別名:

Tidserv, TDSServ, Alureon, Sisron, Malex, AdClicker, DNSChanger, Ertfor, Nvv

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

「Tidserv」および「TDSServ」、「Alureon」としても知られる「TDSS」は、2008年中旬に初めて確認されました。「TDSS」は、ルートキット機能を持ち、セキュリティ関連ソフトの機能を回避することができるマルウェアとして知られています。これらの機能は、「TDSS」の検出を困難にし、その結果、感染コンピュータからの削除を難しくします。

「TDSS」は、偽セキュリティソフト型マルウェア「FAKEAV」やDNS設定の変更を行なうトロイの木馬型のマルウェア(DNSチェンジャー)のような他のマルウェアの拡散にしばしば利用されます。また、このマルウェアは、ユーザに不正なリンクをクリックさせたり、SEOポイズニングや広告の表示に利用されます。

初期の「TDSS」の亜種は、3つのメインコンポーネントを含んでいました。ドロッパーおよびルートキットコンポーネント、メインの不正活動を行うDLLファイルです。これら3つのコンポーネントは、検出されるのを避けながら持続的に不正活動をするためのさまざまな機能を提供しました。マルウェアの2世代目の亜種は、初代「TDSS」の亜種ができた不正活動と同じ活動をすることが確認されています。初代亜種と2代目との主な違いは、2代目の「TDSS」マルウェアに、改良された収集機能が搭載されたことです。

3世代目の「TDSS」である「TDL3」は、2009年後半に確認されました。「TDL3」の亜種は、自身のファイルの隠ぺいに新しい方法を備えています。参照またはアクセスされていない、ハードディスクの最終セクタにファイルを保存するという方法です。さらに、コンピュータ起動時に自身も自動的に起動させるために、「TDL3」は正規のSYSファイルを適用し、複数のAPIをフックしてマルウェアによる活動を隠ぺいします。

4世代目の「TDSS」である「TDL4」は2010年に発見されました。「TDL4」の亜種は、64ビットWindowsオペレーティングシステム(OS)に感染する機能があることが注目すべき点です。マルウェアは、オペレーティングシステム(OS)が読み込まれる前に、マスター・ブート・レコード(MBR)の起動を可能にする不正活動を行います。「TDL3」のように、検出を避けるためにハードディスクの最終セクタにコンポーネントファイルも書き込みます。

ワームは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。

  詳細

メモリ常駐 はい

インストール

ワームは、以下のファイルを作成します。

  • %Application Data%\Microsoft\{malware file name}.exe
  • %User Temp%\{malware file name}.tmp
  • %User Temp%\{malware file name}.exe
  • %Windows%\{malware file name}.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

自動実行方法

ワームは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
maxhttpredirects = "{hex value}"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
featurecontrol\FEATURE_BROWSER_EMULATION
{executable name} = "{hex value}"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
enablehttp1_1 = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PopupMgr = "Yes"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
UserID = "{hex numbers}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Styles

ワームは、レジストリ値を変更し、以下のシステムサービスを無効化します。

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
CurrentLevel = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
1601 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\International
acceptlanguage = "{local}"

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{10 random characters}.com/index.html?{random}
  • http://{10 random characters}.net/index.html?{random}
  • http://{10 random characters}.org/index.html?{random}
  • http://{10 random characters}.info/index.html?{random}
  • http://{10 random characters}.biz/index.html?{random}
  • http://{10 random characters}.in/index.html?{random}
  • {BLOCKED}rch.com
  • http://{BLOCKED}l01.com/
  • http://{BLOCKED}3ja90a.com/
  • http://{BLOCKED}10h.com/
  • http://{BLOCKED}yhks66.com/
  • http://{BLOCKED}ga64aa17.com/
  • http://{BLOCKED}e3oo8as0.com/
  • http://{BLOCKED}1s6cx0.com/
  • http://{BLOCKED}gh716zzl.com/
  • http://{BLOCKED}cv1.com/
  • http://{BLOCKED}cv1.com/
  • https://{BLOCKED}4cx00.cc/
  • https://{BLOCKED}.{BLOCKED}.226.67/
  • https://{BLOCKED}b0.com/
  • https://{BLOCKED}b0.com/
  • https://{BLOCKED}3.com/
  • https://{BLOCKED}dden.in/
  • https://{BLOCKED}fda88.com/

ハッシュ値情報

ワームは、以下のMD5ハッシュ値を含んでいます。

  • a494e72401f9205179e7bc37c438e820
  • 15e776c63da8c6ee89794be9af13872b
  • cc997c93ff7f09ffc0bc6c72e486b156
  • f3eb06452e3c9889f3a18c2fa375c000

  対応方法

対応検索エンジン: 8.900

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください