• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. Backdoor.Tidserv
  4. Backdoor.Tidserv
  • ブックマーク

Backdoor.Tidserv

危険度2: 低

発見日:
2008 年 9 月 18 日
更新日:
2013 年 11 月 19 日 2:16:02 AM
別名:
Backdoor:W32/TDSS [F-Secure], BKDR_TDSS [Trend], Win32/Alureon [Microsoft], Trojan-Dropper.Win32.TDSS [Kaspersky], Packed.Win32.TDSS [Kaspersky],
種別:
Trojan
影響を受けるシステム:
Windows 2000, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Backdoor.Tidserv は、高度なルートキットを使用して自分自身を隠すトロイの木馬です。また、広告の表示、検索結果のリダイレクト、侵入先のコンピュータのバックドアの開放などを行います。

Backdoor.Tidserv ファミリータイトルに加えて、このトロイの木馬は、AlureonTDSSTDL (TDL-3TDL-4 などの複数バージョン) としても知られています。

感染
このトロイの木馬は、有名な他の脅威でも利用されるさまざまな手段を使って配布されます。 たとえば、読者の関心を引くようなセンセーショナルな動画への URL を含む偽のブログや、同様の手口を使った偽のブログやフォーラムのコメントなどを介して拡散することが確認されています。また、このトロイの木馬は、偽のトレントファイルや P2P ソフトのダウンロード用サイト、クラックやウェアーズの Web サイト、または、さまざまな脆弱性を悪用して「ドライブバイダウンロード」を発生させる、ハッキングされた正規の Web サイトや偽の Web サイトで見つかります。


機能
このトロイの木馬に見られる機能は、収益を上げることを主目的として設計されていることを示します。 Web を利用した収益活動では、通常、Web トラフィックの生成、ペイパーインストール (pay-per-install) ソフトウェアのインストール、疑わしいサービスや Web サイトのセールスリードの作成などを行います。この脅威は、一連のテクニックを使ってそのような収益活動にユーザーを参加させ、目的を達成しようと試みます。

たとえば、このトロイの木馬は、Web の検索結果を操作して、このトロイの木馬の作成者が運営するアフィリエイトサイトにユーザーをリダイレクトします。また、ペイパーインストール報酬モデルに関連していると思われる、ミスリーディングアプリケーションをホストするサイトにユーザーをリダイレクトする可能性もあります。さらに、このトロイの木馬は、さまざまな製品やサービス、その他のミスリーディングアプリケーションのポップアップ広告を定期的に表示します。ソフトウェアや自分自身の更新、または自分の設定ファイルの更新を入手するためにリモートサーバーに接続することもあり、それによって、自分を多用途で拡張性のある脅威にしようとします。

上記のテクニックをすべて使っても、ユーザーから適切な反応が得られなかった場合、そのトロイの木馬は他の悪質なソフトウェアとミスリーディングアプリケーションを直接ダウンロードして、感染によって何らかの収益が上げられるようにします。

このトロイの木馬は、高度なステルス機能を持ち、他の悪質なコード (専門家によって記述されていないコード) にはほとんど見られないテクニックを備えています。このトロイの木馬は、自分自身のコードでシステムドライバファイルに感染します。感染したドライバファイル内のコードは、ルートキットとして、また、メインルーチンをコンピュータにロードさせるローダーとしての役割を果たします。メインルーチンは暗号化され、ハードディスクの最終セクタ付近に隠されます。このトロイの木馬のルートキット機能は、このトロイの木馬を効果的に隠す手段を提供します。感染したドライバファイルまたはディスクセクタに関するオペレーティングシステムからのクエリーに対しては、未感染という結果が返されます。他の従来型の悪質なコードとは異なり、それ以外に兆候や指標となるものは見られません。

また最近の亜種は、コンピュータの マスターブートレコード (MBR) を操作し、ブートアッププロセス中の早い段階で脅威がロードされるようにし、OS のロードを妨げることができます。



「ブルースクリーン」問題
このレポート (英語) は、2010 年 2 月 9 日にマイクロソフト社から更新プログラムがリリースされた後多発したブルースクリーン問題 (BSOD) について報告しています。その後の調査により、この問題の多くは、システムファイルに更新プログラムを適用してフックする際に、マイクロソフト社の更新プログラムがこのトロイの木馬の一連の処理を誤って中断させることにより発生したことが判明しました。具体的には、システムファイルの API が呼び出されたとき、更新されたファイルから返されるアドレスは、トロイの木馬が予期していた場所とは異なるため、無効なアドレスとして処理されてエラーが発生しました。

Tidserv and BSoD (英語) によると、Tidserv を操る攻撃者は、MS10-015 で導入されたカーネルモジュールの API オフセットの変更による再起動ループ問題を避けるために、ルートキットにパッチを適用したことが確認されています。リサーチテストによると、実際に感染ドライバはカーネル API オフセットの変更に対処できることがわかりました。 これには、現在使用中のアドレスを取得するために必要な API 名のハッシュ関数、ウイルスや他の脅威で長い間使用されているテクニックを使いますが、それを使用するためにボットネットワークの大部分を無効にする必要がありました。プログラム内のバグの数は、複雑さに比例するか、ソースコードのサイズであることが統計的に明らかになっています。カーネルモードでの些細な過失が、ブルースクリーン問題の原因となることが多いことは、周知の事実です。 これは、高度なルートキットの終焉の兆しとなる可能性があります。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。









感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。






シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)


    ブラウザ保護
    シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


    侵入防止システム (英語)

    ウイルス対策日

    • Rapid Release 初回バージョン2008 年 9 月 18 日 リビジョン007
    • Rapid Release 最新バージョン2014 年 6 月 18 日 リビジョン018
    • Daily Certified 初回バージョン2008 年 9 月 18 日 リビジョン008
    • Daily Certified 最新バージョン2014 年 6 月 18 日 リビジョン023
    • Weekly Certified 初回リリース日2008 年 9 月 24 日
    Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

    危険性の評価

    被害状況

    • 被害レベル:Medium
    • 感染台数:50 - 999
    • 感染報告数:3 - 9
    • 地域危険度:Medium
    • 対処レベル:Easy
    • 駆除:Easy

    ダメージ

    • ダメージレベル:High
    • 発症のタイミング:侵入先のコンピュータ上での Web 検索やその他のユーザー操作
    • 発病症状:侵入先のコンピュータのバックドアを開き、Web の検索結果を乗っ取り、ポップアップ広告を表示する
    • ファイル改ざん:atapi.sys やマスターブートレコードなどの低レベルのドライバファイルに感染する
    • システムの不安定化:下位レベルのシステムファイルの感染により、オペレーティングシステムが不安定になる可能性がある

    感染力

    • 感染力レベル:Low
    記述:Hon Lau
    危険性の評価| テクニカルノート| 駆除方法
    スパムレポート