マルウェアの検出 (セキュリティソフトウェアを使用する方法)
2008 年 1 月 30 日から、Kaspersky Anti-Virus は、ボットネット Shadow を支えるマルウェアの検知が可能になりました。検知名はバージョンによって異なります。このマルウェアは以下の名前で検知されています:
- Backdoor.Win32.IRCBot.bit
- Backdoor.Win32.IRCBot.biy
- Backdoor.Win32.IRCBot.bjd
- Backdoor.Win32.IRCBot.bjh
- Backdoor.Win32.IRCBot.cja
- Backdoor.Win32.IRCBot.cjj
- Backdoor.Win32.IRCBot.ckq
- Backdoor.Win32.IRCBot.cow
- Backdoor.Win32.IRCBot.czt
- Backdoor.Win32.IRCBot.ekz
- Rootkit.Win32.Agent.aet
- Trojan-Downloader.Win32.Injecter.pj
- Trojan.Win32.DNSChanger.azo
- Trojan.Win32.DNSChanger.bao
- Trojan.Win32.DNSChanger.bck
- Trojan.Win32.DNSChanger.bfo
- Trojan.Win32.DNSChanger.bjh
- Trojan.Win32.DNSChanger.bji
- Trojan.Win32.DNSChanger.bjj
- Trojan.Win32.DNSChanger.bmj
- Trojan.Win32.DNSChanger.bnw
- Trojan.Win32.DNSChanger.bqk
- Trojan.Win32.DNSChanger.bsm
- Trojan.Win32.DNSChanger.buu
- Trojan.Win32.DNSChanger.bwi
- Trojan.Win32.DNSChanger.bxd
- Trojan.Win32.DNSChanger.bxe
- Trojan.Win32.DNSChanger.bxv
- Trojan.Win32.DNSChanger.cap
- Trojan.Win32.DNSChanger.ccg
- Trojan.Win32.DNSChanger.cei
- Trojan.Win32.DNSChanger.cem
- Trojan.Win32.DNSChanger.eag
- Trojan.Win32.DNSChanger.gvb
- Trojan.Win32.Restarter.e
- Trojan.Win32.Restarter.f
- Trojan.Win32.Restarter.g
- Trojan.Win32.Restarter.h
現在のサンプルは 2008 年 8 月 6 日に Trojan.Win32.DNSChanger.gvb として検知されました。
マルウェアの検出 (手動による方法)
ボット本体がシステムにコピーされるわけではないため、悪意あるファイルの名前はさまざまなものになる可能性があります。悪意あるファイルの名前は、システムにボットを感染させるために利用するインストーラによって異なります。しかし、システムレジストリをチェックすることで、ボットの存在を検知することができます。
regedit.exe を起動して、システムレジストリの以下の値を確認できます:
HKEY_CLASSES_ROOT\.htc\Content Type
大規模なネットワークのシステム管理者は、リモートから reg.exe コマンドを使用して以下のように確認できます:
HKEY_CLASSES_ROOT\.htc\Content Type のレジストリ値は、デフォルトでは「text/x-component」です。このレジストリに「{space}」のような異なる値が表示されていれば、そのマシンは Shadow ボットマルウェアに感染していると考えられます。
また、次のレジストリハイブを確認して、ボットが Windows ファイアウォールルールを変更して外部向けのネットワーク接続を可能にしていないかどうか調べることもできます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\.
ボットは、承認済みアプリケーションリストにアイテムを追加します。以下のように「Flash Media」が追加されている場合もありますが、違うアプリケーション名の可能性もあります。
この方法で、感染システム内に設置された悪意あるファイルへの実際のパスを知ることができます。悪意あるファイルへのパスは、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit のレジストリ値でも確認できます。以下に示すように、正規の userinit.exe の後に、悪意あるファイルへのパスがボットによって付加されています:
ファイルの名前と場所はケースによって異なります。
ネットワーク管理者は、ポート 3306 上で elena.ccpower.ru への外部向けのネットワーク接続をチェックすることで、ローカルネットワーク上の感染マシンを特定できます。または、以下に示すパターンでネットワークトラフィックをフィルタリングし、使われているアドレスとポートを個別に検知する方法もあります:
マルウェアの削除 (手動による方法)
ボットはメモリ内で winlogon.exe にパッチを適用します。これによって、悪意あるコードはローカルシステム権限を獲得し、オリジナルの悪意あるファイルが削除されるのを防ぐことができます。また、設定が変更されるのを回避するために、レジストリ設定を頻繁に復元します。悪意あるプロセスが動作していなければ、パッチが適用された winlogon.exe によって起動されます。
悪意ある実行ファイルを特定できたら、以下の手順に従って、マルウェアの削除とシステム設定の復元を行ってください:
1. 現在のユーザからの悪意あるファイルへのアクセスを禁止します。このためには、まず Windows エクスプローラで悪意あるファイルを選択します
このとき、Windows エクスプローラ上で「簡易ファイルの共有を使用する」(NTFS ユーザの場合) を無効にしておきます (Windows エクスプローラのメニューから [ツール] → [フォルダオプション] → [表示] の順に選択します)
悪意あるファイルを右クリックして、[プロパティ] を選択します
[セキュリティ] タブを選択して、アクセス権を調整します。現在のユーザを「グループまたはユーザ名」のリストに加えます
[追加] ボタンをクリックして、現在のユーザ名を入力します。[拒否] 側のすべてのチェックボックスを選択します
2. システムを再起動します
3. 再び悪意あるファイルを選択します。これでこのファイルを削除できるようになりました
4. regedit.exe を起動して、レジストリキーをデフォルト値に戻します。デフォルト値はお客様のシステムのインストールパスによって異なります。一般的な値は以下のとおりです (キー = 値):
“HKCR\.htc\Content Type” = "text/x-component"
“HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” = “C:\WINDOWS\system32\userinit.exe”
5. 次の値を削除します:
“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Flash Media”
“HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\”
6. 定義データベースを更新し、コンピュータ上で完全スキャンを行います
| 
20 
2009.05.18 09:48
