2015年6月30日
株式会社Doctor Web Pacific
6月の初め、スパムを配信するよう設計された新たなトロイの木馬がDoctor Webアナリストによって発見されました。そのほか6月にはMac OS Xを標的とした望まないアプリケーションのインストーラが新たに登場し、ロシアの世論調査機関VCIOMの公式サイトを含む様々なインターネットリソースに対する攻撃が活発化しました。
ウイルスレビュー
2015年6月には、情報セキュリティに関して比較的興味深い動きが見られました。上述のとおり、ロシアの世論調査機関VCIOMの公式サイトなど様々な機関に対するハッカーによる攻撃が確認され、Windows、Mac OS X、Androidを標的とする新たなマルウェアが広く拡散されました。
6月の主な傾向
- 犯罪者によってハッキングされるWebサイトの増加
- Mac OS Xを標的とする、望まないアプリケーションのインストーラがインターネットを介して拡散される
- WindowsおよびAndroidを標的とする新たなマルウェア
6月の脅威
2015年6月の初め、スパムを配信するよう設計された新たなトロイの木馬がTrojan.Proxy.27552という名前でDr.Web ウイルスデータベースに追加されました。このトロイの木馬はインストールプロセス開始直後にBSOD(ブルースクリーン)を引き起こしたり、C&CサーバーのリストをWindowsシステムレジストリ内に保存するなど特異な機能をいくつか備えていました。
Trojan.Proxy.27552の主な目的はリモートスパムサーバーとの連携によるスパムメッセージの配信です。このトロイの木馬によって送信されたメッセージに含まれたリンク先で、ユーザーはハッキングされたWebサイトへとリダレクトされます。この脅威に関する詳細はこちらの記事をご覧ください。
Dr.Web CureIt!による統計
Trojan.DownLoad3.35967
別の悪意のあるプログラムをインターネットからダウンロードし、感染させたコンピューター上にインストールするトロイの木馬です。
Trojan.Yontoo
ユーザーが開いたWebページ上に広告を表示させる、ポピュラーなブラウザ向けのプラグインです。
Trojan.Click
インターネットリソースの訪問者数を増やすための悪意のあるソフトウェアです。ブラウザの動作を操作することで、被害者を特定のサイトへとリダレクトします。
Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード、インストールします。
Trojan.Siggen6.33552
別のマルウェアをインストールするよう設計された悪意のあるプログラムです。
Dr.Webの統計サーバーによる統計
Trojan.DownLoader13.34458
別の悪意のあるプログラムをインターネットからダウンロードし、感染させたコンピューター上にインストールするトロイの木馬です。
Trojan.Siggen6.33552
別のマルウェアをインストールするよう設計された悪意のあるプログラムです。
Trojan.InstallCube
ユーザーのコンピューター上に望まないアプリケーションをインストールするよう設計されたダウンローダプログラムのファミリーです。
Trojan.Installmonster
アフィリエイトプログラムinstallmonsterを使って設計されたマルウェアのファミリーです。感染させたコンピュータ上に様々な望ましくないプログラムをダウンロード・インストールします。
メールトラフィック内で検出された脅威の統計
Trojan.Oficla
主にEメールを介して拡散されるトロイの木馬ファミリーです。システムを感染させると、密かに悪意のある活動を行います。Trojan.Oficlaはコンピューターをボットネットに接続することで、感染させたシステム上に犯罪者が別の悪意のあるソフトウェアをアップロードすることを可能にします。感染後、ユーザーのコンピューターはボットネットをコントロールする犯罪者によって乗っ取られる形となり、その結果、中でも特に、犯罪者はあらゆる悪意のあるソフトウェアをダウンロード、インストール、使用することができるようになります。
Trojan.DownLoader13.34458
別の悪意のあるプログラムをインターネットからダウンロードし、感染させたコンピューター上にインストールするトロイの木馬です。
Worm.Siggen.12176
主にファイルの添付されたEメールによって拡散されるワームです。
W97M.DownLoader.423
主にMicrosoft Word 文書の添付されたEメールによって拡散される悪意のあるプログラムです。感染させたコンピューター上に別のマルウェアをダウンロードします。
Trojan.Upatre
感染させたコンピューター上に別の悪意のあるアプリケーションを密かにダウンロード、インストールするトロイの木馬ファミリーです。
ボットネット
Doctor Webでは、活動を続ける複数のボットネットについて監視を続けています。以下のグラフは、ファイルインフェクターWin32.Rmnet.12を使用して構成されるボットネットの2つのサブネットにおける拡大推移を表しています:
Rmnetはユーザーの操作なしに拡散されるファイルインフェクターのファミリーです。ユーザーが開いたWebページ内にコンテンツを埋め込み(これにより犯罪者が被害者のバンクアカウント情報を得ることが理論上可能になります)、ポピュラーなFTPクライアントプログラムによって保存されたクッキーやパスワードを盗むほか、犯罪者から受け取ったコマンドを実行します。
ファイルインフェクターWin32.Sectorに感染したシステムで構成されるボットネットは現在も活動を続けています。このマルウェアは以下の動作を実行することができます:
- P2Pネットワーク経由で様々な実行ファイルをダウンロードし、感染したシステム上で起動させる。
- 実行中のプロセスに自身のコードを埋め込む
- 特定のアンチウイルスの動作を停止させ、そのデベロッパーのサイトへのアクセスをブロックする。
- ローカルディスクやリムーバブルメディア上(感染の過程でここにautorun.infファイルを作成)のファイルのほか、ネットワーク共有フォルダ内に保存されたファイルを感染させる。
6月にはLinux.BackDoor.Gates.5によるインターネットリソースへの攻撃に著しい減少が確認されました。攻撃されたIPアドレスの数は5月に比べて76.6%の減少となる1,284件となっています。国別ではカナダが最も多く、次いで中国、米国のアドレスとなっています。
暗号化ランサムウェア
Doctor Webテクニカルサポートサービスに寄せられた復号化リクエストの数
| 2015年5月 | 2015年6月 | 推移 |
|---|---|---|
| 1,200 | 1,417 | + 18% |
2015年6月に最も多く検出されたランサムウェア
- Trojan.Encoder.858
- Trojan.Encoder.567
- BAT.Encoder
は暗号化ランサムウェアからの保護を提供します。 | |
| 予防的保護 | データ損失防止 |
|---|---|
 |  |
Mac OS X
望まないアプリケーションのインストーラおよびアドウェアはMac OS Xを標的とする悪意のあるプログラムの中でも最も多く拡散されています。6月には、そのようなマルウェアがAdware.Mac.MacInst.1という名前でDr.Web ウイルスデータベースに追加されました。
Adware.Mac.MacInst.1は起動されると、ユーザーがダウンロードを希望しているファイルに関する情報をダイアログウィンドウ内に表示させます。
“Next”ボタンがクリックされると、ファイルの他に別のコンポーネントもいくつかインストールされる旨をユーザーに知らせるパートナーシップ同意書が表示されます。
それらのファイルの中に、Dr.Web によって Trojan.VIndinstaller.3 として検出されるプログラムが含まれています。続けて、このアプリケーションがSafari、Firefox、Chrome用の悪意のあるプラグインをインストールしますが、これらのプラグインがTrojan.Crossriderファミリーに属するトロイの木馬です。この脅威に関する詳細についてはこちらの記事をご覧ください。
危険なWebサイト
2015年6月、ロシアの世論調査機関VCIOMの公式サイトに掲載されている多くのWebサイトが、悪意のあるソフトウェアを拡散しているとして一時的にDr.Webウイルスデータベースに追加されました。これは、VCIOMのロシア語(wciom.ru)および英語(wciom.com)サイトがサイバー犯罪者によってハッキングされていたことによるものでした。犯罪者はハッキングしたサーバー上に特別なセクションを作成し、そこに最もよく検索されているタイトルを付けたWebページを追加していました。これらのページにはTrojan.DownLoaderファミリーに属するトロイの木馬としてDr.Webによって検出されるファイルをダウンロードするためのリンクが含まれています。このダウンローダを使用して、犯罪者はマイニングアプリケーションやその他の悪意のあるプログラムを被害者のコンピューター上にインストールします。統計からは、何万人ものユーザーが被害に遭っていることが分かります。
2015年6月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は978,982件となっています。
| 2015年5月 | 2015年6月 | 推移 |
|---|---|---|
| + 221,346 | + 978,982 | + 342.28 % |
Androidを脅かす悪意のある、または望まないソフトウェア
6月もAndroidデバイスユーザーを標的とした攻撃は続いています。さらに、望まないまたは悪意のあるアプリケーションが多数Doctor Webセキュリティリサーチャーによって発見されました。中でも特に注目に値するものは以下のとおりです:
- Androidデバイスユーザーのバンクアカウントから金銭を盗むことを目的とした、様々なバンキングトロイの木馬による攻撃
- 新たなAndroidランサムウェアの出現
- ダウンローダトロイの木馬を使用して悪意のあるソフトウェアを拡散させる新たなケース
- SMSトロイの木馬の増加