製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:T
ウイルス情報
ウイルス名危険度
TDSS.C
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7599)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky : Virus.Win32.TDSS.bMcAfee : Patched-SYSFile.dSymantec : Backdoor.Tidserv.I!inf
情報掲載日2010/08/27
発見日(米国日付)2010/08/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・TDSS.Cはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・TDSS.Cは高度なルートキットで、インストール時、以下の動作を行います。

  • ディスクにファイルを作成する代わりに、ハードディスクのローセクタに新しいモジュールを作成して、自身の痕跡を隠します。セクタ内に自身の暗号化されたファイルシステムを作成し、ファイルを格納します。
  • %windir%\system32\driversフォルダのランダムなデバイスドライバに感染します。感染したデバイスドライバには、セクタからルートキットとコンポーネントをロードするローダコードが組み込まれます。また、デバイスドライバに感染することで、再起動後もシステムをコントロールできるようにします。
  • spoolsv.exeに感染し、セクタに格納された以下のモジュールをロードさせます。
  1. TdlCmd.dll:コードを更新し、ランダムなマルウェアをダウンロードし、構成スクリプトを更新する機能が組み込まれています。
  2. TdlWsp.dll:検索を乗っ取り、リモートサーバに送信して、広告やアフィリエイトリンクを表示するコードが組み込まれています。
  3. Config.ini:バージョン情報など、botの構成情報が格納されています。

通常、Config.iniファイルの内容は以下のとおりです。

quote=Tempers are wearing thin. Let's hope some robot doesn't kill everybody
version=3.273
botid=4e577979-3d7c-48d6-a330-5d298e0d8f1a
affid=20302
subid=0
installdate=11.6.2010 5:2:3
builddate=10.6.2010 21:20:50
rnd=1897051121
knt=1282105424
[injector]
*=tdlcmd.dll
[tdlcmd]
version=3.93
bsh=9f474cff4ba6ef0172cabb594d8eb464dccfb0c4
delay=7200
servers=https://nichtadden.in/;https://91.212.226.67/;https://li1i16b0.com/;
 https://zz87jhfda88.com/;https://n16fa53.com/;https://01n02n4cx00.cc/;https://lj1i16b0.com/
wspservers=http://clickpixelabn.com/;http://thinksnotaeg.com/;http://ijmgwarehouse.com/;
http://getbestbanner.com/;http://pixelrotator.com/;http://rf9akjgh716zzl.com/;
http://justgomediainc.in/;
http://justbannernet.in/;http://justbannernet.com
popupservers=http://clkh71yhks66.com/
clkservers=http://z0g7ya1i0.com/
[tasks]
tdlcmd.dll=https://91.212.226.59/6Xq430f4wSCR=0|-1638||

・インストール後、オリジナルのインストーラを削除して、痕跡を消します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・インストールの一環として、以下のようなランダムな名前のテンポラリファイルを作成します。

  • %temp%\2.tmp
  • %temp%\5.tmp

・これらのファイルにはランダムな名前が付けられているため、TDSSは自身の存在を特定する痕跡を残しません。

・TDSS.Cは複数のドメインにアクセスすることが確認されています。アクセス先のドメインは固定ではありません。

  • hxxp://1zabslwvn538n4i5tcjl.com
  • hxxp://urodinam.net
  • hxxp://dogmamillions.com
  • hxxps://a57990057.cn
  • hxxps://a579900578.cn
  • hxxps://94.228.209.145
  • hxxp://m2121212.cn
  • hxxp://zz87jhfda88.com
  • hxxp://lj1i16b0.com
  • hxxp://a57990057.cn
  • hxxp://0o0o0o0o0.com

感染方法TOPへ戻る

・TDSS.Cは以下のようなさまざまな感染手段を利用することが確認されています。

  • ソーシャルネットワーキングサイト。多くはFaceBookユーザに感染するKoobFaceを介して拡散しています。ただし、ひとつのソーシャルネットワーキングサイトに限定されている訳ではありません。
  • エクスプロイト、ハックされたWebサイト。
  • マルウェアへのリンクが組み込まれたスパムメール。
  • 正規のファイルを装う電子メールの添付ファイル。
  • 海賊版のソフトウェア。

駆除方法TOPへ戻る