発見日: November 20, 2004
更新日: July 11, 2013 7:54:36 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows

Trojan.Vundo は、ファイルをダウンロードし、ポップアップ広告を表示するトロイの木馬です。この脅威は、スパムメール、ピアツーピア型ファイル共有、ドライブバイダウンロード、およびその他のマルウェアによって配布されることが確認されています。

感染
Trojan.Vundo は、VirtuMonde、VirtuMundo、または MS Juan とも呼ばれ、通常、スパムメールやブラウザの脆弱性を悪用したドライブバイダウンロードによってユーザーのコンピュータに届きます。 また、このトロイの木馬は、ユーザーに無害と思わせて実行させるように名前を付けた有害な実行可能ファイルとともに、ファイル共有ネットワークを介してダウンロードされる可能性があります。

Trojan.Vundo は、その他のマルウェアによってダウンロードされる可能性もあります。大量メール送信ワームの W32.Ackantta.B@mmW32.Ackantta.C@mm は、侵入先のコンピュータにこの脅威の亜種をダウンロードすることが確認されています。これらのワームの感染レベルの拡大に伴って、Trojan.Vundo の感染数も拡大しています。

機能
Trojan.Vundo は、侵入先のコンピュータに広告を表示することを目的として設計されました。このトロイの木馬は、ポップアップ広告を表示する機能に加えて、検索結果に広告を挿入する機能を備えています。

表示される広告やポップアップ広告には、不正なアプリケーションやミスリーディングアプリケーション用のものも含まれます。ユーザーを脅かして「追加情報」用のボタンをクリックさせるために、煩わしいポップアップ広告、虚偽のスキャン結果、正規のセキュリティソフトウェアから発せられたように見せかけた警告などが侵入先のコンピュータのデスクトップに表示されます。通常、その広告は、実際には存在しないマルウェアをコンピュータから駆除すると称して、クレジットカードで購入可能な機能しないプログラム (または、正真正銘の有害プログラム) を提供するサイトにリンクしています。

この脅威によって、成人向けの Web サイトやサービスの広告が表示されることもあります。

駆除を困難にすることを目的として、Trojan.Vundo はセキュリティ設定を低下させ、特定の Web サイトへのアクセスを阻止し、特定のシステムソフトウェアを無効にします。ウイルス対策プログラムを無効にしようと試みる亜種も存在します。

最近の Trojan.Vundo の亜種は、より高度な機能とペイロードを備えています。これには、ルートキット機能、ローカルの脆弱性を悪用したミスリーディングアプリケーションのダウンロード機能、ユーザーから金銭をだまし取るためにファイルを暗号化する拡張機能などが含まれます。

地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。



感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。



シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)

    ブラウザ保護

    シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

    侵入防止システム (英語)

    ウイルス対策日

    • Rapid Release 初回バージョン May 09, 2006
    • Rapid Release 最新バージョン August 10, 2019 リビジョン 005
    • Daily Certified 初回バージョン May 09, 2006
    • Daily Certified 最新バージョン August 12, 2019 リビジョン 001
    • Weekly Certified 初回リリース日 May 10, 2006

    Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


    テクニカルノート

    1. 防御と回避
    1.1 ユーザーの対処と予防策
    1.2 オペレーティングシステムとソフトウェアへのパッチの適用
    2. 感染方法
    2.1 電子メール
    2.2 その他のマルウェア
    2.3 ピアツーピア型ファイル共有
    2.4 ドライブバイダウンロード
    2.5 偽のコーデック
    3. 機能
    3.1 広告の表示
    3.2 ポップアップ広告とポップアンダー広告
    3.3 JavaScript の挿入
    3.4 検索結果の改ざん
    3.5 Web ブラウザの監視
    3.6 システムとセキュリティソフトウェアの無効化
    3.7 ユーザーインターフェースの変更
    3.8 システムの変更
    3.9 ネットワーク関連機能
    4. 追加情報



    1. 防御と回避

    この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


    1.1 ユーザーの対処と予防策
    悪質な内容の電子メールメッセージは、知人から送信されたように見える場合もあります。差出人を知っているからといって、メッセージが安全であるとは限りません。

    スパムメールには、偽装されているか、無害に見える悪質なリンクが含まれる可能性があります。次のような電子メールメッセージに含まれるリンクには、特に注意が必要です。

    • 差出人が不明な場合
    • 差出人から判断して、電子メールの特徴が普段と異なる場合
    • リンク先が未知のドメインや実行可能ファイルの場合

    信憑性を確認できない場合は、電子メールに添付されたファイルを開かないようにしてください。

    ピアツーピア型のファイル共有ネットワークからのファイルのダウンロードは、感染につながる危険性があります。未知、または信頼できないソースからのファイルをダウンロードしないようにします。これには、ストリーミングビデオを観るために必要なコーデックと見せかけて、トロイの木馬の実行可能ファイルを提供する可能性がある偽の動画サイトなども含まれます。


    1.2 オペレーティングシステムとソフトウェアへのパッチの適用
    オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、ソフトウェア会社から最新のパッチや更新プログラムが配布されたときにコンピュータが受信できるようにしておきます。



    2. 感染方法
    この脅威は、さまざまな方法でコンピュータに感染することが確認されています。これらの方法について、詳細に説明します。


    2.1 電子メール
    ほとんどのスパムメールと同様に、Trojan.Vundo の拡散を目的とした攻撃では、一般に、ユーザーを誘導または強要して添付ファイルを実行させたり、有害なファイルへのリンクをクリックさせようと試みます。また、悪質な URL はブラウザの悪用につながる可能性があり、その結果、有害なファイルが実行されることになります。そのため、ファイル名や URL を安全であるように見せかけるか、ユーザーが信頼しているソースから提供されたものに似せるように細工される可能性があります。

    有害な実行可能ファイルは、害のない、または関心を引くようなファイル名で電子メールに添付されたり、.zip ファイルに圧縮されたり、実行可能ファイルとは異なる種類のファイルに見えるように特別に細工されたファイル名が付けられる可能性もあります。




    2.2 その他のマルウェア
    Trojan.Vundo は、攻撃者が侵入先のコンピュータから収益を生み出すことを可能にするため、しばしばその他のマルウェアによってダウンロードされます。W32.Ackantta.B@mmW32.Ackantta.C@mm を含む、大量メール送信ワームの Ackantta ファミリーは、HTTP を使用して侵入先のコンピュータに Trojan.Vundo をダウンロードすることが確認されていて、この脅威の感染レベル拡大の大きな原因となっています。


    2.3 ピアツーピア型ファイル共有
    Trojan.Vundo は、ピアツーピア型のファイル共有ネットワークを介して拡散します。このトロイの木馬は、この脅威の感染拡大を図る攻撃者によって共有されている可能性があり、ユーザーに有害な実行可能ファイルをダウンロードさせるために、ファイル自体にはユーザーの関心を引くような名前が付けられる可能性があります。代表的な名前には、本来は市販されている高価なソフトウェアパッケージ、キージェネレータ、「クラック」バージョンの高機能アプリケーションなどが含まれます。また、特にユーザーの関心を引くために有名人の名前が含まれた、成人向けの画像ファイルやビデオファイルを偽装したコピーもよく見られます。


    2.4 ドライブバイダウンロード
    Trojan.Vundo は、Web ブラウザやプラグインの既知の脆弱性を悪用する Web サイトによって拡散されることが確認されています。これには、市販のエクスプロイトキットが利用されることが多く、高度な専門技能を持った個人でなくてもそのような Web サイトを作成することができます。そのため、悪用される脆弱性は、悪用のしやすさに応じて頻繁に変わります。


    2.5 偽装コーデック
    ストリーミングビデオをホストする Web サイトは、このトロイの木馬のコピーの配布に利用される可能性があります。 ユーザーが、意図的に機能しないように組み込まれたビデオを見ようとすると、再生に必要なコーデックに見せかけた実行可能ファイルがダウンロードされます。検索エンジンのポイズニングは、検索エンジンを使っているユーザーが詐欺サイトを訪問する確率を高めるために利用される可能性があります。特に、ニュース性の高いトピックや最新のトピックなどが、倫理上の配慮もなく攻撃者によって選択されます。





    3. 機能

    Trojan.Vundo は、次の 3 つの主要 DLL で構成されます。
    • ファイルをダウンロードするための DLL
    • セキュリティ設定を低下させるための DLL
    • Web ブラウザを監視して広告を表示するための DLL (このトロイの木馬のペイロードなど)

    上記の各 DLL は、侵入先のコンピュータ上で個別に機能します。

    Trojan.Vundo の 1 つ目のコンポーネントは、通常、最初に投下される実行可能ファイルとして侵入先のコンピュータに届きます。このダウンローダーコンポーネントが実行されると、その他の 2 つのコンポーネント DLL を侵入先のコンピュータにダウンロードして実行します。このトロイの木馬のペイロードを含む DLL は、Web ブラウザを含むすべての実行中のプロセスに挿入されます。

    種類に応じて、ダウンローダーコンポーネントは、ミスリーディングアプリケーションや他のマルウェアのコピーなど、その他のファイルもダウンロードする可能性があります。


    3.1 広告の表示
    Trojan.Vundo の主要目的は、侵入先のコンピュータに広告を表示することです。この目的は、さまざまな方法で達成されます。
    • ポップアップ広告とポップアンダー広告の表示
    • 侵入先のコンピュータで表示された HTML ページへの JavaScript の挿入
    • 検索エンジンから返されるリンクの変更


    3.2 ポップアップ広告とポップアンダー広告
    このトロイの木馬は、主に、不正なアプリケーション、ミスリーディングアプリケーション、またはアダルトサイト用のポップアップ広告とポップアンダー広告の両方を表示します。



    このポップアップ広告をクリックすると、虚偽スキャンが実行されます。Web ブラウザは、潜在的に悪質な Web サイトにリダイレクトされることもあります。


    3.3 JavaScript の挿入
    上記で説明した主要ポップアップ広告の表示機能に加えて、Trojan.Vundo は、次の検索エンジンの検索結果ページ HTML に JavaScript を挿入します。
    • AltaVista
    • AOL Search
    • Ask
    • Bing
    • FastSearch
    • Google
    • Hotbot
    • Live
    • Lycos
    • Yahoo

    このトロイの木馬によって挿入される JavaScript は、侵入先のコンピュータに追加のポップアップ広告が表示されるようにします。


    3.4 検索結果の変更
    Trojan.Vundo は、上記の検索エンジンから返される検索結果を変更することもできます。このトロイの木馬は、検索結果ページの HTML を解析し、独自の HTML リンクをオリジナルのページに挿入します。これにより、ユーザーはアクセスした覚えのないサイトにリダイレクトされます。リダイレクトされるページには、成人向けのわいせつなサイト、ミスリーディングアプリケーションの広告サイト、虚偽のセキュリティスキャン、その他さまざまな製品やサービスの広告ページなどが含まれます。


    3.5 Web ブラウザの監視
    Trojan.Vundo は侵入先のコンピュータで Web ブラウザの動作を監視し、訪問された URL をHTTP 送信を使ってリモートロケーションに送信します。また、その他のシステム情報も送信します。これには次の情報が含まれます。
    • システム情報
    • 広告とペイパーインストール (pay-per-install) ソフトウェアのアフィリエイト ID
    • ブラウザ名



    注意: HTTP 送信データは、base64 形式でエンコードされます。


    3.6 システムとセキュリティソフトウェアの無効化
    Trojan.Vundo は、手動による駆除を阻止して侵入先のコンピュータに存続するために、特定のレジストリエントリを作成または改ざんして、コンピュータからこの脅威を駆除するために使用されるシステムツールを無効にする可能性があります。次のような改ざんが行われますが、これに限定されるわけではありません。
    • タスクマネージャ、レジストリエディタ、Microsoft System Configuration Utility を無効にする
    • Windows の自動更新を阻止する
    • セーフモードの設定を変更する
    • Windows Defender を含むウイルス対策ソフトウェアを無効にする
    • ウイルス対策ソフトウェアの更新を阻止する


    3.7 ユーザーインターフェースの変更
    このトロイの木馬は、エクスプローラの設定を変更する可能性があります。これは、ユーザーが侵入先のコンピュータと交信する方法に影響を及ぼします。たとえば、デスクトップの壁紙、スクリーンセーバー、Windows のコントロールパネルの表示設定に表示されるアイテムなどを変更する可能性があります。


    3.8 システムの変更

    作成されるファイルまたはフォルダ
    Trojan.Vundo は、次のようにランダムに名前が付けられた 3 つの DLL によって構成されます。

    [ランダムな文字列].dll

    このトロイの木馬を構成する DLL は、次のフォルダで発見されています。
    • %Windir%
    • %Windir%\addins
    • %Windir%\AppPatch
    • %Windir%\assembly
    • %Windir%\Config
    • %Windir%\Cursors
    • %Windir%\Driver Cache
    • %Windir%\Drivers
    • %Windir%\Fonts
    • %Windir%\Help
    • %Windir%\inf
    • %Windir%\java
    • %Windir%\Microsoft
    • %Windir%\Microsoft.NET
    • %Windir%\msagent
    • %Windir%\Registration
    • %Windir%\repair
    • %Windir%\security
    • %Windir%\ServicePackFiles
    • %Windir%\Speech
    • %Windir%\system
    • %Windir%\system32
    • %Windir%\Tasks
    • %Windir%\Web
    • %Windir%\Windows Update Setup Files

    削除されるファイルまたはフォルダ
    なし

    変更されるファイルまたはフォルダ
    なし

    作成されるレジストリサブキーまたはレジストリエントリ
    • HKEY_CLASSES_ROOT\CLSID\[ランダムな CLSID]\InprocServer32\"" = "[この脅威のパス]\[ランダムな文字列].dll"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\"[ランダムな CLSID]" = "[9 桁の文字列]"
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"[9 桁の文字列]" = "Rundll32.exe "[この脅威のパス]\[ランダムな文字列].dll",a."
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\"[9 桁の文字列]" = "[ランダムな CLSID]"

    注意: [9 桁の文字列] は、%SystemDrive% のシリアルナンバーから生成されます。

    削除されるレジストリサブキーまたはレジストリエントリ
    なし

    変更されるレジストリサブキーまたはレジストリエントリ
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "[この脅威のパス]\[ランダムな文字列].dll"
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"LoadAppInit_DLLs" = "4"

    注意: [9 桁の文字列] は、%SystemDrive% のシリアルナンバーから生成されます。


    3.9 ネットワーク関連操作
    この脅威は、次のネットワーク操作を実行する可能性があります。

    ダウンロード
    このトロイの木馬は、追加の有害な実行可能ファイルをダウンロードして実行する可能性があります。

    アップロード
    なし

    その他のネットワーク関連操作
    Trojan.Vundo は、侵入先のコンピュータ上の Web ブラウザの動作を監視します。URL が訪問されるたびに、このトロイの木馬は base64 形式でエンコードされた HTTP 送信を実行します。これには、次の情報も含まれます。
    • システム情報
    • 広告とペイパーインストール (pay-per-install) ソフトウェアのアフィリエイト ID
    • ブラウザ名
    • 訪問先の URL

    この情報により、この脅威は個々のユーザー向けの広告を表示できるようになります。



    4. 追加情報
    この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

    推奨する感染予防策

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.


    駆除方法

    お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

    次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



    Norton (個人向け) 製品のお客様
    お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    駆除ツール


    感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


    ビジネス (企業、法人向け) 製品のお客様
    お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    疑わしいファイルの特定と提出
    提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


    駆除ツール

    感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
    セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



    手動による駆除
    以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

    1. システムの完全スキャンの実行
    Symantec Full System Scan User Guide (英語)


    2. レジストリの設定の復元
    レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

    記述: Henry Bell and Eric Chien