Trend Micro Security

TROJ_RUSTOCK

2013年8月23日

 別名:

Rustok

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成, Eメール経由による侵入

RUSTOCK」は、主にバックドア型マルウェア、トロイの木馬型マルウェアおよびルートキット機能を備えるマルウェアであり、「BREDOLAB」や「VIRUX」といった他のマルウェアによってダウンロードされます。この侵入経路は、2009年および2010年に確認されたWebサイト改ざん事例で判りました。また「RUSTOCK」は、スパムメールの添付ファイルとしてコンピュータに侵入する場合もあります。

「RUSTOCK」は、感染コンピュータ上でプロキシサーバとして機能します。そしてこれを利用し、スパムメッセージの送信します。送信されるスパムメッセージの内容の多くは、医薬品関連のものです。

「RUSTOCK」は、スパム送信の機能に加えて、ルートキット機能を備えています。これらのルートキット機能により、「RUSTOCK」が作成した関連ファイル、プロセスおよびレジストリ情報の隠ぺいが可能となります。これにより「RUSTOCK」の検出と削除が困難になります。

「RUSTOCK」は、「yahoo.com」や「microsoft.com」といった正規のWebサイトへの感染コンピュータの接続を監視します。この監視活動は、検索インデックスの乗っ取りやユーザがこれら正規のWebサイトへアクセスすることを妨害するために行われます。

「RUSTOCK」のスパムメール配信用ボットネットは、2011年初旬に閉鎖されました。2011年内には、スパムの送信量が著しく減少しました。


  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\drivers\{random}.sys
  • %System%:lzx32.sys
  • %System%:18467

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ImagePath = "\??\C:\WINDOWS\system32:lzx32.sys" or "\SystemRoot\System32:18467"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security
Security = "{Hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Start = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
DisplayName = "Win23 lzx files loader"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Group = "Base"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ExtParam = "{Hex values}"

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • bl.{BLOCKED}p.net
  • bl1.{BLOCKED}ion.net.il
  • cbl.{BLOCKED}t.org
  • dul.dn{BLOCKED}bs.net
  • ftp.icq.com/p{BLOCKED}4/ICQ_5/icq5_setup.exe
  • http://{BLOCKED}.{BLOCKED}.194.158/index.php?page=main
  • http://{BLOCKED}.{BLOCKED}.194.22/index.php?page=main
  • http://{BLOCKED}r-traiding.com/login.php
  • http://{BLOCKED}r-traiding.net/login.php
  • http://{BLOCKED}stribution.net/login.php
  • http://{BLOCKED}n.cn/login.php
  • http://{BLOCKED}HJe.de/login.php
  • http://{BLOCKED}avto.biz/login.php
  • http://{BLOCKED}avto.org/login.php
  • http://{BLOCKED}olver.cc/login.php
  • http://{BLOCKED}efhw2J.biz/login.php
  • http://{BLOCKED}aldns.org/login.php
  • http://{BLOCKED}x.cc/login.php
  • http://{BLOCKED}st.name/login.php
  • http://{BLOCKED}atrading.net/login.php
  • http://{BLOCKED}ynewsagency.cn/login.php
  • http://{BLOCKED}ynewsagency.com/login.php
  • http://{BLOCKED}ent.biz/login.php
  • http://{BLOCKED}ent.mobi/login.php
  • http://{BLOCKED}computers.be/login.php
  • http://{BLOCKED}computers.com/login.php
  • http://{BLOCKED}b-system.info/login.php
  • http://{BLOCKED}b-system.name/login.php
  • http://{BLOCKED}k.in/login.php
  • http://{BLOCKED}ent-a-car.biz/login.php
  • http://{BLOCKED}ent-a-car.info/login.php
  • http://{BLOCKED}n.in/login.php
  • http://{BLOCKED}n.tv/login.php
  • http://{BLOCKED}ecompany.cn/login.php
  • http://{BLOCKED}ecompany.info/login.php
  • http://{BLOCKED}iedinvestors.com/login.php
  • http://{BLOCKED}wgeneration.ws/login.php
  • http://{BLOCKED}eper.cc/login.php
  • http://{BLOCKED}e.info/login.php
  • http://{BLOCKED}tserver.biz/login.php
  • http://{BLOCKED}tserver.name/login.php
  • list.{BLOCKED}l.org
  • r{BLOCKED}-abuse.org
  • sbl-xbl.{BLOCKED}s.org

「RUSTOCK」は、感染コンピュータの以下のような正規サイトへのアクセスを監視します。

  • yahoo.com
  • microsoft.com

この不正活動は、検索インデックスの乗っ取りやユーザがこれら正規のWebサイトへアクセスすることを妨害するために行われます。


  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください