Google Redirect Virus とは? TDSSルートキット感染

 Google検索でヒットしたページをクリックすると、まったく無関係なサイト(広告ページ)にリダイレクトする挙動。よくGoogle Redirect Virus(グーグル・リダイレクト・ウイルス)と呼ばれる現象で、「TDSS」「TDL3」「Alureon」「Tidserv」などと名づけられたルートキット型トロイの木馬ウイルスの感染で見られる症状としてよく知られてます。

 このウイルスがどのように使われるかは、「ノートン」でおなじみのセキュリティ会社シマンテックのページが詳しいです。パソコンを乗っ取って制御下に置くことも可能なようです。リダイレクト現象も攻撃者があらかじめ指定したページを強制表示させることで収益を得ることが可能なんですな。海外製なので、Yahoo! JAPAN (yahoo.co.jp)では起こりません。

この脅威は、ユーザーのブラウザ操作を常時監視します。次のようなポピュラーな検索エンジンの文字列を含む要求 URL を監視します。

  • google.com
  • yahoo.com ←
  • bing.com
  • ~以下略~

このような URL を特定すると、URL から「q=」や「query=」などのパラメータを抽出しようと試みます。また、HTTP 要求をブロックまたはリダイレクトします。
この脅威は、URL を送信して C&C サーバーをクエリーする可能性があります。C&C サーバーは、この脅威に対して、応答に JavaScript を挿入してブラウザを別のページにリダイレクトしたり、Web ブラウザの「進む/戻る」ステップ、または別のページへの HTTP 302 リダイレクトを初期化するなどのさまざまな操作を実行するように指示する可能性があります。

駆除ツール
 ひとたびこのウイルスにやられると、既存のウイルス対策ソフトは役に立たない場合が多いです。システムの根幹であるブートセクタ部分を改ざんしてステルス型ルートキットとして自分自身を隠ぺいする機能があるためなんですな。

How to remove Google Redirects or the TDSS, TDL3, or Alureon rootkit using TDSSKiller

投稿日: 2011/04/02 | カテゴリー: 未分類 | パーマリンク コメントする.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中