Trend Micro Security

TROJ_ALUREON.ALW

2013年2月20日
 解析者: Erika Bianca Mendoza   
 更新者 : Kathleen Notario

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


マルウェアは、マスター・ブート・レコード(MBR)へ自身のコードを上書きしますが、これにより、コンピュータの起動ができないなどの問題が発生する恐れがあります。

マルウェアは、感染コンピュータ上で特定のクエリを実行します。

マルウェアは、非表示のデバイス内に複数のコンポーネントを作成します。作成されるコンポーネントは、感染コンピュータが32bitか64bitにより異なります。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

マルウェアは、情報収集する機能を備えていません。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。


  詳細

ファイルサイズ 303,104 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年1月22日
ペイロード ファイルおよびプロセスの隠ぺい

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Temp%\Realtek_AC97.exe
  • %User Temp%\{random}.exe

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

  • svchost.exe

感染活動

マルウェアは、ワーム活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアは、MBRへ自身のコードを上書きし、Windowsの起動時に自身のコンポーネントが自動実行されるようにします。

マルウェアは、感染コンピュータ上で以下のクエリを実行します。

  • SELECT * FROM Win32_BIOS WHERE Manufacturer LIKE "%Xen%"
  • SELECT * FROM Win32_BIOS WHERE Manufacturer LIKE "%QEMU%"
  • SELECT * FROM Win32_BIOS WHERE Manufacturer LIKE "%Bochs%"
  • SELECT * FROM Win32_DiskDrive WHERE Model LIKE "%Xen%"
  • SELECT * FROM Win32_DiskDrive WHERE Model LIKE "%QEMU%"
  • SELECT * FROM Win32_DiskDrive WHERE Model LIKE "%Bochs%"
  • SELECT * FROM Win32_DiskDrive WHERE Model LIKE "%Red Hat%"
  • SELECT * FROM Win32_SCSIController WHERE Name LIKE "%Citrix%"
  • SELECT * FROM Win32_SCSIController WHERE Manufacturer LIKE "%Xen%"
  • SELECT * FROM Win32_SCSIController WHERE Manufacturer LIKE "%Red Hat%"
  • SELECT * FROM Win32_Processor WHERE Name LIKE "%QEMU%"
  • SELECT * FROM Win32_Process WHERE Name = "CaptureClient.exe"

マルウェアは、これらのクエリにより、自身がサンドボックスまたは仮想環境下で実行されているのかを確認します。

マルウェアは、非表示のファイルシステム内に、以下のコンポーネントを作成します。作成されるコンポーネントは、感染コンピュータが32bitか64bitにより異なります。

  • cmd32.dll / cmd64.dll - この不正プログラムとして検出
  • dbg32 / dbg64 - 「TROJ_TDSS.ADH」/「TROJ_TDSS.BME」として検出
  • drv32.sys / drv64.sys - この不正プログラムとして検出
  • ldr32.exe / ldr64.exe - 「TROJ_TDSS.BMG」/「TROJ_TDSS.BMH」として検出
  • main - 環境設定ファイル

また、マルウェアは、以下のURLにアクセスし、追加のコンポーネントをダウンロードします。

  • http://{BLOCKED}don-<ランダムな数値>.com/cat/v3
  • http://{BLOCKED}at-<ランダムな数値>.com/cat/v3
  • http://{BLOCKED}en-<ランダムな数値>.com/cat/v3
  • http://{BLOCKED}ck-<ランダムな数値>.com/cat/v3
  • http://{BLOCKED}ila.com/cat/v3
  • http://{BLOCKED}zuck.com/cat/v3
  • http://{BLOCKED}etclick.com/cat/v3

なお、生成されるURLは、接続時により異なります。

この際、マルウェアは、上記のURLの末尾に以下を追加します。

  • /files/mods/cmd32
  • /files/mods/bbr232
  • /files/mods/serf332

以下は、追加のコンポーネントがダウンロードされるURLの例です。

  • http://{BLOCKED}852171.com/cat/v3/files/mods/cmd32

ダウンロードされたファイルは、暗号化されています。ダウンロードされたファイル "bbr232" および "serf332" は、復号されると、以下のプロセスのいずれかに組み込まれます。

  • iexplore.exe
  • explorer.exe
  • firefox.exe
  • safari.exe
  • chrome.exe
  • WebKit2WebProce
  • WebKit2WebProc

さらに、マルウェアは、以下の正規サイトに組み込まれている画像に、自身のバックアップ用環境設定ファイルを保存します。

  • http://{BLOCKED}yq.wordpress.com/
  • http://{BLOCKED}aqevi.livejournal.com/
  • http://{BLOCKED}vubi.wordpress.com/
  • http://{BLOCKED}ejuq.livejournal.com/
  • http://{BLOCKED}vesoja.wordpress.com/

マルウェアは、上記のURLのページをダウンロードし、以下のタグを検索します。

そして、マルウェアは、"img src" タグが示す "jpg" ファイルを取得し、この画像ファイル(拡張子JPG)をダウンロードします。ダウンロードされたJPGファイルは、暗号化された環境設定ファイルを含んでおり、このファイル内に、このマルウェアのモジュールやサーバ情報、バックアップ用環境設定ファイルのURLなどが記されています。

ダウンロードされたファイルはすべて、このマルウェア自身の非表示のファイルシステムに保存されます。


  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 7.787.00
VSAPI OPR パターンリリース日 2011年1月22日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Master Boot Record(MBR)を修復します。

Master Boot Record(MBR)の修復:

• Windows 2000、XP および Server 2003 の場合

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール CD を使用して、コンピュータを再起動します。
  3. [セットアップへようこそ] 画面で、修復の R キーを押します。
    註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
  4. 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
  5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
  6. コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
  7. 以下のコマンドを入力し、Enter を押します。
    fixmbr <感染したドライブ>
  8.  ※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。

     ※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。

  9. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7 の場合

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール DVD を使用して、コンピュータを再起動します。
  3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
  4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
  5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
  6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
  7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
  8. 以下のコマンドを入力し、Enter を押します。
    BoorRec.exe /fixmbr
  9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
  10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_ALUREON.ALW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください