2012年11月21日

株式会社Doctor Web Pacific

Doctor Webは、Trojan.DownLoader7.21125としてウイルスデータベースに追加された新たなトロイの木馬ダウンローダーの拡散についてユーザーの皆様に警告します。その構造という観点から見ると、この悪意のあるプログラムは複雑であるとは言い難く、また特に優れているわけでもありません。しかしこのトロイの木馬の危険な点は、第一にその拡散規模の大きさにあり、また、感染したコンピューター上に他のトロイの木馬をダウンロードすることが出来るという機能にあります。

Trojan.DownLoader7.21125">Trojan.DownLoader7.21125は初歩的なプログラムで、そのボディにはユーザーを別のサイトへリダレクトするために使用する暗号化されていないURLが含まれており、Trojan.DownLoader7.21125">Trojan.DownLoader7.21125はそのサイトで、後に悪意のあるアプリケーションをダウンロードするためのアドレスのリストファイルを受け取ります。HTTP経由でコントロールサーバーへの接続を試みると、ブラウザウィンドウにはログイン及びパスワードを入力するよう要求するページが表示されます。

現在のところ、このTrojan.DownLoader7.21125">Trojan.DownLoader7.21125が感染させたコンピューター上にダウンロード・インストールするのは、電子通貨Bitcoinのマイニング（採掘）プログラム、リパックされた自身のコピー、及び以下のマルウェアです：

• BackDoor.Andromeda.22ー同様に、感染したコンピューター上に他のマルウェアをダウンロード・インストールすることの出来るよく知られたトロイの木馬ダウンローダーです。
• Trojan.Rodricter.21ーアンチデバッギング機能を搭載したドロッパーを持つマルチコンポーネントルートキットです。OSの脆弱性を悪用して自身の権限を高め、32ビット版および 64ビット版Windowsのユーザーアカウント制御（UAC）を無効にし、Mozilla Firefox及びInternet Explorerブラウザの設定を変更します。そのコアモジュールの主な機能は、感染させたコンピューター上のトラフィックを傍受することです。
• Trojan.PWS.Multi.879ーICQ、Yahoo! Messenger、FTP Commander、Paltalk、AIM、Google Talk、MSN Messenger、Miranda、Trillianなどのポピュラーなアプリケーションからパスワードを盗む悪意のあるプログラムです。
• BackDoor.HostBooter.3ーDDoS攻撃を実行し、コントロールサーバーからのコマンドに従ってファイルをダウンロード・実行するトロイの木馬です。

上記の脅威は全て、Dr.Webのアンチウイルスによって検出されています。Trojan.DownLoader7.21125">Trojan.DownLoader7.21125は他の悪意のあるアプリケーションによってコンピューター上にダウンロードされることや、また、ブラウザの脆弱性の悪用を含むその他の方法を用いてインストールされることが可能です。この脅威がコンピューター内に侵入してしまった場合に最も危険なのは、感染したシステム内にその他多くの悪意のあるプログラムが瞬く間に集まってしまうという点です。ユーザーの皆様には、ウイルスデータベースを常に最新の状態に保っておくことを推奨します。

2012年11月21日

株式会社Doctor Web Pacific

Doctor Webは、悪名高いTrojan.Winlockファミリーに属する新たなブロッカートロイの木馬Trojan.Winlock.7372の拡散について報告します。他のWindowsブロッカーとは異なり、このトロイの木馬はテキストや画像を含まず、感染したコンピューター上にネットワーク経由でダウンロードされます。主な標的として狙われたのはロシア国外のユーザーでした。

ロシア国外のユーザーを狙った最初のWindowsブロッカートロイの木馬が拡散されたのは2011年の秋ですが、この手法はそれ以前にロシア国内の犯罪者によって使用されていました。この悪意のあるプログラムは、同様にロシア国外での拡散を目的に設計された（開発者はロシア人であると考えられます）BackDoor.Umbraとして知られるトロイの木馬ファミリーを使用して拡散されています。内部構造の点においては、Trojan.Winlock.7372は他の脅迫型トロイの木馬と大きく異なっています。第一にこのトロイの木馬は、通常この種の悪意のあるアプリケーションによってWindowsブロック時に表示される画像やテキストリソース、または他のコンポーネントを含んでいません。Trojan.Winlock.7372は必要なエレメントをリモートサーバーからダウンロードし、システムの動作を妨害するスクリーンが通常のwebページになっています。

感染したコンピューター上で起動されるとTrojan.Winlock.7372はプログラムの自動実行に関与するシステムレジストリブランチ内に自身を登録し、次にいくつかのアプリケーション及びシステムユーティリティのプロセスの無限ループ検索を実行、またはそれらプロセスを停止させます。その中にはタスクマネージャー、メモ帳、レジストリエディタ、コマンドプロンプト、システム設定が含まれ、ブラウザではMicrosoft Internet Explorer、Google Chrome、Firefox、Opera、アプリケーションではProcessHacker、Process Monitorが含まれています。このトロイの木馬は滅多に見られない手法を用いて、感染したコンピューター上で動作中のファイアーウォールを無効化します。その後、Trojan.Winlock.7372はユーザーには見えないフルスクリーンウィンドウを作成し、OSのロックを解除するためにお金の支払いを要求するwebページを犯罪者のサイトからロードします。

被害者は200ドルを要求され、その支払いを確認するコードがネットワーク経由で犯罪者のサーバーへ送られます。コントロールサーバーへアクセスする際には、Trojan.Winlock.7372の設定の変更およびその拡散の監視を可能にするトロイの木馬のネットワーク管理システム内での認証のために、ログイン及びパスワードを入力するよう促すブラウザウィンドウが表示されます。

Dr.WebウイルスデータベースにはTrojan.Winlock.7372のシグネチャが既に追加されているため、この脅威がDr.Webアンチウイルスのユーザーに対して深刻な危害を与えることはありません。

2012年11月22日

株式会社Doctor Web Pacific

Doctor Web は、ポピュラーなモバイルアプリケーションであるDr.Web for Android（無償版および有償版）のダウンロード件数が1,000万回を超えたことをここに報告します。その信頼性と品質の高さで知られるDr.Webは、今日までにロシア、日本、台湾、アメリカを始めとするその他多くの国において数百万人のユーザーに使用されています。またDr.Web for Android Lightは、ロシアのGoogle Play（旧Android Market）における最も人気のあるアプリケーションの総合ランキング上位3位に常に名を連ねています。

Dr.Web for Androidは継続的なアンチウイルス保護を提供し、デバイス上に保存される全てのファイルをリアルタイムでスキャンして脅威を駆除します。ファイルシステム全体、または個々のファイルやフォルダに対するクイックスキャン及びフルスキャンの実行が可能であると同時に、オートランファイルによる感染からSDカードを保護します。検出された脅威は即座に削除、または可能な場合は隔離に移すことが出来ます。Dr.Web for Androidはその動作に、マルウェア検出のユニークなテクノロジーOrigins Tracing ™ for Androidを用いています。このテクノロジーにより、これまでの脅威に関するデータに基づいて未知のウイルスを認識することが可能になります。

Dr.Web for Androidにはアンチシフト機能が搭載され、この機能によって、紛失された又は盗難にあったデバイスを見つけ出し、必要な場合には重要な情報をリモートでデバイスから削除することが可能です。またアンチシフト機能ではロック解除にパスワードの入力を要求することでデバイスをロック、GPSによってデバイスの現在位置をGoogle Map上に表示、デバイスおよびSDカード上のデータをリモートで削除するなどの操作が可能です。

またDr.Webアンチウイルスは、Androidブラウザを搭載したモバイルデバイスを望ましくないインターネットリソースから保護します。Cloud Checkerフィルターを使用することで、リスト上にある全ての潜在的に危険なサイトへのアクセスを一度にブロック、または指定した特定のカテゴリーのサイトのみをブロックすることが出来ます。

モバイルデバイスを保護しながらOSの動作を妨げることがなく、またバッテリーの駆動時間を減らすこともないという点がDr.Web for Androidの重要な特長です。このソフトウェアにはデスクトップ上の便利なウィジェットからアクセスすることが可能です。

Dr.Web for Android Light及びDr.Web for Android （有償版）は、Android 向けアプリケーション公式サイトGoogle Playからダウンロードするか、法人のお客様はDoctor Web公式サイトにてDr.Web for Android法人向けライセンスとして購入することが出来ます。また、Dr.Web Security Spaceを購入した場合は無料にて入手可能です。

2012年12月4日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、新たな手法でWindowsを感染させるトロイの木馬Trojan.Gapz.1によって感染したコンピューター上にインストールされるプラグインの1つについて解析を行いました。その結果、このプラグインには、感染させたコンピューターのwebカメラから画像を傍受することの出来るトロイの木馬ブロッカーが潜んでいることが明らかになりました。

その拡散について以前にも報告したトロイの木馬Trojan.Winlock.7372の場合と同様、Trojan.Winlock.7384としてウイルスデータベースに追加されたこのトロイの木馬もまた画像やテキストを含まず、Windowsがブロックされた旨を表示するウィンドウの作成にはリモートコントロールサーバーから取得したXMLフォーマットのファイルを使用します。

感染したコンピューター上で起動されるとTrojan.Winlock.7384は、対応している国およびペイメントシステムについて記録された自身の設定ファイルを復号化します。

多くの場合、それらはUkash、Moneypack、Paysafecardのバウチャーペイメントシステムです。次に、悪意のあるプログラムはコンピューターのハードウェア設定に応じてユニークなIDナンバーを生成し、感染したコンピューターに関するその他の情報と共にそれらをリモートコマンドサーバーへ送信します。その応答としてTrojan.Winlock.7384は感染したコンピューターのIPアドレスに関するWHOIS情報を受け取り、その中には被害者のロケーションを特定するものが含まれています。トロイの木馬はそれらの情報と自身の設定ファイル内にあるリストを照らし合わせ、感染したコンピューターがカナダ、スペイン、ドイツ、フランス、イタリア、ポルトガル、オーストリア、スイス、イギリス、オーストラリア、アメリカにある場合のみそれらをブロックします。これらのチェックが完了すると、Trojan.Winlock.7384は新たなリクエストを送信し、応答としてコントロールサーバー上へのボットの登録確認を受け取ります。最後に、コマンドセンターからXMLファイルがいくつかダウンロードされ、それを基にWindowsのブロックに関するテキスト及び画像が適切な言語で作成されます。

このバージョンのWindowsロッカーにおける注目すべき特徴は、感染したコンピューターのwebカメラから画像を傍受することができ、ユーザーを脅す目的でそれらの画像をWindowsブロックに関するウィンドウ内に表示するという機能にあります。警察機関からのメッセージを装ったテキストには、ユーザーのコンピューター上での活動が全て記録され、webカメラから取得した顔写真が以後の認証および更なる個人情報の取得のために保存されるという内容が記載されています。

コンピューターのロックを解除するために、ユーザーはバウチャーペイメントシステムのコードを入力するよう要求されます。このコードは通常、決済端末によって発行されるレシートに記載されています。入力されたコードは犯罪者のコントロールサーバーへ送信され、その真偽が確認されます。本物であることが確認された場合、コンピューターのロックを解除するコマンドがコントロールセンターからトロイの木馬へ送信されます。要求される金額は100ユーロまたは150ドルとなっています。

ここ最近Doctor Webアンチウイルスラボに送られた脅威の解析の結果、犯罪者は次第に標準的な「コンストラクター」を使用した従来のWindowsロッカーから、様々な機能を持ったより複雑なトロイの木馬ブロッカーの開発へと移行していることが明らかになっています。

2012年12月11日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web CureIt!のバージョン8.0をリリースしました。このユーティリティは、他のアンチウイルス製品がインストールされているコンピューターであっても、そのスキャン及び修復を行うことができるよう設計されています。新しいバージョンではスキャンのスピードがより速くなった一方で、より詳細なスキャンを実行することが可能になりました。

Dr.Web CureIt! 8.0は、CPUコア間でタスクを分散するためにマルチスレッドスキャンを使用することにより、著しく向上したスキャン速度を誇ります。この機能は既にDr.Web for Windows 7.0 及び 8.0 に搭載されています。また、Dr.Web Security Space、Dr.Web for Windows 7.0 及び 8.0において既に使用されている新たなアンチルートキットが加わりました。

カスタムスキャンモードではメモリ、ブートセクター、オートランオブジェクト、およびその他のオブジェクトのスキャンを実行するかどうかを個別に選択することが可能になりました。

さらに、スキャンの実行中にネットワークへのアクセスをブロックするオプションが追加され、これによりシステムのウイルススキャン中に再感染または悪意のある活動が発生することを防ぎます。また、スキャンの完了後にコンピューターを自動的にシャットダウンすることも可能になりました。

2012年12月12日

株式会社Doctor Web Pacific

Doctor Webは、感染したwebサイトから拡散されているいくつかのトロイの木馬についてユーザーの皆様に警告します。中でも特に、ダライ・ラマの公式サイトからマルウェアがダウンロードされており、WindowsだけでなくMac OS Xも同様に危険に晒されています。

数日前、Doctor Webはチベットのスピリチュアルリーダーであるダライ・ラマ（14世）の公式サイトが感染しているという報告を受けました。ブラウザ内でサイトからページをロードする際に、エクスプロイト（CVE-2012-0507）を含んだ.jarファイルが同時にダウンロードされることがDoctor Webのアナリストによって発見されました。この脆弱性を自動的に悪用することで、Mac OS Xを標的としたトロイの木馬が起動されます。この悪意のあるプログラムはBackDoor.Docksterとしてウイルスデータベースに追加されました。

このマルウェアはMac OS Xシステムのユーザーのホームフォルダ内に置かれた上で起動されますが、このバックドアは管理者権限を必要とせず、通常のユーザーアカウントで動作することが可能です。BackDoor.Docksterは感染したコンピューター上でのキーボードによる入力内容を記録し、その情報（パスワードが含まれている場合もあります）を犯罪者に送信します。また、それら犯罪者から受け取った様々なコマンドを実行します。

BackDoor.Dockster.1はダライ・ラマのサイトにアクセスした全てのコンピューター上に、そのシステムプラットフォームに関係なくダウンロードされようとします。恐らく、犯罪者は感染させたサーバーがクライアントOSを判別するように設定することが出来なかったものと考えられ、このことは、感染したリソース上でCVE-2012-4681を含んだ別の.jarファイルがDoctor Webのアナリストによって発見されているという事実によっても裏付けられています。このファイルはWindowsを標的としたBackDoor.Gyplitプログラムのインストールに使用されます。このマルウェアは感染したシステム上で情報を収集して送信し、様々なコマンドを実行しますが、JARファイルはコンピューター上にダウンロードされません。

クライアントOSの判別を行うサイトは少なくとも2つ存在しており、その結果に応じて該当するJARファイルがコンピューター上にダウンロードされます。１つ目のケースでは、Windows向けのファイルはシステムをTrojan.Inject1.14703に感染させるためのExploit.CVE2011-3544.83を含み、その他のOSを対象としたJARファイルは脆弱性CVE-2012-0507を悪用してMac OS X をBackDoor.Lamadai.1に感染させます。この悪意のあるプログラムは感染したサイトからLinux搭載のコンピューター上にもダウンロードされますが、このシステム内では動作しません。

2つ目のケースは北朝鮮の動向について報道する有名な韓国のニュースサイトで、このサイトも同様のスクリプトを使用して訪問者のOSを判別しますが、悪意のあるファイルTrojan.MulDrop3.47574が標的としているのはWindowsのみです。

チベット独立とダライ・ラマといったテーマは、以前にもマルウェアの拡散および悪意のあるメールの送信に悪用されており、犯罪者は悪意のあるソフトウェアの拡散に感染したサイトを利用するといった傾向が窺えます。こうしたケースでは通常、感染したサイトがチベット又は北朝鮮に関連したものであるため、攻撃は比較的狭い範囲を標的としたものになります。

感染したwebサイトの管理者に対しては、この攻撃に関して即座に報告を行い、Doctor Webのアナリストは悪意のあるコードが削除されるまで数日の間待つこととなりました。

マルウェアによるシステムの感染を防ぐため、現在、Dr.Web SpIDer Gateのコンテンツ別フィルタリングのデータベースには該当するURLが一時的に加えられています。

2012年12月12日

株式会社Doctor Web Pacific

Doctor Webは、Trojan.SMSSend.3666と名付けられた、Mac OS Xを標的とした新たなトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬の拡散に用いられる手法はWindowsユーザーの間では既によく知られているものですが、Macユーザーに対して用いられたのは今回が初めてとなります。Trojan.SMSSendは便利なソフトウェアを装って様々なサイトからダウンロードされる偽のインストーラーです。

Trojan.SMSSendプログラムはインターネット上に多数存在し、正規ソフトウェアのディストリビューションを装って様々なサイトから入手される偽のインストーラーです。そのようなインストーラーがユーザーによって起動されると、該当するアプリケーションのインストールウィザードを装ったインターフェースが表示されます。続けてユーザーは、「インストール」を続行するために入力欄に携帯電話の番号を入力し、送られてきたSMSに書かれたコードを入力するよう要求されます。これらの操作を実行することでユーザーは有料サービスへの登録に同意してしまい、モバイルアカウントから定期的にお金が引き落とされることになります。このようなインストーラーは通常、意味のないデータを含んでいるだけか、又は実際のプログラムを含んでいますが、これらのプログラムはデベロッパーの公式サイトから無料でダウンロード可能なものばかりです。

このトロイの木馬ファミリーはこれまでWindowsユーザーを悩ませてきましたが、今回のTrojan.SMSSend.3666はApple製コンピューターを標的としています。偽のインストーラーが起動されると、ロシアのポピュラーなSNS上で音楽を聴くためのアプリケーションであるVKMusic 4 for Mac OS Xのインストールウィンドウが表示されます。ただし、このプログラムをアクティベートするための手法は、携帯電話の番号と確認コードを要求するという従来通りのものです。

これまでと同様この悪意のあるアプリケーションは、犯罪者が偽のインストーラーを作成することを可能にし、奪ったお金をマルウェアの配信者に送信するための悪名高い「アフィリエイトプログラム」ZipMonsterによって拡散されています。Trojan.SMSSend.3666はこの種のプログラムの中でMac OS Xを標的とする初めてのものであるという点に注意する必要があります。

ユーザーの皆様には、インストール時に電話番号の入力やテキストの送信を要求してくるプログラムのインストールは行わないことを推奨します。何も得られずにお金だけを失う可能性が高く、また検索エンジンで調べた結果、求めていたプログラムはデベロッパーの公式サイトから無料でダウンロード可能であるということが判明するでしょう。

2012年12月13日

株式会社Doctor Web Pacific

2012年の11月には、新たなタイプのトロイの木馬ブロッカーであるマルチロッカーの大規模な拡散が見られました。このトロイの木馬は、ロックしたコンピューターのスクリーン上に表示するための画像やテキストを含んでいません。

ウイルス

数か月前まで多数検出されていた、感染したコンピューター上のインターネットアクセスをブロックする悪意のあるプログラムTrojan.Mayachok.1ですが、2012年11月にDr.Web CureIt!によって最も多く検出されたマルウェアの中では12位に落ちています。一方で、群を抜いて首位を飾っているのはその亜種であるTrojan.Mayachok.17994で、このバージョンのトロイの木馬は、以前にも報告したTrojan.Mayachok.17727の発達における次の段階にあたります。

検出された感染数におけるランキングの上位にはBackDoor.IRC.NgrBot.42が含まれています。このトロイの木馬ファミリーはIRCプロトコル経由でリモートサーバーとのやり取りを行い、犯罪者からの多岐にわたるコマンドを実行することができます。BackDoor.IRC.NgrBot.42はその悪意のあるペイロードによって、マルウェアの整合性が失われた際にブートレコードを破壊することができ、また、アンチウイルス会社のwebサイトへのアクセスをブロックし、様々なオンラインリソースにログインするためのログイン及びパスワードを傍受することが可能です。

BackDoor.IRC.NgrBot.42はその実行ファイルをRecycle Binフォルダ内に置くことで、コンピューターに接続する全てのリムーバブルデータストレージデバイスを感染させます。次に

BackDoor.IRC.NgrBot.42は感染させたデバイス上のフォルダを隠し、代わりに該当するファイル名の付いたショートカットを作成しておきますが、このショートカットがトロイの木馬の実行ファイルへとリンクされています。その結果、感染したデバイス上にあるいずれかのフォルダを開こうとしたユーザーは、悪意のあるアプリケーションを起動させてしまうことになります。さらに、このトロイの木馬はデバイスのルートフォルダ内にautorun.infファイルを置くことができ、それにより、デバイスがコンピューターに接続されると同時に自身も自動的に起動されるようにします。

また、Dr.Web CureIt!によって収集された感染統計情報にはTrojan.Carberp、Trojan.SMSSend、Trojan.DownLoaderマルウェアファミリーのサンプルも含まれていました。下の表は11月にDr.Web CureIt!によってコンピューター上で最も多く検出された脅威のTop10です。

ボットネット

Doctor Webは、世界中のコンピューターを巻き込んで活動中のボットネットに対する監視を続けています。Win32.Rmnet.12に感染したコンピューターで構成されるボットネットは2012年11月の間も着実に拡大を続けています。そのボット数には更に545,000台の増加が見られ、合計は600万台を超えました。下のグラフは、2012年11月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

一方、Win32.Rmnet.16ボットネットの拡大にはいくらか陰りが見えてきました。11月の間にこのボットネットに新たに加わった感染したコンピューター数は5,011台のみで、10月に比べ70%減少しています。ただし、11月の後半には感染率は再び増加傾向を見せています。下のグラフは、このボットネットの拡大推移を表しています。

今年の春に世界中で800,000台を超えるMac OS Xコンピューターを感染させた悪名高いBackdoor.Flashback.39に関しては、そのホスト数は急速に減少していることが確認されました。11月26日の時点でBackdoor.Flashback.39ボットネットを構成するコンピューター数は僅か90,947台のみとなり、先月に比べ14%減少しています。同時に、このボットネットの拡大は実質上停止した形となりました。

マルチロッカー

2012年11月の最も目立った傾向の1つに、マルチロッカーと呼ばれるトロイの木馬ブロッカーの大規模な拡散があります。従来のランサムウェアに加え、11月には、悪意のあるダウンローダーから成るボットネットによって拡散されるこの種類の脅威への移行が見られました。感染したシステムへのマルチロッカーのダウンロードにはBackDoor.Andromedaプログラムが広く使用されていました。

Trojan.Winlock.7372はこの種のランサムウェアの典型的な代表格です。その詳細についてはDoctor Webの最近のニュースでも紹介しましたが、他のランサムウェアとは異なり、マルチロッカーはWindowsブロック時に脅迫メッセージを表示させるために必要な画像やテキストリソースを含まず、必要なエレメントをリモートサーバーからダウンロードします。このようなブロッカーの亜種の中にはWindowsファイアーウォールをすり抜け、感染したコンピューター上でのユーザーによるアプリケーションの実行を妨げるものもあります。そうしたアプリケーションにはタスクマネージャー、メモ帳、レジストリエディタ、コマンドプロンプト、システム設定、Internet Explorer、Google Chrome、Mozilla Firefox、Opera、アプリケーションではProcessHacker、Process Monitorが含まれています。

11月の末、Doctor Webのアナリストはコンピューターに接続されたwebカメラから画像を盗むTrojan.Winlock.7372を発見しました。被害者のスクリーン上には警察機関からのメッセージを装ったテキストが表示され、そこには、ユーザーのコンピューター上での活動が全て記録され、webカメラから入手した顔写真が以後の認証および更なる個人情報の取得のために保存されるという内容が記載されています。

コンピューターのロックを解除するために、ユーザーはバウチャーペイメントシステムのコードを入力するよう要求されます。入力されたコードは犯罪者のコントロールサーバーへ送信され、その真偽が確認されます。支払が確認されると、コンピューターのロックを解除するコマンドがコントロールセンターからトロイの木馬へ送信されます。要求される金額は100ユーロまたは150ドルとなっています。詳細についてはこちらの記事をご覧ください。

マルチロッカーによる感染数の増加によって示唆される背景は、その多くがウイルス作成ツールキットを使用して製作される、標準的構造を持った従来のWindowsロッカーから離れつつある犯罪者達が、次第により複雑なペイロードを取り入れる傾向へと移行しているということです。Doctor Webの収集した統計情報によると、マルチロッカーは主にアメリカ及び西ヨーロッパで拡散されています。

今月の脅威：Trojan.Gapz.1

Trojan.Gapz.1については既に以前より知られていましたが、今回注目を集めたのはこのトロイの木馬を感染したシステム内にインストールするプラグインTrojan.Winlock.7384でした。

Trojan.Gapz.1は32ビット版および64ビット版いずれのWindows上でも動作することが可能であり、また、システム内での実行ファイルの不正起動を防ぐUACをすり抜けることができます。次に、Trojan.Gapz.1は感染したコンピューターのハードドライブの構造を解析し、特別なイメージを作成してディスクの予約セクター内に書き込みます。次いでシステムローダーをロードさせ、悪意のあるアプリケーションを実行させます。

Trojan.Gapz.1の主要な目的は、複数のモジュールを含んだバイナリイメージをディスクからロードするための環境を整えることにあります。それらのモジュールはそれぞれ異なるペイロードを持ち、そのうちの1つは悪意のあるUCashアプリケーションです。Trojan.Gapz.1に関する詳細についてはこちらの記事こちらの記事をご覧ください。

危険なダウンローダー

11月21日、Doctor WebはTrojan.DownLoader7.21125と名付けられた危険なトロイの木馬ダウンローダーについてユーザーの皆様に警告しました。このプログラムは、感染したコンピューター上に他のマルウェアをダウンロードすることができます。現在のところ、このTrojan.DownLoader7.21125が感染させたコンピューター上にダウンロード・インストールするのは、電子通貨Bitcoinのマイニング（採掘）プログラム、リパックされた自身のコピー、及び以下のマルウェアです。

• BackDoor.Andromeda.22－同様に、感染したコンピューター上に他のマルウェアをダウンロード・インストールすることの出来る、広く拡散されているトロイの木馬ダウンローダーです。
• Trojan.Rodricter.21－アンチデバッギング機能を搭載したドロッパーを持つマルチコンポーネントルートキットです。OSの脆弱性を悪用して自身の権限を高め、32ビット版および 64ビット版Windowsのユーザーアカウント制御（UAC）を無効にし、Mozilla Firefox及びInternet Explorerの設定を変更します。そのコアモジュールの主な機能は、感染させたコンピューター上のトラフィックを傍受することです。
• Trojan.PWS.Multi.879－ICQ、Yahoo! Messenger、FTP Commander、Paltalk、AIM、Google Talk、MSN Messenger、Miranda、Trillianなどのポピュラーなアプリケーションからパスワードを盗む悪意のあるプログラムです。
• BackDoor.HostBooter.3－DDoS攻撃を実行し、コントロールサーバーからのコマンドに従ってファイルをダウンロード・実行するよう設計されたプログラムです。

Trojan.DownLoader7.21125に関する詳細についてはこちらの記事をご覧ください。

Androidに対する脅威

11月、Dr.Webウイルスデータベースにはまた別の商用スパイウェアに関するレコードが追加されました。この脅威はすぐにAndroid OSに対するその他の主要な脅威の一員に加わり、それらの中にはProgram.Jianspy.1.originやProgram.Spyera.1.originなどが含まれています。これらの脅威はこの種のプログラムに典型的なタスク、つまりSMS送受信および通話に関する情報の収集、デバイスのロケーションの特定を実行します。

高額な有料メッセージを送信することでユーザーのアカウントからお金を引き落とす、よく知られたAndroid.SmsSendプログラムの新たなバージョンは未だ出現を続けています。そのようなアプリケーションはDoctor Webのアナリストによって頻繁に発見され、即座にウイルスデータベースへと追加されています。

11月にメールトラフィック内で検出されたマルウェアTop20

11月にユーザーのコンピューター上で検出されたマルウェアTop20

2012年12月17日

株式会社Doctor Web Pacific

年末・年始は下記の期間休業させていただきます。

年明けは、2013年1月7日（月）9:30より通常通り営業いたします。

2012年12月21日

株式会社Doctor Web Pacific

Doctor Webは、来る2013年1月14日に行われるDr.Web Enterprise Security Suiteのサーバー及びクライアントソフトウェアのバージョン6.0.4へのアップグレードについてユーザーの皆様に報告します。Agentのアップデートは、サーバーソフトウェアのバージョン6が動作しているネットワークでご利用いただけます。

アンチウイルスコンポーネントの自動アップグレードが設定されているバージョン6サーバーが動作しているネットワーク内では、サーバーソフトウェアがアップデートされた後でAgentのアップデートが行われます。システム管理者の方は注意してください。その後プログラムは、ユーザーに対しコンピューターの再起動を要求します。

管理者の方は、リポジトリ設定またはサーバースケジュールを設定することで、ウイルスデータベースのアップデートのみを行い、サーバー及びAgentのアップデートを都合の良いタイミングまで遅らせることが可能です。

2013年1月7日

株式会社Doctor Web Pacific

Doctor Webは、Androidを標的とする新たな悪意のあるプログラムについてインターネットユーザーの皆様に警告します。Android.DDoS.1.originは様々なインターネットリソースに対してDDoS攻撃を実行し、犯罪者のコマンドに応じてショートメッセージを送信することが可能です。

インストールされたAndroid.DDoS.1.originはGoogle Playのものを模倣したアプリケーションアイコンを作成し、ユーザーがこの偽のアイコンを使用してGoogle Playにアクセスしようとすると、オリジナルのアプリケーションを起動させます。これにより、ユーザーに疑いを抱かれる危険性を回避します。

起動されると、このトロイの木馬はリモートサーバーへの接続を試みます。成功した場合は被害者の携帯番号を犯罪者へ送信し、送られてくるSMSコマンドを待ちます。実行可能なコマンドには、指定されたサーバーに対する攻撃やSMSの送信があります。犯罪者からのコマンドに [server:port] パラメータが含まれていた場合、サーバー攻撃の指示を意味します。そのようなコマンドを受け取ったAndroid.DDoS.1.originは、指定されたアドレスに対してデータパケットの送信を開始します。一方、SMS送信を指示するコマンドにはメッセージテキスト、及びそれらの送信先となる番号が含まれています。このトロイの木馬の活動は感染したデバイスのパフォーマンスを低下させるだけでなく、インターネットへのアクセスやSMSの送信が有料であることからユーザー自身に対しても損害を与える可能性があります。送信先がプレミアム番号であった場合、ユーザーの被る損害額はさらに大きくなります。

このトロイの木馬の拡散方法については未だ明らかになっていませんが、犯罪者はマルウェアをGoogleの合法アプリケーションそっくりに偽装させるソーシャルエンジニアリング手法を用いている可能性が濃厚になっています。

注目すべきはAndroid.DDoS.1.originのコードが難読化されているという点です。このトロイの木馬はwebサイトに対する攻撃を実行し、コンテンツプロバイダーのものを含むあらゆる番号に対してテキストメッセージを送信することが可能であることから、第三者による違法行為（競合相手のサイトを攻撃、SMSを使用して製品を宣伝、ショートナンバーにSMSを送信することでユーザーを有料サービスに加入させるなど）に利用される可能性もあると考えられます。

Doctor Webのウイルスアナリストは現在もAndroid.DDoS.1.originの解析を続けており、Dr.Web for Androidをお使いのユーザーはこのトロイの木馬から保護されています。

2013年1月15日

株式会社Doctor Web Pacific

Doctor Webは、マルウェアTrojan.PWS.UFR.3010を拡散するメールの大量配信についてユーザーの皆様に警告します。このトロイの木馬は様々なアプリケーションからパスワードを盗むよう設計されています。

2012年12月26日から27日にかけて、ZIPアーカイブの添付された、アカウントの支払いに関するメールがインターネットユーザーに対して送信され始めました。テキストメッセージは通常、支払に関する銀行の要件を確認するよう促す内容になっています。下の画像はそのようなメールの1例です。

注目すべき点がいくつかあります。第一に、アーカイブ名（[FILENAME].JPG.zip）及びメール内のテキストエラーが挙げられます。アーカイブ内には実行ファイルがあり、悪意のあるアプリケーションの拡張子（. Exe）と名前の間に多くのドットを挟むことで、Windows Explorer上で隠されるようになっています。本当のファイル拡張子を「隠す」同様の手法はハッカーによって長年使用されており、特に目新しいものではないとされています。これまでのハッカー達はドットではなくスペースを使用することでWindows Explorerユーザーがファイルのタイプを判別することを困難にし、より大きな成功を収めていました。一方、今回のトロイの木馬の拡散者はアプリケーションアイコンを置き換えることすらしていません。学校の試験の時期が近づいたために十分な時間が無かったのでしょう。

Dr.WebアンチウイルスソフトウェアによってTrojan.PWS.UFR.3010として検出されたマルウェアそれ自体は、パスワードを盗むよう設計されたよく知られたコンストラクターユーティリティUFR Stealerを使用して作成されています。このユーティリティは少なくとも2010年からハッカーのフォーラム上で無料にて配信されており、プログラミング知識を持たない10代の若者でも使用することが出来ます。このコンストラクターによって作成された悪意のあるアプリケーションは、多くのポピュラーなブラウザやメールクライアント、FTPクライアント、インスタントメッセンジャー、及びその他のアプリケーション（World of Tanksゲームなど）からパスワードを盗み、FTPプロトコル経由でリモートサーバー上に又は電子メールにデータを送信します。下の画像は狙われる危険性のあるプログラムのリストです。

FTPサーバー攻撃に関する分析結果によると、合計で少なくとも数百台のコンピューターが感染しており、12月26日の夜には120台を超えていました。

Doctor Webのスペシャリストは、未知の送信元から送られてきたメールの添付ファイルを開かないようユーザーの皆様に呼びかけています。

2013年1月15日

株式会社Doctor Web Pacific

Doctor WebはDr.Web Enterprise Security Suite 6.0.4をリリースしました。今回のリリースでは新たな機能が加わり、発見されたバグが修正されました。Agentのアップデートは、バージョン6.0.4のみでなくバージョン6.0、6.0.2、6.0.3のサーバーソフトウェアを使用するネットワークでご利用いただけます。

サーバーソフトウェアに加えられた変更は次の通りです。サーバー6.0.4のインストール後、インストーラーディレクトリ内で最新のAgentネットワークインストーラーが使用可能になります。Microsoft Windows 8 及び Microsoft Windows Server 2012を搭載したコンピューターがアンチウイルスネットワーク内で正常に認識されるようになりました。RADIUSプロトコルに対応するようになり、また、Global Updating Systemへの低速接続確立中におけるサーバーのパフォーマンスが最適化され、より安定したものになりました。さらに、内部データベースとの連携ルーチンがアップグレードされ、高負荷状態下におけるパフォーマンス及び信頼性が向上しました。

Agent ソフトウェアでは、Dr.Web Net Filtering Serviceインストールの際に時折発生していた問題が修正され、Agent のインストール中にはWindows Defenderが無効になるようになりました。また、一部のJavaアプリケーションとの互換性に関する問題も解決されました。

今回のアップデートではさらに、スキャン除外対象として指定されているファイルをスキャンしてしまうスキャナーエラーが修正されました。このエラーは、サーバーからダウンロードした除外リストを処理する際や、検出された脅威に関する情報のサーバーへの送信中に発生していたものです。

複雑な脅威の駆除に使用されるDr.Web Anti-rootkit APIライブラリのアップデートされたバージョンでは、最適化されたアンチルートキットスキャンルーチンによってシステムスキャンの速度が著しく向上しました。また、感染したプロセスの終了を妨げるバグが修正されました。

PPPoE経由でネットワーク接続の確立を試みた際にWindows 8で発生する可能性のある深刻なシステムエラーに関する問題も修正されました。

Agentは自動でアップデートされますが、2回の再起動が必要になります。

アップデートに関する詳細およびインストールの手順についてはDr.Web Enterprise Security Suite 6.0.4 リリースノートをご覧ください。(英語です）

2013年1月16日

株式会社Doctor Web Pacific

『Dr.Web』 、年間600万人が利用するインストール不要、無料で利用できる ウイルス感染チェック/駆除ソフトの最新版（日本語版）をリリース ～遠隔操作ウイルスの感染チェック/駆除も可能～

ロシアのITセキュリティ対策ベンダDoctor Web, Ltd.の日本法人である株式会社Doctor Web Pacific(本社：川崎市川崎区、代表取締役：菅原 修、資本金：6,000万円、以下 Doctor Web)は、年間600万人以上が利用するインストール不要、無料で利用できる(※1)ウイルス感染チェック/駆除が可能な『Dr.Web CureIt!』の最新バージョン8.0(日本語版)の提供を開始しました。

このユーティリティの大きな特長は、既に他のアンチウイルス製品がインストールされているコンピューターであっても、そのスキャンおよび修復を行うことができる点です。 アンチウイルス製品を利用しているにも関わらず、感染の不安があるユーザーがセカンドオピニオンとして利用する製品のデファクトスタンダードです。 日本で発生した事件に使用された遠隔操作ウイルスの感染チェック/駆除も可能です。(※2) 新しいバージョンではスキャンのスピードがより速くなった一方で、より詳細なスキャン設定を実行することが可能になりました。

(※1)個人でのご利用の場合のみ無償。法人向けライセンスDr.Web CureNet!は有償。 『Dr.Web CureNet! マルウェア解析パック』詳細： http://products.drweb.co.jp/biz/curenet_service (※2)警察庁にて確認を実施。

◆『Dr.Web CureIt!』詳細/ダウンロード：http://free.drweb.co.jp/cureit/

■『Dr.Web CureIt! バージョン8.0』の詳細

『Dr.Web CureIt! 8.0』は、CPUコア間でタスクを分散するためにマルチスレッドスキャンを使用することにより、スキャン速度が著しく向上しました。 また、既に他のDr.Web製品には搭載されていた新たなアンチルートキット機能が加わりました。 カスタムスキャンモードではメモリ、ブートセクター、オートランオブジェクト、およびその他のオブジェクトのスキャンを実行するかどうかを個別に選択することが可能になりました。 さらに、スキャンの実行中にネットワークへのアクセスをブロックするオプションが追加され、これによりシステムのウイルススキャン中に再感染または悪意のある活動が発生することを防ぎます。また、スキャンの完了後にコンピューターを自動的にシャットダウンすることも可能になりました。 BIOSコンピューターを感染させる悪意のあるプログラムBIOS kitのスキャンを実行することも可能です。

【Doctor Web, Ltd.について】

Doctor Web, Ltd.は、1992年からアンチウイルスを中心とした『Dr.WEB』ブランドをワールドワイドで展開しているロシアのITセキュリティソリューションベンダーです。ロシアの国防総省/政府機関/インターナショナルバンク/石油・エネルギー関連施設/地方自治体をはじめ、世界中のグローバルカンパニーにご利用いただいている信用と実績を持つ、業界最高水準のセキュリティ製品です。ウイルス・スパイウェアや迷惑メール(スパム)を確実に検出するその能力は第三者権威機関によって高く評価されています。

■会社概要

名称　　： 株式会社Doctor Web Pacific 所在地　： 〒210-0005　神奈川県川崎市川崎区東田町1-2 NKF川崎ビル 2F 代表者　： 代表取締役　菅原 修 業務開始： 2010年12月 資本金　： 6,000万円 株主　　： Doctor Web, Ltd.(100％) URL　　 ： http://www.drweb.co.jp/

■Dr.Web製品およびパートナープログラムに関するお問合せ先

株式会社Doctor Web Pacific　営業担当 TEL　 ： 044-201-7711 FAX　 ： 044-201-7712 E-Mail： sales.dwp@drweb.com Web　 ： http://www.drweb.co.jp/

■本発表に関するお問合せ先

株式会社Doctor Web Pacific　広報担当 TEL　 ： 044-201-7711 FAX　 ： 044-201-7712 E-Mail： pr.dwp@drweb.com

2013年1月18日

株式会社Doctor Web Pacific

今年１月28日～29日、フランスのリールにて第5回サイバー犯罪国際フォーラム（International Forum on Cybercrime: FIC）が開催されます。このフォーラムはフランス国家憲兵隊によって毎年開催されているものです。情報セキュリティ分野における一流エキスパート及び公共企業体が世界各国から一堂に会するこのイベントで、CEOであるボリス・シャロフがDoctor Webを代表します。

2010年から2014年までを対象としたストックホルム計画では、サイバー犯罪対策の強化がEU加盟国における最優先事項の1つとなりました。その取り組みの中心となるべく、フランス国家憲兵隊によって2007年、第1回目となるサイバー犯罪国際フォーラムが開催されました。

リールにて開催される第5回目のフォーラムは、マルウェア及びその他様々なインターネット詐欺に関するエキスパート達と主要な国家機関が場を共有する機会を提供します。その第一の目的は、政府官僚および企業社員、さらには各国を代表するセキュリティープロフェッショナル達の間で包括的かつ透明性のある議論を行うことにあります。

第5回サイバー犯罪国際フォーラムにおける議題は主に以下の3つのカテゴリーに大別されます。

• 政府および行政セクター
• 企業：大企業および中小企業
• 地方行政および地方自治体

フォーラムのテーブルでは、Doctor WebのCEO ボリス・シャロフによるスピーチ－「サーバー犯罪者－彼らは一体何者なのか：愉快犯か、それとも犯罪組織の一員か？」－が行われます。

2013年1月18日

株式会社Doctor Web Pacific

Doctor Webは、様々な検索エンジンのクエリをすり替え、犯罪者の作成したサイトへとブラウザをリダレクトするマルウェアBackDoor.Finderの拡散についてユーザーの皆様に警告します。

感染したシステム内で起動されると、BackDoor.Finderはカレントユーザーの%APPDATA%ディレクトリ内に自身のコピーを作成し、アプリケーションの自動実行に関与するWindowsのレジストリブランチに変更を加えます。その後、マルウェアは動作中の全てのプロセス内に埋め込まれます。Microsoft Internet Explorer、Mozilla Firefox、Maxtron、Chrome、Safari、Mozilla、Opera、Netscape、Avantブラウザのプロセス内に侵入を果たしたこのトロイの木馬は、WSPSend、WSPRecv、WSPCloseSocket関数を傍受します。

次にBackDoor.Finderはコントロールサーバーのドメイン名を最大で20個まで生成し、それらのサーバーに対し暗号化されたリクエストを送信します。感染したシステム上でユーザーがgoogle.com、bing.com、yahoo.com、ask.com、search.aol.com、search.icq.com、search.xxx、www.wiki.com、www.alexa.com、yandex.comを使用して検索を試みると、入力された検索クエリがコントロールサーバーへと送信され、その応答としてトロイの木馬は、ブラウザのリダレクト先となるURLのリストを含んだ設定ファイルを受け取ります。その結果、ユーザーのブラウザ上には検索結果ページではなく犯罪者の指定したインターネットリソースが表示されます。

Doctor WebのアナリストはBackDoor.Finderによって使用されているコマンドセンター名の生成アルゴリズムを特定することに成功し、統計を収集するために複数のコントロールサーバーが登録されました。その結果、このトロイの木馬が最も多く拡散されているのはアメリカ合衆国であることが判明しました。中でも、感染したサーバー数が群を抜いて多いのはカンザス州で、次点はニュージャージー州、3位にはオハイオ州およびアラバマ州がつけ、また、最も感染数の少ない州はユタ州およびミシガン州でした。

BackDoor.Finderは既にウイルスデータベースに追加されているため、この脅威がDr.Webユーザーに対して危害を与えることはありません。

2013年1月22日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web Enterprise Security Suite 6.0製品に含まれるDr.Web Net Filtering Serviceのアップデートについて報告します。今回のアップデートではメール操作に関する問題が修正されました。

スパムメッセージのフィルタリングに関するバグが修正され、また、SpIDer Mailが有効になった状態での、CommuniGate Pro MAPI Connectorを使用したMAPI経由でのMicrosoft Outlookの起動に関する問題が解決されました。

アップデートは自動的にダウンロード・インストールされます。

2013年1月22日

株式会社Doctor Web Pacific

Doctor Webは、BackDoor.BlackEnergyファミリーに属するトロイの木馬の再拡散についてユーザーの皆様に警告します。2012年7月、このトロイの木馬の使用するメインのコントロールサーバーが閉鎖されたことが各メディアによって報じられました。しかしながらBlackEnergyボットネットはその後数か月の間活動を続け、完全に停止が認められたのは2012年の秋になってからでした。そして2013年1月、この脅威の新たな亜種が出現しました。

複雑なマルチコンポーネントトロイの木馬であるBackDoor.BlackEnergyは主にスパムを送信するために設計されています。犯罪者達はこのアプリケーションを使用して世界で最も大規模なメール配信ボットネットの1つを構築し、その活動のピーク時には１日に180億通ものメールが配信されました。BackDoor.BlackEnergyトロイの木馬ファミリーはその動作にローダブルモジュール、及び管理サーバーから受け取ったxml形式の設定ファイルを使用します。

BackDoor.BlackEnergy.36 と名付けられたこの新たな亜種は前回と同一の犯罪者達によって拡散されていると考えられ、彼らはこのマルウェアの古いバージョンを流用しています。このことは特に、2012年の夏にコントロールサーバーが閉鎖されたBlackEnergyボットネットのいくつかで使用されていたものと同じデータ暗号化キーがBackDoor.BlackEnergy.36 でも使用されているという事実によって裏付けられます。

BackDoor.BlackEnergy.36 とこれまでのバージョンとの大きな違いは、BackDoor.BlackEnergyは設定ファイルを暗号化した形でダイナミックライブラリの個別のセクション内に保存するという点、また、それらのセクションがトロイの木馬のセクションに含まれているためBackDoor.BlackEnergy.36 の起動と同時にsvchost.exe又はexplorer.exeプロセス内に埋め込まれるという点の2つです。さらに、犯罪者達はBackDoor.BlackEnergy.36 が管理サーバーとのデータのやり取りに使用するネットワークプロトコルを僅かに変更しています。

現在までにDoctor Webのアナリストは、スパム大量配信のための新たなボットネット構築を企む犯罪者によって使用されているBackDoor.BlackEnergy.36 管理サーバーのいくつかを登録することに成功しています。アナリストによる状況の監視は今後も継続して行われますが、Dr.Webのウイルスデータベースには既にBackDoor.BlackEnergy.36 のシグネチャが追加されているため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。

2013年1月30日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web Enterprise Security Suite 6.0 Agentコンポーネントのアップデートをリリースしました。今回のアップデートではScanning Engine Service、アクティブ且つ複雑な脅威の駆除に使用されるDr.Web Anti-rootkit Service、Dr.Web SelfPROtectモジュールが改良されました。

ファイルのスキャン中や脅威の駆除中にScanning Engineがフリーズしてしまう可能性のあるバグが修正されました（同問題はDr.Web Anti-rootkit Serviceでも修正されました）。さらに、更新時に起こるウイルスデータベースの再起動に関する問題が解決され、Windows 2000を搭載したコンピューター上でシステムリソース消費の増大を引き起こす原因が取り除かれました。

アップデートは自動的に実行されますが、システムの再起動が2回必要になります。

2013年1月30日

株式会社Doctor Web Pacific

Doctor Webは、新たなバックドアの大量拡散についてユーザーの皆様に警告します。BackDoor.Butirat.245と名付けられたこのプログラムは、コントロールサーバー名を作成する新しいメカニズムを使用しています。その目的は、コントロールサーバーの1つが閉鎖された場合でも出来るだけ長くマルウェアを動作可能な状態にしておくことであると考えられます。

BackDoor.Butiratファミリーに属するマルウェアは、コントロールサーバーから該当するコマンドを受け取った後、感染したシステム内に実行ファイルをダウンロードして実行し、ポピュラーなFTPクライアント（FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなど）からパスワードを盗むことが出来ます。

一方、これらのバックドアが使用する感染メカニズムは、システムファイル内に自身を複製し、Windowsが起動する度にそれらのコピーが自動実行されるようレジストリに変更を加えるという比較的一般的なものです。

サーバー名がプログラム内に埋め込まれていた従来のバージョンに対し、BackDoor.Butirat.245の注目すべき特徴は、コントロールサーバー名を作成するというこれまでにないメカニズムにあります。BackDoor.Butirat.245を解析したDoctor Webアナリストは、このプログラムがサードレベルドメイン名を自動的に作成するという事実に、先日発見されたBackDoor.BlackEnergyのケース同様、驚かされることになりました。続くセカンドレベルドメイン名は、いかなるリクエスト及びクレームも受け付けないという会社によって登録されていることが明らかになりました。ウイルス製作者達はこの手法によって、コントロールサーバーの1つが閉鎖された状況下での悪意のあるプログラムの活動停止を先延ばしにすることが出来ると目論んでいるようです。

Dr.Webのウイルスデータベースには既にBackDoor.Butirat.245のシグネチャが追加されているため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。