テクニカルサポート > Virus Information Center > 2006年公開情報リスト > Win32.alureon_family
Win32.Alureon_Family
| タイプ: |
トロイの木馬 |
| カテゴリ: |
Win32 |
| または: |
Win32.Alureon, Win32/Alureon!generic |
|
説明
Alueron は、任意のファイルをダウンロードおよび実行する、虚偽の Web ページを表示してブラウザをハイジャックする、また、感染したユーザが人気のあるサーチ エンジンで検索したことを報告することができるさまざまなコンポーネントを持つトロイの木馬群です。
感染方法
Auron の亜種は、さまざまな方法で自身のインストールを行います。 いくつかの亜種は、任意のファイル名を使用して、自身のコピーを %System% ディレクトリにコピーし、オリジナルの実行ファイルは削除します。 そして、コードは Explorer.exe および IExplore.exe プロセスに埋め込まれます。また、トロイの木馬が Windows の起動時に実行されるように、レジストリ キーが生成されます。以下がその例です。
ファイル名 : %System%\hgqhp.exe
レジストリの改変 : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\hgqhp.exe = "%System%\hgqhp.exe"
Alueron の亜種の中には、 DLL ファイルを %System% ディレクトリに埋め込むものもあります。以下がその例です。
%System%\spher.dll
そして、それがロードされるようにレジストリを改変します。
HKCR\CLSID\{CLSID}\(Default) = "IE SP2 AddOn"
HKCR\CLSID\{CLSID}\InprocServer32\(Default) = "%System%\spher.dll"
HKCR\CLSID\{CLSID}\InprocServer32\ThreadingModel = "Apartment"
注 : 「 %System% 」は可変ロケーションです。 悪意のプログラムはオペレーティング システムを検索し、現行の System フォルダのロケーションを調べます。 System ディレクトリのデフォルト インストール先は、 Windows 2000 および NT では C:\Winnt\System32 、 95/98/ME では C:\Windows\System 、 XP では C:\Windows\System32 になります。
トップに戻る
ペイロード
任意のファイルのダウンロードおよび実行
Alueron は、以下の悪意のプログラムの亜種を含むファイルをダウンロードおよび実行する命令を取得するために特定の IP アドレスに接続します。
Win32/SillyDl
Win32/DlStwoyle
Win32/Qhosts
Win32/Bloon
Win32/Lospad
接続する IP アドレスの例は以下の通りです。
195.95.218.100
85.255.115.186
195.95.218.99
69.50.190.131
69.50.161.11
69.50.161.7
DNS 設定の変更
亜種によっては、以下のファイルを変更し、 DNS 設定を変更します。
%AppData%\Microsoft\Network\Connections\Pbk\rasphone.pbk
以下の行が変更されます。
IpDnsAddress=< 変更された DNS>
IpDns2Address=< 変更された DNS>
その後、以下のレジストリ エントリを検索し、ダイヤルアップ アダプタへの参照をチェックします。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters
見つかると、参照したキーの値「 NameServer 」を改変して、アダプタの DNS サーバを変更します。以下がその例です。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ {CLSID}\ NameServer = "< 変更された DNS>,< 変更された DNS>"
トロイの木馬は、オペレーティング システム依存の変更を加えた後、設定がすぐに適用されるよう、以下のコマンドを実行します。
"ipconfig.exe /flushdns"
'ipconfig.exe /registerdns"
"ipconfig.exe /dnsflush"
"ipconfig.exe /renew"
"ipconfig.exe /renew_all"
DNS サーバは、ドメイン名のリストを持っており、対応する IP アドレスにマッピングします。 ユーザがあるドメインを要求すると、ユーザのマシンは DNS を検索し、 DNS から対応する数値、すなわち IP アドレスが返ってきます(例えば、「 ca.com 」を要求した場合、これに対応する「 155.35.248.73 」が返ってきます)。 攻撃者は、間違ったマッピングをする DNS サーバにユーザの要求を転送します。そのため、ユーザがその DNS にあるドメインを要求した場合、ユーザを他のサイトに誘導することができるようになります。 例えば、ユーザがインターネット バンキング サイトの URL をブラウザに入力すると、知らないうちに、まったく違う IP アドレスの偽のサイトに転送されることがあります。また、 DNS サーバの変更によって、アクセスしたサイトを追跡される場合があります。
Internet Explorer のホーム ページ設定の変更
トロイの木馬は、ユーザの Internet Explorer のホームページを変更し、ブラウザの起動時にそのページを表示する場合があります。 Alureon が表示する Web ページの例は以下の通りです。
トロイの木馬は、通常使用される検索語のリストを含む、「検索」ページを表示し、ユーザがその語をクリックした場合またはボックス内にテキストを入力し検索ボタンを押した場合、この情報をドメインに送信し、ユーザを他のサイトへ転送します。
ユーザ情報の追跡
また、 Alueron の亜種は人気のあるサーチ エンジンへの接続を監視することで、ユーザの検索情報を追跡します。 ユーザが検索をすると、検索された内容についての情報、使用されたサーチ エンジン、固有の識別子がリモートのマシンに送信されます。
Analysis by Raymond Roberts
駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順
シグネチャ:
駆除手順 : 最新の e Trust Antivirus シグネチャ ファイルをダウンロードおよび適用します。 e Trust Antivirus のローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。
これらの e Trust Antivirus 6.x/v7 機能の詳細については、製品のヘルプ画面を参照するか、 SupportConnect にアクセスしてください。
Windows ME および XP をご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順
シグネチャ:
駆除手順 : 最新の e Trust Antivirus シグネチャ ファイルをダウンロードおよび適用します。 e Trust Antivirus のローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。
これらの e Trust Antivirus 6.x/v7 機能の詳細については、製品のヘルプ画面を参照するか、 SupportConnect にアクセスしてください。
Windows ME および XP をご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
このセキュリティ脅威は、最新のシグネチャ更新で検出されました。 |
|
|
* InoculateIT および eTrust InoculateIT 6.0 に対する更新を含みます。
|
