製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
NTRootKit-H
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		4406
対応定義ファイル
(現在必要とされるバージョン)		5348 (現在7084)
対応エンジン5.2.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2009/10/13
発見日(米国日付)2005/02/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・NTRootKit-Hはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

・NTRootKit-Hはステルス機能のような特徴を見せ、リモートサイトに接続する可能性があるトロイの木馬です。

・特定のURLからダウンロードされたファイルとして届きます。また、Spy-Agent.bwなどのトロイの木馬によってインストールされる可能性があります。オンラインバンキング関連の機密情報を盗み出し、httpポストを介してリモートサイトに返信しようとします。

ウイルスの特徴TOPに戻る

感染

・NTRootKit-Hは以下のWebサイトからダウンロードされたファイルとして届きます。
http://{削除}dalqik.ru/offshore/denis.exe

インストールおよび自動起動

・実行時、ntos.exeという名前でシステムフォルダに自身のコピーをドロップ(作成)します。さらに、簡単に検出されないよう、ドロップしたコピーの終わりにコードを付加します。

・システム起動時に自動実行されるよう、以下のレジストリ項目を改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = "%System%\Userinit.exe,%System%\ntos.exe,"

(注:上記のレジストリ項目のデフォルトのデータ値は%System%\Userinit.exe。%System%はWindowsのシステムフォルダ。例:C:\WINNT\System32、C:\Windows\System32)

・また、インストールルーチンの一部として、以下のレジストリ項目を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network

UID: "{コンピュータ名}_{ランダムな数字}"

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{60A8C15A-6EAE-3FE9-357B-96DB4F66803C
  • KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    EnableFirewall: 0x00000000

・また、NTRootKit-Hはリモートスレッドを作成し、正規のプロセス(winlogon.exe、svchost.exe)に自身を挿入して、メモリに常駐し、以下のAPIにフックしてファイルを隠し、システムの動作を監視します。

IATへのフック

  • ntdll.dll!NtQueryDirectoryFile
  • ntdll.dll!LdrLoadDll
  • ntdll.dll!LdrGetProcedureAddress
  • ntdll.dll!NtCreateThread
  • USER32.dll!TranslateMessage
  • USER32.dll!GetClipboardData

・%System%\wsnpoemフォルダを作成し、ユーザに自身のコンポーネントが発見され、削除されないよう、自身の属性をSystem、Hiddenに設定します。さらに、作成したフォルダに以下の悪質でないファイルをドロップします。

  • audio.dll - 構成ファイル
  • video.dll - 盗み出した情報

情報の盗み出し

・以下のWebサイトから暗号化された構成ファイルであるdenis.binをダウンロードし、%System%\wnspoem\audio.dllという名前で保存します。

http://{削除}dalqik.ru/offshore/denis.bin

・復号化された構成ファイルには銀行関連のURLが格納されています。NTRootKit-HはインターネットブラウザのアドレスバーでこのURLを監視します。なお、ファイルの内容、すなわち監視するWebサイトのリストはいつでも変更される可能性があります。ユーザがターゲットのWebサイトにアクセスすると、NTRootKit-Hはキー入力を記録します。

・NTRootKit-Hはオンラインバンキングの機密情報を盗み出そうとします。ユーザが構成ファイルにある監視対象サイトにアクセスしようとすると、NTRootKit-Hはユーザの入力、特にユーザ名、パスワード用に作成されたボックスへの入力を取り込み、%System%\wsnpoem\video.dllファイルに保存します。

・httpポストを介して以下のリモートサイトに%System%\wsnpoem\video.dllファイルを送信します。

http://{削除}dalqik.ru/offshore/denis.php


その他の動作

・また、以下のWebサイトから別の実行ファイル(rix.exe)をダウンロードすることが確認されています。
http://{削除}rules.ru

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキー/値が存在します。

・上記のAPIへのフックが存在します。

・上記のネットワークアクセスが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足