HTML_HARNIG

「RUSTOCK」は、「BREDOLAB」や「VIRUX」といった、他のマルウェアによってダウンロードされるバックドア型マルウェア、トロイの木馬型マルウェアおよびルートキット機能を備えるマルウェアです。マルウェアの侵入経路は、2009年および2010年に確認されたWebサイト改ざん事例で確認されました。また、「RUSTOCK」は、スパムメールの添付ファイルとしてコンピュータに侵入します。

「RUSTOCK」は、感染コンピュータ上でプロキシサーバとして機能します。マルウェアは、この不正活動を利用してスパムメッセージの送信します。送信されるスパムメッセージの内容はほとんどの場合、薬品／医療に関するものです。

マルウェアは、スパム送信の機能に加えて、ルートキット機能を備えています。これらのルートキット機能により、マルウェアが作成した関連ファイル、プロセスおよびレジストリ情報の隠ぺいが可能となります。これにより「RUSTOCK」の検出と削除が困難になります。

「RUSTOCK」は、"yahoo.com" や "microsoft.com" といった正規のWebサイトへの感染コンピュータの接続を監視します。この不正活動は、検索結果のハイジャックの目的やユーザが正規のWebサイトへアクセスするのを防ぐために行われます。

「RUSTOCK」のボットネットは、2011年初旬に封鎖されました。2011年内には、スパムの送信量が顕著に減少しました。

インストール

マルウェアは、以下のファイルを作成します。

• %System%\drivers\{random}.sys
• %System%:lzx32.sys
• %System%:18467

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ImagePath = "\??\C:\WINDOWS\system32:lzx32.sys" or "\SystemRoot\System32:18467"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security
Security = "{Hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Start = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
DisplayName = "Win23 lzx files loader"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Group = "Base"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ExtParam = "{Hex values}"

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• bl.{BLOCKED}p.net
• bl1.{BLOCKED}ion.net.il
• cbl.{BLOCKED}t.org
• dul.dn{BLOCKED}bs.net
• ftp.icq.com/p{BLOCKED}4/ICQ_5/icq5_setup.exe
• http://{BLOCKED}.{BLOCKED}.194.158/index.php?page=main
• http://{BLOCKED}.{BLOCKED}.194.22/index.php?page=main
• http://{BLOCKED}r-traiding.com/login.php
• http://{BLOCKED}r-traiding.net/login.php
• http://{BLOCKED}stribution.net/login.php
• http://{BLOCKED}n.cn/login.php
• http://{BLOCKED}HJe.de/login.php
• http://{BLOCKED}avto.biz/login.php
• http://{BLOCKED}avto.org/login.php
• http://{BLOCKED}olver.cc/login.php
• http://{BLOCKED}efhw2J.biz/login.php
• http://{BLOCKED}aldns.org/login.php
• http://{BLOCKED}x.cc/login.php
• http://{BLOCKED}st.name/login.php
• http://{BLOCKED}atrading.net/login.php
• http://{BLOCKED}ynewsagency.cn/login.php
• http://{BLOCKED}ynewsagency.com/login.php
• http://{BLOCKED}ent.biz/login.php
• http://{BLOCKED}ent.mobi/login.php
• http://{BLOCKED}computers.be/login.php
• http://{BLOCKED}computers.com/login.php
• http://{BLOCKED}b-system.info/login.php
• http://{BLOCKED}b-system.name/login.php
• http://{BLOCKED}k.in/login.php
• http://{BLOCKED}ent-a-car.biz/login.php
• http://{BLOCKED}ent-a-car.info/login.php
• http://{BLOCKED}n.in/login.php
• http://{BLOCKED}n.tv/login.php
• http://{BLOCKED}ecompany.cn/login.php
• http://{BLOCKED}ecompany.info/login.php
• http://{BLOCKED}iedinvestors.com/login.php
• http://{BLOCKED}wgeneration.ws/login.php
• http://{BLOCKED}eper.cc/login.php
• http://{BLOCKED}e.info/login.php
• http://{BLOCKED}tserver.biz/login.php
• http://{BLOCKED}tserver.name/login.php
• list.{BLOCKED}l.org
• r{BLOCKED}-abuse.org
• sbl-xbl.{BLOCKED}s.org