McAfee for Small Businesses

ウイルス名 危険度 TDSS.f!rootkit 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 6538 対応定義ファイル (現在必要とされるバージョン) 6579　（現在7080) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - HEUR:Trojan.Win32.Generic NOD32 - a variant of Win32/Kryptik.VOO Symantec - Trojan.Gen.2 Microsoft - Trojan:Win32/Alureon.FE 情報掲載日 2012/06/01 発見日（米国日付） 2011/11/22 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・TDSS.f!rootkitはリソース部に暗号化された形式で感染プログラムを格納しているドロッパです。まず、感染プログラムが復号され、ドロッパの画像が複合された感染プログラムに置き換えられます。 また、TDSS.fは感染前に管理された環境で動作しているかどうかを確認します。 ・実行時、以下の場所にファイルをドロップ（作成）します。 %Temp%\1.tmp %Temp%\ googleupdate.exe ・また、以下のレジストリ値が改変されます。 HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass =1 HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\ OASState = 0x00000003 HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\DesktopProtection\OASState: 0x00000002 HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned = "%Temp%\MSI12.tmp" HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\szLastScanned: "%windir%\system32\wbem\Logs\wbemcore.log" HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x00001233 HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x0000123D HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000003 HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\McShield\Configuration\OASEnabled: 0x00000002 HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925579" HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\Agent\lpc\lpc_throb: "1337925869" ・以下のメモリの文字列により、TDSS.f!rootkitの感染を確認します。 MBR VBR FILE BOOT DBG32 DBG64 DRV32 DRV64 CMD32 CMD64 LDR32 LDR64 MAIN AFFID SUBID PAIR NAME BUILD. Bad allocation ・マルウェアは（通常は%windir%/system32/driversにある）システムドライバにランダムに感染して再起動します。TDSS.f!rootkitはほとんどの場合、VOLSNAP.SYSファイルに感染します。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記の活動およびメモリの文字列が存在します。 ・また、以下のドメインに接続する可能性があります。 hxxps://ni[削除]dden.in/ hxxps://91.[削除].226.67/ hxxps://li[削除]6b0.com/ hxxps://zz[削除]a88.com/ hxxps://n1[削除]53.com/ hxxps://01[削除]00.cc/ hxxps://lj[削除]b0.com/ hxxp://cli[削除]bn.com/ hxxp://th[削除]eg.com/ hxxp://ij[削除]se.com/ 感染方法 TOPへ戻る ・TDSSはアフィリエイトマーケティングプログラムを使って拡散します。悪質なコードを拡散するほとんどのアフィリエイトマーケティングプログラムでは、感染したマシンの台数や場所によってマルウェアの作者の収入が変わるペイパーインストールというモデルが使われています。 駆除方法 TOPへ戻る 全ての Windows ユーザー 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます 回復コンソールでクリーンなMBRに修復してください。 Windows XPの場合 CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。 「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。 対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。 マスタ ブート レコードを修復するfixmbrコマンドを発行します。 画面上の指示に従ってください。 CD-ROM ドライブからCDを取り出しリセットしてください。 Windows Vista および 7 の場合 CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。 「コンピュータを修復する」をクリックします。 [システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。 マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。 画面上の指示に従ってください。 CD-ROM ドライブからCDを取り出しリセットしてください。