Dr.WEB、2012年9月のウイルス脅威

2012年の9月には、危険な悪意のあるプログラムTrojan.Mayachok.1による感染数に著しい減少が見られた一方で、従来のものとは大きく異なる新たな亜種がいくつか出現しました。このトロイの木馬ファミリーは、Trojan.Mayachok.1から新しい世代へと代替わりしつつあるようです。また、Androidを標的とした新たなスパイウェアも出現しました。

■ウイルス
8月と比較するとウイルスの活動パターンに変化が見られることが、ユーザーコンピューター上のDr.Web CureIt!によって明らかになりました。Trojan.Mayachok.1は少なくとも3か月の間、最も多く検出された脅威のトップを占めていたことになります。未だその地位は揺るがないものの、その感染数の合計は9月の間に、8月の74,701件から1/15以下に減少しています。週毎の感染数にもまた著しい減少が見られ、下のグラフはその推移を表しています。

Doctor Webのウイルスアナリストは、このような変化は、最初のバージョンとは大きく異なる、この脅威の新たな亜種のグループが出現したことと関係があるとしています。9月にはこのグループのエントリが9件、Dr.Webウイルスデータベースに追加されています。これらの新たな亜種では主にその機能に変更が加えられており、近い将来には異なるペイロード及び設計原理を持つ他のバージョンが出現する可能性を示唆しています。また、ユーザーがブラウザ上でロードしたwebページ内にコードを挿入することが Trojan.Mayachokファミリーの主な目的であるという点に注意してください。

検出された脅威の2位は先月と同様BackDoor.Butirat.91 が占めていますが、このマルウェアによる1か月の感染件数にもまた20%の減少が見られます。BackDoor.Butirat.91 の主な目的の1つは、FlashFXP、Total Commander、Filezilla、FAR、WinSCP、FtpCommander、SmartFTPなどのポピュラーなFTPクライアントからパスワードを盗み、犯罪者へ送信することです。また、リモートホストからダウンロードした実行可能ファイルを感染したコンピューター上で起動することができ、webページのアクセスカウンターの数字を不正操作することが可能です。一般的なユーザーにとって、あらゆる種類の機密データが流出し犯罪者などの手に渡ってしまう危険性、及び自らのコンピューターをコントロールすることが出来なくなってしまう危険性を孕んでいます。この脅威に関する詳細についてはDoctor Webのニュース記事をご覧ください。

また、Delphi言語で書かれたWin32.HLLP.Neshta、Trojan.Carberpなどの多くのバンキングトロイの木馬、Dr.WebによってTrojan.SMSSendとして検出されている偽のインストーラーも多く検出されています。下のグラフは、最も多く検出された脅威の統計です。

■ボットネット
感染したMac OS Xによって構成されるBackdoor.Flashback.39ボットネットに関する統計についても、その感染件数には減少が確認されています。9月には、感染したMacの数は127,681台から115,179台へと10%減少し、また、1日の新たな感染台数は1~2台となり、ボットネットの拡大は実質上停止したと言えます。このボットネットの現在の状況についての詳細はDoctor Webの特設サイト(英語です)をご覧ください。

一方、ファイルインフェクターWin32.Rmnet.12に感染したコンピューターから成るボットネットは、あらゆる記録を塗り替え続けています。9月には500,000台の新たに感染したホストが加わっており、その合計は近いうちに500万台を超えるでしょう。下のグラフはこのボットネットの拡大推移を表しています。

また別のファイルインフェクターであるWin32.Rmnet.16によるボットネットも着実に拡大を続けています。平均して1日数百台の割合で新たに感染したコンピューターが加わり、その合計は230,000台を超えています。このボットネットの拡大推移を下のグラフで示します。

■BackDoor.BlackEnergyの新たなバージョン
BackDoor.BlackEnergyは、2011年3月にアナリストによって既に発見されているマルウェアで、しばしば検出もされています。このBackDoor.BlackEnergyは多機能なバックドアであり、中でも特に、悪意のあるサーバーから実行可能ファイルをダウンロードし、感染したシステム内でそれらを実行することが可能です。また多くのプラグインに対応しており、これまで長い間、最も大規模なスパムボットネットの1つを構成するために使用されていました。いくつかの企業およびセキュリティエキスパートの尽力により、2012年7月、感染したコンピューターの多くをコントロールしていたボットネットの管理サーバーが遮断され、その結果世界中のスパムトラフィックに大幅な減少が見られました。このトロイの木馬の新たなバージョンの登場によって、これらゾンビコンピューターネットワークの作成者達がボットネットのかつての威光を取り戻そうとしていることが分かります。

BackDoor.BlackEnergy.18としてDr.Webウイルスデータベースに加えられたこのバックドアの新たな亜種は、Microsoft Wordドキュメントの添付された電子メールによって拡散されました。ユーザーの興味を引くため、これらのメッセージの件名には世界中で抗議デモを引き起こし死者をも出した問題の映画のタイトル"Innocence of Muslims(イノセンス・オブ・ムスリムズ)"が含まれています。Dr.Web アンチウイルスソフトによってExploit.CVE2012-0158.14として検出された、メールに添付されたドキュメントには、ActiveX(このコンポーネントはMicrosoft Word及びその他Windows向け製品によって使用されます)における脆弱性を悪用するコードが含まれています。ドキュメントを開こうとすると一時ディレクトリ内に2つのファイルが保存され、そのうちの1つがシステムフォルダ内にその悪意のあるドライバをインストールするためのBackDoor.BlackEnergy.18のドロッパーです。

Dr.WEB
http://news.drweb.co.jp/show/?i=566&lng=ja&c=2