ウイルス情報

ウイルス名 危険度

TDSS.C

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7628)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky : Virus.Win32.TDSS.bMcAfee : Patched-SYSFile.dSymantec : Backdoor.Tidserv.I!inf
情報掲載日 2010/08/27
発見日(米国日付) 2010/08/25
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・TDSS.Cはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・TDSS.Cは高度なルートキットで、インストール時、以下の動作を行います。

  • ディスクにファイルを作成する代わりに、ハードディスクのローセクタに新しいモジュールを作成して、自身の痕跡を隠します。セクタ内に自身の暗号化されたファイルシステムを作成し、ファイルを格納します。
  • %windir%\system32\driversフォルダのランダムなデバイスドライバに感染します。感染したデバイスドライバには、セクタからルートキットとコンポーネントをロードするローダコードが組み込まれます。また、デバイスドライバに感染することで、再起動後もシステムをコントロールできるようにします。
  • spoolsv.exeに感染し、セクタに格納された以下のモジュールをロードさせます。
  1. TdlCmd.dll:コードを更新し、ランダムなマルウェアをダウンロードし、構成スクリプトを更新する機能が組み込まれています。
  2. TdlWsp.dll:検索を乗っ取り、リモートサーバに送信して、広告やアフィリエイトリンクを表示するコードが組み込まれています。
  3. Config.ini:バージョン情報など、botの構成情報が格納されています。

通常、Config.iniファイルの内容は以下のとおりです。

quote=Tempers are wearing thin. Let's hope some robot doesn't kill everybody
version=3.273
botid=4e577979-3d7c-48d6-a330-5d298e0d8f1a
affid=20302
subid=0
installdate=11.6.2010 5:2:3
builddate=10.6.2010 21:20:50
rnd=1897051121
knt=1282105424
[injector]
*=tdlcmd.dll
[tdlcmd]
version=3.93
bsh=9f474cff4ba6ef0172cabb594d8eb464dccfb0c4
delay=7200
servers=https://nichtadden.in/;https://91.212.226.67/;https://li1i16b0.com/;
 https://zz87jhfda88.com/;https://n16fa53.com/;https://01n02n4cx00.cc/;https://lj1i16b0.com/
wspservers=http://clickpixelabn.com/;http://thinksnotaeg.com/;http://ijmgwarehouse.com/;
http://getbestbanner.com/;http://pixelrotator.com/;http://rf9akjgh716zzl.com/;
http://justgomediainc.in/;
http://justbannernet.in/;http://justbannernet.com
popupservers=http://clkh71yhks66.com/
clkservers=http://z0g7ya1i0.com/
[tasks]
tdlcmd.dll=https://91.212.226.59/6Xq430f4wSCR=0|-1638||

・インストール後、オリジナルのインストーラを削除して、痕跡を消します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・インストールの一環として、以下のようなランダムな名前のテンポラリファイルを作成します。

  • %temp%\2.tmp
  • %temp%\5.tmp

・これらのファイルにはランダムな名前が付けられているため、TDSSは自身の存在を特定する痕跡を残しません。

・TDSS.Cは複数のドメインにアクセスすることが確認されています。アクセス先のドメインは固定ではありません。

  • hxxp://1zabslwvn538n4i5tcjl.com
  • hxxp://urodinam.net
  • hxxp://dogmamillions.com
  • hxxps://a57990057.cn
  • hxxps://a579900578.cn
  • hxxps://94.228.209.145
  • hxxp://m2121212.cn
  • hxxp://zz87jhfda88.com
  • hxxp://lj1i16b0.com
  • hxxp://a57990057.cn
  • hxxp://0o0o0o0o0.com

TOPへ戻る

感染方法

・TDSS.Cは以下のようなさまざまな感染手段を利用することが確認されています。

  • ソーシャルネットワーキングサイト。多くはFaceBookユーザに感染するKoobFaceを介して拡散しています。ただし、ひとつのソーシャルネットワーキングサイトに限定されている訳ではありません。
  • エクスプロイト、ハックされたWebサイト。
  • マルウェアへのリンクが組み込まれたスパムメール。
  • 正規のファイルを装う電子メールの添付ファイル。
  • 海賊版のソフトウェア。

TOPへ戻る

駆除方法

TOPへ戻る