64ビットAlureonルートキット感染を検出する方法

Alureon、またはTDL、TLD3、およびTidservは、64ビットWindows PCに感染できる最初のルートキットです。それ以前は、32ビットシステムのみがルートキットの影響を受けていました。多くのWindowsユーザーは、2月にMicrosoftパッチMS10-015が感染マシンにブルースクリーンを表示させることに気付きました。それは明らかに当時のMicrosoftのせいではなく、それは最初に専門家とユーザーの両方が最初に想定したものでした。いくつかの調査の結果、TLD3ルートキットがその動作の原因であることが判明しました。

それ以降、ルートキットの開発者はそれを大幅に改善し、64ビットのWindowsシステムに感染する機能を追加することに成功しました。これは最初のことであり、セキュリティベンダーはその傾向に憂慮しています。

しかし、これらの攻撃の作者は休んでいません。わずか1か月前に、感染したドライバーではなく、マスターブートレコード(MBR)に感染する新しいバージョンのAlureonが見つかりました。この新しい亜種は64ビットマシンに影響を与えませんでしたが、仮想ファイルシステムの一部としてldr64と呼ばれる不活性ファイルがありました。最近、Windows Vista以降を実行している64ビットマシンに感染し、64ビットWindows XPおよびServer 2003マシンを起動できないようにする更新された亜種を発見しました。

多くのセキュリティ企業は、セキュリティアプリケーションに64ビットバリアントの検出をすでに追加しています。たとえば、Microsoftは、8月の初めにMicrosoft Security Essentialsに署名を追加しました。

それでも、Windows 64ビットの所有者は、ルートキットがオペレーティングシステムにインストールされていないことを自分で確認したい場合があります。上記の情報が示唆するように、Windows XPおよびWindows Server 2003の所有者は、オペレーティングシステムが起動に失敗するため、何かが間違っていることにすぐに気づくでしょう。 Windows VistaまたはWindows 7 64ビットユーザーは、この先をお読みください。

これには少なくとも2つのオプションがあり、すべてオペレーティングシステムにすでに含まれているツールを使用します。

Windows-Rでコマンドプロンプトを開き、cmdと入力します。

コマンドを使用する diskpart Diskpartを新しいコマンドラインウィンドウで開きます。

入る 言う 新しいプロンプトで、それが空のままの場合、コンピューターはルートキットに感染しています。ディスクが表示される場合は表示されません。

良い

windows 64 bit rootkit detection
Windows 64ビットルートキットの検出

悪い

diskpart
diskpart

64ビットルートキットを検出する2番目のオプションは次のとおりです。[コンピューターの管理]ウィンドウから[ディスクの管理]を起動します。

ディスクが表示されない場合は、システムがルートキットに感染していることを意味します。ディスクが表示される場合は、すべて問題ありません。

感染したシステム

al64-2
al64-2

追加情報は、 Technet そして シマンテック

システムが感染している場合にルートキットを削除する方法:

いくつかのプログラムは、ルートキットを削除してMBRを修復できるため、修復後にシステムが正常に起動します。

たとえば、Hitman Pro Beta 112以降ではそれが可能です。