タグ別アーカイブ: TDSS

23. さてrootkitにたいしてどうするか

多くのアンチウィルスソフトはrootkitにも対応していることをうかがわせる内容が記されていますが、私の場合、有償・無償を問わずどれも今回のrootkitを感染後でも検出することは出来ませんでした。
アンチウィルスソフトで検出されませんから客観的には感染していないことになり、自分のパソコンの環境を正すようアドバイスされるだけになります。
当のアンチウィルスソフトは、感染後の検出が出来ませんから駆除することは出来ません。

今回、私の事例は多少の知識と執念でrootkitを駆除し三途の川を渡らずに済みました。私の経験をネット上で出会った名もなき同士とこれから出るであろう同士の一助になればと思いブログに記しました。

一方、ウィルスの最前線にいるアンチウィルス会社の人々が私のメールに対して非常に親切に返信していただいたことは心強くたいへん感謝していますが、私の現象に対して無関心だったことは非常に残念です。

2chや「被害対策.com(アダ被)」では、すでに十分議論され情報も出ていることを考えるとやはり戸惑いを感じてしまいます。

2chや「被害対策.com(アダ被)」はやはり特別な人の場所ですし、当事者の私は多少なりともこの分野に知識があります。rootkitを発見し駆除することに関してこういう特別な状態を早く解消しなくてはいけません。

多くの人が絶大なる信用を置いているアンチウィルスソフトがまったく機能しないことはとても危険なことです。
このままでは、2009年に本当に「WinAntivirus2009」が蔓延してしまいます。
「WinAntivirus2009」に対して、特別な技術を持った人しか発見し駆除することができない状態になりかねません。
これは、非常に危険ななことです。

<rootkitに感染したのに感染に気づかない人>
当初の私のように「調子が悪いな」ということだけで策を講じることもありませんので、重要な個人情報が秘密裏にネットに流出し知らないうちに被害を拡大させてしまうでしょう。

<rootkitに感染したことを疑う人>
私のように「どう感染したかうまく説明が出来ない」だけでなく「アンチウィルスソフトでは感染していないといっている」ため、疑う以上のことが出来ず、前述の人と同様に重要な個人情報が秘密裏にネットに流出し知らないうちに被害を拡大させてしまうでしょう。

<rootkitに感染したことを自覚できたが対処の方法がわからない人>
rootkit感染について確証がもてた人でも、ネット上からrootkit駆除ソフトを自分で探し当ててダウンロードしそれらを駆使してrootkitを駆除するということをすべての人が出来ると考えるべきではありません。
多くの人がやはり感染したことに気づきながらパソコンを使い続けるか、そのパソコンを利用することをやめるかの選択をすることになるでしょう。どちらも不本意な選択です。

現実社会では、新型の鳥インフルエンザに感染し多数の死者が出ることを予想し世界中の国家レベルで対策が急がれています。
未知のウィルスの感染に対してワクチンの準備が急ピッチで進んでいます。

パソコンのrootkitで直接死者は出ませんが、多くの普通の人が感染するということでは鳥インフルエンザと同じです。
rootkitに感染後に効くワクチンはすでに存在しますが、入手方法や治療の仕方が専門的なため多くの人が効果的な治療が出来ないでしょう。
むしろ、rootkitに感染したことに気づかないまま放置されることの危険性は鳥インフルエンザよりも深刻でしょう。

大量のジャンクメールによりパソコンメールの信頼と利便性を大きく損ねたように、rootkitによってネットやパソコンが信頼を損なってしまうかもしれません。

今回のrootkit(最新のTDSS)は夏ごろから感染しはじめ、急速に亜種を増やしているように感じます。まだ流行しているとまでは言えないぐらいの限られた範囲に伝播しているのかもしれません。
限られた範囲にある今のうちこの分野の人々が積極的に取り組むことをお願いしたいと思います。私に出来ることはこのブログを一人でも多くの人に少しでも早く役立てていただくことです。

2008年12月22日 15:19:18

21. Malwarebytes’ Anti-Malware 結果編

私の不安をよそにすばらしい成果です。
「Malwarebytes’ Anti-Malware」の驚きの性能に脱帽です。

「Malwarebytes’ Anti-Malware」のログファイル「mbam-log-****-**-** (**-**-**).txt」を見てみます。

レジストリキー、データアイテム、ファイル、が感染しています。

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 10

2つのレジストリキーを隔離し削除しました。

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

2つのデータアイテムを隔離し削除しました。

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

10のファイルをリブート時に削除します。

Files Infected:
C:\WINDOWS\system32\TDSSbrsr.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSxfum.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS8669.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS89e3.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdu.log (Trojan.TDSS) -> Delete on reboot.

SDFixで残っていた「TDSSoiqh.dll」も削除することになっています。
SDFixで削除したとしていた「TDSSmqlt.sys 」も削除することになっています。

今回はかなり楽観的に処理結果の確認を行えます。
(1)カスペルスキーの更新はOKです(既済)
(2)AVGなどのアンチウィルス会社のHPは参照できます(既済)
(3)以前作成した「TDSS.txt」が表示されています
(4)別のフォルダで「TDSS.txt」を作成しますが消えません。
(5)カスペルスキーを起動しますがフィッシングサイトへのアクセスはありません

完了です。
元に戻った感じがします。

IE7で重たかったサイトに繰り返しアクセスします。
もとのIE7のレスポンスに戻りました。
firefoxは快調です。

終わった感じがしました。

2008年12月22日 14:53:21

19. SDFix 再結果編

さきほど残った「TDSSoiqh.dll」がうまく削除されていることを願いつつ、新しく作成された「Report.txt」を開きます。

予想に反して、まったく別の展開になっていました。

[b]Name [/b]:
TDSSserv.sys

[b]Path [/b]:
\systemroot\system32\drivers\TDSSmqlt.sys

TDSSserv.sys – Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\drivers\TDSSmqlt.sys – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVD.dat – Deleted

「TDSSoiqh.dll」については、まったく触れられていません。しかし、TDSSの核になる名前「TDSSserv.sys」が出てきました。
そしてよくわかりませんが、関係するファイルを削除し、削除できなかったファイルがないようです。

このあと、相当量のレジストリに関するメッセージが出力されます。

scanning hidden services & system hive …

scanning hidden registry entries …

そして、

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

さらに、

[b]Remaining Services [/b]:

[b]Remaining Files [/b]:

の後には記載がありません。
最後に、

[b]Finished![/b]

予想していた展開とは違いますが、なんかうまくいったように見えます。

さて、確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

前回から進歩がありません。

確認のため「regedit」を使ってTDSSを検索してみます。すると、なにやら「TDSS系」レジストリがいくつかあります。中にはTDSSserv.sys」まで検索されました。いままではレジストリの検索でも引っかからなかった「TDSS」ですが、SDFixにより表に出てきたという感じです。「TDSSserv.sys」のレジストリキーを思い切って削除してみましたが、「regedit」にダメだといわれました。

結構いいところまでいったつもりでしたが、新たに出現した次の障壁にぶつかったようでした。ここでSDFixのつぎの手として「Malwarebytes’ Anti-Malware」に出動を要請することにしました。

2008年12月22日 14:00:07

17. SDFix 結果編

SDFixの処理の結果、rootkitが発見され駆除されたように見えますが、いやなメッセージも見えます。

まずは、最初のログになる「Report_1.txt」です。

ファイルをチェックして、トロイを見つけ削除したようです。

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\***\LOCALS~1\Temp\tmp1.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp12.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp1A.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp2.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmp3.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpA.tmp – Deleted
C:\DOCUME~1\***\LOCALS~1\Temp\tmpB.tmp – Deleted
C:\WINDOWS\system32\TDSSbrsr.dll – Deleted
C:\WINDOWS\system32\TDSSriqp.dll – Deleted
C:\WINDOWS\system32\TDSSxfum.dll – Deleted
C:\WINDOWS\system32\TDSSlxwp.dll – Deleted
C:\WINDOWS\system32\TDSSosvd.dat – Deleted
C:\WINDOWS\system32\TDSStkdu.log – Deleted

ところが、削除できなかったものがあるようです。

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

さらに、よくわからないエラーメッセージが出ています
「disk error」がいやな感じがします。しかし、この対象はレジストリファイルのような気がしますのでWindowsXPが起動中は処理できなかったことを示しているようにも見えます。

scanning hidden processes …
scanning hidden services & system hive …
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries …
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\***\ntuser.dat, 0
scanning hidden files …
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan

このあと、レジストリのエクスポートについてのメッセージが複数あります
Authorized Application Key Export:

そして、最もいなやメッセージです
TDSSのファイルが残ったということです

[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSoiqh.dll Found

ファイルをバックアップし、ファイルの属性についてのメッセージがあり、終了しました。
File Backups: – C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
[b]Finished![/b]

これでは、「TDSSoiqh.dll」を残したままになります。そこで、SDFixは自動的に再起動したのだと思います。

では、再起動後おログになる「Report.txt」です。

[b]Checking Files [/b]:

Trojan Files Found:

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll

のメッセージの後は前回とほぼ同じです。
今回も「TDSSoiqh.dll」を削除することが出来なかったということです。

少々不安がありますが、処理結果の確認です。
(1)カスペルスキーの更新はOKです
(2)AVGなどのアンチウィルス会社のHPは参照できます
(3)以前作成した「TDSS.txt」は消えたままで見えません
(4)別のフォルダで「TDSS.txt」を作成しますが消えてしまいます。
(5)カスペルスキーを起動するとフィッシングサイトへのアクセスをはじめていることを確認しました

あともう少しのようですが完全ではありません。
そこで、もういちどSDFixに処理をしてもらいこうとにしました。

2008年12月22日 12:14:27

16. SDFix 処理編

まずは、SDFixからはじめます。
TDSSの症状とこれを退治した人たちの経験談からこれ一発で駆除できるのではないかと考えました。

しかし、初っ端からなんか不気味な感じで始まります。

念のためカスペルスキーを停止します。

SDFixをCのルート直下におきます。
SDFix.exeなのでこれを実行すればSDFixのフォルダがCドライブ直下に出来るはずです。
実行してみたところSDFixが起動されTASKMGRでプロセスを確認することが出来ました。しかし、いつまでたってもこのプロセスが終了しません。そして、期待したSDFixのフォルダも出来ていません。
SDFixのプロセスをKillし、再起動しましたがうまくいきません。

SDFixはTDSSにとって最も危険な存在なのでこれを実行させない仕組みでもあるのかと考えました。
はやくも暗礁に乗り上げ頭を抱え始めたときSDFixのアイコンがWinRARであることを発見したのです。rarならばとにかく解凍してやろうとWinRARでSDFixを覗いてみると確かにSDFixのフォルダとプログラム群が確認できました。そのまま、Cドライブのルート直下に解凍しました。

これでSDFixの実行環境が整いました。
(1)セーフモードで起動するためWindowsXPを再起動します。
(2)F8のセーフモードメニューでは、「セーフモード」を選択して起動します。
(3)コマンドプロンプトを起動し、C:\SDFixに移ります
(4)ここでRunThis.batを起動します
(5)処理を開始する旨のメッセージが出ますので「y」で開始します
(6)起動後、ハードディスクを時々アクセスしては何かをしている様子だが、途中停止したかのような状態に不安になります。
(7)数分後20分以上かかるかもしれないので辛抱強く待てとのお告げがあります。本当に20分程度でした。(please be patient as this may take up to 20 minutes)
(8)ファイルチェックを行っているカウントがアップしていく
(Checking Files / Please Wait / **% Checked)
(9)SDFixに再起動を指示されます。
(The PC will now restart, SDFix will run again after reboot)
このときは、通常起動とします。
(10)WindowsXP起動ログイン後、SDFixがcmdプロンプトで動き
ディスクをアクセスします。
(finishing malware check / please be patient as this part may taken Several Minutes…)
(11)再起動後、今度も20分程度でSDFixの処理が終了します。
(Finished / Please any key to continue)

予定では、ここでSDFixが完了しrootkitの駆除が完了するはずだった。
しかし、SDFixは、再度再起動をしはじめた。

再起動後、(10)が再度行われました。
(11)によりSDFixが終了しました。この間の処理時間も前回とほぼ同じ時間だったと思います。

さて、「Report.txt」でSDFixの処理ログを確認します。
SDFixフォルダには「Report.txt」と「Report_old_1.txt」が出来ていました。これは、SDFixが実際には2度処理がされたこと、そしてそれぞれに処理ログを自動的に残してくれたことになります。

2008年12月22日 11:40:06

13. TDSSで決まりです

いろいろな現象やWindowsXPの現況とフィッシングのログに出てくる「TDSS」の文字列を考えると「WinAntivirus2009」の亜種であることはほぼ間違えないでしょう。

そして、さらに決定的なのは、

「TDSS」の名前を持つファイルを消すことを実証できたためです。

たとえば、エクスプローラを起動してCドライブのルート直下を指定します。この位置で「新規作成」ー「テキスト ドキュメント」によってに「TDSS.txt」のファイルを新規に作成します。すると、作成してまもなく「TDSS.txt」のファイル名がすっと消え、やがてアイコンもすっと消え、エクスプローラ上から「TDSS.txt」が消えてしまうのです。
その消え方がまるで幽霊のようにすーっと消えていきます。
すごい!!
これは消えたのではなく、WindowsXPから見えなくなっているということです。まさにステルス状態です。
実際に、同じルート直下に続けて「TDSS.txt」を同じようにして作成すると「指定された名前はすでに存在します。別の名前を指定してください」を警告を受けます。
WindowsXPは、ディスク上にそのファイルの存在は確認できるものの私たち人間やアプリケーションには見せることが出来ないのです。

これで、TDSS系のステルスウィルスに感染していることがわかりました。相手がやっとわかったのです。これで怒涛の一直線です。

2008年12月21日 18:05:43

11. フィッシングサイト問い合わせ

フィッシングについては、「ユーザが気づかないようにだましのホームページへアクセスさせ入力データから情報を盗み取る」というぐらいの知識しか持ち合わしていません。

っで、起動時にこのウィルスが何をしているか
WindowsXPのネットワーク系のサービスにとり憑いたと考えられるウィルスがWindowsXPの起動とともに開始されるサービスによって活性化し、最初にフィッシングサイトの問い合わせプロトコルを行うのではないかと考えました。
そういう視点でログを見てみると、ウィルスはWindowsXPの起動直後に以下のような送信を行いカスペルスキーに拒否されています。

「ログA」
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 検知しました: findsproportal1.com/* データベース
http://findsproportal1.com/tdss2/crcmds/main Generic Host Process for Win32 Services 遮断しました: findsproportal1.com/* データベース

「ログB」
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 検知しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main 不明なアプリケーション 遮断しました: 64.69.33.135/* データベース

「ログC」
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 64.69.33.135/* データベース
http://64.69.33.135/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 64.69.33.135/* データベース

「ログD」
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: 70.86.6.246/* データベース
http://70.86.6.246/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: 70.86.6.246/* データベース

「ログE」
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 遮断しました: yournewsblog.net/* データベース
http://yournewsblog.net/tdss/crcmds/main Generic Host Process for Win32 Services 検知しました: yournewsblog.net/* データベース

64.69.33.135 = sbt3.superbuytires.com
70.86.6.246 = yournewsblog.net

「yournewsblog.net」は、ネットで検索すると「findsproportal1.com」と同列のサイトのようです。

ところが、「superbuytires.com」は車のタイヤを売っている普通のショッピングサイトに見えます。このサイトについてコメントしている日本のタイヤマニアもいます。どうもフィッシングサイトには見えません。だからこそ怪しいとも見えてしまいます。
一方、「sbt3.superbuytires.com」は、NSレコードではなくAレコードとして登録しているようです。

結局、このプロトコルの意味はわかりませんでした。

ただ、各サイトとも迷わず「tdss」または「tdss2」の「crdcmds」の「main」に向けてアクセスしています
システマティックな環境を想像させます。

2008年12月20日 15:37:08