発見日: January 07, 2008
更新日: July 11, 2013 8:17:37 AM
別名: Troj/Mbroot-A [Sophos], StealthMBR [McAfee], TROJ_SINOWAL.AD [Trend], StealthMBR!rootkit [McAfee]
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows

Trojan.Mebroot は、マスターブートレコード (MBR) を変更するトロイの木馬です。高度なルートキットの技法を使って、自分自身の存在を隠し、リモートの攻撃者が侵入先のコンピュータを制御できるようにバックドアを開きます。

感染
このトロイの木馬は、有名な他の複数の脅威でも利用されるさまざまな手段を使って配布されます。これには、Web ブラウザの脆弱性を悪用したドライブバイダウンロード、ビデオコーデックに見せかけたファイルのダウンロード、BitTorrent やさまざまなファイル共有ネットワークを介した有害な実行可能ファイルの配布などが含まれます。

機能
Trojan.Mebroot は、侵入先のコンピュータで検出を回避して実行するように設計されていて、人目に付かないように動作し、長期間存続できるように、さまざまな高度なルートキットの技法を使います。このトロイの木馬は MBR を変更して、Windows が起動する前に自分自身が実行されるようにします。これは、セキュリティ機能をバイパスすること、および、オペレーティングシステムの中核にフックを作成することが可能であることを意味します。分析されたとき、Trojan.Mebroot は、それまでに出現したものの中で最も高度なマルウェアの 1 つであり、そのコードには、非常に優れた、経験豊富なプロフェッショナルなマルウェア作成者によるものと見られる特徴があると指摘されました。次のタイムラインは、この脅威の進化を示しています。





このトロイの木馬の機能には、ディスクの読み込み/書き込み操作の傍受、ファイアウォールをバイパスするための下位レベルのネットワークドライバのフック、独自の暗号化プロトコルを使った Command and Control (C&C) サーバーとの通信、バックドアの開放などがあります。このバックドアにより、C&C サーバーは侵入先のコンピュータにファイルをダウンロードすることが可能になります。その後、それらのファイルは実行中のプロセス、またはオペレーティングシステム自体に挿入されます。

Trojan.Mebroot の多大な開発努力の原動力は、侵入先のコンピュータから情報を盗み取る悪質なコードのインストール、またはペイパーインストール 、スパム、その他の攻撃、つまりは、不正な金儲けに利用できる感染コンピュータのネットワークの作成であると考えられます。Trojan.Mebroot は、キーストロークを記録して口座情報を盗み取るトロイの木馬、Trojan.Anserin にも関連しています。これは、この脅威が金銭目的であることの裏付けとなります。

地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。


シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)


ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

侵入防止システム (英語)
HTTP Trojan Mebroot Request

ウイルス対策日

  • Rapid Release 初回バージョン January 07, 2008 リビジョン 024
  • Rapid Release 最新バージョン May 07, 2018 リビジョン 001
  • Daily Certified 初回バージョン January 07, 2008 リビジョン 040
  • Daily Certified 最新バージョン May 07, 2018 リビジョン 016
  • Weekly Certified 初回リリース日 January 09, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Henry Bell

発見日: January 07, 2008
更新日: July 11, 2013 8:17:37 AM
別名: Troj/Mbroot-A [Sophos], StealthMBR [McAfee], TROJ_SINOWAL.AD [Trend], StealthMBR!rootkit [McAfee]
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2
オペレーティングシステムとソフトウェアへのパッチの適用
2. 感染方法
2.1 ドライブバイダウンロード
2.2 偽のコーデックまたはプラグイン
2.3 ファイル共有ネットワーク
3. 機能
3.1 インストール
3.2 MBR の変更
3.3 ブートシーケンス
3.4 ルートキット機能
3.5 ネットワーク関連コードのフック
3.6 バックドア
4. 追加情報




1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
ファイル共有ネットワークからのファイルの実行は、感染につながる危険性があります。未知、または信頼できないソースからのファイルをダウンロードしないようにします。たとえば、偽の動画サイトなどでは、ストリーミングビデオの再生に必要なコーデックに見せかけて、トロイの木馬の実行可能ファイルを提供する可能性があります。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、ソフトウェアベンダーから最新のパッチや更新プログラムが配布されたときにコンピュータが受信できるようにしておきます。



2. 感染方法
この脅威は、さまざまな方法でコンピュータに感染することが確認されています。これらの方法について、詳細に説明します。


2.1 ドライブバイダウンロード
Trojan.Mebroot は、主に、Web ブラウザやプラグインの既知の脆弱性を悪用する Web サイトによって拡散されます。これには、闇市場で入手可能な Neosploit や Fragus (英語) などのキットがよく利用されます。つまり、拡散に悪用される脆弱性は、上記のような方法で悪用しやすいものが選ばれ、しかも頻繁に変わることを意味します。通常、ユーザーは脆弱性が悪用されていることに気が付きません。トロイの木馬が人目に付かないように動作するために極めて重要なことです。


2.2 偽のコーデックまたはプラグイン
Trojan.Mebroot のコピーの配布には、ストリーミングビデオをホストする Web サイトが使用される可能性があります。意図的に機能しないように組み込まれた「ビデオ」をユーザーが見ようとすると、再生に必要なコーデックまたはプラグインに見せかけた実行可能ファイルがダウンロードされます。



検索エンジンのポイズニングは、ユーザーが詐欺サイトを訪問する確率を高めるために利用される可能性があります。


2.9 ファイル共有ネットワーク
Trojan.Mebroot は、ファイル共有ネットワークを介して配布されることが確認されています。このトロイの木馬は、この脅威の感染拡大を図る攻撃者によって共有されている可能性があり、ユーザーに有害な実行可能ファイルをダウンロードさせるために、ファイル自体にはユーザーの関心を引くような名前が付けられる可能性があります。代表的な名前には、本来は市販されている高価なソフトウェアパッケージ、キージェネレータ、「クラック」バージョンの高機能アプリケーションなどが含まれます。また、特にユーザーの関心を引くために、有名人の名前が含まれた成人向けの画像ファイルやビデオファイルを偽装したコピーもよく見られます。



3. 機能
Trojan.Mebroot は、ユーザーに気付かれないように MBR を変更し、バックドアを開きます。このバックドアは、リモートの攻撃者が口座関連情報を盗むマルウェアをインストールするためのチャネルとなることが確認されています。侵入先のコンピュータでこの脅威の存在を隠すために、高度なルートキット機能が使用されます。次のセクションでは、Trojan.Mebroot の機能と特徴を詳細に説明します。


3.1 インストール
前述したように、ドライブバイダウンロードやその他のさまざまな方法で、最初の Trojan.Mebroot のインストーラが配布されます。このインストーラは、.exe ファイルと .sys ファイルの機能を隠すために使用される、特別に作られた多形態パッカーを使用してパッキングされた実行可能ファイルです。

このインストーラは、MBR を変更して、侵入先のコンピュータが起動されるたびにこのルートキットとバックドアのコードが実行されるようにします。このトロイの木馬の初期のバージョンでは、管理者権限で実行可能ファイルを実行すると直接 MBR に書き込みができることを利用しましたが、その後 Windows のセキュリティアップデートによってこの手段が利用できなくなりました。

このトロイの木馬の後のバージョンでは、より高度な技法を使って MBR を変更します。ドライバコンポーネントを使うことにより、ディスク上で RAW 操作を実行できるようになりました。このインストール方法には、多くの侵入防止システムとアクティブ保護システムをバイパスできるという利点があります。

インストーラは、次の操作を実行します。

  1. %Temp%\1.tmp を投下し、実行する (このプロセスは同期を待ちます)
  2. %Temp%\2.tmp として自分自身のコピーである DLL を投下する
  3. ディスク上で user32.dll をチェックし、SetWinEventHook() がフックされていないことを確認する
  4. %Temp%\2.tmp を explorer.exe に挿入して、オペレーティングシステムへの変更をマスクする
  5. ラッパードライバ %Temp%\4.tmp を投下する (カーネルモードのサービスとして登録されます)
  6. ラッパードライバと %Temp%\1.tmp を同期する
  7. 一時ファイルとサービスを消去する
これで、このトロイの木馬は Windows のセキュリティ機能をバイパスして、侵入先のコンピュータで RAW ディスクの読み込みと書き込みを実行できるようになりました。


3.2 MBR の変更
このトロイの木馬は、Windows が起動される前に自分自身が実行されるように、侵入先のコンピュータに接続された最初の 16 のドライブの MBR を変更します。このトロイの木馬は各ドライブで次の一連の操作を実行します。

  1. ドライブがブート可能で感染済みでないことをチェックする
  2. パーティションテーブルを読み込み、物理ドライブの最後 (たとえば、論理ドライブの終わりの後) に自分自身をコピーする
  3. 先頭のパーティションの前の 3 セクタを自分自身のデータで上書きする (代表例)
    • 60 - カーネルパッチャー
    • 61 - ペイロードパッチャー
    • 62 - 感染前の MBR
  4. 既存の MBR を自分自身のコードで上書きする

上記の変更の後、侵入先のコンピュータが起動されるたびにこのトロイの木馬が実行されるようになります。


3.3 ブートシーケンス
このトロイの木馬はブート時に次の操作を実行して、Windows が起動される前に自分自身が実行されるようにします。
  1. 自分自身をメモリにロードする
  2. ディスクの読み取りと書き込みに使用される割り込みをフックする
  3. 古い MBR に制御を渡す
これで、Windows はこのトロイの木馬が存在しないかのように起動します。ただし、このトロイの木馬はすべてのディスクの読み込みと書き込みを傍受することができます。Windows がオペレーティングシステムカーネル (ntoskernel.exe) をロードしようと試みると、このトロイの木馬は自分自身のカーネルパッチャー (通常、セクタ 60 からロードされる) を使用して、ファイルがロードされたときにそのファイルを変更します。続いて、変更されたカーネルは、このトロイの木馬のペイロードパッチャー (通常、セクタ 61 からロードされる) を呼び出します。これにより、ディスクの最後からメインのルートキットドライバがロードされて実行されます。これで、このトロイの木馬はオペレーティングシステム内に存在することになり、コンピュータは Trojan.Mebroot によって完全に侵害されました。


3.4 ルートキット機能
Trojan.Mebroot のルートキットコンポーネントは、できるだけ長い期間侵入先のコンピュータに存続するというこの脅威の目的にとって非常に重要です。この脅威の異なる亜種で、2 つのバージョンのルートキット機能が観測されています。1 つ目のバージョンのルートキットコードは、disk.sys ドライバをフックしてドライバレベルでディスクの読み込みと書き込みを傍受し、後出の亜種は複数のドライバで複数のフックを使用するという手段を採用し、さらに監視スレッドまで追加しました。この監視スレッドは、ウイルス対策ソフトウェアや他の駆除ツールによる精査やこの脅威の駆除の試みを監視することを目的としています。監視スレッドによって Trojan.Mebroot によるシステムの変更が削除または修復されたことがわかると、変更を再度有効にしてこの脅威がコンピュータ上に存続できるようにします。

自分自身の存在を隠すために、このトロイの木馬はディスクの読み込みと書き込み要求を傍受します。このトロイの木馬は、読み込み要求用の偽のデータを、MBR とこの脅威のコードが含まれるディスクのセクタ (通常はセクタ 60、61、62、および物理ディスクの最後の後のセクタ) に返します。MBR から読み込む場合、このトロイの木馬は事前に保存しておいたオリジナルの感染前のデータを返します。このトロイの木馬のコードが存在するセクタから読み込む場合、この脅威はダミーの空白のセクタを返します。

このトロイの木馬は、自分自身のコードが格納されているディスクのセクタへの書き込み要求は実行しませんが、偽って書き込みが完了したように見せかけます。

ディスクのそれ以外の領域の読み込みと書き込み操作では、このトロイの木馬は要求の処理が許可されたことを示す「マジックナンバー」を使い、操作はこのトロイの木馬が存在しないかのように完了します。このようにして、Trojan.Mebroot は侵入先のコンピュータで自分自身の存在を隠すことができます。


3.5 ネットワーク関連コードのフック
Trojan.Mebroot は、Windows のネットワークサブシステムの下位レベルのコンポーネントを乗っ取ることにより、ホストベースのファイアウォールをバイパスします。まず、このトロイの木馬は PSched または TCP/IP プロトコルのいずれかを使用するように設定されたネットワークインターフェースを探します。Network Driver Interface Specification (NDIS) レイヤーの次の関数をフックすることによりデータの送受信を行います。
  • SendPacketsHandler()
  • SendCompleteHandler()
  • ReceiveHandler()
  • ReceivePacketHandler()
このように、このトロイの木馬はバックドアを開くために使用する独自のプライベートネットワークスタックを作成します。


3.6 バックドア
Trojan.Mebroot は、特別に暗号化されたプロトコルを使って Command and Control (C&C) サーバーと通信するバックドアを開きます。このバックドアにより、侵入先のコンピュータに有害なファイルがダウンロードされて実行されます。

まず、このトロイの木馬は、自分の実行可能ファイルにホスト名がハードコードされている C&C サーバーに接続しようと試みます。これらのホスト名を有効な IP アドレスに解決できない場合は、このトロイは、現在の日付に基づいて選択された複数のハードコードされた文字列を使って疑似ランダムホスト名を生成します。その後、HTTP を使って接続しようと試みます。Trojan.Mebroot の初期の亜種は、オペレーティングシステムの API を使って現在の日付を取得しましたが、最近の亜種は HTTP GET 要求を複数の正規の Web サイトに送信して、応答の HTTP ヘッダーから日付を取得します。

C&C サーバーに接続できる場合、Trojan.Mebroot は最初に 1 つ目の暗号化されたパケットを送信します。これには、万能のサインオンコマンド「BIP」と、この脅威の特徴を表す他のいくつかの文字列が含まれます。これらの文字列は、次に示す復号されたパケットのサンプルの画像の右上に見られます。




また、復号キーも上記の画像で確認することができます。これは、常にパケットの先頭の DWORD です。C&C サーバーからの応答はこのキーで始まる必要があり、そうでない場合はパケットは破棄されます。また、パケットにはセカンダリキーも存在します。これは、C&C サーバーとダウンロードされるペイロードファイル間の暗号化された通信チャネルを提供するために使用されます。

C&C サーバーは、INST (install の略) コマンドを含むパケットを送信することにより、侵入先のコンピュータにファイルをインストールします。C&C サーバーは、最初に 2 つの暗号化された DLL を送信します。これには、慎重に選択された特定のプロセスへの挿入方法を記述したメタデータが付加されています。

Trojan.Mebroot コードの分析によると、バックドアによってリモートの攻撃者は侵入先のコンピュータで次の操作を実行することができます。
  • ユーザーモードの DLL、またはこのトロイの更新ファイルをインストールする
  • ユーザーモードの DLL、またはこのトロイの木馬の更新ファイルをアンインストールする
  • 信頼されたプロセスに新しいプロセスを開始させる
  • カーネルモードでドライバを実行する

Trojan.Mebroot のバックドアコンポーネントは、大変強力です。C&C サーバーによって侵入先のコンピュータにロードされるコードはディスクには保存されません。これは、メモリをスキャンするウイルス対策スキャナだけが、従来のシグネチャを使う方法により、ダウンロードされたペイロードを検出できることを意味します。

ダウンロードされるペイロードは、キーロガーと情報を盗み取るトロイの木馬であることが観測されています。これらは、最高レベルの権限で実行され、機密情報および損害を与える可能性がある情報を盗み取り、セキュリティソフトウェアをバイパスできるバックチャネルを使ってその情報を攻撃者に送リ返すことができます。上記のような理由とその高度な技術から、Trojan.Mebroot が発見されて分析された時点で、Trojan.Mebroot はそれまでに出現したトロイの木馬の中で、最も人目に付かないように動作し、最も巧妙に作成されたトロイの木馬の 1 つであると考えられました。



4. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Henry Bell

発見日: January 07, 2008
更新日: July 11, 2013 8:17:37 AM
別名: Troj/Mbroot-A [Sophos], StealthMBR [McAfee], TROJ_SINOWAL.AD [Trend], StealthMBR!rootkit [McAfee]
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Henry Bell