2016年5月31日
株式会社Doctor Web Pacific
5月の主な傾向
- Windows向けの新たなスパイウェア
- コンピューターをプロキシサーバーとして動作させるトロイの木馬
- Android向けバンキングトロイの木馬の拡散
5月の脅威
スパイウェア型トロイの木馬は重要な個人情報を盗む機能を備えていることから、ユーザーにとって非常に深刻な脅威となっています。5月の初めに検出された BackDoor.Apper.1はそのようなトロイの木馬の1つです。
このトロイの木馬は特別なマクロを含んだMicrosoft Excelファイルとしてドロッパーによって拡散されています。このマクロは自己解凍型のアーカイブをバイト単位で収集し、それらを実行します。アーカイブにはシマンテックの有効なデジタル署名を持った実行ファイルや、トロイの木馬の主な機能が全て組み込まれたダイナミックライブラリが含まれています。起動されたファイルは感染したコンピューターのメモリ内に悪意のあるライブラリをロードします。
BackDoor.Apper.1は主にコンピューター上に保存されたファイルを盗む目的で設計されていますが、その他のコマンドを実行することもできます。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web CureIt!による統計
Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。Trojan.InstallCore.1903
望まない悪意のあるアプリケーションをインストールするトロイの木馬です。Trojan.MulDrop
感染させたコンピューター上に別のマルウェアをインストールするトロイの木馬です。Trojan.StartPage
ブラウザ設定内でホームページを変更するマルウェアファミリーです。
Dr.Webの統計サーバーによる統計
Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。Trojan.InstallCore.1903
望まない悪意のあるアプリケーションをインストールするトロイの木馬です。BackDoor.IRC.NgrBot.42
2011年から情報セキュリティリサーチャーに知られている、一般的なトロイの木馬です。このファミリーに属する悪意のあるプログラムは、IRC(Internet Relay Chat)テキストメッセージプロトコル経由でサイバー犯罪者によってコントロールされる感染したシステム上で、犯罪者から受け取ったコマンドを実行することができます。Trojan.BPlug
ユーザーがWebページを閲覧する際に迷惑な広告を表示させる、ポピュラーなブラウザのプラグインです。Trojan.KillProc.41114
実行中の他のアプリケーションのプロセスを終了させ、感染させたデバイス上で悪意のある動作を実行するトロイの木馬です。
メールトラフィック内で検出された脅威の統計
JS.Downloader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。Trojan.Bayrob.57
感染させたコンピューターから機密情報を盗み、その他の悪意のある動作を実行するトロイの木馬です。Win32.HLLM.Graz
メールの大量配信によって拡散されるワームです。指定されたポートのトラフィックを監視し、やり取りされるデータをパーシングすることでパスワードを抜き取ります。このデータは、その後ワームの拡散に使用されます。W97M.DownLoader
主にMicrosoft Word 文書の添付されたEメールによって拡散される悪意のあるプログラムです。感染させたコンピューター上に別のマルウェアをダウンロードします。
暗号化ランサムウェア
2016年5月に最も多く検出されたランサムウェア
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
 |  |
危険なWebサイト
2016年5月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は550,258件となっています。
| 2016年4月 | 2016年5月 | 推移 |
|---|---|---|
| +749,173 | +550,258 | -26.55% |
その他の脅威
TeamViewerはポピュラーなリモートコントロールツールです。設定の変更や必要なファイルの送信などを行うためにネットワーク経由でシステムへアクセスする際にIT専門家やシステム管理者によって使用されます。しかしながら、このユーティリティはサイバー犯罪者によって利用される場合があります。犯罪者はWindowsの通知領域にアイコンを表示させないようにこのプログラムを改変することで、ユーザーに気付かれることなくコンピューターにアクセスします。
トロイの木馬BackDoor.TeamViewer.49もまたTeamViewerを利用します。ただし、その目的は前述のものとは異なり、主要な悪意のある動作を実行するライブラリをメモリ内にロードするというものでした。その結果、コンピューターはC&Cサーバーからのトラフィックを指定されたリモートサーバーへリダイレクトさせるプロキシサーバーとして動作するようになります。この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないソフトウェア
Androidデバイスを感染させるバンキングトロイの木馬は依然として深刻な脅威となっています。5月には、モバイルデバイスのユーザーから金銭を盗むため、それらのトロイの木馬が再び使用されました。 Android.SmsSpy.88.originによって世界中のユーザーが攻撃を受け、 Android.BankBot.104.originやその他のバンキングトロイの木馬を含んだwebサイトが数多く発見されています。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Android.SmsSpy.88.originの新たな亜種が世界中で数十ものAndroidアプリを感染させる
- ゲームのチートプログラムを提供する偽のwebサイトから拡散されるバンキングトロイの木馬
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。