|
ルートキットとは、システムのセキュリティが侵害された事実を隠すために作られたプログラム、またはプログラム群です。
Windows OS では、システムに潜入してシステム関数 (Windows API) をフックするためのプログラムを指してルートキットといいます。 ルートキットは、低層の API 関数をフックして変更することで、システム内での自らの存在を隠します。 さらに、プロセス、ディスク上のファイルやフォルダ、構成内に記述されているレジストリキーも隠すことができるのが一般的です。 多くのルートキットは、自身のドライバおよびサービスをインストールします (いずれも隠蔽されます)。
Rootkit.Win32.TDSS ファミリーのマルウェアに感染したシステムは、ユーティリティ TDSSKiller.exe を使用して感染駆除できます。
マルウェア一覧
Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b, Rootkit.Boot.Bootkor.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.SST.b, Rootkit.Boot.Fisp.a, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Rootkit.Boot.Pihar.b, Rootkit.Boot.Goodkit.a, Rootkit.Boot.Clones.a, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Backdoor.Win32.Phanta.a,b, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Cmoser.a, Virus.Win32.Zhaba.a,b,c, Trojan-Clicker.Win32.Wistler.a,b,c, Trojan-Dropper.Boot.Niwa.a, Trojan-Ransom.Boot.Mbro.d, e, Trojan-Ransom.Boot.Siob.a.
ユーティリティ動作概要
- 本ユーティリティは、GUI操作できます。
- 本ユーティリティは、32ビット および 64ビット OSをサポートしています。
32ビットOS: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
64ビットOS: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 or higher.
- 本ユーティリティは、通常モードおよびセーフモードで動作します。
感染したシステムの感染駆除
- TDSSKiller.zip をダウンロードし、感染コンピュータ上のフォルダに解凍します。
- TDSSKiller.exe を実行します。
- スキャンが終了し、感染駆除プロセスが完了するのを待ちます。 感染駆除後、コンピュータの再起動が必要です。/LI>
本ユーティリティの使用方法
- ユーティリティによるスキャンを開始するために、Start scanボタンをクリックください。
悪意在るファイルまたは疑わしいファイルを検知します。
- 本ユーティリティは、二種類のオブジェクトを検知可能です。
- malicious (マルウェアと判定されるファイル);
- suspicious (マルウェアとは限らないファイル).
- スキャンが完了すると、ユーティリティは検知したオブジェクト一覧を表示します。
ユーティリティは、悪意在るオブジェクトに自動的に処理(Cure - 駆除 または Delete - 削除)を選択します。
ユーティリティは、suspicious objectに適用する処理をユーザーに促します。(デフォルトでは Skip - スキップ).
- 検知したオブジェクトを隔離したい場合には、Copy to quarantine 処理を選択します。
ファイルは削除されません。
デフォルトの隔離フォルダはシステムディスクのルートフォルダです。 例:
C:\TDSSKiller_Quarantine\23.07.2010_15.31.43
- Continue をクリック後、ユーティリティは選択した処理を適用し、結果を表示します。
- 駆除実行誤は PC の再起動が必要となる場合があります。
- デフォルトでは、ユーティリティはシステムディスク(通常は OS をインストールしたディスク C:)のルートフォルダにログを出力します。
ログには次のようなファイル名が付けられます。UtilityName.Version_Date_Time_log.txt
例 C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
TDSSKiller.exe のコマンドラインパラメータ
-l <ファイル名> - 指定ファイルにログを出力します。
-qpath <フォルダ名> - 隔離フォルダのパスを指定します。(存在しない場合は新規作成されます。)
-h - コマンドラインパラメータのリストを表示します。
-sigcheck - ディジタル署名のないすべてのドライバを suspicious として検知します。
-tdlfs - ハードディスクの最終セクタにTDL 3/4 ルートキットが自身を格納するために作成する TDLFS ファイルシステムの存在を検知します。これらのファイルは隔離が可能です。
次のパラメータでは、ユーザーに確認することなく適用する処理を決定できます。
-qall - すべてのオブジェクトを隔離フォルダへコピーします。(未感染を含む)
-qsus - suspicious オブジェクトのみを隔離フォルダへコピーします。
-qboot - すべてのブートセクタを隔離します。
-qmbr - すべてのMBRを隔離フォルダへコピーします。
-qcsvc <service_name> - 指定サービスを隔離フォルダへコピーします。
-dcsvc <service_name> - 指定サービスを削除します。
-silent - サイレントモードでスキャンします。
-dcexact - 自動的に既知の脅威に対して 削除 / 駆除 を行います。
たとえば、コンピュータをスキャンした詳細な結果をファイル report.txt に保存する場合は、次のコマンドを使用します (ファイルは TDSSKiller.exe の置かれているフォルダに作成されます):
TDSSKiller.exe -l report.txt
感染の兆候
- Rootkit.Win32.TDSS 感染の兆候 - 第 1 世代 (TDL1)、第 2 世代 (TDL2) の場合
次のカーネル関数フックを監視してください (熟練ユーザにお勧めします):
- IofCallDriver
- IofCompleteRequest
- NtFlushInstructionCache
- NtEnumerateKey
- NtSaveKey
- NtSaveKeyEx
ユーティリティ Gmer を使用します。
-
Rootkit.Win32.TDSS 感染の兆候 - 第 3 世代 (TDL3) の場合
ユーティリティ Gmer を使用して感染を検知できます。 このユーティリティは、システムドライバ atapi.sys のデバイスオブジェクトの感染を検知します。 
|
0 
2012.03.05 05:11
