ウイルス情報

ウイルス名 危険度

NTRootKit-H

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4406
対応定義ファイル
(現在必要とされるバージョン)
5348 (現在7634)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2009/10/13
発見日(米国日付) 2005/02/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・NTRootKit-Hはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

・NTRootKit-Hはステルス機能のような特徴を見せ、リモートサイトに接続する可能性があるトロイの木馬です。

・特定のURLからダウンロードされたファイルとして届きます。また、Spy-Agent.bwなどのトロイの木馬によってインストールされる可能性があります。オンラインバンキング関連の機密情報を盗み出し、httpポストを介してリモートサイトに返信しようとします。

TOPへ戻る

ウイルスの特徴

感染

・NTRootKit-Hは以下のWebサイトからダウンロードされたファイルとして届きます。
http://{削除}dalqik.ru/offshore/denis.exe

インストールおよび自動起動

・実行時、ntos.exeという名前でシステムフォルダに自身のコピーをドロップ(作成)します。さらに、簡単に検出されないよう、ドロップしたコピーの終わりにコードを付加します。

・システム起動時に自動実行されるよう、以下のレジストリ項目を改変します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit = "%System%\Userinit.exe,%System%\ntos.exe,"

(注:上記のレジストリ項目のデフォルトのデータ値は%System%\Userinit.exe。%System%はWindowsのシステムフォルダ。例:C:\WINNT\System32、C:\Windows\System32)

・また、インストールルーチンの一部として、以下のレジストリ項目を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network

UID: "{コンピュータ名}_{ランダムな数字}"

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{60A8C15A-6EAE-3FE9-357B-96DB4F66803C
  • KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    EnableFirewall: 0x00000000

・また、NTRootKit-Hはリモートスレッドを作成し、正規のプロセス(winlogon.exe、svchost.exe)に自身を挿入して、メモリに常駐し、以下のAPIにフックしてファイルを隠し、システムの動作を監視します。

IATへのフック

  • ntdll.dll!NtQueryDirectoryFile
  • ntdll.dll!LdrLoadDll
  • ntdll.dll!LdrGetProcedureAddress
  • ntdll.dll!NtCreateThread
  • USER32.dll!TranslateMessage
  • USER32.dll!GetClipboardData

・%System%\wsnpoemフォルダを作成し、ユーザに自身のコンポーネントが発見され、削除されないよう、自身の属性をSystem、Hiddenに設定します。さらに、作成したフォルダに以下の悪質でないファイルをドロップします。

  • audio.dll - 構成ファイル
  • video.dll - 盗み出した情報

情報の盗み出し

・以下のWebサイトから暗号化された構成ファイルであるdenis.binをダウンロードし、%System%\wnspoem\audio.dllという名前で保存します。

http://{削除}dalqik.ru/offshore/denis.bin

・復号化された構成ファイルには銀行関連のURLが格納されています。NTRootKit-HはインターネットブラウザのアドレスバーでこのURLを監視します。なお、ファイルの内容、すなわち監視するWebサイトのリストはいつでも変更される可能性があります。ユーザがターゲットのWebサイトにアクセスすると、NTRootKit-Hはキー入力を記録します。

・NTRootKit-Hはオンラインバンキングの機密情報を盗み出そうとします。ユーザが構成ファイルにある監視対象サイトにアクセスしようとすると、NTRootKit-Hはユーザの入力、特にユーザ名、パスワード用に作成されたボックスへの入力を取り込み、%System%\wsnpoem\video.dllファイルに保存します。

・httpポストを介して以下のリモートサイトに%System%\wsnpoem\video.dllファイルを送信します。

http://{削除}dalqik.ru/offshore/denis.php


その他の動作

・また、以下のWebサイトから別の実行ファイル(rix.exe)をダウンロードすることが確認されています。
http://{削除}rules.ru

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキー/値が存在します。

・上記のAPIへのフックが存在します。

・上記のネットワークアクセスが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る