【詳細情報】Windowsのシステムファイルを置き換えるLastdoorトロイの木馬

◆概要：
　Lastdoorは新種のバックドアタイプのトロイの木馬で、デフォルトでポート16322を使ってリモート攻撃者と通信する。Lastdoorのサイズは495キロバイトで、一般的に電子メールやネットワーク、取り外し可能な媒体、IRC、その他のファイル共有媒体を介して他のコンピューターに拡散する。

　Lastdoorが実行されると、WindowsのSystemディレクトリーに自己コピーを「Rundll32.exe」というファイル名で作成しようと試みる。これにより、このディレクトリーに元々正しいRundll32.exeファイルが存在した場合、それを上書きする。当該トロイの木馬の作成するファイルは、この置き換えられた元の正しい.exeファイルと同じアイコンを使用している。

　一旦インストールされると、LastdoorはWindows 起動時にトロイの木馬を起動するようWindowsのリジストリを次のように修正する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Rundll32=C:Windows DirectorySystem
DirectoryRundll32.exe

　メモリーで実行されると、デフォルトでポート16322を介して通信を試みるが、リモート攻撃者との通信が確立されると攻撃者がそのコンピューターにリモートでバックドアアクセスを実行して制御することが可能となる。

◆情報ソース：
・iDEFENSE Intelligence Operations, Sept. 06, 2002
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/backdoor.lastdoor.html) , Sept. 06, 2002

◆キーワード：
　Trojan: Backdoor

◆分析：
　（iDEFENSE 米国）Rundll32.exeは、Windows 95、98、およびMe OSの場合、通常Windowsディレクトリーに存在する。ところが、Windows NT、2000、XPの場合はRundll32.exeがWindows Systemディレクトリーにあるため、Lastdoorによって上書きされてしまう。

◆検知方法：
　Windows のSystem ディレクトリーにサイズが495KBあるRundll32.exeのコピーがないかどうか確認する。Windows 95、98、Me OSであっても、このファイルがWindows Systemディレクトリーにある場合は、この悪意のあるプログラムに関連している可能性が高い。その他のWindows OSの場合も、Rundll32.exeが悪意のあるものかどうか確認する。正しいRundll32.exeファイルは、通常Windows Systemディレクトリー内にあり、サイズは約10,000バイトある。

◆リカバリー方法：
　Lastdoorに関連しているすべてのファイルとWindows リジストリキーを削除し、破壊・破損したファイルを、クリーンなバックアップコピーで修復する。全ての通信を監視および管理するにはファイアウォールを使って、リモート攻撃者によってインストールされた悪意のあるプログラムを完全にカットする。将来の攻撃に備えてパスワードを変更し、コンピューターのセキュリティを強固にする。

◆暫定処置：
　全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。ファイアウォールを使って全ての通信をモニタリングして管理する。

◆ベンダー情報：
　現在、シマンテック社のアンチウイルスソフトウェアでこの新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:39 GMT、09、08、2002】