McAfee for Small Businesses

ウイルス名 危険度 Roarur.dll 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5862 対応定義ファイル (現在必要とされるバージョン) 5864　（現在7109) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Operation Aurora APPL/Remote.RealVNC.94 (Avira) Backdoor.Mdmbot.A (VirusBuster) Backdoor.Mdmbot.B (VirusBuster) Backdoor:Win32/Mdmbot.A (Microfoft) Backdoor:Win32/Mdmbot.B (Microsoft) Backdoor:Win32/Mdmbot.C (Microfoft) Backdoor:Win32/Mdmbot.D (Microfoft) Trj/Roarur.A (Panda) Troj/Spy-EY (Sophos) TROJ_HYDRAQ.G (Trend Micro) TROJ_HYDRAQ.SMA (Trend Micro) Trojan.Hydraq (Symantec) Trojan.Hydraq!gen1 (Symantec) W32/Genome.EPOX!tr (Fortinet) W32/Hydraq.K!tr (Fortinet) Win32:Roarur [Trj] (Avast) 情報掲載日 2010/01/20 発見日（米国日付） 2010/01/14 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/17 RDN/Sdbot.bf... 06/17 VBS/LoveLett... 06/17 Generic Qhos... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2010年1月19日更新 -- ・Roarur.DLLの最新のサンプルを詳しく分析した結果、バックドア機能に関する以下の情報が判明しました。 ・Roarur.DLLに関連するDLLとして以下のファイル名が確認されました。 Rasmon.dll Securmon.dll A0029670.dll Acelpvc.dll AppMgmt.dll ・acelpvc.dllファイルは、rasmon.dllによってロードされ、攻撃者が選んだ任意のIPポートに接続する悪質なファイルであると判明しました。acelpvc.dllはVedioDriver.dllをインポートして、キーボード、マウスの使用を監視できるようにします。 ・上記のサンプルは以下のいずれかのドメインに接続します。 360.home[削除].com sl1.home[削除].org blog1.serve[削除].com google.home[削除].com ftp2.home[削除].com update.our[削除].com ・Roarur.dllはポート443に接続しますが、通信プロトコルはSSLではなく、暗号化されたカスタムプロトコルです。 ・システムにインストールされると、バックドアによってシステムが完全にコントロールされます。以下のような例が確認されています。 プロセス権限の調整、プロセスの終了 サービスのコントロール ファイルのリモート実行 レジストリの操作 ファイルシステムの操作（検索、削除、コピー） システムの操作（システムの終了、再起動、イベントの消去） 他のコンポーネントの呼び出し、プロセス間通信 Network.icsの操作 -- ・Roarur.dllはOperation Auroraの第3段階です。Operation Auroraの詳細は以下を参照してください。 Exploit-Comele - Operation Aurora（第1段階 - 最初のエクスプロイト） Roarur.dr - Operation Aurora（第2段階 - ダウンロードされるマルウェア） ・Roarur.dllが実行されると、ターゲットコンピュータにサービスを作成し、以下のレジストリキーを改変します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS [% ランダムな4文字 %] "ImagePath" = %SystemDir%\svchost.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS [% ランダムな4文字 %] "Start"= 02, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS [% ランダムな4文字 %] \Parameters "ServiceDll" = %SystemDir%\rasmon.dll ・ファイル名、サービス名、dllの格納場所が上記と異なる亜種が確認されました。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters ServiceDll = "C:\Documents and Settings\[ユーザ名]\AppMgmt.dll" ・DLL（RASMON.DLL）がSVCHOST.EXEに挿入され、以下の機能を実行します。 以下のファイルがシステムに存在するかどうか確認します。 acelpvc.dll（このファイルが存在したら、必ず感染しているというわけではありません） VedioDriver.dll（このファイルが存在したら、必ず感染しているというわけではありません） ・以下のリモートサーバへの接続が行われます（異なるサーバに接続する新しい亜種が確認されています）。 360.home[削除].com update.ou[削除]y.com ・コントロールを行うホストからコマンドを受け取ります。亜種によって異なりますが、以下のような例があります。 プロセス権限の拡大 システムのシャットダウン／再起動 cmd.exeによるコマンドの実行 追加コンポーネントのダウンロード システムレジストリの改変 ローカルリソースのリストアップ（ドライブ、サービスなど） ローカルファイルシステムの改変 mdm.exeの実行 自身の更新 ・バックドアはターゲットマシンから以下の情報を収集し、サーバに送信します。 HARDWARE\DESCRIPTION\System\CentralProcessor\MHzレジストリキーの内容 サービスパック名 マシン名 OSのバージョン ・情報はwindows/system32/drivers/etc/networks.ics fileにある暗号化されたファイルに保存されます。 ・通信プロトコルの詳細は以下を参照してください。 McAfee Labsブログ：An Insight into the Aurora Communication Protocol（Auroraの通信プロトコルについて） 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記の活動が見られます。 上記のファイルが存在します。 感染方法 TOPへ戻る ・Roarur.dllはRoarur.drによってドロップされます。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。 Windows ME/XPでの駆除についての補足