• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. Trojan.Mebroot
  4. Trojan.Mebroot
  • ブックマーク

Trojan.Mebroot

危険度1: ほとんど影響なし

発見日:
2008 年 1 月 7 日
更新日:
2013 年 7 月 11 日 8:17:37 AM
別名:
Troj/Mbroot-A [Sophos], StealthMBR [McAfee], TROJ_SINOWAL.AD [Trend], StealthMBR!rootkit [McAfee]
種別:
Trojan
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
Trojan.Mebroot は、マスターブートレコード (MBR) を変更するトロイの木馬です。高度なルートキットの技法を使って、自分自身の存在を隠し、リモートの攻撃者が侵入先のコンピュータを制御できるようにバックドアを開きます。

感染
このトロイの木馬は、有名な他の複数の脅威でも利用されるさまざまな手段を使って配布されます。これには、Web ブラウザの脆弱性を悪用したドライブバイダウンロード、ビデオコーデックに見せかけたファイルのダウンロード、BitTorrent やさまざまなファイル共有ネットワークを介した有害な実行可能ファイルの配布などが含まれます。

機能
Trojan.Mebroot は、侵入先のコンピュータで検出を回避して実行するように設計されていて、人目に付かないように動作し、長期間存続できるように、さまざまな高度なルートキットの技法を使います。このトロイの木馬は MBR を変更して、Windows が起動する前に自分自身が実行されるようにします。これは、セキュリティ機能をバイパスすること、および、オペレーティングシステムの中核にフックを作成することが可能であることを意味します。分析されたとき、Trojan.Mebroot は、それまでに出現したものの中で最も高度なマルウェアの 1 つであり、そのコードには、非常に優れた、経験豊富なプロフェッショナルなマルウェア作成者によるものと見られる特徴があると指摘されました。次のタイムラインは、この脅威の進化を示しています。





このトロイの木馬の機能には、ディスクの読み込み/書き込み操作の傍受、ファイアウォールをバイパスするための下位レベルのネットワークドライバのフック、独自の暗号化プロトコルを使った Command and Control (C&C) サーバーとの通信、バックドアの開放などがあります。このバックドアにより、C&C サーバーは侵入先のコンピュータにファイルをダウンロードすることが可能になります。その後、それらのファイルは実行中のプロセス、またはオペレーティングシステム自体に挿入されます。

Trojan.Mebroot の多大な開発努力の原動力は、侵入先のコンピュータから情報を盗み取る悪質なコードのインストール、またはペイパーインストール、スパム、その他の攻撃、つまりは、不正な金儲けに利用できる感染コンピュータのネットワークの作成であると考えられます。Trojan.Mebroot は、キーストロークを記録して口座情報を盗み取るトロイの木馬、Trojan.Anserin にも関連しています。これは、この脅威が金銭目的であることの裏付けとなります。

地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。


シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ
ウイルス対策 (ヒューリスティック/汎用)


ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

侵入防止システム (英語)
HTTP Trojan Mebroot Request

ウイルス対策日

  • Rapid Release 初回バージョン2008 年 1 月 7 日 リビジョン024
  • Rapid Release 最新バージョン2014 年 6 月 24 日 リビジョン006
  • Daily Certified 初回バージョン2008 年 1 月 7 日 リビジョン040
  • Daily Certified 最新バージョン2013 年 7 月 28 日 リビジョン020
  • Weekly Certified 初回リリース日2008 年 1 月 9 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Low
  • 感染台数:0 - 49
  • 感染報告数:0 - 2
  • 地域危険度:Low
  • 対処レベル:Moderate
  • 駆除:Easy

ダメージ

  • ダメージレベル:Medium
  • 発病症状:侵入先のコンピュータのバックドアを開く
  • 秘密情報の漏洩:情報を盗み取るモジュールをインストールする
  • システムの不安定化:マスターブートレコード (MBR) を変更する
  • 不正アクセス:ファイアウォールおよび他のセキュリティソフトウェアをバイパスする

感染力

  • 感染力レベル:Low
記述:Henry Bell
危険性の評価| テクニカルノート| 駆除方法
スパムレポート