ウイルス情報

ウイルス名 危険度

TDSS.e!rootkit

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6323
対応定義ファイル
(現在必要とされるバージョン)
6323 (現在7628)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - HEUR:Trojan.Win32.Generic NOD32 - a variant of Win32/Kryptik.VOO Symantec - Trojan.Gen.2 Microsoft - Trojan:Win32/Alureon.FE
情報掲載日 2012/06/01
発見日(米国日付) 2011/04/21
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TDSSは、他のマルウェアをダウンロードして実行し、広告をコンピュータに表示し、プログラムの実行をブロックする、Windowsオペレーティングシステムのルートキットです。TDSSはハードディスクドライバを悪質なバージョンに置き換えるなどの方法でコンピュータに感染します。コンピュータに感染した後、Windowsやマルウェア対策プログラムに気づかれることなく、さらにマルウェアをダウンロードして実行し、広告をコンピュータに表示します。

TOPへ戻る

ウイルスの特徴

TDSS.e!rootkitは、コンピュータにリモートでアクセスして、貴重なシステムリソースの大半を占有し、インターネットでの活動を追跡して、個人情報を記録し、盗み出すウイルスです。

TDSS.e!rootkitは既存のネットワークの脆弱性やソフトウェアのエクスプロイトにより繁殖しようとします。TDSS.e!rootkitは共有ドライブにリンクします。ファイル以外には何もありません。

TDSS.e!rootkitは、トロイの木馬型ウイルスを使って、ユーザの許可を得ずにインストールされます。トロイの木馬型ウイルスは追加のマルウェア、アドウェア、さらには不正なスパイウェア対策アプリケーションまで、ダウンロードしてインストールすることができます。

実行時、以下の場所にファイルをドロップ(作成)します

  • %Temp%\F.tmp

・TDSS.e!rootkitの主な特徴は以下のとおりです。

  • ブラウザの設定の変更
  • 広告の表示
  • インターネットへの接続
  • バックグラウンドで常駐

また、以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\OASState : 0x00000003
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\DesktopProtection\OASState: 0x00000002
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned = "%Temp%\MSI12.tmp"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned: %windir%\system32\wbem\Logs\wbemcore.log"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x00001233
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x0000123D
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000003
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000002
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925579"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925869"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings CertificateRevocation = 0′
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings WarnonBadCertRecving = 0′
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoChangingWallPaper = 1′
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments SaveZoneInformation = 1′
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = 1′
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableTaskMgr = 1′
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download CheckExeSignatures = no
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Use FormSuggest = yes
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 0′
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = 0′

以下のメモリの文字列により、TDSS.e!rootkitの感染を確認します。

  • MBR
  • VBR
  • FILE
  • BOOT
  • DBG32
  • DBG64
  • DRV32
  • DRV64
  • CMD32
  • CMD64
  • LDR32
  • LDR64
  • MAIN
  • AFFID
  • SUBID
  • PAIR
  • NAME
  • BUILD.
  • Bad allocation

・マルウェアは(通常は%windir%/system32/driversにある)システムドライバにランダムに感染して再起動します。TDSS.e!rootkitはほとんどの場合、VOLSNAP.SYSファイルに感染します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記の活動およびメモリの文字列が存在します。
  • Googleの検索結果がリダイレクトされます。
  • ブラウザのホームページの設定が変更されます。
  • コンピュータおよびインターネットの速度が低下します。

TOPへ戻る

感染方法

・TDSSはアフィリエイトマーケティングプログラムを使って拡散します。悪質なコードを拡散するほとんどのアフィリエイトマーケティングプログラムでは、感染したマシンの台数や場所によってマルウェアの作者の収入が変わるペイパーインストールというモデルが使われています。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る