・TDSS.e!rootkitは、コンピュータにリモートでアクセスして、貴重なシステムリソースの大半を占有し、インターネットでの活動を追跡して、個人情報を記録し、盗み出すウイルスです。
・TDSS.e!rootkitは既存のネットワークの脆弱性やソフトウェアのエクスプロイトにより繁殖しようとします。TDSS.e!rootkitは共有ドライブにリンクします。ファイル以外には何もありません。
・TDSS.e!rootkitは、トロイの木馬型ウイルスを使って、ユーザの許可を得ずにインストールされます。トロイの木馬型ウイルスは追加のマルウェア、アドウェア、さらには不正なスパイウェア対策アプリケーションまで、ダウンロードしてインストールすることができます。
・実行時、以下の場所にファイルをドロップ(作成)します。
・TDSS.e!rootkitの主な特徴は以下のとおりです。
- ブラウザの設定の変更
- 広告の表示
- インターネットへの接続
- バックグラウンドで常駐
・また、以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\OASState : 0x00000003
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\DesktopProtection\OASState: 0x00000002
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned = "%Temp%\MSI12.tmp"
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned: %windir%\system32\wbem\Logs\wbemcore.log"
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x00001233
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x0000123D
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000003
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000002
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925579"
- HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925869"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings CertificateRevocation = 0′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings WarnonBadCertRecving = 0′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoChangingWallPaper = 1′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments SaveZoneInformation = 1′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr = 1′
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system DisableTaskMgr = 1′
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download CheckExeSignatures = no
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Use FormSuggest = yes
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 0′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = 0′
・以下のメモリの文字列により、TDSS.e!rootkitの感染を確認します。
- MBR
- VBR
- FILE
- BOOT
- DBG32
- DBG64
- DRV32
- DRV64
- CMD32
- CMD64
- LDR32
- LDR64
- MAIN
- AFFID
- SUBID
- PAIR
- NAME
- BUILD.
- Bad allocation
・マルウェアは(通常は%windir%/system32/driversにある)システムドライバにランダムに感染して再起動します。TDSS.e!rootkitはほとんどの場合、VOLSNAP.SYSファイルに感染します。
