McAfee for Small Businesses

ウイルス名 危険度 Android/Drad.A 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6262 対応定義ファイル (現在必要とされるバージョン) 6261　（現在7080) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2011/02/22 発見日（米国日付） 2011/02/15 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/20 RDN/Generic.... 05/20 RDN/Generic ... 05/20 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・Android/Drad.Aは「TAT-LWP-Mod-Dandelion.apk」という名前のapkファイルとして配布されます。動作するには、Android 2.1以降が必要です。 ・Android/Drad.Aは正規の動く壁紙に悪質なコードを挿入してパッケージしなおしたものです。 図1 - Android/Drad.Aがリクエストする許可 ・デバイスが起動すると、悪質なコードが「MyService」という名前のサービスとして動作します。 図2 - 「MyService」という名前で動作する、挿入された悪質なコード ・Android/Drad.Aはネットワーク接続がアクティブかどうか確認します。アクティブな場合、DESで暗号化されたIMEIとIMSIをhttp://adrd.ta[検閲済み].net/index.aspxに定期的に送信します。 ・攻撃者のサーバからAndroid/Drad.Aが実行するコマンドが返されます。コマンドもDESで暗号化されています。 ・以下の4つのコマンドが確認されています。 コマンド 機能 0 動作なし 1 http://adrd.xi[検閲済み].com/pic.aspxにアクセスし、IMEIとIMSIを送信します。 2 <文字列> <文字列>の引数を解析します。ただし、解析されたデータは使用されません。 3 <URL> APKファイルを「/sdcard/uc/myupdate.apk」にダウンロードします。 ・テスト中、APKファイルはダウンロードされませんでしたが、攻撃者がコマンドを使ってAndroid/Drad.Aを更新する可能性が高いです。 ・Android/Drad.Aは、送信したIMEI、IMSIと引き替えに、攻撃者からURLのリストを受け取り、それぞれのURLにアクセスしようとします。 ・受け取るURLは中国の検索エンジンの検索クエリーです。クエリーの形式は以下のとおりです。 　http://wap.baidu.com/s?word=%e5[検閲済み]%bf%b1%e9%bd%90&vit=uni&from=961a_w1 ・Android/Drad.Aは検索サイトにアクセスし、検索ページからURLを抽出し、抽出したURLをランダムに選択してアクセスします。 ・Android/Drad.Aが最終的に何をしたいのかは不明ですが、一種のSEO（検索エンジン最適化）を実行しようとしているように見えます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 機密情報を送信します。 定期的にインターネットにアクセスします。 外部サーバからのコマンドを実行します。 感染方法 TOPへ戻る ユーザが故意に携帯電話にインストールしない限り、Android/Drad.Aに感染することはありません。いつも言われていることですが、ユーザは絶対に見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、絶対にインストールしないでください。 駆除方法 TOPへ戻る