ルートキット
とは、システム内のマルウェアの存在を隠蔽するプログラムまたはプログラム群のことです。
Windows システムでは、システムに侵入してシステム関数 (Windows API) をフックするためのプログラムを指してルートキットといいます。 ルートキットは、低レベル API 関数をフックして変更することで、システム内での自らの存在を隠します。 さらに、プロセス、ディスク上のファイルやフォルダ、構成内に記述されているレジストリキーも隠すことができるのが一般的です。 多くのルートキットは、自身のドライバおよびサービスをインストールします (いずれも隠蔽されます)。
Kaspersky Lab が開発した TDSSKiller ユーティリティは、既知のルートキット (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) と未知のルートキットを検出し駆除できます。 マルウェア一覧
Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c.
ユーティリティ動作要件
- 本ユーティリティは、32ビット および 64ビット OSをサポートしています。
32-bit オペレーティングシステム: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2.
および
64-bit オペレーティングシステム: MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 or higher.
- 本ユーティリティは、通常モードおよび
Safe Mode
.
感染システムの駆除方法
-
TDSSKiller.exe
をダウンロードし、感染(または感染が疑われる)システム上のフォルダに解凍します。
-
TDSSKiller.exe
を実行します。
-
Start scan
をクリックすると、ユーティリティはマルウェア、疑わしいオブジェクトを検出するためシステムをスキャンします。
- 本ユーティリティは、つぎの疑わしいオブジェクトを検出可能です:
-
Hidden service
– 標準リストから隠されているレジストリキー;
-
Blocked service
– 標準的な方法により開くことができないレジストリキー;
-
Hidden file
– 標準リストから隠されているディスク上のファイル;
-
Blocked file
– 標準的な方法により開くことができないディスク上のファイル;
-
Forged file
– 標準的な方法で読み込み時、実際のコンテンツではなく正規のコンテンツが返却されるファイル;
-
Rootkit.Win32.BackBoot.gen
– 未知のルートキットによる MBR 感染が疑われます。
システム内のこれらの異常はルートキットの活動結果である可能性が高いものですが、いくつかの正規ソフトウェアの痕跡である場合もあります。
- さらに解析をするためには、検出されたオブジェクトを Copy to quarantine オプションを使用して隔離します。 この場合、ファイルは削除されません。
- 保存したファイルをスキャンするため
Virus Lab
(英語)または、
VirusTotal.com
へ送ります。
- 詳細解析の結果、オブジェクトが確かに悪意あるものと証明される場合、つぎのことを行えます:
-
Delete
オプションによるファイルの削除;
- もしくは、Restore オプションの選択による MBR の復旧 (MBRに問題がある場合)
駆除完了後、コンピュータの再起動が必要となる場合があります。
TDSSKiller.exe ユーティリティのコマンドラインオプション:
-l <file_name>
- 指定ファイルにログを保存します。実行時に指定したパスが存在しない場合、ユーティリティは自動的にフォルダを作成します。
-qpath <folder_path>
- 隔離フォルダのパスを指定します(存在しない場合は新規作成されます);
-h
– コマンドラインパラメータのリストを表示します;
-sigcheck
– デジタル署名のないすべてのドライバを suspicious として検知します;
本ユーティリティは未署名、または不正な署名のドライバを検出します。
これらのファイルが確かに感染しているとは限りません
。このようなドライバ類は、<unsigned file>として検出されます。これらのファイルが感染していると疑れる場合には、解析のため
Kaspersky Virus Lab
へファイルをお送りください (英語対応)
-
tdlfs
– ハードディスクの最終セクタにTDL 3/4 ルートキットが自身を格納するために作成する TDLFS ファイルシステムの存在を検知します。これらのファイルは隔離が可能です。
次のパラメータでは、ユーザーに確認することなく適用する処理を決定できます(サイレントモード):
-qall
– すべてのオブジェクトを隔離フォルダへコピーします。(未感染を含む);
-qsus
– suspicious オブジェクトのみを隔離フォルダへコピーします;
-qboot
- すべてのブートセクタを隔離します;
-qmbr
– すべてのMBRを隔離します;
-
q
csvc <service_name>
- 指定サービスを隔離します;
-dcsvc <service_name>
- 指定サービスを削除します;
-silent
– サイレントモードでスキャンします;
-dcexact
- 自動的に既知の脅威に対して 削除 / 駆除 を行います。
次のコマンド実行例では、ユーティリティはコンピュータをスキャンし、詳細ログを report.txt ファイルに保存します。(ファイルは TDSSKiller.exe の置かれているフォルダに作成されます):
TDSSKiller.exe -l report.txt