ルートキット機能を持つTDSSウイルス駆除ツール

　「TDSS」はWindowsパソコン向けのトロイの木馬型ウイルスです。別名は「Alureon」「Tidserv」「Olmarik」「TDL3→TDL4」。開発にはロシア人が携わってるとされていて、2011年時点でも開発が継続されてるようです。システムの根幹部分からやられてしまうので、単なる駆除では済まなくなります。

　セキュリティ対策ソフトでは検出・駆除・修復できない場合があるので専用スキャンツールが用意されてます。ただ、これらのツールは攻撃者も当然ながら知ってる存在なので、駆除されないよう利用を妨害される場合があります。（起動できず使えないない）

TDSSKiller ≪日本語ページ≫ by Kaspersky	TDSS/TDL4 Removal Tool by BitDefender
Backdoor.Tidserv Removal Tool ≪日本語ページ≫ by Symantec	EOlmarikRemover/EOlmarikTdl4Cleaner by ESET
aswMBR by AVAST Software	Dr.Web CureIt! by Doctor Web
F-Secure BlackLight by F-Secure	-----

• ルートキット以外の一般的なウイルスに感染してる可能性があるので、簡易的なウイルス駆除ツール（無料）も念のため走らせてください。
• 「Norton Power Eraser」（ノートン パワーイレイサー） は使わないでください。TDSSによって改ざんされた（パソコンの動作に必要な）正規ファイルまで駆除されてしまいます。

　「TDSS」ウイルスには、セキュリティ対策ソフトの検知から逃れるため、他のウイルスにはない極めて強力なステルス型ルートキット機能を持っています。自分自身の感染の形跡を隠すため、Windowsのシステムドライバとしてブートセクタ部分を改ざんし居座ります。過去に、このウイルスに感染したパソコンがマイクロソフト配信のパッチと衝突しトラブルを起こしたこともあります。
・ MS10-015での再起動やブルースクリーンは、マルウェアが原因 （Microsoft 日本のセキュリティチーム ブログ）

◇ 主なウイルス検出名
　現実的には亜種にやられてしまうので、感染後にセキュリティソフト・ウイルス対策ソフトの通常のスキャンを行っても何も見つからない場合があります。感染前の同じ状態への完全な復旧は困難で、基本的に感染がなかったことにするにはパソコンを購入した段階に戻すリカバリ・初期化しかありません。運よく検知できても、システムのドライバとして動いてしまってるため駆除できません。

• Avira ： TR/TDss
• avast! ： Win32:Alureon
• ESET ： Win32/Olmarik
• Kaspersky ： Rootkit.Win32.TDSS, Trojan.Win32.TDSS → TDL-4：最高位のボット
• McAfee ： TDSS
• Microsoft ： Alureon （Trojan:Win32/Alureon）
• Symantec ： Backdoor.Tidserv ← テクニカルノートにこのルートキットの背景
• Trend Micro ： BKDR_TDSS, TROJ_TDSS

◇ ウイルスの主な挙動
　どのような挙動を行うかは攻撃者の気分次第ですが、基本的にお金を不正に稼ぐ手段としてよく利用されてます。たとえば、「Google Redirect Virus」（グーグル・リダイレクト・ウイルス）という挙動が有名で、駆除削除方法を調べようとする感染者の行動パターンから検索エンジンにヒットしたページをクリックしても特定のクリック型広告サイトへ強制リダイレクトさせて報酬を発生させるというものです。システムの根幹部分がやられる結果として、パソコンを起動してもWindowsが立ち上がらなくなる場合もあります。また、ボットネット機能を持ってるので、感染したパソコンを攻撃者の制御下に置いてゾンビパソコンと化することもできます。マイクロソフトの報告によると、この乗っ取られたパソコンの規模は2010年第2四半期の時点で世界で２番目としてます。

• 検索エンジンの改ざん
  ... Google、Yahoo!、Bingの検索結果で報酬獲得目的の広告サイトへ強制転送 （Google Redirect Virus）
• 広告ポップアップの表示
• セキュリティソフト・ウイルス対策ソフトの起動不能、更新不能
• マイクロソフトやセキュリティソフト・ウイルス対策ソフトの公式サイトへのアクセス不能
• 更なる別のウイルスのダウンロードや起動