2012年10月2日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web for Linux、Dr.Web for Unix file servers、Dr.Web for Internet gateways Unix、Dr.Web for Novell Storage Services 6.0.2のアップデートを公表しました。今回のアップデートでは既知のエラーが修正され、製品の信頼性および安定性が向上しました。

Dr.Web anti-virus for Linuxを集中管理モードで動作させた際に発生していたエラーが修正されました。

また、統計を収集する際に起こるDr.Web for Unix file serversの動作エラーも修正され、設定ファイルのパーシングに関する製品の問題も解決されました。

Dr.Web for Internet gateways Unixのwebインターフェースに若干の変更が加えられました。

Dr.Web for Novell Storage Servicesに関しては、Dr.Web Enterprise Security Suite Control CenterとAgent間におけるインタラクションのルーチンに改良が加えられました。脅威を駆除する際に発生する可能性のある問題が解決されました。

レジストリを使用して製品をインストールされた場合、お使いのOSの手順に従ってアップデートを行って下さい。ユニバーサルパッケージを使用してインストールされた場合は、アップデートされたディストリビューションをダウンロードし、アプリケーションを再インストールして下さい。

2012年10月4日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Webアンチウイルス、Dr.Web Security Space、Dr.Web for Windows file servers（Control Centerの含まれていない）のアップデートをリリースしました。今回のアップデートではファイアーウォール、Scanner、Scanning Engine service、Dr.Web SpIDer Agent、Dr.Web Net Filter for Windows、Dr.Web Anti-rootkit API ライブラリなどのコンポーネントに改良が加えられました。

Dr.Webファイアーウォールに大きな変更が加えられました。パッケージフィルタ作成およびルール編集ウィンドウのUIに変更が加えられ、その他UIに関する問題が解決されました。また、" 1度許可する" 及び " 1度禁止する"ルールがアプリケーションのセッション全体に適用されるようになりました。

アップデートされたウイルススキャナでは、アンチルートキットスキャンの一時停止と中止、及び検出された脅威の一覧上でオブジェクトのグループを種類別に選択することが可能になりました。感染した電子メールファイルに対する削除オプションが使用出来なくなり（隔離または無視を選択できます）、また、確認されたエラーが修正されました。

Scanning Engine serviceには、そのパフォーマンスを向上させるための修正がいくつか加えられ、特に、Windowsの東アジア諸国向けバージョンで発生する可能性のある問題が解決されました。セルフプロテクションドライバの信頼性および安定性が向上しました。

アップデートされたDr.Web Net Filter for Windowsもまた、向上した安定性を誇ります。Dr.Web Anti-rootkitライブラリが改良され、Dr.Web Control Service 及び Dr.Web SpIDer Gateの問題が修正されました。共有ネットワークミラーフォルダからアンチウイルスのアップデートを実行できないというエラーが修正されました。

アップデートはアンチウイルスによって自動的にダウンロードされますが、適用するにはシステムの再起動が必要です。

2012年10月5日掲載

株式会社Doctor Web Pacific

Doctor Webは、Trojan.Mayachok.17727としてDr.Webウイルスデータベースに追加された、 Trojan.Mayachokの危険な新たなバージョンについてユーザーの皆様に警告します。

8月には最も多く検出された脅威の1位を占めていた Trojan.Mayachok.1ですが、9月の初旬以降その感染数に著しい減少が見られることがDoctor Webのスペシャリストによって示されました。その減少率は極めて大きく、8月の後半と比較すると、感染したコンピューター数の合計は31%減少しています。下のチャートは、その推移を表しています。

Doctor Webのアナリストは、このような変化はTrojan.Mayachokの最初のバージョンの代わりになると思われる新たな亜種の出現と関係があるとしています。Trojan.Mayachok.17727と名付けられたこの新しいバージョンは大幅に変更されたコードを持ち、さらに重要なことに、以前にも増してユーザーに気付かれにくくなるよう設計されたソリューションを用いています。例えば、ドロッパーTrojan.Mayachok.17727は感染のプロセスでコンピューターを再起動させず、また、被害者に気付かれることなくインストールされます。

このトロイの木馬はドロッパー、及び悪意のある主な機能を実装したダイナミックリンクライブラリの2つのコンポーネントで構成されています。ドロッパーは%MYDOCUMENTS%ディレクトリ内にIntMayakという名前のフォルダを作成し、その中にトロイの木馬のライブラリ及びそれらをシステム内に登録する為のREGファイルを一時的に保存します。次にドロッパーは、コンピューターメモリ内で起動されたexplorer.exeのプロセスを探し、そこに悪意のあるコードを挿入します。このコードを使用し、トロイの木馬は悪意のあるライブラリのコピーをexplorer.exeプロセスとしてシステムディレクトリ% SYSTEM32%内に保存します。また、Trojan.Mayachok.17727はレジストリエディタを使用して、全てのプロセス内での悪意のあるライブラリの起動に関与するレジストリブランチを変更し、REGファイルをインポートします。さらに、ドロッパーは一時ファイル及びIntMayakフォルダそのものを削除し、その侵入形跡を隠ぺいする為にCookieファイルを削除しMicrosoft Internet Explorerブラウザのキャッシュをクリアします。

悪意のあるライブラリは、Microsoft Internet Explorer、Opera、 Mozilla Firefox、 Google Chromeブラウザに対応しています。Trojan.Mayachok.17727はその動作の過程で、ユーザーの閲覧したWebページに挿入されたスクリプトやその他のパラメータ、管理サーバーのリストを含んだ暗号化された設定ファイルをディスク上に書き込みます。

Trojan.Mayachok.1とは異なり、このトロイの木馬のコードには大きな変更が加えられています。感染したシステム内に仮想化ソリューションが存在するかどうかの確認を行わなくなり、対応するプロセス数およびそれらの名前を比較するメカニズムが変更され、設定ファイルの整合性を検証する機能が無くなりました。Trojan.MayachokはVBR （Volume Boot Record）を感染させるテクニックを用いる最初のトロイの木馬の1つですが、このテクニックはTrojan.Mayachok製作者によって開発されたものではなく、他のウイルス製作者から買われたものであることが後に判明しました。例えば、同様のコードがバンキングトロイの木馬 Trojan.Carberp内でも発見されています。

2012年10月5日掲載

株式会社Doctor Web Pacific

Doctor Webは、感染したコンピューターによるボットネットの構成に関わるBackDoor.BlackEnergyの新たな亜種を発見しました。このトロイの木馬は、現在議論を醸している映画のタイトルである“Innocence of Muslims（イノセンス・オブ・ムスリムズ）”を件名に含むメールと共に拡散され、今回標的とされたのはウクライナの政府機関でした。BackDoor.BlackEnergyに感染したコンピューターは、犯罪者によって大量のスパム配信やDDoS攻撃の実行、及びその他の違法行為に利用される可能性があります。

マルチコンポーネントであるBackDoor.BlackEnergyは、最近まで、最も大規模なスパムボットネットの1つを構成するために使用されており、そのピーク時には1日のスパムメッセージ数は180億にものぼりました。いくつかの企業およびセキュリティエキスパートの尽力により、2012年7月、感染したコンピューターの多くをコントロールしていたボットネットの管理サーバーが遮断され、その結果世界中のスパムトラフィックに減少が見られました。しかしながら、小規模なボットネット管理サーバーがアクティブなままであったことから、BackDoor.BlackEnergyの完全な活動停止には至りませんでした。このトロイの木馬の新たなバージョンの登場によって、これらゾンビコンピューターネットワークの作成者達がボットネットのかつての威光を取り戻そうとしていることが分かります。

BackDoor.BlackEnergy.18としてDr.Webウイルスデータベースに加えられたこの新たな亜種は、Microsoft Wordドキュメントが添付された電子メールによって拡散されました。興味深いのは、これらのメールが外務省や在アメリカ合衆国ウクライナ大使館などのウクライナ政府機関に対して送信されているという点です。

上の画像は、世界中で抗議デモを引き起こし、既に死者をも出している問題の映画“Innocence of Muslims”がホットなトピックとして利用されていることを示しています。

Dr.Web アンチウイルスソフトによってExploit.CVE2012-0158.14として検出された、メールに添付されたドキュメントには、ActiveXコンポーネント（このコンポーネントはWord及びその他Microsoft Windows向け製品によって使用されます）の1つにおける脆弱性を悪用するコードが含まれています。ドキュメントを開こうとすると、一時ディレクトリ内に« WinWord.exe»、«Невинность мусульман.doc»という名前で2つのファイルが保存されます。1つ目のファイルは、システムカタログ内にそのドライバをインストールするためのBackDoor.BlackEnergy.18トロイの木馬ドロッパーです。

起動されると、ドロッパーは保存された2つ目のファイルを開きます。このファイルは通常のMicrosoft Wordドキュメントであり、被害者の希望する内容を含むことで、ユーザーが疑惑を抱くことのないようになっています。

Бэкдоры семейства BackDoor.BlackEnergy

BackDoor.BlackEnergyファミリーは、個別にダウンロード可能なプラグインによる悪意のある活動を実行する、モジュラー型トロイの木馬です。この点に関して、新しい亜種は従来のものと変わりません。このトロイの木馬は、その動作に、194.28.172.58にある管理サーバーから受け取ったxml形式の特別な設定ファイルを使用します。このファイルに従い、BackDoor.BlackEnergy.18 は以下のモジュールを実行することが可能です。

Windows向けのモジュールに加え、Intel プロセッサ32-bitのLinux上で動作するELF実行ファイルであるプラグインも発見されています。

Linux上でコンパイルされたプラグインでは、設定ファイル内で最初のバージョンが指定されており、また管理サーバーに関する情報が含まれていません。Windowsを標的としたバージョンのロードリスト内にそれらの情報が含まれているのは、設計者のミスによるものであると推測されます。Doctor Webのスペシャリストは、このトロイの木馬のLinux向けバージョンは特別なドロッパーによって拡散されていると考えています。

このトロイの木馬のシグネチャは既にDr.Webのウイルスデータベースに追加されているため、Doctor Web製品をお使いのユーザーにとっては重大な脅威ではありません。

2012年10月10日掲載

株式会社Doctor Web Pacific

Doctor Webは、集中管理に対応しているDr.Web Desktop Security Suite及びDr.Web Server Security Suiteに含まれるコンポーネントのアップデートを公表しました。今回のアップデートによって、Dr.Web Enterprise Security Suite製品のパフォーマンス並びに安定性が大きく向上しました。

新しいバージョンのファイアーウォールには、変更の加わったUIやアップデートされたドライバ、シングルユーザー向けアンチウイルスに実装されているあらゆる最先端の機能が組み込まれています。ウイルススキャナの新バージョンは高速でのスキャンを誇り、マルチスレッドスキャンにも対応しています。さらに、スキャナには新しいGUIが搭載されました。また、Dr.Web Enterprise Security Suite AgentにはDr.Web Net Filtering Service及びDr.Web Net Filter driver for Windowsが組み込まれました。これらは、LSPスタック経由でトラフィックを監視するという以前のものと置き換えられる新しいテクノロジーで、SpIDer Mailモニター及びSpIDer Gate HTTPモニターに代わるものです。

Dr.Web SelfPROtectモジュールのパフォーマンスが向上し、既知のエラーが修正されました。特にDr.Webアプリケーションでは、API通信を傍受することが可能なルートキットに対抗する機能が強化されました。

Scanning Enginサービスにもまた、多くの改良が加えられました。特に、サービスの再起動又はウイルスデータベースのリロード時に異常終了を引き起こす可能性のある問題が解決され、隔離マネージャの使用中に発生する可能性のあるメモリリーク、及びWindowsの東アジア諸国向けバージョン上で起こり得る問題が修正されました。

また、ファイルモニターSpIDer Guard (NT)、言語モジュール、ヘルプファイルがアップデートされました。

新しいコンポーネント（新バージョンのスキャナ、Dr.Web Net Filtering Service及びDr.Web Net Filter for Windows）は、Windows 2000 SP4 ロールアップ 1、Windows XP SP2以降、Windows 2003 SP 1以降、Windows Vista以降で動作します。これらのコンポーネントは、他のバージョンのWindowsでは使用できません。

Dr.Web Enterprise Security Suite 6.0.4に組み込まれたコンポーネントはWindows 8にも対応します。

アップデートはアンチウイルスによって自動的にダウンロードされますが、適用するにはシステムの再起動が必要です。

2012年10月10日掲載

株式会社Doctor Web Pacific

Doctor Webは、集中管理に対応しているDr.Web Desktop Security Suite及びDr.Web Server Security Suiteに含まれるDr.Web Net Filter for Windowsドライバコンポーネントに対するホットフィックスをリリースしました。

このホットフィックスによって、Windows 2000（Service Pack 4 ＋ Update Rollup 1）上で動作するコンポーネントとNovell Client 4.91 for Windows間の競合が解決されました。

アップデートはアンチウイルスによって自動的にダウンロードされますが、適用するにはシステムの再起動が必要です。

2012年10月10日掲載

株式会社Doctor Web Pacific

2012年の9月には、危険な悪意のあるプログラムTrojan.Mayachok.1による感染数に著しい減少が見られた一方で、従来のものとは大きく異なる新たな亜種がいくつか出現しました。このトロイの木馬ファミリーは、Trojan.Mayachok.1から新しい世代へと代替わりしつつあるようです。また、Androidを標的とした新たなスパイウェアも出現しました。

ウイルス

8月と比較するとウイルスの活動パターンに変化が見られることが、ユーザーコンピューター上のDr.Web CureIt!によって明らかになりました。Trojan.Mayachok.1は少なくとも3か月の間、最も多く検出された脅威のトップを占めていたことになります。未だその地位は揺るがないものの、その感染数の合計は9月の間に、8月の74,701件から1/15以下に減少しています。週毎の感染数にもまた著しい減少が見られ、下のグラフはその推移を表しています。

Doctor Webのウイルスアナリストは、このような変化は、最初のバージョンとは大きく異なる、この脅威の新たな亜種のグループが出現したことと関係があるとしています。9月にはこのグループのエントリが9件、Dr.Webウイルスデータベースに追加されています。これらの新たな亜種では主にその機能に変更が加えられており、近い将来には異なるペイロード及び設計原理を持つ他のバージョンが出現する可能性を示唆しています。また、ユーザーがブラウザ上でロードしたwebページ内にコードを挿入することが Trojan.Mayachokファミリーの主な目的であるという点に注意してください。

検出された脅威の2位は先月と同様BackDoor.Butirat.91 が占めていますが、このマルウェアによる1か月の感染件数にもまた20％の減少が見られます。BackDoor.Butirat.91 の主な目的の1つは、FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなどのポピュラーなFTPクライアントからパスワードを盗み、犯罪者へ送信することです。また、リモートホストからダウンロードした実行可能ファイルを感染したコンピューター上で起動することができ、webページのアクセスカウンターの数字を不正操作することが可能です。一般的なユーザーにとって、あらゆる種類の機密データが流出し犯罪者などの手に渡ってしまう危険性、及び自らのコンピューターをコントロールすることが出来なくなってしまう危険性を孕んでいます。この脅威に関する詳細についてはDoctor Webのニュース記事をご覧ください。

また、Delphi言語で書かれたWin32.HLLP.Neshta、Trojan.Carberpなどの多くのバンキングトロイの木馬、Dr.WebによってTrojan.SMSSendとして検出されている偽のインストーラーも多く検出されています。下のグラフは、最も多く検出された脅威の統計です。

下の円グラフは、9月に検出されたマルウェアの種類ごとの割合を表しています。

また、Dr.Webアンチウイルスソフトウェアによって検出された脅威の国別分布を下に示します。

ボットネット

感染したMac OS Xによって構成されるBackdoor.Flashback.39ボットネットに関する統計についても、その感染件数には減少が確認されています。9月には、感染したMacの数は127,681台から115,179台へと10％減少し、また、1日の新たな感染台数は1～2台となり、ボットネットの拡大は実質上停止したと言えます。このボットネットの現在の状況についての詳細はDoctor Webの特設サイト（英語です）をご覧ください。

一方、ファイルインフェクターWin32.Rmnet.12に感染したコンピューターから成るボットネットは、あらゆる記録を塗り替え続けています。9月には500,000台の新たに感染したホストが加わっており、その合計は近いうちに500万台を超えるでしょう。下のグラフはこのボットネットの拡大推移を表しています。

また別のファイルインフェクターであるWin32.Rmnet.16によるボットネットも着実に拡大を続けています。平均して1日数百台の割合で新たに感染したコンピューターが加わり、その合計は230,000台を超えています。このボットネットの拡大推移を下のグラフで示します。

BackDoor.BlackEnergyの新たなバージョン

BackDoor.BlackEnergyは、2011年3月にアナリストによって既に発見されているマルウェアで、しばしば検出もされています。 このBackDoor.BlackEnergyは多機能なバックドアであり、中でも特に、悪意のあるサーバーから実行可能ファイルをダウンロードし、感染したシステム内でそれらを実行することが可能です。また多くのプラグインに対応しており、これまで長い間、最も大規模なスパムボットネットの1つを構成するために使用されていました。いくつかの企業およびセキュリティエキスパートの尽力により、2012年7月、感染したコンピューターの多くをコントロールしていたボットネットの管理サーバーが遮断され、その結果世界中のスパムトラフィックに大幅な減少が見られました。このトロイの木馬の新たなバージョンの登場によって、これらゾンビコンピューターネットワークの作成者達がボットネットのかつての威光を取り戻そうとしていることが分かります。

BackDoor.BlackEnergy.18としてDr.Webウイルスデータベースに加えられたこのバックドアの新たな亜種は、Microsoft Wordドキュメントの添付された電子メールによって拡散されました。ユーザーの興味を引くため、これらのメッセージの件名には世界中で抗議デモを引き起こし死者をも出した問題の映画のタイトル“Innocence of Muslims（イノセンス・オブ・ムスリムズ）”が含まれています。Dr.Web アンチウイルスソフトによってExploit.CVE2012-0158.14として検出された、メールに添付されたドキュメントには、ActiveX（このコンポーネントはMicrosoft Word及びその他Windows向け製品によって使用されます）における脆弱性を悪用するコードが含まれています。ドキュメントを開こうとすると一時ディレクトリ内に2つのファイルが保存され、そのうちの1つがシステムフォルダ内にその悪意のあるドライバをインストールするためのBackDoor.BlackEnergy.18のドロッパーです。

今月の脅威： Trojan.Mayachok.17727

既に言及したとおり、Trojan.Mayachok.1は新たな亜種によって次第にその地位を奪われつつありますが、そのような亜種の1つにTrojan.Mayachok.17727があります。そのシグネチャは2012年9月にDr.Webウイルスデータベースに追加されました。

このトロイの木馬はドロッパー、及びペイロードを実装したダイナミックリンクライブラリの2つのコンポーネントで構成されています。ドロッパーは%MYDOCUMENTS%ディレクトリ内にIntMayakという名前のフォルダを作成し、その中にトロイの木馬のライブラリ及びそれらをシステム内に登録する為のREGファイルを一時的に保存します。次にドロッパーはメモリ内でexplorer.exeを探し、悪意のあるコードをプロセス内に挿入します。このコードを使用し、トロイの木馬は悪意のあるライブラリをシステムディレクトリ% SYSTEM32%内にコピーします。またTrojan.Mayachok.17727は、全てのプロセス内の悪意のあるライブラリコードの起動に関与するレジストリブランチ内にREGファイルをインポートします。さらに、ドロッパーはその侵入形跡を隠ぺいする為に、一時ファイル・IntMayakフォルダ・Cookieファイルを削除し、またInternet Explorerブラウザのキャッシュをクリアします。

悪意のあるライブラリは、Microsoft Internet Explorer、Opera、 Mozilla Firefox、 Google Chromeブラウザに対応しています。Trojan.Mayachok.17727はその動作の過程で、管理サーバーのリスト、ブラウザ上でロードされたwebページのコード内に挿入されたスクリプト、及びその他のパラメータを含んだ暗号化された設定ファイルをディスク上に書き込みます。

Trojan.Mayachok.1と比較すると、このトロイの木馬のコードには大きな変更が加えられています。感染したシステム内に仮想化ソフトウェアが存在するかどうかの確認を行わなくなり、対応するプロセス数およびそれらの名前を比較するメカニズムが変更され、設定ファイルの整合性を検証する機能が無くなりました。Trojan.MayachokはVBR （Volume Boot Record）を感染させるテクニックを用いる最初のトロイの木馬の1つですが、このテクニックはTrojan.Mayachok製作者によって開発されたものではなく、他のウイルス製作者から買われたものであることが後に判明しました。例えば、同様のコードがバンキングトロイの木馬 Trojan.Carberp内でも発見されています。

Androidに対する脅威

2012年9月には、Google Androidに対する脅威のエントリが多数Dr.Webウイルスデータベースに加わりました。 Android.EmailSpy.originはそのようなプログラムの1つで、日本のユーザーを標的としています。このトロイの木馬はAndroidのアドレス帳から情報を、特に電子メールアドレスを盗み、後にそれらのアドレスが犯罪者による大量メール配信に利用される場合があります。9月の後半には、感染したデバイス上のショートメッセージを傍受するAndroid.SmsSpy.6.originがウイルスデータベースに追加されました。このトロイの木馬はフランスで拡散され、ユーザーはSMSメッセージによって、悪質なサイトからFlash Playerのアップデートをダウンロードするよう誘導されました。このアップデートに悪質なプログラムが潜んでいます。

また、Call Cheater Liteとして配信されていた Android.Iconos.3.originもデータベースに追加されました。基本的な機能を備える他、 Android.Iconos.3.originはモバイルデバイス上に保存された個人情報を収集してユーザーの了承無しにリモートサーバーへ送信し、また有料SMSの送信も実行します。 9月の初旬、主に日本のユーザーを標的とする Android.Loozfon.origin及び（その少し後で）Android.Loozfon.2.originスパイウェアがウイルスデータベースに加えられました。これらもまたAndroidを搭載するモバイルデバイス上の個人情報を盗み、また、デバイス上で収集した機密データをリモートサーバーへ送信するProgram.AccuTrack.origin及びProgram.Spycontrol.2.originを含んでいます。

同じく2012年9月にウイルスデータベースに追加されたAndroid.Temai.originは、モバイルソフトウェアを配信するwebサイト上のインストールカウンタを不正操作するよう設計されています。このトロイの木馬は感染したデバイス上にアプリケーションをダウンロードし、インストールに成功した旨の通知をサイトに送信した後、ダウンロードしたパッケージを削除します。Dr.Web for Android及びDr.Web for Android Lightの使用するデータベースには、マルウェアに加え Adware.Leadbolt.2.origin及び Adware.Startapp.5.originなど新しいバージョンのアドウェアに関するエントリも見られました。

9月のその他の脅威

8月26日、セキュリティ企業FireEye社はJava Runtime Environmentバージョン1.7xに深刻な脆弱性（CVE-2012-4681）が発見されたことを公表しました。Oracleによってセキュリティパッチがリリースされたのは8月の30日になってからであったため、この脆弱性は少なくとも4日間残ることとなり、犯罪者達の恰好の的となりました。Doctor Webは、Trojan.Rodricterを含むいくつかの悪意のあるソフトウェアが、本脆弱性を悪用して拡散されたものであることを確認しました。この脅威に関する詳細については、Doctor Webによるこちらの記事をご覧ください。

9月にメールトラフィック内で検出されたマルウェアTop20

9月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年10月11日掲載

株式会社Doctor Web Pacific

Doctor Webは、シングルユーザー向けDr.Web Anti-virus及びDr.Web Security Space 6.0 /7.0、Dr.Web Desktop Security Suite、Dr.Web Server Security Suite、Dr.Web Mail Security Suite、Dr.Web Gateway Security Suite、インターネットサービスDr.Web AV-Desk、修復ユーティリティDr.Web CureIt! と Dr.Web CureNet!、並びにDr.Web LiveCD/LiveUSBに含まれているDr.Web Virus-Finding Engineをバージョン7.0.4 にアップデートしました。

今回のアップデートでは、pstファイルを検査する際にDr.Web Virus-Finding Engineプロセスの異常終了を引き起こす原因、及びサイズの大きなPDFファイルを検査する際にDr.Web for Novell NetWareプロセスの異常終了を引き起こす原因が取り除かれました。

ユーザーであればアップデートは自動的に実行されます。

2012年10月12日掲載

株式会社Doctor Web Pacific

Doctor Webは、犯罪者による大量スパム配信に使用されている悪意のあるプログラムTrojan.Proxy.23012についてユーザーの皆様に警告します。このトロイの木馬は、他のマルウェアとは異なる際立った特徴を持っています。

Trojan.Proxy.23012は、Trojan.PWS.Panda.2395などの他の悪意のあるプログラムによって、感染したコンピューター上にダウンロードされます。また、その実行ファイルはZeusやZbotとしても知られるTrojan.PWS.Pandaプログラムで使用されるものと同じパッカーによって圧縮されているため、しばしば後者のシグネチャで検出されます。

システム内に侵入すると、Trojan.Proxy.23012は解凍されてメモリ内にロードされ、その後インストールが開始されます。インストール先フォルダはOSのバージョン及びインストーラーが実行されたアカウントの権限によって異なります。いずれの場合においても、インストーラーは、Windows起動時に自動的にトロイの木馬が実行されるようWindows Registryを変更します。このトロイの木馬はUACの無効化を試み、さらにインストールプロセスの仕上げとしてexplorer.exe内に自身のコードを挿入します。

Trojan.Proxy.23012に感染したコンピューターによって構成されるボットネットは、コマンドに応じてスパムを配信するようプロキシサーバーをコントロールする目的で、犯罪者達によって利用されています。下のスクリーンショットは、そのようなスパムメッセージの1例です。

リモートコマンドセンターとの接続が確立されると、Trojan.Proxy.23012は犯罪者のコマンドに応じてトンネルを作成し、ウイルス製作者達がSOCKS5、SOCKS4、HTTP（GET、POST、CONNECTルーチンを含む）を使用出来るようにします。犯罪者達はスパムの配信にgmail.com、hotmail.com、yahoo.com のSMTP サービスを利用しています。

このマルウェアの目立った特徴は、ボットとボットネットコントロールサーバーとの連携方法にあり、後者は特定のメール配信を実行するホストをリアルタイムで選択します。さらに、外部IPアドレス無しにコンピューター上にインストールされたボットは、プロキシサーバーとしても動作することが可能です。また、コントロールサーバーアドレスを1つしか使用せず、それがブロックされた場合はTrojan.PWS.Panda.2395ピアネットワーク経由で自身をアップデートすることが出来るという特異な機能を持っています。

Dr.Webウイルスデータベースには当該脅威のシグネチャが既に加えられているため、Doctor Web製品をお使いのユーザーにとってTrojan.Proxy.23012は重大な脅威ではありません。

2012年10月12日掲載

株式会社Doctor Web Pacific

Doctor Webは、Skypeを使用した悪意のあるプログラムの大量拡散についてユーザーの皆様に警告します。

ポピュラーなプログラムSkypeを使用する多くのユーザーが、コンタクトリストに追加された連絡先から「これはあなたの新しいプロフィールアバターですか？」というテキスト、及びgoo.glサービスによって作成されたリンクを含んだメッセージを受け取りました。リンクをクリックすると、危険なトロイの木馬BackDoor.IRC.NgrBot.146を含んだZIP アーカイブのダウンロードが開始されます。Skypeによるメッセージの配信は、Trojan.Spamlink.1という名前でDr.Webウイルスデータベースに加えられた悪意のあるプログラムによって実行されています。

この脅威は既にDoctor Webのスペシャリストによって確認されているため、ユーザーの皆様には可及的速やかにウイルスデータベースのアップデートを行うことを推奨します。

また、警戒を怠らず、例えそれがコンタクトリスト上にある連絡先から送られたものであっても、Skypeで受け取ったハイパーリンクでダウンロードされたアーカイブを開くことのないよう注意してください。万一お使いのシステムが当該脅威に感染してしまった場合は、修復ユーティリティDr.Web CureIt!を使用して検査を行ってください。

2012年10月19日掲載

株式会社Doctor Web Pacific

Doctor Webは、Trojan.PWS.Panda.2395ピアツーピアネットワーク経由で拡散し、非常に興味深い感染手法を用いるいくつかの悪意のあるプログラムについてユーザーの皆様に警告します。これらのプログラムは、大規模なDDoS攻撃およびスパムの配信を実行することが可能です。

コンピューターの感染は、既に広く知れ渡っているトロイの木馬Trojan.PWS.Panda.2395によって実行されます。感染の第一段階として、暗号化された悪意のあるモジュールを含んだ実行ファイルが、トロイの木馬にサポートされたピアツーピアネットワークを介して被害者のコンピューター上にダウンロードされます。その復号化に成功すると、Dr.WebアンチウイルスソフトウェアによってTrojan.DownLoaderファミリーとして検出されている悪意のあるアプリケーションのイメージをコンピューターメモリ内に書き込む別のモジュールが起動されます。

このプログラムは実行ファイルとしてランダムな名前でユーザーアカウントのフォルダ内に保存され、OS起動時に自らも自動的に実行されるようWindowsレジストリを変更します。

感染したコンピューター上に悪意のある他のプログラムをロードするために、このトロイの木馬は極めて興味深いアルゴリズムを用いています。Trojan.DownLoaderの亜種のボディ内には、ダウンローダーがHTTPSプロトコル経由でリクエストを送信するドメイン名の暗号化されたリストが含まれています。その応答としてトロイの木馬はそれらアドレスのメインwebページを取得し、<img src="data:image/jpeg;base64 … >タグの検索によってHTML構造を解析します。これらのwebページは、htmlドキュメントから抜き取られた上で復号化される、暗号化された悪意のあるファイルをタグの引数として含んでいます。このファイルは受け取ったコマンドによって、既に起動しているトロイの木馬プロセスsvchost.exe内に組み込まれるか、または一時フォルダに保存されます。また、DDoSモジュール及び攻撃先となるアドレスのリストが直接ダウンローダーのボディから復号化され、悪意のあるプログラムのイメージがそのプロセス上に設定されます。

ダウンロードに成功すると、DDoSモジュールは独立したスレッドを8個まで作成します。それらのスレッドはトロイの木馬ダウンローダーのリスト上にあるサーバーに対して連続したPOSTリクエストを送信し、また、SMTPプロトコル経由で複数のサーバーとの接続を確立し、それらに対しランダムなデータを送信します。リストにはDDoS攻撃の対象として合計200のサイトが含まれており、その中にはAmerica Onlineによるサイトlove.com、アメリカの主要な大学のサイト、msn.comやnetscape.comおよびその他のポータルサイトなど知名度の高いリソースも含まれていました。

このトロイの木馬ダウンローダーの持つ機能はそれだけにとどまりません。DDoS攻撃の標的となるドメインのリスト内から特別なアルゴリズムによって選択した1つに対してHTTPリクエストを送信し、応答としてwebページを受け取ります。webサイトのコンテンツ内では、base-64によって暗号化された文字列を引数として含んだ<img src="data:image ...>タグを検索します。

webページから抜き取られたデータは復号化された後、JPEG形式のイメージを装ったファイルに変換され、このファイルにはgzipで圧縮されたコンテンツを持つコンテナも含まれています。最後に、スパムの大量配信を実行する機能を持った悪意のあるプログラムBackDoor.Bulknet.739がアーカイブから抜き取られます。

Dr.Webウイルスデータベースにはこれら悪意のあるプログラム全てのシグネチャが既に加えられているため、Doctor Web製品をお使いのユーザーに危険が及ぶことはありません。

2012年10月26日掲載

株式会社Doctor Web Pacific

Doctor Webは、集中管理に対応しているDr.Web Desktop Security Suite及びDr.Web Server Security Suiteに含まれるコンポーネントのアップデートを公表しました。

GUIスキャナーに変更が加えられ、サーバーに対し誤った情報の送信を行う問題が取り除かれました。Net Filtering Serviceのインストール及びアップデートの際に発生するバグが修正されました。今回追加された変更により、Dr.Web Enterprise Security Suite Agentのインストール過程においてWindows Defenderが正しく無効化されるようになりました。

また、アンインストール及びシステム再起動後にDr.WebスキャナーのアイコンがWindows デスクトップ上に再度表示されてしまうバグが修正され、セーフモードでスキャナーを起動した際に問題が発生するバグが取り除かれました。

Windows向けインストールモジュール及び自動更新モジュールにも変更が加えられました。これらの改良により、コンポーネントの安定性が向上し、発見されたエラーが取り除かれました。

SpIDer Guard(G3)に加えられた変更では、特に、ある特定のファイルを削除する代わりにロックしてしまう問題が修正されました。また、スキャナーによってフラッシュドライブ上で検出された悪意のあるファイルを隔離へ移すメカニズムが改良され、その移動過程を傍受したSpIDer Guard(G3)によって隔離内に悪意のあるオブジェクトのコピーが作成されてしまうバグも修正されました。

ユーザーであればアップデートは自動的に行われますが、適用するにはシステムの再起動が必要です。

2012年10月30日掲載

株式会社Doctor Web Pacific

Doctor Web製品はWindows 8との互換性を備えています。

シングルユーザー向けDr.Web for Windows及びDr.Web Security Spaceの7つ目のバージョン、並びに集中管理に対応した法人向けDr.Web Desktop Security Suiteの最新アップデートではWindows 8との互換性が確認されています。Windows 8上へのDr.Web製品のインストール方法は、これまでのMicrosoft OSの場合と同様です。

新しいWindows 8でDr.Web製品を快適にお使いいただけます！

2012年11月1日掲載

株式会社Doctor Web Pacific

DoctorWebは、緊急システム復旧ツールDr.Web LiveCD及びDr.Web LiveUSBをバージョン6.0.2にアップデートしました。今回のアップデートでは新しい機能が追加されました。

ユーザーによるWindowsレジストリの編集が可能になり、プログラムの起動後にそのセクション及びキーをファイルやフォルダとして使用することが出来るようになりました。また、悪意のあるプログラムによって改変されたWindowsレジストリを修復する為のユーティリティが開発されました。

アップデートされたスキャナーはマルチスレッドスキャンに対応し、これによりコンピューターのスキャンに掛かる時間が大幅に短縮されました。また、ディスクブートセクターがスキャンの対象に加えられました。

スタートメニュー上で、英語またはロシア語のいずれかを選択することが可能になりました。

Dr.Web LiveCD及びDr.Web LiveUSBは、DoctorWeb公式サイトから無料でダウンロードすることが出来ます。

2012年11月1日掲載

株式会社Doctor Web Pacific

Doctor Webは、弊社からのメールを装ったSMSスパムの大量配信についてユーザーの皆様に警告します。

ここ数日の間、ロシア国内において、有料サービスに登録された旨を通知するロシア語のSMSを受け取ったというモバイルデバイスユーザーからの情報がDoctor Webテクニカルサポートに寄せられています。この「サービス」の登録を解除するためにユーザーが誘導されるwebサイトは”Doctor Web”の公式サイトを模倣しており、リンクをクリックすると、犯罪者の所有するサイトへとブラウザが自動的にリダレクトされます。サービスを拒否するために、ユーザーは指定された番号（短い番号）へSMSを送信するよう要求され、その結果、モバイル上のアカウントから一定の金額が引き落とされる可能性があります。

なお、日本国内において、日本語のメッセージによる同様の手口は、現時点で確認されておりませんが、Doctor Webは、SMSを使用した有料サービスの提供などは一切行っておりませんので、万が一、そのようなSMSが届きましたら、どのような内容であったとしても、指定された番号への返信やメッセージ内のリンクをクリックしないよう十分にご注意ください。

2012年11月2日掲載

株式会社Doctor Web Pacific

Doctor Webは、非常に興味深い自己復元機能を持つ新たなトロイの木馬Trojan.GBPBoot.1の拡散について報告します。

このトロイの木馬はリモートサーバーから様々な実行ファイルをダウンロードし、感染したコンピューター上で実行することができ、また、被害者のコンピューター上に保存されていないプログラムを起動させることが可能です。Trojan.GBPBoot.1の破壊的な動作は以上に留まり、実行される悪意のある機能という観点から見ると、このトロイの木馬はやや初歩的なプログラムであると言えます。しかし一方でTrojan.GBPBoot.1は、削除しようという試みに対する本格的な対抗手段を持つ初のトロイの木馬であるという興味深い特徴を持っています。

Trojan.GBPBoot.1は複数のモジュールで構成されています。1つ目のモジュールはハードディスク上のマスターブートレコード（MBR）を改変し、その後、該当するセクション（ファイルシステムの外）の最後にウイルスインストーラーモジュール、トロイの木馬の自動復元モジュール、explorer.exeファイルを含んだアーカイブ、及び設定データを書き込みます。次に、システムフォルダ内にウイルスインストーラーを置き、起動させた後に自身のファイルを削除します。

起動されたウイルスインストーラーは、設定ファイル、及びシステムサービスとしてシステム内に登録されるダイナミックライブラリをシステムフォルダ内に保存します。続いてこのサービスを起動させた後、自身を削除します。

システムサービスは、システムフォルダ内に保存された設定ファイルをダウンロードし（又は以前ドロッパー上に保存された設定データを読み込み）、リモートコントロールサーバーとの接続を確立して感染したシステムに関する情報を送ります。その後、サーバーから受け取った実行ファイルを感染したコンピューター上にダウンロードしようとします。ダウンロードに失敗した場合は、次回のシステム起動時に再度接続が確立されます。

なんらかの理由により悪意のあるサービスのファイルが削除されると（例えば、アンチウイルスプログラムによるディスクスキャンの結果として）、自己復元機能がアクティブになります。コンピューターの起動時に、トロイの木馬によって改変されたMBRを使用してドライブ上に悪意のあるシステムサービスが存在するかどうかを確認するプロシージャが開始され、この処理は標準ファイルシステムNTFS及びFAT32に対応しています。システムサービスが存在しなかった場合、Trojan.GBPBoot.1は標準explorer.exeファイルを「自己復元ツール」を含んだ自身のもので上書きし、Windowsの起動と同時にそれを実行させます。管理権を取得すると、explorer.exeの悪意のあるコピーは感染の過程を繰り返し実行し、その後、オリジナルのexplorer.exeを復元して起動させます。このようにTrojan.GBPBoot.1は保護されたシステム内で自身を復元することが可能であるため、様々なアンチウイルスプログラムによる簡単なスキャンでは期待された結果を得ることが難しくなっています。

Dr.Webアンチウイルスソフトウェアは、改変されたMBRの復元を含む、この脅威に対する検出及び修復の機能を備えています。そのため、Trojan.GBPBoot.1がDoctor Web製品のユーザーに深刻な危害を与えることはありません。

2012年11月6日掲載

株式会社Doctor Web Pacific

Doctor Webは、最近日本でも大きな話題となっているオンラインバンキング利用者を狙うマルウェアについて、Dr.Web製品に含まれるDr.Web Scannerにて脅威を検出することを確認しましたことを御報告します。

Dr.Web製品をご利用のお客様は、ウイルスデータベースを常に最新の状態に保つようにしてください。弊社のウイルスデータベースは1日に複数回更新されます。

Dr.Web製品をご利用ではないお客様は、弊社ホームページより30日間無料トライアルにてDr.Web Desktop Security Suiteをご利用いただくか、Dr.Web CureIt! （個人のお客様のご利用は無料）をダウンロードしてお使いください。

いずれにしても、インターネットをご利用の際は、疑わしいサイトURLはクリックしないようにしてください。また、開発元の不確かなアプリケーションを不用意にインストールしないようにご注意ください。

ご不明点や各製品のお問い合わせはsales.dwp@drweb.comまでご連絡ください。

2012年11月12日

株式会社Doctor Web Pacific

～マルウェア対策のセカンドオピニオン『Dr.Web CureNet! マルウェア解析パック』をディーアイエスソリューション社から提供～

ロシアのITセキュリティ対策ベンダDoctor Web, Ltd.の日本法人である株式会社Doctor Web Pacific(本社：川崎市川崎区、代表取締役：菅原 修、資本金：6,000万円、以下 Doctor Web)は、年間600万人以上(※)が利用するマルウェア対策におけるセカンドオピニオンツール(インストール不要、他ウイルス対策製品との併用利用が可能)のデファクトスタンダードであるDoctor Web CureNet!(日本語版)と、日本では既に大手セキュリティ対策会社多数の提供実績があるDoctor Webのマルウェア解析サービスをセットにした『Dr.Web CureNet! マルウェア解析パック』を11月13日から提供開始します

また、先着50社までのモニターキャンペーンやセミナー(開催日：2012年12月18日(火))を同時に実施します。 (※)昨年1年間のワールドワイドでのご利用のべ人数。スタンドアロン型Doctor Web CureIt!を含む。

■マルウェアによる被害

昨年1年間で確認されたマルウェアは約5億種類、標的型サイバー攻撃にみられる個別の団体を狙うマルウェアやメジャーなウイルス対策ソフトをすり抜けるマルウェアも増加しており、これまでのトレンド通りの対策では十分ではなくなってきているのが現状です。 また、新種マルウェアの可能性がある怪しいファイルが発見された場合に、スピーディに解析・駆除作業が実施できなければ、あっという間にマルウェアが蔓延し深刻な事故に拡大する危険があります。

■Dr.Web CureNet! の実績

Dr.Web CureNet! は、既にご利用中のウイルス対策ソフトをアンインストールすることなく、併用してご利用可能なユニークな機能と卓越した検出、駆除能力により、昨年1年間600万人以上にご利用いただいたセカンドオピニオンツールのデファクトスタンダード製品です。日本でも既に多くの民間企業・政府機関・エネルギー関連機関などで利用されています。また、日本の大手セキュリティ対策会社との連携や独自のルートにより、日本におけるユニークなマルウェア検体をいち早く入手し、随時定義ファイル等の対策に反映しています。日本国内でDr.Web製品をご利用いただいたお客様のうち約3割が既存ウイルスソフトでは検出できなかったマルウェアを発見しています。

<<参考実績>>

レポートサマリー：集計期間において、無料の弊社駆除ツール(Dr.Web CureIt!)を利用した約10,000台の 日本国内在住者PCにおけるマルウェア検出結果 集計期間：2012年4月1日～10月30日

■『Dr.Web CureNet! マルウェア解析パック』の概要

『Dr.Web CureNet! マルウェア解析パック』は、Dr.Web CureNet!の1年間ご利用いただけるライセンスと、新種やお客様ユニークなマルウェアの疑いがあるファイルが検出された場合に、弊社日本人エンジニアが窓口となり、ファイルの解析を実施するサービスチケットが標準で付属したセット商品です。解析をご依頼いただいたファイルが悪意のあるマルウェアだった場合、解析開始より平均2時間以内に定義ファイル等の対策方法をご提供、その後マルウェアの動作・脅威などの解析結果をご報告します。

・価格　　　：50万円(税別定価)～ ・セット内容：Dr.Web CureNet! (日本語版)100ライセンス/1年間＋サービスチケット5枚付属

『Dr.Web CureNet! マルウェア解析パック』詳細： http://products.drweb.co.jp/biz/curenet_service

『Dr.Web CureNet! マルウェア解析パック』は、ディーアイエスソリューション株式会社(本社：東京都品川区、取締役社長：小川 仁司)および弊社販売パートナーを通じて日本国内のお客様に提供します。

◆モニターキャンペーン

『Dr.Web CureNet! マルウェア解析パック』の効果を実感していただくために、法人のお客様を対象に下記のモニターキャンペーンを実施します。

・対象： 日本国内の政府・公共団体、民間団体(お申込み先着50団体)

・ご提供ライセンス/サービス内容： Dr.Web CureNet! 100ライセンス/30日間利用可能＋マルウェア解析サービスチケット3枚

キャンペーン詳細URL： http://www.si-jirei.jp/secure/Dr-Webcamp/

◆セミナーのご案内

「TheStudy7“知られざるマルウェアの脅威とその対策”」 共催：ディーアイエスソリューション株式会社、株式会社DoctorWebPacific 協力：株式会社ラック、シスコシステムズ合同会社 日時：2012年12月18日(火) 14:30～17:30(14:00受付開始) 会場：東京品川大井町　ダイワボウ情報システム株式会社セミナールーム

PCの遠隔操作、標的型攻撃・・・会社のPCにマルウェアは潜んでいませんか？ マルウェア解析/駆除、出口対策等セキュリティ業界のオピニオンが現状と対策をご紹介致します。

お問合せ/お申込み： http://www.dsol.co.jp/seminar-info/detail.html?eid=00255

【Doctor Web, Ltd.について】

Doctor Web, Ltd.は、1992年からアンチウイルスを中心とした『Dr.WEB』ブランドをワールドワイドで展開しているロシアのITセキュリティソリューションベンダーです。ロシアの国防総省/政府機関/インターナショナルバンク/石油・エネルギー関連施設/地方自治体をはじめ、世界中のグローバルカンパニーにご利用いただいている信用と実績を持つ、業界最高水準のセキュリティ製品です。ウイルス・スパイウェアや迷惑メール(スパム)を確実に検出するその能力は第三者権威機関によって高く評価されています。

■会社概要 名称　　： 株式会社Doctor Web Pacific 所在地　： 〒210-0005　神奈川県川崎市川崎区東田町1-2 NKF川崎ビル 2F 代表者　： 代表取締役　菅原 修 業務開始： 2010年12月 資本金　： 6,000万円 株主　　： Doctor Web, Ltd.(100％) URL　　 ： http://www.drweb.co.jp/

【ディーアイエスソリューションについて】

■会社概要 住所　　　　： 東京都品川区大井1-20-10　住友大井町ビル南館 設立　　　　： 2004年10月5日 資本金　　　： 95百万円 代表取締役　： 小川 仁司 URL 　　　　： http://www.dsol.co.jp/

■Dr.Web製品およびパートナープログラムに関するお問合せ先

株式会社Doctor Web Pacific　営業担当 TEL　 ： 044-201-7711 FAX　 ： 044-201-7712 E-Mail： sales.dwp@drweb.com Web　 ： http://www.drweb.co.jp/

■本発表に関するお問合せ先

株式会社Doctor Web Pacific　広報担当 TEL　 ： 044-201-7711 FAX　 ： 044-201-7712 E-Mail： pr.dwp@drweb.com

2012年11月14日

株式会社Doctor Web Pacific

10月の前半、トロイの木馬エンコーダーの急激な増加が見られ、それらのプログラムによってファイルを暗号化されてしまったユーザーからのサポートリクエストが多数寄せられました。また、10月にはTrojan.Necurs.97を拡散する電子メールの大量配信の増加やSkype経由でのマルウェア拡散も見られました。

ウイルス

Dr.Web CureIt!によって最も多く検出された脅威はTrojan.Mayachokの様々な亜種で、一方、ディスク上で最も多く検出された悪意のあるファイルはこのプログラムによってダウンロードされたBackDoor.IRC.NgrBot.42ファイルでした。Java Runtime Environment の脆弱性を悪用するExploit.CVE2012-1723.13が2位につけ、TTrojan.Mayachok.17994が3位、夏の間首位を譲ることのなかったTrojan.Mayachok.1は4位に落ち着いています。その他、比較的多く検出された脅威にはTrojan.SMSSend、Win32.HLLP.Neshta（2005年から見られるファイルインフェクター）、Trojan.Mayachok.17986、ポリモーフィックファイルインフェクターWin32.Sector.22、BackDoor.IRC.NgrBot.146、 BackDoor.Butirat.201があります。下の表はDr.Web CureIt!によって最も多く検出された脅威Top10です。

10月に検出された脅威の種類別グラフです。

ボットネット

Doctor Webは、活動中のボットネットに含まれるボット数の推移を監視し続けています。感染したMac OS Xコンピューターで構成される悪名高いボットネット Backdoor.Flashback.39のボット数は、9月30日の109,372台から10月30日の105,730台へとごく僅かながら減少しています。

予想に違わず、10月初旬にはWin32.Rmnet.12ボットネットに含まれる感染したホスト数が500万台を超えました。同月の終わりにはその数は550万台に達し、9月における自らの拡大記録を塗り替える形となっています。下のグラフは、このボットネットの拡大推移を表しています。

これまでにも報告してきたとおり、ファイルインフェクターWin32.Rmnet.12は主に東南アジアのコンピューター上で拡散されていますが、ボットネット全体の2.39%を占める132,445台はロシアのものとなっています。

悪意のあるスパム

10月の初旬、Google URL shortener（goo.gl）によって作成されたリンクを含んだメッセージの、Skypeによる大量配信が発生しました。リンクをクリックしたユーザーは、BackDoor.IRC.NgrBot.146を含んだZIP アーカイブをダウンロードするよう促されます。Skypeを使用してこのようなメッセージを配信する悪意のあるプログラムは、Trojan.Spamlink.1という名前でDr.Webウイルスデータベースに加えられています。

10月の後半には、電子メールを使用した手法を用いる犯罪者が増加しました。それらはAmazon.com、Microsoft、Fedex、PayPal、さらに予約確認を要求する航空会社からのメールを装っており、多くの場合、ユーザーを別のサイトへリダレクトするためのリンクを含んでいます。次に、そのサイトからロードされたJavaScriptファイルを使用して2つの悪意のあるプログラムBackDoor.Andromeda.22、 Trojan.Necurs.97がダウンロードされます。ユーザーの皆様におかれましては、十分に警戒し、未知の送信者からのメールに含まれたリンクをクリックしないよう注意してください。

Androidに対する脅威

Androidに対する脅威という点においては、2012年10月は比較的穏やかな月でした。同月中にはAndroid.SmsSendプログラムのいくつかのエントリがDr.Webウイルスデータベースに加えられました。これらのトロイの木馬は有料SMSを送信し、様々な有料サービスに加入してデバイスユーザーのアカウントからお金を引き落とします。

Google Playを介してソフトウェアアップデートとして拡散されるトロイの木馬Android.FakeLookout.1.originもまたウイルスデータベースに追加されました。このマルウェアはSMSメッセージ、及びメモリカード上に保存された様々なファイルにアクセスし、それらのデータをリモートサーバーに送信します。このトロイの木馬がGoogle Playから削除された時点で、そのインストール数は50を超えていませんでした。そのため、個人情報に対するその潜在的な危険性にも関わらず、このトロイの木馬はAndroidユーザーにとって重大な脅威ではありません。

また10月にはAndroid.Gongfuマルウェアファミリーの新たな亜種も発見され、Android.Gongfu.10.originとしてウイルスデータベースに加えられています。

今月の脅威：Trojan.GBPBoot.1

10月にDoctor Webのウイルスアナリストによって発見された最も特異なマルウェアの1つにTrojan.GBPBoot.1があります。

悪意のあるペイロードに関しては、Trojan.GBPBoot.1は他の悪意のあるプログラムとなんら変わるところはなく、様々な実行ファイルを感染したシステム上にダウンロードして実行する以上の悪意のある動作は行いません。ただしTrojan.GBPBoot.1は、削除しようという試みに対する本格的な対抗手段を持つ初のトロイの木馬であるという特徴を持っています。

Trojan.GBPBoot.1がシステムを感染させると、1つ目のモジュールがハードディスク上のマスターブートレコード（MBR）を改変し、その後、該当するセクションの最後（ファイルシステムの外）にウイルスインストールコード、トロイの木馬の自動復元モジュール、explorer.exeファイルを含んだアーカイブ、及び設定データを書き込みます。起動されたウイルスインストーラは、設定ファイル、及びシステムサービスとしてシステム内に登録されるダイナミックライブラリをシステムフォルダ内に保存します。

なんらかの理由により悪意のあるサービスのファイルが削除されると（例えば、アンチウイルスソフトウェアによって）、自己復元機能がアクティブになります。トロイの木馬によって書き込まれた悪意のあるMBRコードが、ハードドライブ上に悪意のあるシステムサービスが存在するかどうかを確認します。この処理は標準ファイルシステムNTFS及びFAT32に対応しています。システムサービスが存在しなかった場合、Trojan.GBPBoot.1はexplorer.exeファイルを「自己復元機能」を持つ自身のもので上書きし、Windowsの起動と同時にそれを実行させます。実行されたexplorer.exeの悪意のあるコピーは感染の過程を再度開始し、その後、オリジナルのexplorer.exeを復元して起動させます。このようにTrojan.GBPBoot.1は保護されたシステム内で自身を復元することが可能であるため、様々なアンチウイルスプログラムによる簡単なスキャンでは期待された結果を得ることが難しくなっています。

Dr.Webアンチウイルスソフトウェアは、改変されたMBRの復元を含む、この脅威に対する検出及び修復の機能を備えています。Trojan.GBPBoot.1に関する更なる詳細については、 こちらのDoctor Webニュース記事をご覧ください。

10月のその他の脅威

10月初旬、Doctor Webのウイルスアナリストはスパムを配信するTrojan.Proxy.23012の拡散を確認しました。この脅威に関する詳細については、こちらのDoctor Webニュース記事をご覧ください。

10月にメールトラフィック内で検出されたマルウェアTop20

10月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年11月19日

株式会社Doctor Web Pacific

Doctor Webは、感染させたシステム内に自身を隠蔽することのできる新たなブートキットマルウェアについて報告します。Trojan.Gapz.1としてウイルスデータベースに追加されたこのアプリケーションは、コンピューターの感染に比較的興味深いメカニズムを用いています。ルートキットの１つが、様々な機能を搭載した自身のコアモジュールをロードするための環境を、感染したコンピューター内で作り上げます。

Trojan.Gapz.1は32ビット版および64ビット版いずれのWindows上でも動作することが可能で、感染させるコンピューター上で使用されているシステムのバージョンをその感染過程でチェックします。この悪意のあるプログラムのインストールそのものは、その結果に応じて異なる手順で行われます。またこのトロイの木馬は、特別に作成されたコードの実行を可能にしてしまう、いくつかのシステムコンポーネントの脆弱性を悪用することができ、このことは同種の脅威の中では極めて異例であると言えます。

このブートキットインストーラーは、Windowsグラフィックの脆弱性を悪用してシステム内の実行ファイルが不正起動されることを防ぐUAC（ユーザーアカウント制御）をすり抜けようとします。同様のテクノロジー（埋め込みフォントDexter Regularを使用したもの）は、様々なアンチウイルス会社のエキスパート達によって徹底的に解析され一時は名を馳せたトロイの木馬Trojan.Duquにも使用されていました。

次にTrojan.Gapz.1は、感染したコンピューターのハードドライブの構造を解析し、特別なイメージを作成してディスクの予約セクター内に書き込みます。その後、MBR内のフィールドの１つを改変することでブートローダーをロードさせ、悪意のあるアプリケーションを実行させます。

Trojan.Gapz.1ルートキットは、実際には複合型マルウェアのコアであり、その目的は残りのトロイの木馬コンポーネントをダウンロードするための環境を整えることにあります。起動されると、Trojan.Gapz.1は複数のモジュールのセット及び設定データユニットを含んだバイナリイメージをロードします。これらのモジュールは特別なアセンブリコードのブロックで、実行されるとルートキット自身のAPIと連携します。これらのコンポーネントの機能および動作については未だ完全には解明されていません。例えば、モジュールの１つはリモートコマンドセンターに接続し、そこから実行ファイルをダウンロードすることが可能です。そこでDoctor Webのスペシャリストは、ペイメントシステムUCashと動作するよう設計された悪意のあるアプリケーションのダウンロードについて記録してきました。

Trojan.Gapz.1の解析は現在も続けられており、Dr.Webアンチウイルス製品にはこの脅威に対する特別な修復ツールが既に追加されています。そのため、このルートキットがDr.Webのユーザーに深刻な危害を与えることはありません。