random}
- {BLOCKED}rch.com
- http://{BLOCKED}l01.com/
- http://{BLOCKED}3ja90a.com/
- http://{BLOCKED}10h.com/
- http://{BLOCKED}yhks66.com/
- http://{BLOCKED}ga64aa17.com/
- http://{BLOCKED}e3oo8as0.com/
- http://{BLOCKED}1s6cx0.com/
- http://{BLOCKED}gh716zzl.com/
- http://{BLOCKED}cv1.com/
- http://{BLOCKED}cv1.com/
- https://{BLOCKED}4cx00.cc/
- https://{BLOCKED}.{BLOCKED}.226.67/
- https://{BLOCKED}b0.com/
- https://{BLOCKED}b0.com/
- https://{BLOCKED}3.com/
- https://{BLOCKED}dden.in/
- https://{BLOCKED}fda88.com/
ハッシュ値情報
マルウェアは、以下のMD5ハッシュ値を含んでいます。
- a494e72401f9205179e7bc37c438e820
- 15e776c63da8c6ee89794be9af13872b
- cc997c93ff7f09ffc0bc6c72e486b156
- f3eb06452e3c9889f3a18c2fa375c000
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください