ウイルス情報

ウイルス名 危険度

TDSS.f!rootkit

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6538
対応定義ファイル
(現在必要とされるバージョン)
6579 (現在7634)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - HEUR:Trojan.Win32.Generic NOD32 - a variant of Win32/Kryptik.VOO Symantec - Trojan.Gen.2 Microsoft - Trojan:Win32/Alureon.FE
情報掲載日 2012/06/01
発見日(米国日付) 2011/11/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

「TDSS」は、他のマルウェアをダウンロードして実行し、広告をコンピュータに表示し、プログラムの実行をブロックする、Windowsオペレーティングシステムのルートキットです。TDSSはハードディスクドライバを悪質なバージョンに置き換えるなどの方法でコンピュータに感染します。コンピュータに感染した後、Windowsやマルウェア対策プログラムに気づかれることなく、さらにマルウェアをダウンロードして実行し、広告をコンピュータに表示します。

TOPへ戻る

ウイルスの特徴

TDSS.f!rootkitはリソース部に暗号化された形式で感染プログラムを格納しているドロッパです。まず、感染プログラムが復号され、ドロッパの画像が複合された感染プログラムに置き換えられます。

また、TDSS.fは感染前に管理された環境で動作しているかどうかを確認します。

実行時、以下の場所にファイルをドロップ(作成)します。

  • %Temp%\1.tmp
  • %Temp%\ googleupdate.exe

また、以下のレジストリ値が改変されます。

  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass =1
  • HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\
  • OASState = 0x00000003
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\DesktopProtection\OASState: 0x00000002
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned = "%Temp%\MSI12.tmp"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned: "%windir%\system32\wbem\Logs\wbemcore.log"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x00001233
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x0000123D
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000003
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000002
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925579"
  • HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925869"

以下のメモリの文字列により、TDSS.f!rootkitの感染を確認します。

  • MBR
  • VBR
  • FILE
  • BOOT
  • DBG32
  • DBG64
  • DRV32
  • DRV64
  • CMD32
  • CMD64
  • LDR32
  • LDR64
  • MAIN
  • AFFID
  • SUBID
  • PAIR
  • NAME
  • BUILD.
  • Bad allocation

・マルウェアは(通常は%windir%/system32/driversにある)システムドライバにランダムに感染して再起動します。TDSS.f!rootkitはほとんどの場合、VOLSNAP.SYSファイルに感染します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の活動およびメモリの文字列が存在します。

・また、以下のドメインに接続する可能性があります。

  • hxxps://ni[削除]dden.in/
  • hxxps://91.[削除].226.67/
  • hxxps://li[削除]6b0.com/
  • hxxps://zz[削除]a88.com/
  • hxxps://n1[削除]53.com/
  • hxxps://01[削除]00.cc/
  • hxxps://lj[削除]b0.com/
  • hxxp://cli[削除]bn.com/
  • hxxp://th[削除]eg.com/
  • hxxp://ij[削除]se.com/

TOPへ戻る

感染方法

・TDSSはアフィリエイトマーケティングプログラムを使って拡散します。悪質なコードを拡散するほとんどのアフィリエイトマーケティングプログラムでは、感染したマシンの台数や場所によってマルウェアの作者の収入が変わるペイパーインストールというモデルが使われています。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る