2012年6月29日掲載

株式会社Doctor Web Pacific

Doctor Webは、国際物流サービスUPSからのメールを装いTrojan.Inject1.4969.を拡散する悪意のあるスパムについてユーザーの皆様に警告します。このマルウェアは情報を盗み、リモートサーバーから他のアプリケーションをダウンロードし、犯罪者から受け取ったコマンドを実行することが出来ます。

6月下旬、多くのユーザーがUPSからと思われるメールを受け取り、それらのメッセージには配送失敗に関する通知が含まれていました。メールに添付されたzipアーカイブにはMicrosoft Wordドキュメントのアイコンを持つ実行ファイルが含まれ、被害者はそのフォームに正しい配送先アドレスを入力するよう指示されます。よく知られたファイルタイプの拡張子を表示させないOSのオプションを有効にしているユーザーは、何の疑いもなく「ドキュメント」を開いてしまうことで悪意のあるプログラムを起動させてしまう可能性があります。

Trojan.Inject1.4969は、感染したシステム内で、自身をカレントユーザーのアプリケーションデータフォルダ内にコピーした後オリジナルファイルを削除し、また、アプリケーションの自動実行を司るレジストリブランチ内に自身を登録します。次に、explorer.exeを実行して自身のコードをプロセス内に挿入し、さらに、システム内で動作中の全てのプロセス内にもその挿入を試みます。悪意のあるコードがexplorer.exe、iexplore.exe、またはfirefox.exeプロセス内にコピーされると、そのコード内に保存されたアドレスを持つサーバーをコントロールするためにHTTP接続を確立します。リクエストの暗号化にはMS Windows CryptoAPIが使用されます。

Trojan.Inject1.4969は、カレントユーザーのプロファイルに関する情報を収集し、Mozilla FirefoxおよびInternet ExplorerのCookieを盗んで犯罪者に送信します。それによりユーザーアカウントが流出してしまう可能性があります。またこのトロイの木馬は、サーバーから受け取った、Windows shellへのリクエストのリダレクト、アプリケーションのダウンロード・実行などのコントロールコマンドを実行することが出来ます。さらに、感染したシステム内にある特定のディレクトリのコンテンツに関する情報やファイルを犯罪者に送信することも可能です。

2012年7月3日掲載

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは2011年9月よりWin32.Rmnet.12の監視を続けてきましたが、2012年6月、このボットネットに含まれる感染したホスト数が300万台を超えたことを確認しました。ファイルを感染させるWin32.Rmnet.12は、ポピュラーなFTPクライアントによって保存されたパスワードを盗み、バックドアとしても機能する為、重大な脅威となり得る危険性を孕んでいます。

2012年4月中旬Doctor Webは、ハッカーによって構築されたボットネットに含まれる、Win32.Rmnet.12に感染したコンピューター数が100万台を超えたことを報告しましたが、その後も感染数は着実に増加を続け、5月の終わりには250万台に達しました（5月のウイルス脅威）。さらに6月の末には320万台を記録しています。このボットネットの増加速度は比較的早く、Doctor Webによって監視されるコントロールサーバーには毎日5000～8000台の新たに感染したコンピューターが接続され、その数は15,000台に達する日もあります。下のグラフは6月におけるボット数の増加を表しています。

2012年7月5日掲載

株式会社Doctor Web Pacific

Doctor Webは、ウイルス・スパム・望ましくないコンテンツや盗難からモバイルデバイスを保護するDr.Web for Androidのバージョン7.0をリリースしました。新しいバージョンには、誤検知に関するレポートのDoctor Webへの送信や、Dr.Web Cloud Checkerなどの新たな機能がいくつか追加されました。

Dr.Web Cloud Checkerは、Androidブラウザ上で開かれたリンクを検査します。ユーザーがリンクをクリックするとそれらのリンクは、移動先のwebサイトが安全であるかどうか、また望ましくないサイトでないかどうかを確認するためのクラウドサービスへと自動的に送信されます。そのアドレスが、望ましくない、または悪意のあるサイトのデータベースに含まれていた場合、アクセスはブロックされます。

バージョン7.0に組み込まれたアンチシフトコンポーネントでは、サーバーからの解除コード送信先となるメールアドレスを指定することができ、また、この機能を無効にすることも可能になりました。誤検知に関する情報や疑わしいファイルをDoctor Webアンチウイルスラボに送信することも出来るようになりました。

Dr.Web for Android 7.0はDoctor Web公式サイトまたはGoogle Playからダウンロードすることが出来ます。既にインストールされているアンチウイルスをアップデートする場合、www.drweb.comからパッケージをダウンロードされたユーザーは、Dr.Web for Androidを再インストールする必要があります。Google Playからダウンロードされた場合、アップデートは自動的に行われます。前回のバージョンからアップグレードする場合は、アンチシフトの再設定が必要となります。

2012年7月11日掲載

株式会社Doctor Web Pacific

2012年の6月は、ウイルス活動の特別な活発化や大拡散は見られず、情報セキュリティの面においては比較的穏やかな月となりました。しかし、犯罪者は悪意のあるソフトウェアを拡散する為にメールの大量配信を実行し、Androidを狙った新たなトロイの木馬も登場しました。全体として、検出された脅威の数は僅かに減少したと言えますが、この傾向は長期休暇のある夏に良く見られる典型的なものでもあります。

ウイルス

Dr.Web CureIt!によって収集された統計によると、6月にユーザーのコンピューター上で最も多く検出されたマルウェアは先月と同様Trojan.Mayachok.1で、その検出件数は5月の3.73% （45,327件）から6月の5.82% （56,767 件）へと大幅に増加しています。トロイの木馬ダウンローダーの亜種の検出数もまた倍増し、Trojan.SMSSendの亜種も以前と同様頻繁に検出されています。一方で、Trojan.Carberpの亜種の検出割合は僅かに減少しました。以下のグラフは、Dr.Web CureIt!によって検出された最も一般的な脅威の割合を表しています。

メール経由で拡散される脅威に関しては、感染したコンピューター上に他の危険なアプリケーションをダウンロードするBackDoor.Andromeda.22（このバックドアファミリーのプログラムはリモートサーバーとの間で暗号化したデータのやり取りを行い、コマンドに応じて様々なファイルを感染したコンピューター上にダウンロードすることが出来ます）が他を引き離し、2位と3位にはトロイの木馬ダウンローダー、4位にはその大規模な拡散について最近の記事でも報告されたTrojan.Inject1.4969がつけています。Win32.HLLM.MyDoomワームやその他のWindowsブロッカーもまた、メールによって頻繁に拡散されています。

ボットネット

4月、Doctor WebはBackDoor.Flashback.39に感染した大量のMacコンピューターから成る史上最大規模のボットネットを発見しました。驚くべきことにこのボットネットは、ボットの数は徐々に減少しているものの、未だその活動を続けています。確認されたデータによると、ネットワークに接続された感染したMacの数は6月の初めの364,741台から同月の終わりには191,756台に減少し、24時間の間にBackDoor.Flashback.39ネットワークに新たに接続される感染したコンピューター数は平均25台と、こちらも非常に少なくなっています。下のグラフは2012年6月におけるBackDoor.Flashback.39 ボット数の推移を表しています。

このグラフから、BackDoor.Flashback.39に感染したアクティブなコンピューターの数は確実に減少傾向にあることが読み取れます。Macユーザーの方は、この脅威に対抗するため特別に設置されたhttps://www.drweb.com/flashbackにて、お使いのコンピューターが感染していないかどうかをチェックし、また駆除方法や脅威に関する詳細をご確認いただけます。

一方Win32.Rmnet.12ファイルインフェクターの場合状況は異なり、既に報告した通り、このボットネットに含まれるホスト数は300万台を超えています。地域的な拡散傾向にはほとんど変化は見られず、最も多く拡散している国は未だインドネシア、バングラデシュ、ベトナム、インド、エジプトとなっています。また、ロシアでも多くのコンピューターが感染しています。Win32.Rmnet.12の詳細についてはこちらの記事を参照してください。Win32.Rmnet.12ネットワークには1日平均9,000～150,000台の新しいボットが登録され、感染したコンピューターの合計台数を著しく増加させています。下のグラフは2012年6月におけるWin32.Rmnet.12ボットネットの増加状況を表しています。

同時に、その速度はやや劣るものの Win32.Rmnet.16ボットネットもまた増加を続けています。このマルウェアの亜種は主にイギリスおよびオーストラリアで拡散され、5月の末には84,491台だった感染したコンピューター数は、その後1か月の間に104,874台に増加しています。下のグラフではWin32.Rmnet.16の感染数の増加傾向を確認することが出来ます。

今月の脅威：Trojan.Hottrend

セキュリティエキスパートによってTinba（tiny banker）と名付けられた、最も小さいバンキングトロイの木馬が「今月の脅威」に選ばれました。このトロイの木馬はアセンブリ言語で書かれた僅か20KBという非常にコンパクトなマルウェアで、Trojan.HottrendとしてDr.Webウイルスデータベースに登録されています。なお、このトロイの木馬ファミリーの最初のレコードが同ウイルスデータベースに登録されたのは早くも2012年4月下旬のことでした。

このマルウェアの主要な目的は、インターネットトラフィックを監視し、重要な情報（バンキング情報など）を傍受して犯罪者に送信することにあります。また6月には、約80KBのTrojan.PWS.Banker.64540など、その他の種類の小さいバンキングトロイの木馬もいくつかDoctor Webのウイルスアナリストによって発見されています。このトロイの木馬に関する詳細はこちらの記事をご覧ください。また、Trojan.Hottrendの悪意のあるペイロードに関してはこちらを参照してください。

Androidを狙った脅威

Androidに対する新たな脅威は一定の割合で出現し続けています。6月には35個を超えるAndroid.SmsSendの亜種、およびモバイルデバイスに危害を加える可能性のあるその他いくつかの悪意のあるプログラムがウイルスデータベースに追加されました。また6月の後半には、感染したモバイルデバイス上のSMSを盗む Android.SpyEye.2.originトロイの木馬の拡散についての報告もありました。

6月の末には、スパムによって拡散されるAndroid.SmsBot.1.originがDr.Webウイルスデータベースに追加されました。この悪意のあるプログラムは非常に複雑なアルゴリズムを使用してTwitterアカウント名を作成し、そのアカウント名を介してコントロールサーバー名を入手します。コマンドセンターとの接続が確立されると、Android.SmsBot.1は感染したデバイスに関する情報を犯罪者に送信し、コマンドを受け取ってその実行に関するレポートを返すことが可能になります。このプログラムの主要な機能の1つは、ユーザーの許可無しにSMSを送信することです。このアプリケーションの目的は自動的な電話による投票であると指摘する匿名のユーザーもいますが（プログラム製作関係者であると思われます）、モバイルデバイスのユーザーに被害をもたらす危険性もあります。

6月にメールトラフィック内で検出されたマルウェアTop20

6月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年7月12日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web for Android 7.0のアップデートをリリースしました。今回のアップデートではプログラムの動作に関する欠陥が修正されました。

修正点の中でも特に、特定のCPUを使用するデバイス上でのファイルスのキャン中に発生する問題、およびアンチシフトコンポーネントの設定が保存されない原因となるバグが修正されました。

Dr.Web for Androidのユーザーであれば、アップデートは自動的に実行されます。デバイス上で自動アップデートが無効になっている場合はGoogle Playに行き、リストからDr.Web Anti-virusを選択して「アップデート」をクリックしてください。

Dr.Webのサイトからアップデートを行う場合は、新しいディストリビューションファイルをダウンロードする必要があります。

2012年7月18日掲載

株式会社Doctor Web Pacific

Doctor WebはDr.Web anti-virus for Windows、Dr.Web Security Space、Dr.Web anti-virus for Windows file serversのアップデートをリリースしました。発見された問題が修正され、Dr.Web Control Service および Dr.Web SpIDer Agentの動作が最適化されました。

特に、ユーザーモードと管理者モードを切り替えるための項目がメニュー内に表示されない問題が解決されました。また、アップデートソースへのパスを手動で指定することが出来るようになり、システム起動時におけるアンチウイルスの起動速度が向上しました。

アップデートはアンチウイルスによって自動的にダウンロードされますが、適用するにはシステムの再起動が必要です。

2012年7月27日掲載

株式会社Doctor Web Pacific

Doctor Webは、モバイルデバイスをマルウェアから保護するDr.Web for Android Lightのアップデートをリリースしました。今後はDr.Web for Android Lightを2つのバージョン－Android 2.0以降を対象とするものと、それよりも前のバージョンを対象とするもの－に分けて対応します。

今回のアップデートではアプリケーションの安定性が向上し、トルコ語が加わり、ipa（iOS）ファイルフォーマットにも対応するようになりました。また、ユーザーが解析のために疑わしいファイルをDoctor Webラボに送信する新しい機能が追加され、軽微なエラーが多数修正されました。

Dr.Web for Android Lightのアップデートは自動的に実行されます。デバイス上で自動アップデートが無効になっている場合はGoogle Playに行き、アプリケーションリストからDr.Webアンチウイルスを選択して「アップデート」をタップしてください。

Dr.Webのサイトからアップデートを行う場合は、新しいディストリビューションファイルをダウンロードする必要があります。

2012年7月27日掲載

株式会社Doctor Web Pacific

Doctor Webは、犯罪者が感染したコンピューターのコントロールを完全に掌握し、システムを動作不能な状態に陥らせることを可能にする、危険なクロスプラットフォームトロイの木馬についてユーザーの皆様に警告します。 BackDoor.DaVinci.1と名付けられたこの悪意のあるアプリケーションは、WindowsおよびMac OS Xの両方で動作します。また特にMac OS Xを標的としたバージョンでは、トロイの木馬のプロセスおよびファイルを隠ぺいするルートキットテクノロジーが初めて搭載されています。

BackDoor.DaVinci.1は、2003年に創設されたHackingTeam社によって開発・販売されています。この悪意のあるプログラムは、OS内にアプリケーションを隠ぺいするためのルートキットを使用するドライバなど、機能的モジュールを多数含んだマルチコンポーネントバックドアです。

BackDoor.DaVinci.1は、有効でないデジタル証明書による署名の付いたAdobeFlashPlayer.jarファイルとして拡散されています。7月23日、この署名付きアプレットが、ユーザーによって解析のためDoctor Webに送信されました。

このファイルはOSのタイプを判別し、感染したアプリケーションをシステム内に保存したのち起動させます。現時点においてDoctor Webのウイルスアナリストが入手しているトロイの木馬サンプルはWindowsおよびMac OS Xを標的としたものですが、モバイルプラットフォームを狙ったバージョンの存在も確認されています。

このマルウェアはモジュラー構造を持ち、メインバックドアコンポーネントには暗号化された設定ファイルおよびルートキットドライバが備わっています。これらのドライバによって、悪意のあるアプリケーションの存在が隠ぺいされます。モジュールの設定を含んだ同一の設定ファイルがトロイの木馬の全てのバージョンで使用されています。

犯罪者はBackDoor.DaVinci.1を使用して、感染したコンピューターに対する完全なコントロールを掌握することが可能です。さらにこのトロイの木馬は、感染したコンピューターに関する情報を保存して犯罪者に送信し、キーロガーとして動作し、スクリーンショットを撮り、電子メール・ICQ・Skypeのメッセージを傍受、コンピューターに接続されたマイクロフォンまたはビデオカメラによって記録されたデータを盗むことが出来ます。またこのバックドアは、アンチウイルスソフトウェアおよびファイアーウォールをすり抜けるためのツールを多数搭載しており、それによりシステム内で検知されることなく長期間活動することが可能です。興味深いことに、Mac OS X向けBackDoor.DaVinci.1は、そのファイルおよびプロセスを隠ぺいするルートキットテクノロジーを使用した、Mac OS Xを標的とするマルウェアとしては初めての例となりました。

HackingTeam社ではこの画期的製品を21世紀の武器と呼び、リモートコントロールおよびスパイ活動のソリューションとして販売しています。このトロイの木馬は、感染したコンピューター上のあらゆる情報を盗むだけでなく、システムを完全に乗っ取り動作不能な状態にする（そのコンポーネントを破損または削除するなどして）ことが可能であるという点で、ユーザーにとって重大な脅威となります。

「この悪意のあるアプリケーションは現代のあらゆるアンチウイルスプログラムに対抗することが可能である」というBackDoor.DaVinci.1の開発者による主張にも関わらず、Dr.Web for Windows および Dr.Web for Mac OS XはBackDoor.DaVinci.1の検出・駆除に成功しています。そのため、Dr.Webユーザーはこの脅威から確実に保護されています。

2012年7月31日掲載

株式会社Doctor Web Pacific

Doctor Webは、Webアドミニストレーターコンポーネントにおける深刻な脆弱性を閉じる、Dr.Web Enterprise Security Suite向けパッチをリリースしました。

フィックスをインストールする方法は以下のとおりです。

1. フィックスパッケージをダウンロードします。 2. Dr.Web Enterprise Serverが動作しているコンピューターの\\webmin\esuite\administration\（はDr.Web Enterprise Serverのインストールパスです）ディレクトリ内にあるaudit.dsファイルを、ダウンロードしたアーカイブ内のaudit.dsと置き換えてください。

注意：システム内にDr.Web Agentがインストールされている場合、パッチを適用する前にDr.Web SelfPROtectを無効にしておく必要があります。また、置き換えるaudit.dsファイルのバックアップを作成しておくことを推奨します。ステップ2でDr.Web SelfPROtectを無効にした場合は、ファイルの置き換え後に有効にしてください。

2012年7月31日掲載

株式会社Doctor Web Pacific

Doctor Webは、Trojan.Yaryar.1マルウェアについてユーザーの皆様に警告します。このトロイの木馬の特徴は、Windows APIを使用せず直接NTFSにアクセスすることを可能にする、そのビルトインルーチンにあります。またこのマルウェアは、デバッグおよび分析用ソフトウェアを検出するためのツールを豊富に備えています。

このトロイの木馬の拡散方法は未だ明らかになっていませんが、システム内でのその動作については詳細な解析が行われています。この悪意のあるプログラムは、ドロッパーおよびダウンローダーの2つのモジュールで構成され、それらのモジュールはいずれもC++言語で書かれています。Trojan.Yaryar.1は、自身のルーチンを使用してNTFSファイルにアクセスすることが出来るという点において、他のダウンローダートロイの木馬と一線を画しています。ドロッパーは、ダウンローダーコンポーネントをdllファイルとしてランダムな名前でディスク上に保存し、cryptsvc.dllファイル内に自身のコードを挿入することでそのロードを試みます。

Trojan.Yaryar.1には、デバッグおよび分析のためのプログラムを探し出す強力なツールが搭載されており、システム内にそのようなプログラムが存在した場合には自身をコンピューター上から削除するようになっています。起動されると、このトロイの木馬はデバッグの権限取得を試み、spoolsv.exeプロセス内に自身のコードを挿入しようとします。次に、自動更新およびWindowsファイアーウォールを無効にし、感染したコンピューター上に他のファイルをダウンロードして実行するために、リモートサーバーとの接続を確立します。

Trojan.Yaryar.1のシグネチャは既にDr.Webウイルスデータベースに加えられていますが、最新のアンチウイルスソフトウェアがコンピューター上にインストールされていないユーザーにとっては、このトロイの木馬は脅威と成り得るでしょう。

2012年8月1日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web Light for Mac OS X 6.0のアップデートをリリースしました。アップデートされた製品には、悪意のあるオブジェクトを検出・駆除する為の最先端テクノロジーが組み込まれたDr.Web Virus Finding Engineの最新バージョンが搭載されています。

発見されたエラーが修正され、それによりアンチウイルスの安定性および使いやすさが向上しました。また、スキャン中にスクリーンセーバーが起動しないという問題が修正され、日本語のヘルプが加わりました。

Mac App StoreからDr.Web Light for Mac OS X をダウンロードした場合、アップデートは自動的に実行されます。www.free.drweb.co.jpから入手した場合は、アップデートされたディストリビューションをダウンロードする必要があります。

2012年8月2日掲載

株式会社Doctor Web Pacific

Doctor Webは、Android搭載のモバイルデバイスを攻撃する新たなトロイの木馬の出現についてユーザーの皆様に警告します。その悪意のある機能はアダルトアプリケーション内に潜み、ユーザーのアドレス帳を検索してそれらのアドレスに対し悪意のあるメールを送信します。

Android.MailSteal.1の拡散には日本語のスパムメールが使用され、特定のwebサイト上で見ることの出来るアダルトコンテンツの画像が添付されています。提示されるリンクはメールによって若干の違いがありますが、いずれも同一のポータルに誘導するものです。コンピューターまたはモバイルデバイス上でそれらのサイトを開くとアクセスエラーが生じますが、Android搭載ブラウザはダウンロードを完了してしまいます。このことから、犯罪者の標的はAndroidを搭載したモバイルデバイスの所有者であるということが分かります。

ダウンロードされるwebページはGoogle Playのインターフェースを模倣しており、この手口は、様々な悪意のあるアプリケーションの製作者によって度々使用されるものです。

ユーザーが提供されているプログラムの1つをインストールしようとすると、livewall1.apkというソフトウェアパッケージをダウンロードするサーバーへリダレクトされます。このアプリケーションの持つ機能の中にはアドレス帳の読み取り権限があり、これによってユーザーの警戒心を強めるどころかむしろ緩めることが出来ると考えられます。

アプリケーションが起動されると、モバイルデバイス上には操作可能な日本のアニメキャラクターのアダルト画像が表示されます。同時に、気付かぬうちにユーザーのアドレス帳が検索され、その内容がリモートサーバーへ送信されます。それらのアドレスは後に、大量スパム配信などに利用される可能性があります。

今回の攻撃は日本のユーザーを標的としていますが、この先同様の手口が他の国々においても使用される可能性は否定できません。ユーザーの皆様には、スパムメッセージに含まれたリンクは無視し、疑わしいアプリケーションをインストールしないことを推奨します。

2012年8月6日掲載

株式会社Doctor Web Pacific

Doctor Webは、Trojan.ArchiveLock.2と名付けられたマルチコンポーネントランサムウェアの大規模な拡散についてユーザーの皆様に警告します。このトロイの木馬はWinRARアーカイバを使用して、ファイルへのユーザーのアクセスを不可能にします。Doctor Webのアナリストは、この種類のトロイの木馬に感染したファイルを解凍するためのパスワードを復元する方法を編み出しました。

Trojan.ArchiveLock.2はPureBasicで書かれており、システム内に侵入するとその動作を停止させて画面上に犯罪者の要求を表示させます。

次に、暗号化アプリケーションをシステムフォルダ内に置きます。installまたはiオプションで起動されると、この暗号化プログラムがシステムサービスとしてインストールされます。ファイル名およびサービスの記述は、トロイの木馬のバージョンによって異なります。

システムサービスとして起動された暗号化モジュールは多数のファイルを作成し、そのいくつかは設定データ、設定ファイル・ログ・実行ファイルへのパス、感染したコンピューターに関する情報を保存するために使用されます。特に、OSのバージョン、ロケール、動作中のアプリケーションによって開かれたウィンドウのタイトル、Windowsの起動モード（またはセーフモード）に関する情報を保存し、その後ごみ箱を空にし、暗号化されたファイル及び削除されたファイルのリストを作成します。まず最初に、バックアップであると思われるファイルが削除されます。次に、Trojan.ArchiveLock.2は特別なルーチンを使用してパスワードのリストを作成し、前述のリスト上にあるファイルをパスワード保護されたSFXアーカイブ内に置くためにWinRARを起動させます。 Trojan.ArchiveLock.2は100を超える種類のファイルを暗号化することが可能です。オリジナルのファイルはSysinternals SDeleteによって繰り返し上書きされ削除されるため、復元することが出来なくなります。アーカイブを保護するパスワードには、ハードディスクのシリアル番号を使用して作成された容易なものもあれば、50個を超える記号を使用した特別なものもあります。暗号化されたファイルの名前もまた、特定のパターンに応じて変更されます。例えば、画像ファイルpicture.jpgを含んだアーカイブはpicture.jpg(!! to decrypt email id 12345678 to sec****@gmail.com !!).exeという名前になります。

また、Trojan.ArchiveLock.2には復号モジュールも備わっており、ユーザーが正しいパスワードを入力した際には圧縮されたファイルが復元されます。

Dr.Webアンチウイルスソフトウェアのデータベースにはこのトロイの木馬のシグネチャが既に加えられているため、Dr.Web Anti-virus または Dr.Web Security Spaceをご利用のユーザーにとってTrojan.ArchiveLock.2は危険なものではありません。さらにDoctor Webのアナリストは、このトロイの木馬によって暗号化されたファイルを高い確率で復元させる特別な方法を編み出しています。万一Trojan.ArchiveLock.2によってファイルが暗号化されてしまった場合は、カテゴリで修復依頼を選択した上でチケットを提出してください。ファイルの削除やOSの再インストールは行わないようにしてください。ファイルの複合化が出来なくなってしまう可能性があります。

2012年8月10日掲載

株式会社Doctor Web Pacific

Doctor Webは、シングルユーザー向けDr.Web Anti-virus、Dr.Web Security Space6.0および7.0、Dr.Web Desktop Security Suite、Dr.Web Server Security Suite、Dr.Web Mail Security Suite、Dr.Web Gateway Security Suite、Dr.Web CureIt!およびDr.Web CureNet!、Dr.Web LiveCD/LiveUSBに含まれるDr.Web Virus Finding Engineをバージョン7.0.3にアップデートしました。

今回のアップデートでは、スキャンエンジンファイルにVeriSignデジタル署名が加わり、コンポーネントのパフォーマンス及び安定性が向上しました。また、レポートモードが選択されている際に、感染したファイルのいくつかに対してアクションを適用してしまうバグが修正されました。

アップデートは自動的にダウンロード・インストールされます。

2012年8月14日掲載

株式会社Doctor Web Pacific

2012年7月は、ブロッカートロイの木馬に感染するシステムが増加する一方で、最も大規模なボットネットの1つBackDoor.Blackenergyが遮断されたことにより、スパムトラフィックは著しく減少しました。7月の末、Doctor WebはBackDoor.DaVinci.1と名付けられた、Microsoft WindowsおよびMac OS Xの両方を標的とするクロスプラットフォームトロイの木馬を発見しました。このトロイの木馬には、ルートキットテクノロジーを用いてMac OS X内で自身のプロセスおよびファイルを隠ぺいするという、他には見られない特徴があります。

ウイルス

Dr.Web CureIt!によって収集された統計によると、7月に最も多く検出された脅威はTrojan.Mayachok.1で、6月と比べ18.5%の増加が見られました。この悪意のあるプログラムの主な目的は、特定のサイトへのアクセスをブロックし、ユーザーを有料サービスに登録させることです。この手のトロイの木馬は犯罪者達の間で根強い人気を保っていることから、非常に割のいい手法であることが分かります。

検出数ではTrojan.SMSSendプログラムが2位につけ、統計全体におけるそのパーセンテージもまた顕著に増加しています。一方、Trojan.Carberpの検出数には36%の減少が見られました。また、Trojan.Hostsプログラムおよび悪意のあるダウンローダーも頻繁に検出されています。下の表は、2012年7月にホームコンピューター上でDr.Web CureIt!によって最も多く検出された脅威のリストです。

ブロックされたシステムアクセスに関するサポートへの問い合わせ件数は6月末から7月の初めにかけて減少しましたが、7月の後半にはWinlockによる感染件数に若干の増加が見られました。下のチャートは、7月にDoctor Webテクニカルサポートに寄せられた、同種の問い合わせ件数を表しています。

悪意のあるスパム

史上最大規模のボットネットの1つ（BackDoor.Blackenergy）が遮断されたことで、スパムトラフィック量は大幅に減少しました。電子メールの添付ファイル内で検出されたマルウェアの中で最も多かったのはBackDoor.Andromeda.22で、次点がTrojan.Necurs.21、3位にはTrojan.Oficla.zipがつけています。また、ダウンローダートロイの木馬やTrojan.Winlockマルウェアも多く検出されています（全体の約0.7%）。BackDoor.Andromeda.22の検出件数に僅かな増加が見られ、一方で電子メールワームファミリーWin32.HLLM.MyDoomは減少しましたが、7月に検出されたプログラムのリストに関しては特に大きな変化は見られませんでした。さらに7月には、6月に活発な拡散が見られたTrojan.AVKillプログラムがメールサーバーマルウェア統計上から文字通り姿を消しました。

ボットネット

2012年4月には800,000台を超えるMac OS X搭載コンピューターから構成されていた最大規模のボットネット、BackDoor.Flashback.39に含まれるボットの数は着実に減少を続けています。7月の初めには約200,000台だったネットワーク内のボット数は、月末には148,492台まで減少しています。しかしながら、BackDoor.Flashback.39を駆除する為のOSアップデートのリリースやMac OS X用アンチウイルスソフトウェア、および多彩なツールが様々な企業によって提供されているにも関わらず、また現在ではその数は1日に3、4台を超えないものの、新たに感染したMacが未だにボットネットに加わり続けています。下のグラフは、2012年7月におけるBackDoor.Flashback.39ボット数の推移を表しています。

一方でWin32.Rmnet.12ボットネットは拡大を続け、以前のニュースでも公表したとおり、2012年6月には感染したコンピューター数が300万台を超えました。Win32.Rmnet.12に含まれるボット数は7月の間にさらに481,779台増加し、その合計は3,773,969台に達しました。Win32.Rmnet.12は、自身を複製することの出来るファイルインフェクターであり、ロードされたwebページにコンテンツを埋め込む（webインジェクション）よう設計されています。さらに、ユーザーをフィッシングサイトへリダレクトし、Cookieファイルを盗み、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗みます。また、バックドアとしての機能を実行し、OSの削除を含む様々なコマンドを実行することも可能です。下のグラフは、2012年7月におけるWin32.Rmnet.12ボット数の推移を表しています。

Win32.Rmnet.16ボットネットに関しても同様の現象が見られ、それほど急激ではないにしろ、やはり拡大を続けています。7月には感染したコンピューター数が約50,000台増加し、154,818台に達しました。ボット数の推移を表したグラフを以下に示します。

ネットワークに接続されるコンピューター数は1日に650～2,500台と、その増加率は一定ではありません。

7月の初め、Doctor Webは製薬会社のデータを狙うBackDoor.Dandeボットネットの拡大についてユーザーの皆様に警告しました。このトロイの木馬は医薬品の注文に使用されるクライアントアプリケーションから情報を盗みます。また、電子医薬品受発注ソフトウェアを搭載したコンピューター上でのみ動作することから、BackDoor.Dandeボットネットに含まれているコンピューターの大半は、薬局または製薬会社で使用されているものであると推測されます。2012年7月の初めには感染したコンピューター数は2,857台で、そのうち2,788台（98.5%）がロシアのものでした。

7月の末においてもボット数に変化は見られず、現在その拡大率はほとんど0に近いものとなっています。

今月の脅威：BackDoor.DaVinci.1

7月23日、Doctor Webアンチウイルスラボにマルウェアのサンプルが送られ、解析の結果、機能的モジュール（OS内にアプリケーションを隠ぺいするためのルートキットを使用するドライバなど）を多数含んだマルチコンポーネントバックドアであることが判明しました。

BackDoor.DaVinci.1は、有効でないデジタル証明書による署名の付いたAdobeFlashPlayer.jarファイルとして拡散されています。

このファイルはOSのタイプを判別し、感染したアプリケーションをシステム内に保存したのち起動させます。現時点においてDoctor Webのウイルスアナリストが入手しているトロイの木馬サンプルはWindowsおよびMac OS Xを標的としたものですが、モバイルプラットフォームを狙ったバージョンの存在も確認されています。

このマルウェアはモジュラー構造を持ち、メインバックドアコンポーネントには暗号化された設定ファイルおよびルートキットドライバが備わっています。これらのドライバによって、悪意のあるアプリケーションの存在が隠ぺいされます。モジュールの設定を含んだ同一の設定ファイルがトロイの木馬の全てのバージョンで使用されています。

犯罪者はBackDoor.DaVinci.1を使用して、感染したコンピューターに対する完全なコントロールを掌握することが可能です。さらにこのトロイの木馬は、感染したコンピューターに関する情報を保存して犯罪者に送信し、キーロガーとして動作し、スクリーンショットを撮り、電子メール・ICQ・Skypeのメッセージを傍受、コンピューターに接続されたマイクロフォンまたはビデオカメラによって記録されたデータを盗むことが出来ます。またこのバックドアは、アンチウイルスソフトウェアおよびファイアーウォールをすり抜けるためのツールを多数搭載しており、それによりシステム内で検知されることなく長期間活動することが可能です。興味深いことに、Mac OS X向けBackDoor.DaVinci.1は、そのファイルおよびプロセスを隠ぺいするルートキットテクノロジーを使用した、Mac OS Xを標的とするマルウェアとしては初めての例となりました。

Androidに対する脅威

7月には、Androidを狙った新たな悪意のあるプログラムがいくつか検出されています。 7月の初旬、Google Playを介して配信されている悪意のあるアプリケーションが複数、Doctor Webのウイルスアナリストによって発見されました。入手可能な統計によると、それらのプログラムのダウンロード回数は18,000回を超えています。

また、同じくGoogle Playを介して配信され、潜在的に危険であると判断されたアプリケーション「Find and Call」（Program.Fidall.origin.1）がウイルスデータベースに加えられました。この悪意のあるプログラムには、Apple Store からダウンロード可能な、iOSを標的としたバージョン（IPhoneOS.Fidall.1）も存在します。

「Find and Call」は、効率的なコミュニケーションツールとして配信されていました。起動されると、認証手続きを行ってメールアドレスを入力するようユーザーに要求します。ユーザーが同意してしまうと、デバイス上にある連絡先情報が「Find and Call」によってリモートサーバーに送信されます。次にサーバーは、このアプリケーションのインストールを勧める内容のSMSを全ての連絡先に対して送信します。その際、デバイスの所有者を送信者として表示させます。

7月の末には、モバイルデバイス上にある電話帳内のアドレスを盗むAndroid.MailSteal.1も検出されました。

また、Android.GongfuおよびAndroid.SmsSendの新たな亜種のシグネチャもいくつかウイルスデータベースに追加されました。

7月のその他の脅威

7月の後半には、Trojan.Yaryar.1と名付けられたトロイの木馬ダウンローダーが出現しました。このトロイの木馬は、デバッグおよび分析用ソフトウェアを検出するためのツールを多数備えています。また、Windows APIではなく自身のルーチンを使用して直接NTFSにアクセスすることが出来るという点において、同種のマルウェアと一線を画しています。

7月にメールトラフィック内で検出されたマルウェアTop20

7月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年8月24日掲載

株式会社Doctor Web Pacific

Doctor Webは、LinuxおよびMac OS X上で動作する初のクロスプラットフォームバックドアの出現についてユーザーの皆様に警告します。この悪意のあるプログラムは、人気のあるアプリケーションからパスワードを盗みます。また、このBackDoor.Wirenet.1は前述の両OS上で同時に動作することが出来る初のトロイの木馬でもあります。

BackDoor.Wirenet.1という名前でDr.Webウイルスデータベースに追加されたこのトロイの木馬の拡散方法については未だ解明されていません。この悪意のあるプログラムはLinuxおよびMac OS Xの両OS上で動作可能なバックドアです。BackDoor.Wirenet.1は起動されるとユーザーのホームディレクトリ内に自身のコピーを作成し、また、212.7.208.65にあるコマンドサーバーと連携するために特別な暗号化アルゴリズムAdvanced Encryption Standard (AES)を使用します。

BackDoor.Wirenet.1はキーロガーとしても動作し、キーボートから入力された内容を記録し犯罪者に送信します。さらに、Opera、Firefox、Chrome、Chromiumのブラウザ上でユーザーが入力したパスワードや、Thunderbird、SeaMonkey、Pidginなどのアプリケーションからのパスワードを盗みます。Doctor Webのアンチウイルスソフトウェアはこのバックドアの検出・駆除に成功しており、Dr.Web for Mac OS XおよびDr.Web for Linuxをご利用のユーザーにとっては、この脅威は危険なものではありません。

2012年9月12日掲載

株式会社Doctor Web Pacific

セキュリティ企業FireEye社は8月26日、Java Runtime Environmentバージョン1.7xに深刻な脆弱性（CVE-2012-4681）が発見されたことを公表しました。Oracleによってセキュリティパッチがリリースされたのは8月の30日になってからであったため、この脆弱性は少なくとも4日間残ることとなり、犯罪者達の恰好の的となりました。Doctor Webは、Trojan.Rodricterを含むいくつかの悪意のあるソフトウェアが、本脆弱性を悪用して拡散されたものであることを確認しました。

犯罪者はマルウェアを拡散するために、改ざんされた.htaccessファイルを含んだ悪質なWebサイトを利用しました。ページコードに埋め込まれた悪意のあるスクリプトがリダレクトの連鎖を引き起こし、標的とされたコンピューターのOSによって異なる最終的なアドレスへとユーザーを誘導します。Windowsユーザーは、様々なエクスプロイトなどのコードを含むページにリダレクトされます。リダレクト先のサーバーアドレスが1時間ごとに変更されていたという点は注目に値するでしょう。

ブラウザにロードされるWebページには、2つの脆弱性CVE-2012-1723及びCVE-2012-4681を悪用したコードが含まれています。埋め込まれたエクスプロイトはJava Runtimeのバージョンによって異なり、バージョン7.05及び7.06ではセキュリティメカニズムをすり抜けるために脆弱性CVE-2012-4681が利用されていました。

脆弱性の悪用に成功すると、Javaアプレットは、実行ファイルをダウンロード及び起動するための“class”ファイルを復号化します。この手法はTrojan.Rodricter.21の拡散に使用されていました。

Trojan.Rodricter.21はルートキットテクノロジーを搭載し、複数のコンポーネントで構成されています。感染したコンピューター上で実行されると、システム内にアンチウイルスソフトウェアやデバッガが存在するかどうかを確認し、自身の権限昇格を試みます。その手段として、特にOSに存在する脆弱性が悪用される可能性があります。また、システム内でUACが使用されていた場合はそれを無効にします。以後の動作は獲得した権限によって異なり、ディスク上に自身のメインコンポーネントを保存した後、十分な権限を得ている場合は、その主要なモジュールを感染したシステム内に隠ぺいするためWindows標準ドライバの1つを感染させます。以上のことから、Trojan.Rodricter.21はルートキットトロイの木馬として分類することが出来ます。その上、このマルウェアはInternet Explorer及びMozilla Firefoxの設定を変更することも可能で、後者の場合、追加の検索エンジンプラグインを\searchplugins\フォルダ内にインストールし、ユーザーエージェント（User-Agent）を置き換え、デフォルトの検索エンジンを変更してしまいます。その結果、感染したシステムから送信される検索クエリは全て http://findgala.com/?&uid=%d&&q={search query} のようになります（% dはトロイの木馬のユニークな識別子です）。Trojan.Rodricter.21はまた、犯罪者の管理するWebサイトのアドレスをhostsファイルに追加します。

Trojan.Rodricter.21のメインモジュールは実行ファイルとして一時ファイル内に保存され、ユーザーのトラフィック内に任意のコンテンツを挿入します。

この脅威のシグネチャは既にDr.Webアンチウイルスソフトウェア及びDr.Web CureIt!ユーティリティのデータベースに加えられています。ユーザーの皆様には、最新のセキュリティアップデート、特にJava Runtime Environmentのアップデートをインストールしておくことを強く推奨します。

2012年9月12日掲載

株式会社Doctor Web Pacific

夏最後の月である8月、予想に違わず、ウイルス製作者及びインターネット詐欺師達の活動は目に見えて活発化しました。有料アーカイブ詐欺を実行する犯罪者達は、自らの「製品」にTrojan.Mayachok.1などの悪意のあるソフトウェアを組み込み始めました。7月と比較すると、Doctor Webのアナリストによって発見された新たな脅威の数は僅かに増加しています。

ウイルス

Dr.Web CureIt! によって収集された統計によると、2012年8月にコンピューター上で最も多く検出された悪意のあるソフトウェアは引き続きTrojan.Mayachok.1で、その検出数は先月に比べ6.5%増加しています。Trojan.SMSSendとしてDr.Webアンチウイルスソフトウェアによって検出されている偽のインストーラーに Trojan.Mayachok.1が組み込まれ始めたことがその要因として挙げられるでしょう。 Trojan.Mayachok.1に大きく引き離されてはいるものの、感染したコンピューター上でリモートサーバーからのコマンドを実行し様々なアプリケーションをダウンロード・実行するBackDoor.Butirat.91が2位につけています。検出頻度は Trojan.Mayachok.1との間に87.1%の差がありますが、BackDoor.Butirat.91に感染したコンピューター数の合計は先月に比べ41.8%増加しています。

Trojan.SMSSendプログラムの検出数には変化は見られませんでした。しかし、最近まで比較的害のないものと思われていたこの種のトロイの木馬が、システムセキュリティにとって深刻な脅威となっている点に注意する必要があります。 Trojan.SMSSendマルウェアファミリーは、人気のあるアプリケーションのインストールウィザードを模倣したアーカイブファイルを含んでいます。ユーザーがプログラムを起動してしまうと、コードを受け取るために有料SMSを送信するか又は携帯番号を入力するよう促され、続いてそのコードを入力することで有料サービスに登録されてしまいます。また、お金を払って入手したにも関わらず、アーカイブには目的のものは含まれていません。

しかしながら、騙されやすいインターネットユーザーの数は次第に減少し、それと同時に「偽インストーラービジネス」も衰退傾向にあるように見受けられます。偽のインストーラーを配信するプログラムの製作元ZIPPROが、アーカイブファイルを開くシステム内にTrojan.Mayachok.1などの悪意のあるソフトウェアをインストールするようになった理由はそこにあると考えられます。この手法の危険な点は、例えユーザーがインストールを中断しても、偽のインストーラーが起動した時点で既にシステムは感染してしまっているという事実にあります。

下の表は、2012年8月にDr.Web CureIt!によってユーザーのコンピューター上で最も多く検出された脅威のリストです。

メールトラフィック内で検出されたマルウェアでは BackDoor.Andromeda.22が最も多く、2位及び3位はそれぞれTrojan.Oficla.zip 、 Trojan.Necurs.21となっています。又、 Win32.HLLM.MyDoom.54464、Win32.HLLM.MyDoom.33808、Win32.HLLM.Netsky.35328も多数検出されています。

ボットネット

Backdoor.Flashback.39に感染したコンピューターによって構成される、史上最大規模のMacボットネットの発見から4か月以上が経過したにも関わらず、その終息について報告を行うのはまだ先のことになりそうです。現在ボットネットに含まれているホスト数は126,781台で、7月の終わりと比較すると21,711台減少していますが、全体として、BackDoor.Flashback.39ボットネットの減少率には顕著な鈍化が見られます（8月までの1か月間には、ネットワーク内のコンピューター数は76,524台減っています）。

Win32.Rmnet.12ボットネットのノードは8月の間に400万を超え、感染したコンピューター数は4,351,349台に達しました。この危険なファイルインフェクターはその拡散速度を全く緩めていないと言うことが出来ます。7月に480,000台の感染したシステムがネットワークに加わり、8月には約500,000台の感染したホストがネットに接続しています。下の表は、Win32.Rmnet.12ネットワークの拡大を表しています。

このプログラムは主に東南アジアに置かれたシステムを標的としており、最も多く感染が確認された国はインドネシア、バングラデシュ、ベトナム、インドとなっています。ロシアでは、現時点において105,268台の感染したコンピューターが発見されており、全体の2.4%を占めています。

Win32.Rmnet.16ボットネットもまた、以前ほどの急激さはないにしろ、徐々に拡大を続けています。8月には約67,000台の感染したコンピューターがボットネットに加わり、ボット数の合計は222,300台となっています。1日の平均感染ホスト数は約1,500～2,000台でしたが、8月の終わりにはその数に著しい減少が見られました。下の表は、Win32.Rmnet.16に感染したコンピューター数の推移を表しています。

Win32.Rmnet.12と同様のファイルインフェクターであるWin32.Rmnet.16ですが、いくつかの際立った特徴を持っています。例えば、サーバーアドレス自体は特別なアルゴリズムに応じて生成されますが、 Win32.Rmnet.16はコントロールサーバーIPアドレスの署名にデジタル署名を使用します。このマルウェアはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。また、一般に広く普及しているアンチウイルスプログラムのプロセスを停止させることが可能であり、このことが Win32.Rmnet.16をさらに危険なものにしています。

このウイルスに感染したシステムの大半はイギリス（72.1%）及びオーストラリア（24.9%）のものでした。 Win32.Rmnet.16に感染したシステムの国別分布を以下に示します。

Javaの深刻な脆弱性

8月26日、セキュリティ企業FireEye社は、Java Runtime Environmentバージョン1.7xに深刻な脆弱性（CVE-2012-4681）が発見されたことを公表し、その他のアンチウイルスソフトウェアデベロッパーが後に続きました。その翌日には、犯罪者達の間で広く流通しているBlackHole Exploit Kit内に、この脆弱性を悪用するエクスプロイトが出現しています。Oracleによってセキュリティパッチがリリースされたのは8月の30日になってからであったため、この脆弱性は少なくとも4日間残ることとなり、犯罪者達の恰好の的となりました。

Doctor Webのアナリストはこのケースに関して独自の調査を行い、マルウェアを拡散するWebサイトへのユーザーのリダレクトにTDS（Traffic Direction System）が使用されていることを明らかにしました。また、確認されているケースの1つでは、マルウェアを拡散するリソースへユーザーをリダレクトするために、犯罪者は侵入したサイト上の.htaccessファイルを改ざんしています。最終的なリダレクト先のアドレスは特別なスクリプトによって作成され、1時間ごとに変更されていました。この最終的なURLは標的とされたコンピューターのOSによって異なり、Mac OS Xのユーザーは whichBackDoor.Flashback.39をダウンロードするサイト（このサイトは現在稼働していません）へ、モバイルデバイス及びLinuxのユーザーは検索エンジンFind and Goのページへ、またWindowsユーザーは様々なエクスプロイトを実行させるコードを含んだページへと飛ばされます。

現在この脆弱性は、検索エンジンの検索結果ページを模倣してサイトのヒット件数を増加させるTrojan.Rodricter.21 を拡散するために悪用されています。また、Trojan.DownLoader6.29607を拡散するサイトへユーザーをリダレクトするケースも確認されています。

このようなJava脆弱性の悪用は重大な脅威であり、深刻な被害を引き起こす可能性が危惧されます。ユーザーの皆様には、最新のセキュリティアップデート、特にJava Runtime Environmentのアップデートをインストールしておくことを強く推奨します。

Androidに対する脅威

8月にはGoogle Androidを狙った脅威が数多く見られ、記録的な数のサイトがモバイルプラットフォーム向け悪意のあるプログラムを拡散するサイトへと改変されました。犯罪者は、ページを開いたユーザーが、Android.SmsSendを拡散する悪質なサイトへとリダレクトされるようwebサイトの設定を変更しています。

Android.SmsSend.186.originは、8月に発見されたもう1つのAndroid向けマルウェアです。他の多くのAndroid.SmsSendファミリーとは異なり、このトロイの木馬は特別なドロッパーによってモバイルデバイス上にダウンロードされます。さらにもう1つの際立った特徴として、削除の試行に対して抵抗することが出来るという機能を持っています。

8月にDr.Webデータベースに追加されたAndroid向け脅威の中にはAndroid.Luckycat.1.originがあります。このAndroid.Luckycat.1.originは、ユーザー情報（デバイスIMEI、携帯番号、保存されたファイルなど）を盗んで犯罪者のサーバーへ送信し、その上、犯罪者から受け取ったコマンドを実行することが出来ます。悪名高いZeus/SpyEyeマルウェアファミリーに関連した、モバイルプラットフォーム向けの悪意のあるプログラムのグループも発見されました。これらはトロイの木馬で、パスワードを盗むよう設計されています。Android向けのバージョンはとして、BlackBerry向けのバージョンBlackBerry.Panda.1、BlackBerry.Panda.2及びBlackBerry.Panda.3としてデータベースに加えられています。

また8月には、Android向けトロイの木馬ダウンローダーも発見されAndroid.DownLoader.5.originと名付けられました。さらに、日本では多くのAndroidユーザーのデバイス上にトロイの木馬が拡散され、ユーザーは大量のスパム攻撃を受けました。最後に、8月には多くの商用スパイウェアアプリケーションが発見され、Dr.Webウイルスデータベースに加えられました。そのようなプログラムの中にはAndroid、Symbian、iOS向けのFinSpyも含まれています。

今月の脅威：Trojan.Mayachok.17516

8月に検出されたマルウェアの中で最も目を引くのは、広く拡散され比較的危険な悪意のあるプログラムTrojan.Mayachokの新たな亜種Trojan.Mayachok.17516でしょう。この悪意のあるプログラムはドロッパーによって、ダイナミックライブラリとしてシステム内に侵入します。実行可能ファイルであるドロッパーは、ライブラリを解凍した上でディスクにコピーします。システム内でUAC (User Accounts Control)が有効になっていた場合、ドロッパーは自身をflash_player_update_1_12.exeとして一時フォルダにコピーし実行します。

実行に成功すると、実行ファイルはトロイの木馬のコードを含んだライブラリファイルを解凍し、ランダムな名前を付けてシステムフォルダ内にコピーします。このライブラリには32ビット及び64ビットのバージョンがあります。次に、ドロッパーはライブラリのエントリをレジストリに加えてコンピューターを再起動させます。

Trojan.Mayachok.17516は主な機能として、実行ファイルをダウンロード・実行し、また悪意のあるタスクを実行するためにwebブラウザ機能を使用します。Trojan.Mayachok.17516はexplorer.exeプロセスを悪用して密かにブラウザを立ち上げ、特定のサイトのヒット件数を増加させます。リモートコマンドサーバーとの通信や、設定ファイル及びアップデートのダウンロードには感染したsvchost.exeプロセスが利用されます。犯罪者は、OSのバージョンやインストールされているブラウザなどの、感染したコンピューターに関する情報を受け取ります。

8月のその他の脅威

8月の後半、IRCプロトコル経由で犯罪者と通信を行う BackDoor.IRC.Codex.1プログラムが検出されました。このマルウェアは様々なアプリケーションをリモートサーバーからダウンロードし、感染したコンピューター上で実行することが出来ます。また、DDoS攻撃を実行し、ユーザーがwebフォームに入力したデータを犯罪者に送信し、ポピュラーなFTPクライアントによって保存されたパスワードを盗みます。

危険なトロイの木馬および偽のソフトウェアインストーラーの拡散に関して行われた調査の結果、偽のインストーラーを設計した犯罪者が同時に、感染したシステム内へのその他の悪質なアプリケーションのインストールを助けるためのTrojan.Ziproと呼ばれる特別な悪意のあるプログラムをも開発していたことが判明しました。

8月24日Doctor Webは、Linux 及び Mac OS Xの両OS上でパスワードを盗むよう設計されたクロスプラットフォームTrojan BackDoor.Wirenet.1の出現について報告しました。開発者はこのソフトウェアをスパイウェアとして販売しており、また、Solaris及びMicrosoft Windows向けのバージョンの存在も確認されています。

8月にメールトラフィック内で検出されたマルウェアTop20

8月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年9月20日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web 7.0 for Androidのアップデートをリリースしました。今回のアップデートでは、モバイルデバイスのセキュリティ及びプログラムの使いやすさを向上させるための改良がいくつか加えられました。

Dr.Web for Androidがマルウェアを検出した際に、それらの脅威が新しい種類のものであるか又は既知のプログラムの亜種であるかをユーザーに対して報告するようになり、ウイルスラボには既知のものは送信されず、新たな亜種のみが送信されるようになりました。また、カスタムスキャン後に脅威のリスト上に表示されたファイルも解析のためDoctor Webに送信できるようになりました。

サポートされるアーカイブのフォーマットも増え続けていますが、今回はAppleの.IPAフォーマットが加わりました。

アンチシフトモジュールに重要な変更が加わりました。Gmailだけでなくあらゆるメールアカウントをアクティベーションとして使用することが可能になり、ユーザーは入力中のパスワードを表示させることが出来るようになりました。またライセンス失効時には、アンチシフトが有効になった状態でもプログラムを削除することが可能になりました。

Dr.Web for Androidのアップデート及びライセンス更新がより簡単になりました。Doctor Webのサイトから製品をダウンロードしたユーザーは利用可能な新しいリリースについての通知を受け取り、Google Play上で利用可能なバージョンでは有効なシリアル番号を入力しライセンスキーをダウンロードすることができます。

ユーザーインターフェースに若干の変更が加わり、またトルコ語にも対応するようになりました。アプリケーションの安定性が向上しました。

Dr.Web for Android 7.0はDoctor Web公式サイトまたはGoogle Playからダウンロードすることができます。公式サイトからパッケージをダウンロードしたユーザーはDr.Web for Androidを再インストールする必要があります。Google Playからダウンロードした場合は自動的にアップデートされます。

2012年9月21日掲載

株式会社Doctor Web Pacific

「ユーザーのコンピューター上で最も多く検出された脅威」の2位をここ数か月の間連続で占めているのはトロイの木馬BackDoor.Butirat.91です。Doctor Webのスペシャリストはこの脅威について解析を行い、その結果をここに報告します。

BackDoor.Butirat.91は、感染したコンピューター上で実行ファイルをダウンロード・起動し、ポピュラーなFTPクライアントからパスワードを盗むことの出来るバックドアトロイの木馬です。このことは、一般的なユーザーにとって、あらゆる種類の機密データが流出し犯罪者などの手に渡ってしまう危険性、及び自らのコンピューターをコントロールすることが出来なくなってしまう危険性を孕んでいます。

この悪意のあるプログラムは起動時にWindowsシステムレジストリにアクセスし、自身のコピーが存在するかどうかを確認します。感染したコンピューター上に既にBackDoor.Butirat.91が存在した場合、インストールプロセスは開始されません。インストールが開始された場合、BackDoor.Butirat.91はシステムファイル内に自身のコピーを作成し、レジストリに変更を加えてWindows起動時に自身が自動実行されるようにします。

このトロイの木馬は、悪意のあるアプリケーションの置かれている同一フォルダ内にある特別なファイルをデータウェアハウスとして使用します。起動後トロイの木馬は、暗号化されたディレクティブを入手するため犯罪者のサーバーに接続します。BackDoor.Butirat.91の主な機能の1つは、FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなどのポピュラーなFTPクライアントからパスワードを盗み、犯罪者へ送信することです。また、リモートホストから実行可能ファイルをダウンロードして起動することができ、webページのアクセスカウンターの数字を不正操作することが可能です。犯罪者によって指定された悪意のあるファイルのダウンロードは60秒間隔で3回まで試行されます。

Dr.Webウイルスデータベースには当該脅威のシグネチャが既に加えられているため、Doctor Web製品をお使いのユーザーにとってBackDoor.Butirat.91は重大な脅威ではありません。しかしながら、その拡散規模を考慮し、念のためウイルススキャナ又は修復ユーティリティDr.Web CureIt!でお使いのコンピューターをチェックしておくことを推奨します。