【詳細情報】Windowsのシステムファイルを置き換えるLastdoorトロイの木馬 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

【詳細情報】Windowsのシステムファイルを置き換えるLastdoorトロイの木馬

国際 海外情報

◆概要:
 Lastdoorは新種のバックドアタイプのトロイの木馬で、デフォルトでポート16322を使ってリモート攻撃者と通信する。Lastdoorのサイズは495キロバイトで、一般的に電子メールやネットワーク、取り外し可能な媒体、IRC、その他のファイル共有媒体を介して他のコンピューターに拡散する。

 Lastdoorが実行されると、WindowsのSystemディレクトリーに自己コピーを「Rundll32.exe」というファイル名で作成しようと試みる。これにより、このディレクトリーに元々正しいRundll32.exeファイルが存在した場合、それを上書きする。当該トロイの木馬の作成するファイルは、この置き換えられた元の正しい.exeファイルと同じアイコンを使用している。

 一旦インストールされると、LastdoorはWindows 起動時にトロイの木馬を起動するようWindowsのリジストリを次のように修正する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Rundll32=C:Windows DirectorySystem
DirectoryRundll32.exe

 メモリーで実行されると、デフォルトでポート16322を介して通信を試みるが、 リモート攻撃者との通信が確立されると攻撃者がそのコンピューターにリモートでバックドアアクセスを実行して制御することが可能となる。


◆情報ソース:
・iDEFENSE Intelligence Operations, Sept. 06, 2002
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/backdoor.lastdoor.html) , Sept. 06, 2002

◆キーワード:
 Trojan: Backdoor

◆分析:
 (iDEFENSE 米国)Rundll32.exeは、Windows 95、98、およびMe OSの場合、通常Windowsディレクトリーに存在する。ところが、Windows NT、2000、XPの場合はRundll32.exeがWindows Systemディレクトリーにあるため、Lastdoorによって上書きされてしまう。

◆検知方法:
 Windows のSystem ディレクトリーにサイズが495KBあるRundll32.exeのコピーがないかどうか確認する。Windows 95、98、Me OSであっても、このファイルがWindows Systemディレクトリーにある場合は、この悪意のあるプログラムに関連している可能性が高い。その他のWindows OSの場合も、Rundll32.exeが悪意のあるものかどうか確認する。正しいRundll32.exeファイルは、通常Windows Systemディレクトリー内にあり、サイズは約10,000バイトある。

◆リカバリー方法:
 Lastdoorに関連しているすべてのファイルとWindows リジストリキーを削除し、 破壊・破損したファイルを、クリーンなバックアップコピーで修復する。全ての通信を監視および管理するにはファイアウォールを使って、リモート攻撃者によってインストールされた悪意のあるプログラムを完全にカットする。将来の攻撃に備えてパスワードを変更し、コンピューターのセキュリティを強固にする。

◆暫定処置:
 全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。ファイアウォールを使って全ての通信をモニタリングして管理する。

◆ベンダー情報:
 現在、シマンテック社のアンチウイルスソフトウェアでこの新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【18:39 GMT、09、08、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×