発見日: September 18, 2008
更新日: November 19, 2013 2:16:02 AM
別名: Backdoor:W32/TDSS [F-Secure], BKDR_TDSS [Trend], Win32/Alureon [Microsoft], Trojan-Dropper.Win32.TDSS [Kaspersky], Packed.Win32.TDSS [Kaspersky],
種別: Trojan
影響を受けるシステム: Windows

Backdoor.Tidserv は、高度なルートキットを使用して自分自身を隠すトロイの木馬です。また、広告の表示、検索結果のリダイレクト、侵入先のコンピュータのバックドアの開放などを行います。

Backdoor.Tidserv ファミリータイトルに加えて、このトロイの木馬は、AlureonTDSSTDL (TDL-3TDL-4 などの複数バージョン) としても知られています。

感染
このトロイの木馬は、有名な他の脅威でも利用されるさまざまな手段を使って配布されます。 たとえば、読者の関心を引くようなセンセーショナルな動画への URL を含む偽のブログや、同様の手口を使った偽のブログやフォーラムのコメントなどを介して拡散することが確認されています。また、このトロイの木馬は、偽のトレントファイルや P2P ソフトのダウンロード用サイト、クラックやウェアーズの Web サイト、または、さまざまな脆弱性を悪用して「ドライブバイダウンロード」を発生させる、ハッキングされた正規の Web サイトや偽の Web サイトで見つかります。


機能
このトロイの木馬に見られる機能は、収益を上げることを主目的として設計されていることを示します。 Web を利用した収益活動では、通常、Web トラフィックの生成、ペイパーインストール (pay-per-install) ソフトウェアのインストール、疑わしいサービスや Web サイトのセールスリードの作成などを行います。この脅威は、一連のテクニックを使ってそのような収益活動にユーザーを参加させ、目的を達成しようと試みます。

たとえば、このトロイの木馬は、Web の検索結果を操作して、このトロイの木馬の作成者が運営するアフィリエイトサイトにユーザーをリダイレクトします。また、ペイパーインストール報酬モデルに関連していると思われる、ミスリーディングアプリケーションをホストするサイトにユーザーをリダイレクトする可能性もあります。さらに、このトロイの木馬は、さまざまな製品やサービス、その他のミスリーディングアプリケーションのポップアップ広告を定期的に表示します。ソフトウェアや自分自身の更新、または自分の設定ファイルの更新を入手するためにリモートサーバーに接続することもあり、それによって、自分を多用途で拡張性のある脅威にしようとします。

上記のテクニックをすべて使っても、ユーザーから適切な反応が得られなかった場合、そのトロイの木馬は他の悪質なソフトウェアとミスリーディングアプリケーションを直接ダウンロードして、感染によって何らかの収益が上げられるようにします。

このトロイの木馬は、高度なステルス機能を持ち、他の悪質なコード (専門家によって記述されていないコード) にはほとんど見られないテクニックを備えています。このトロイの木馬は、自分自身のコードでシステムドライバファイルに感染します。感染したドライバファイル内のコードは、ルートキットとして、また、メインルーチンをコンピュータにロードさせるローダーとしての役割を果たします。メインルーチンは暗号化され、ハードディスクの最終セクタ付近に隠されます。このトロイの木馬のルートキット機能は、このトロイの木馬を効果的に隠す手段を提供します。感染したドライバファイルまたはディスクセクタに関するオペレーティングシステムからのクエリーに対しては、未感染という結果が返されます。他の従来型の悪質なコードとは異なり、それ以外に兆候や指標となるものは見られません。

また最近の亜種は、コンピュータの マスターブートレコード (MBR) を操作し 、ブートアッププロセス中の早い段階で脅威がロードされるようにし、OS のロードを妨げることができます。



「ブルースクリーン」問題
このレポート (英語) は、2010 年 2 月 9 日にマイクロソフト社から更新プログラムがリリースされた後多発したブルースクリーン問題 (BSOD) について報告しています。その後の調査により、この問題の多くは、システムファイルに更新プログラムを適用してフックする際に、マイクロソフト社の更新プログラムがこのトロイの木馬の一連の処理を誤って中断させることにより発生したことが判明しました。具体的には、システムファイルの API が呼び出されたとき、更新されたファイルから返されるアドレスは、トロイの木馬が予期していた場所とは異なるため、無効なアドレスとして処理されてエラーが発生しました。

Tidserv and BSoD (英語) によると、Tidserv を操る攻撃者は、MS10-015 で導入されたカーネルモジュールの API オフセットの変更による再起動ループ問題を避けるために、ルートキットにパッチを適用したことが確認されています。リサーチテストによると、実際に感染ドライバはカーネル API オフセットの変更に対処できることがわかりました。 これには、現在使用中のアドレスを取得するために必要な API 名のハッシュ関数、ウイルスや他の脅威で長い間使用されているテクニックを使いますが、それを使用するためにボットネットワークの大部分を無効にする必要がありました。プログラム内のバグの数は、複雑さに比例するか、ソースコードのサイズであることが統計的に明らかになっています。カーネルモードでの些細な過失が、ブルースクリーン問題の原因となることが多いことは、周知の事実です。 これは、高度なルートキットの終焉の兆しとなる可能性があります。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。









感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。






シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ



ウイルス対策 (ヒューリスティック/汎用)


    ブラウザ保護
    シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


    侵入防止システム (英語)

    ウイルス対策日

    • Rapid Release 初回バージョン September 18, 2008 リビジョン 007
    • Rapid Release 最新バージョン April 23, 2018 リビジョン 040
    • Daily Certified 初回バージョン September 18, 2008 リビジョン 008
    • Daily Certified 最新バージョン April 23, 2018 リビジョン 024
    • Weekly Certified 初回リリース日 September 24, 2008

    Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

    記述: Hon Lau

    発見日: September 18, 2008
    更新日: November 19, 2013 2:16:02 AM
    別名: Backdoor:W32/TDSS [F-Secure], BKDR_TDSS [Trend], Win32/Alureon [Microsoft], Trojan-Dropper.Win32.TDSS [Kaspersky], Packed.Win32.TDSS [Kaspersky],
    種別: Trojan
    影響を受けるシステム: Windows

    1. 防御と回避
    1.1 ユーザーの対処と予防策
    1.2 オペレーティングシステムとソフトウェアへのパッチの適用

    1.3 特定アドレスへのアクセスのブロック

    2. 感染方法
    2.1 フォーラムとブログ
    2.2 ハッキングを受ける Web サイト
    2.3 ファイル共有、クラック、ウェアーズ
    2.4 アフィリエイト
    3. 機能
    3.1. システムの変更
    3.2. ネットワーク関連操作
    3.3. ルートキット機能
    4. 追加情報




    1. 防御と回避
    この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


    1.1 ユーザーの対処と予防策
    この脅威は、Web 上の特定のフォーラムやブログに投稿されたリンクをクリックすることにより拡散する可能性があります。マルウェア作成者は、ソーシャルエンジニアリング手法をよく利用します。一般に、わいせつな内容や、センセーショナルなニュースや記述を使ってユーザーの関心を引き、ユーザーに偽装リンクをクリックさせます。

    コンテンツ管理や品質チェックが適切に行われていないと思われるブログやフォーラムなどの Web サイトでは、リンクをクリックする際に警戒することで、感染のリスクを軽減することができます。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。また、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。

    検索エンジンで検索を実行するときは、検索結果を慎重に扱い、リンクをクリックする前に再確認します。ポップアップ広告が表示される場合は、その広告や広告内のリンクをクリックしないようにします。

    著作権で保護された音楽、ビデオ、またはクラック版のソフトウェアなどのコンテンツを無料でダウンロードできるサイトやサービスには警戒が必要です。それらは有害なソフトウェアと一緒にダウンロードされるしかけになっていることが多く、この脅威の拡散に用いられる既知の手法です。無差別モードのファイル共有も、侵害のリスクを高めます。

    Web の閲覧中にポップアップやその他の手段で未知のセキュリティ製品を勧められた場合は、細心の注意を払う必要があります。疑わしい場合は、そのソフトウェアをダウンロードしたりインストールしないでください。一般に、知名度の高いブランドや信頼のおけるブランドのサイトで購入したり、地元の販売店でも購入できるような製品を購入するほうが安全といえます。


    1.2 オペレーティングシステムとソフトウェアへのパッチの適用
    オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策とファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。


    1.3 特定アドレスへのアクセスのブロック
    ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。

    • 1il1il1il.com
    • 69b69b6b96b.com
    • b00882244.cn
    • b11335599.cn
    • countri1l.com
    • d45648675.cn
    • d92378523.cn
    • gnarenyawr.com
    • ikaturi11.com
    • jukdoout0.com
    • lkaturl71.com
    • m3131313.cn
    • ranmjyuke.com
    • rinderwayr.com
    • stableclick.com
    • stableclick2.com
    • swltcho0.com
    • updatemic0.com
    • updatemic1.cn
    • updatepanel.us

    注意: この脅威によって使用されるドメインは、頻繁に変わります。



    2. 感染方法
    この脅威は、さまざまな方法でコンピュータに感染することが確認されています。それらの方法について、詳細に説明します。


    2.1 フォーラムとブログ
    Web 2.0 タイプのサービスにより、Web へのユーザーの参加や対話が可能になりました。ブログやソーシャルネットワークサイトなどのサービスを利用して、個人ユーザーやビジネスユーザーが従来の方法で行うよりもはるかに多くの観客 (顧客) に、より簡単に接することができるようになりました。観客 (顧客) の拡大が有益であることは、マルウェア作成者にとっても同じです。

    典型的な攻撃シナリオでは、攻撃者は匿名でコメントできるアクセスの多いブログやフォーラムを選別します。次に、センセーショナルな内容のコメントを追加します。通常は、著名人の死去や大災害など、世間を騒がせるイベントに関する動画をユーザーに届けるというような内容です。そのようなイベントの 1 つが、2009 年 10 月の Google Wave サービスのリリースでした。攻撃者はこのイベントを利用して、疑いを持たない多くのユーザーに Backdoor.Tidserv を配信しました。

    ある攻撃は、さまざまなディスカッションフォーラムに偽の投稿を送信することにより実行されました。次の例では、ソーシャルエンジニアリングの手法が利用されました。攻撃者は最初にフォーラムの長年のユーザーであることを説明し、VirusTotal のクリーンな結果を参照させることでリンクに害がないと安心させます。




    2.2 ハッキングを受ける Web サイト
    正規の Web サイトや知名度の高い Web サイトはハッキングの標的となり、隠し IFRAME タグなどの悪質なコードをコンテンツに埋め込まれることがあります。これは、サーバーが不適切に設定または保護されていることが原因で発生する可能性があります。そのようなサーバーは攻撃を受けやすく、攻撃者がコンテンツにアクセスすることも可能になります。

    Web サーバーとデータベースサーバーを利用したハッキングで有名なテクニックに、SQL インジェクション攻撃と呼ばれる手法があります。データベースと連動する Web フォームを使用するサイトは、システムのどこか一部分でも適切に保護されていないと、これらの攻撃を受けやすくなり被害を受けることになります。サーバーへの攻撃に成功すると、攻撃者は Web ページの先頭か末尾にコードを追加してその Web ページを操作する可能性があり、サーバーがデータベースサーバーであれば、データベースのコンテンツに攻撃者が選択した URL へのリンクを含むように操作される可能性があります。


    2.3 ファイル共有、クラック、ウェアーズ
    Web 上では大量の海賊版コンテンツが入手可能です。これは、あるコンテンツの購入を検討しているときに、信頼できるソースからそれを購入する代わりに、最新の音楽やビデオを探している人が多いことを意味します。これは、どのようなマルウェア供給者に対しても非常に実質的で有益な販売チャネルを提供します。違法コンテンツの供給者は、公式に特定、確認、追跡されていないため、マルウェア作成者が新しいマルウェアファイルを利用可能にするのは非常に簡単で、最新で人気のある検索用語に関連するファイル名を付けて、ダウンロードされるのを待つだけです。


    2.4 アフィリエイト
    インターネット上で利用可能な、トラフィックを生成することで報酬が約束されるシステムがあります。ここで説明するのは、ソフトウェアがインストールされたコンピュータの数に応じて一定の金額が支払われるペイパーインストール (pay-per-install) 報酬モデルです。多くのアフィリエイトは合法ですが、メンバーの市場占有率の拡大方法や、目的を達成するために使われる不正な手段などを見て見ぬふりをするシステムもあります。

    この脅威の配布は、アフィリエイトシステムによって大いに活性化され、助長されていると考えられます。これまでに、ペイパーインストール方式で Backdoor.Tidserv を配布しているアフィリエイトシステムが少なくとも 1 件以上あることが確認されています。



    アフィリエイトシステムでは、一般に、各インストールに対して非常に少額の報酬が支払われます。1 インストールにつき 0.15 米ドルというケースもあります。このビジネスで高い収益を上げるには、ソフトウェアを強引に配布する手腕が必要です。大多数のノードで構成されるボットネットワークの所有者にとっては、利益を上げる絶好の機会となる可能性もあります。200,000 ノードを持つ典型的なボットネットを例にとると、すべてのボットがソフトウェアをダウンロードしてインストールするように構成された場合、ボットネットの管理者は、およそ 30,000 米ドルの収入を得ることができます。

    これらのアフィリエイトサービスに申し込むことで、そのような高収入を得られる可能性があるため、喜んでそのようなサービスに申し込み、あらゆる手段(不法なものも含む)を使ってできるだけ多くのコンピュータにソフトウェアをインストールさせようとする積極的な人々が世界中に多数存在しています。



    3. 機能
    Backdoor.Tidserv は収益を上げることを主な目的とし、できるだけ長期間検出されないまま侵入先のコンピュータに留まろうとします。 これには、自分自身の痕跡とその動作を隠すルートキットを含む高度なステルステクニックが使用されます。

    コンピュータへのインストールに成功すると、攻撃の背後にある収益拡大の活動を実行することが主要目的となります。そのためこのペイロードは、収益を上げるための Web サイトにユーザーを誘導し、必要のないソフトウェアをダウンロードさせてインストールさせるための活動を実行します。


    3.1 システムの変更
    このトロイの木馬に侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。この脅威は、ルートキットとその他の高度なステルステクニックを使って自分自身とその副次的な影響を隠すことに注意してください。インストールと実行が成功すると、侵入先のコンピュータに変更が加えられたとしても、専用ツールを使わなければ確認できません。


    作成されるファイル
    次のファイルが侵入先のコンピュータ上で確認される可能性があります。
    • %System%\spool\prtprocs\[一時ファイル名].tmp (最初の実行可能ファイル)
    • %System%\drivers\TDSServ.sys
    • %System%\TDSS[ランダムな値].log
    • %System%\TDSS[ランダムな値].dat
    • %System%\TDSS[ランダムな値].dll
    • %System%\drivers\H8SRTd.sys

    削除されるファイル
    次のファイルが侵入先のコンピュータから削除される可能性があります。
    %System%\spool\prtprocs\[一時ファイル名].tmp (最初の実行可能ファイル)


    変更されるファイル
    次のファイルが侵入先のコンピュータで変更される可能性があります。
    • atapi.sys (ファイル感染)
    • advapi32.dll (ファイル感染)
    • iastor.sys (ファイル感染)
    • idechndr.sys (ファイル感染)
    • ndis.sys (ファイル感染)
    • nvata.sys (ファイル感染)
    • vmscsi.sys (ファイル感染)

    システムドライバと下位レベルのシステムファイルの感染により、オペレーティングシステムが不安定になる可能性があります。Backdoor.Tidserv に感染した特定のコンピュータで、2010 年 2 月 9 日にマイクロソフト社からリリースされた更新プログラムを適用した後、ブルースクリーン (BSOD) エラーが発生する可能性があることが確認されています。





    インストール
    インストールの実行中に、この脅威は spoolsv.exe (印刷スプーラー) にこの脅威のコードをロードさせます。メモリにロードされるコードには、次の 1 つ以上の論理ファイルが含まれる可能性があります。
    • tdlwsp.dll (検索クエリーをフックする)
    • tdlcmd.dll (主なバックドア機能)
    • config.ini (設定の詳細)

    上記ファイルの機能に関する追加情報を次に示します。


    tdlcmd.dll
    このファイルには、次の操作を実行するためのコードが含まれます。
    • ファイルをダウンロード、復号、実行する
    • 設定ファイルを更新する

    tdlwsp.dll
    このファイルには、次の操作を実行するためのコードが含まれます (最新の亜種では、tdlwsp.dll の機能は tdlcmd.dll に組み込まれています)。
    • ネットワークトラフィックを調べることを可能にするために Winsock ルーチンをフックする
    • 検索エンジンの文字列を記録してリモートコンピュータに送信する
    • HTTP 応答を挿入または作成して、ブラウジングセッション中に Web サーバーから返された Web コンテンツを変更または置き換える

    config.ini
    ボットの識別子、バージョン情報、その他のパラメータの詳細が含まれる設定ファイルです。

    サンプルの config.ini ファイルを次に示します。

    [main]
    quote=Tomorrow will be the most beautiful day of Raymond K. Hessel's life
    version=3.241
    botid=xxxxx
    affid=20273
    subid=0
    installdate=7.2.2010 16:8:33
    builddate=7.2.2010 15:1:5
    [injector]
    *=tdlcmd.dll
    [tdlcmd]
    servers=https://d45648675.cn/;https://d92378523.cn/;https://91.212.226.62/
    wspservers=http://b11335599.cn/;http://b00882244.cn/
    popupservers=http://m3131313.cn/
    clkservers=http://clkmfd001.ws/
    version=3.64
    delay=7200
    [tasks]
    tdlcmd.dll=https://91.212.226.64/pOxhFds1itxq

    この脅威のコードがインストールされると、コードは実行済みのオリジナルの実行可能ファイルを削除します。これにより、ファイルシステム上の明らかな痕跡が削除されます。次に、いずれかの下位レベルのドライバ (atapi.sys) に感染し、コンピュータが起動されたときにこの脅威がロードされるようにします。

    続いて、ハードディスクの最終セクタに RC4 で暗号化されたファイルシステムを作成し (使用されるキーは tdl)、メモリから論理ファイル (tdlwsp.dll、tdlcmd.dll、config.ini、感染したドライバファイルのオリジナル) を新しく作成されたファイルシステムに保存します。上記の操作が完了すると、このコンピュータのファイルシステムを調べたとき、感染したドライバファイルのサイズの変化を除いては、この脅威の痕跡は見つかりません。

    コンピュータを再起動した後、感染したドライバファイル (atapi.sys) はハードディスクの最終セクタからこの脅威をロードします。tdlcmd.dll のコードをすべてのプロセス、または config.ini ファイルで定義された特定のプロセスに挿入するだけでなく、ルートキットが機能できるようにフックを作成します。


    マスターブートレコード (MBR) の操作
    Backdoor.Tidserv.L (2010 年 8 月以降) や、Backdoor.Tidserv.M (2011 年 1 月以降) といった最近の Tidserv の亜種は、別の高度な脅威 Trojan.Mebroot によって開発された技術を採用しました。この技術は、既存の MBR を別のコピーと置き換え 、ブートアッププロセス中にこの脅威が最初にロードされるようにします。この脅威によって使用される元の MBR とコンポーネントは、OS が知らないハードディスクのセクタへコピーされ、これは通常メインのパーティションの終わりにあるスラックスペースにあります。



    OS よりも先に脅威がロードされるため、MBR 技術によって脅威がコンピュータを完全に支配することができるようになります。早い段階でロードすることでブートアッププロセスを操作してセキュリティー対策をバイパスし、OS が起動されるたびに脅威が実行されるようにします。



    作成されるレジストリサブキーとレジストリエントリ
    • HKEY_CURRENT_USER\Software\Mozilla\affid=
    • HKEY_CURRENT_USER\Software\Mozilla\subid=
    • HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT\injectors
    • HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT
    • HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSServ
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSServ.sys
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSServ.sys

    削除されるレジストリサブキーとレジストリエントリ
    レジストリサブキーとレジストリエントリは削除されません。


    変更されるレジストリサブキーとレジストリエントリ (最終値)
    レジストリサブキーとレジストリエントリは変更されません。


    3.2 ネットワーク関連操作
    この脅威は Command and Control (C&C) サーバーによってリモートで制御される可能性があります。特に、他の悪質な脅威に関連するさまざまなファイルをダウンロードしてインストールするように指示される可能性があります。

    この脅威は、次の操作を実行する可能性があります。

    ダウンロード
    この脅威によって、次のダウンロード関連操作が実行される可能性があります。
    • ファイルをダウンロード、復号、実行する
    • 新しい設定ファイルをダウンロードする

    この脅威が次のドメインに接続したことが確認されています。
    • 1il1il1il.com
    • 69b69b6b96b.com
    • b00882244.cn
    • b11335599.cn
    • countri1l.com
    • d45648675.cn
    • d92378523.cn
    • gnarenyawr.com
    • ikaturi11.com
    • jukdoout0.com
    • lkaturl71.com
    • m3131313.cn
    • ranmjyuke.com
    • rinderwayr.com
    • stableclick.com
    • stableclick2.com
    • swltcho0.com
    • updatemic0.com
    • updatemic1.cn
    • updatepanel.us

    この脅威は、その他のマルウェアの脅威をコンピュータにダウンロードする可能性があります。ダウンロードされたファイルは、ファイル名に次のプレフィックスを使う可能性があります。
    • UAC
    • EQSUL
    • Gaopdx
    • kbwik
    • rotscx
    • kungs
    • vsf
    • gasfky

    アップロード
    ユーザーが検索エンジンのクエリーで使った文字列が収集され、リモートコンピュータに送信されます。これまでに次のドメインが確認されていますが、設定ファイルが定期的に更新されるため、変更される可能性があります。
    • d45648675.cn
    • d92378523.cn
    • b11335599.cn
    • b00882244.cn
    • m3131313.cn
    • updatepanel.us
    • stableclick.com
    • stableclick2.com
    • updatemic0.com
    • updatemic1.cn

    その他のネットワーク関連操作
    この脅威は、ユーザーのブラウザ操作を常時監視します。次のようなポピュラーな検索エンジンの文字列を含む要求 URL を監視します。
    • google.com
    • yahoo.com
    • bing.com
    • live.com
    • ask.com
    • aol.com
    • google-analytics.com
    • yimg.com

    このような URL を特定すると、URL から「q=」や「query=」などのパラメータを抽出しようと試みます。また、HTTP 要求をブロックまたはリダイレクトします。

    この脅威は、URL を送信して C&C サーバーをクエリーする可能性があります。C&C サーバーは、この脅威に対して、応答に JavaScript を挿入してブラウザを別のページにリダイレクトしたり、Web ブラウザの「進む/戻る」ステップ、または別のページへの HTTP 302 リダイレクトを初期化するなどのさまざまな操作を実行するように指示する可能性があります。

    また、送信された要求に対する受信応答を解析し、禁止された URL をチェックする可能性があります。応答に偽のコンテンツを挿入して、禁止されたコンテンツを置き換えます。また、応答をチェックして、ポップアップ広告やミスリーディングアプリケーション Web サイトが表示されるかどうかを確認します。たとえば、このトロイの木馬は、ウイルス対策や IT セキュリティの脅威について検索しているユーザーを、ミスリーディングアプリケーションや偽のウイルススキャンをホストするサイトにリダイレクトする可能性があります。



    この方法で検索結果を盗み取ることにより、この脅威はユーザーが使用している検索エンジンのブランドに対するユーザーの信頼を悪用します。この脅威は、ユーザーが何を探していているのかを具体的に知ることができるため、ユーザーが欲しているものを提供することができます。それは当然攻撃者の収益につながります。このような状況対応型のテクニックを使用すれば、攻撃の成功率も高くなります。


    3.3 ルートキット機能
    この脅威は、高度なルートキットとステルステクニックを使って、非常に効果的に検出を回避します。これは次のように実現されます。
    • 従来のファイルシステムをバイパスし、自分自身のファイルをハードディスクの最終セクタに隠す
    • ハードディスクの最終セクタを隠す (他のアプリケーションが保護されたセクタにアクセスまたはクエリーしようと試みると、0 バイトバッファを返す)
    • ロードされたドライバリストから自分自身を削除する
    • 最下位レベルのドライバに感染し、他のプロセスに読み込まれたときにファイルのクリーンな領域を返す



    4. 追加情報
    この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

    Backdoor.Tidserv に関するブログエントリ

    推奨する感染予防策

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    記述: Hon Lau

    発見日: September 18, 2008
    更新日: November 19, 2013 2:16:02 AM
    別名: Backdoor:W32/TDSS [F-Secure], BKDR_TDSS [Trend], Win32/Alureon [Microsoft], Trojan-Dropper.Win32.TDSS [Kaspersky], Packed.Win32.TDSS [Kaspersky],
    種別: Trojan
    影響を受けるシステム: Windows

    お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

    次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



    ビジネス (企業、法人向け) 製品のお客様
    お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    疑わしいファイルの特定と提出
    提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。



    駆除ツール

    感染した Windows システムファイルがある場合は、Windows のインストール CD を使ったファイルの置き換え が必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
    セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



    Norton (個人向け) 製品のお客様
    お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

    駆除ツール

    感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


    感染のリスクを軽減する方法
    感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。



    ==============
    手動による駆除
    ==============
    以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

    1. システムの完全スキャンの実行
    Symantec Full System Scan User Guide (英語)


    2. レジストリの設定の復元
    レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

    記述: Hon Lau