Backdoor.Tidserv が最初に登場したのは、2008 年のことです。このトロイの木馬は、高度なルートキットを使って自分自身の存在を隠していました。シマンテックでは、Tidserv の登場以来、多くの変更が加えられてきたことを確認しており、それらの変更点をブログ記事に記録してきました。昨日、Tidserv の新しいサンプルが見つかり、Backdoor.Tidserv.L および Boot.Tidserv として検出を開始しました。 Tidserv のこの新しい亜種には、主に 2 つの特徴があります。第 1 の特徴は、ユーザーモードのコードを、64 ビット版の各種 Windows に存在する Windows 64 ビット版ドライバプロセスに挿入するようになった点です。これまで、Tidserv の標的は 32 ビット版のオペレーティングシステムのみでした。64 ビットのプロセスにコードを挿入するウイルスは以前にもありましたが、ウイルス作成者にとって、これは比較的新しい試みです。また、この試みから、Tidserv の作成者が標的とし得るオペレーティングシステムに可能なかぎり潜入しようと、常にこの脅威を進化させていることがわかります。第 2 の特徴は、侵入したコンピュータのマスターブートレコード(MBR)に感染するようになった点です。したがって、オペレーティングシステムが読み込まれる前に、コンピュータを制御することが可能です。Tidserv の主要コンポーネントは、ハードディスクドライブの最後尾にある未使用の領域に暗号化された形式で保存されます。コンピュータが一度感染すると、検出も駆除も困難なのは、そのためです。以下に、感染したディスクのイメージを示します。 繰り返しになりますが、この手法を用いるウイルスはこれが初めてではありません。これまでも、これと似た手法を用いるほかの脅威(Trojan.Mebroot や Trojan.Mebratix など)についてのブログ記事を掲載してきました。これまでに行った分析によると、64 ビット版の Windows に感染するときには、感染時にコンピュータの再起動が行われることがわかっています。再起動時に、MBR ブートセクターから Backdoor.Tidserv.L が読み込まれます。現在、この脅威の分析を行っており、まもなく追加のブログ記事として掲載する予定です。更新まで少々お待ちください。 シマンテックでは通常どおり、このような脅威から保護するために、ウイルス定義を最新のものに更新することをお勧めしています。