別名:

Rustok

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成, Eメール経由による侵入

「RUSTOCK」は、「BREDOLAB」や「VIRUX」といった、他のマルウェアによってダウンロードされるバックドア型マルウェア、トロイの木馬型マルウェアおよびルートキット機能を備えるマルウェアです。マルウェアの侵入経路は、2009年および2010年に確認されたWebサイト改ざん事例で確認されました。また、「RUSTOCK」は、スパムメールの添付ファイルとしてコンピュータに侵入します。

「RUSTOCK」は、感染コンピュータ上でプロキシサーバとして機能します。マルウェアは、この不正活動を利用してスパムメッセージの送信します。送信されるスパムメッセージの内容はほとんどの場合、薬品/医療に関するものです。

マルウェアは、スパム送信の機能に加えて、ルートキット機能を備えています。これらのルートキット機能により、マルウェアが作成した関連ファイル、プロセスおよびレジストリ情報の隠ぺいが可能となります。これにより「RUSTOCK」の検出と削除が困難になります。

「RUSTOCK」は、"yahoo.com" や "microsoft.com" といった正規のWebサイトへの感染コンピュータの接続を監視します。この不正活動は、検索結果のハイジャックの目的やユーザが正規のWebサイトへアクセスするのを防ぐために行われます。

「RUSTOCK」のボットネットは、2011年初旬に封鎖されました。2011年内には、スパムの送信量が顕著に減少しました。

  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続

インストール

ワームは、以下のファイルを作成します。

  • %System%\drivers\{random}.sys
  • %System%:lzx32.sys
  • %System%:18467

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ImagePath = "\??\C:\WINDOWS\system32:lzx32.sys" or "\SystemRoot\System32:18467"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security
Security = "{Hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Start = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
DisplayName = "Win23 lzx files loader"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
Group = "Base"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386
ExtParam = "{Hex values}"

ワームは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\pe386\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • bl.{BLOCKED}p.net
  • bl1.{BLOCKED}ion.net.il
  • cbl.{BLOCKED}t.org
  • dul.dn{BLOCKED}bs.net
  • ftp.icq.com/p{BLOCKED}4/ICQ_5/icq5_setup.exe
  • http://{BLOCKED}.{BLOCKED}.194.158/index.php?page=main
  • http://{BLOCKED}.{BLOCKED}.194.22/index.php?page=main
  • http://{BLOCKED}r-traiding.com/login.php
  • http://{BLOCKED}r-traiding.net/login.php
  • http://{BLOCKED}stribution.net/login.php
  • http://{BLOCKED}n.cn/login.php
  • http://{BLOCKED}HJe.de/login.php
  • http://{BLOCKED}avto.biz/login.php
  • http://{BLOCKED}avto.org/login.php
  • http://{BLOCKED}olver.cc/login.php
  • http://{BLOCKED}efhw2J.biz/login.php
  • http://{BLOCKED}aldns.org/login.php
  • http://{BLOCKED}x.cc/login.php
  • http://{BLOCKED}st.name/login.php
  • http://{BLOCKED}atrading.net/login.php
  • http://{BLOCKED}ynewsagency.cn/login.php
  • http://{BLOCKED}ynewsagency.com/login.php
  • http://{BLOCKED}ent.biz/login.php
  • http://{BLOCKED}ent.mobi/login.php
  • http://{BLOCKED}computers.be/login.php
  • http://{BLOCKED}computers.com/login.php
  • http://{BLOCKED}b-system.info/login.php
  • http://{BLOCKED}b-system.name/login.php
  • http://{BLOCKED}k.in/login.php
  • http://{BLOCKED}ent-a-car.biz/login.php
  • http://{BLOCKED}ent-a-car.info/login.php
  • http://{BLOCKED}n.in/login.php
  • http://{BLOCKED}n.tv/login.php
  • http://{BLOCKED}ecompany.cn/login.php
  • http://{BLOCKED}ecompany.info/login.php
  • http://{BLOCKED}iedinvestors.com/login.php
  • http://{BLOCKED}wgeneration.ws/login.php
  • http://{BLOCKED}eper.cc/login.php
  • http://{BLOCKED}e.info/login.php
  • http://{BLOCKED}tserver.biz/login.php
  • http://{BLOCKED}tserver.name/login.php
  • list.{BLOCKED}l.org
  • r{BLOCKED}-abuse.org
  • sbl-xbl.{BLOCKED}s.org

  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください