Dr.WEB、2013年2月のウイルス脅威

2013年の2月は、感染した多くのwebサイトからウイルスが拡散され、Trojan.Hostsによる大規模な感染が発生した月としてITセキュリティエキスパート達の記憶に残るでしょう。また、2月にはLinuxサーバーを攻撃するトロイの木馬も発見されました。

■ウイルス
Dr.Web CureIt!によって収集された統計によると、依然としてTrojan.Mayachok プログラムが最も多く検出され、このトロイの木馬ファミリーの中でも最も高頻度に検出されたのはTrojan.Mayachok.18566 でした。Dr.WebによってTrojan.SMSSend と名付けられた偽のインストーラーも多く検出され、その中ではTrojan.SMSSend.2363 が最も高い頻度で検出されました。

これらのプログラムはアプリケーションインストーラーを装い、有料SMSの送信や特定のサービスへの登録をユーザーに対して促します。このようなインストーラーは、通常、期待されるプログラムを含んでおらず、その上、他のマルウェアの拡散に利用される場合があります。BackDoor.IRC.NgrBot.42、Trojan.Click2.47013、Win32.HLLP.Neshta による感染も多数検出されました。以下の表は2月にDr.Web CureIt!によって検出された脅威の統計です。

■今月の脅威:Linux.Sshdkit
Linuxサーバーを感染させるLinux.Sshdkit は、2月にDoctor Webによって発見された最も特異な脅威であると言えるでしょう。このトロイの木馬はLinuxディストリビューションの32bit版および64bit版で利用可能なライブラリファイルです。インストールされると、自身のコードをsshdプロセスに挿入し、このプロセスの認証ルーチンを使用します。セッションが開始され、ユーザーがログインとパスワードを入力すると、それらがリモートサーバーへ送信されます。コントロールサーバーのIPはマルウェア内にハードコード化されていますが、Linux.Sshdkit は特殊なアルゴリズムを使用して1日おきに新しいコマンドサーバーアドレスを生成します。

Linux.Sshdkitは、このアルゴリズムを使用して2つのDNS名を生成します。これらのDNS名が同一のIPアドレスを参照している場合は別のIPに変換し、盗んだ情報をそこへ送信します。以下のフローチャートは、コマンドサーバーアドレスの生成ルーチンです。

■Trojan.Hostsと感染サイト
2月の終わりから3月の初めにかけて、マルウェアの拡散を目的とした、webサイトに対する攻撃の急激な増加が記録されました。犯罪者達は、盗んだログインとパスワードを使ってFTP経由でwebサイトに接続し、.htaccessファイルを置き換え、コード内に悪意のあるスクリプトを埋め込みます。その結果、そのようなサイトを訪問したユーザーのコンピューターは様々なトロイの木馬に感染する危険に晒されます。この手法は特に、Trojan.Hosts プログラムの拡散に用いられることで知られています。このプログラムは%systemroot%/system32/drivers/hostsファイルを改変し、ブラウザが自動的にユーザーを悪意のあるページへとリダレクトするようにします。(例として、学生の課題を助けるためのサイトが挙げられます。このページを開いたユーザーは感染したwebサイトへとリダレクトされ、そのサイトからTrojan.Hostsや、その他の危険なアプリケーションがコンピューター上にダウンロードされます。

■Androidに対する脅威
2013年2月にはAndroidを狙った脅威も多く見られました。同月の初め、システム最適化ユーティリティとしてGoogle Play経由で拡散されていたトロイの木馬がAndroid.Claco.1.origin としてDr.Webウイルスデータベースに追加されました。デバイス上で起動されると、このトロイの木馬はコマンドに従ってSMSを送信する、指定されたwebサイトをロードする、ユーザーの個人情報(メモリーカードの中身、SMS、写真、アドレス帳の連絡先情報など)をリモートサーバーへアップロードすることが出来ます。しかしながら、Android.Claco.1.origin の最も目立った特徴は、リモートサーバーからデバイスのメモリーカード上に他のマルウェアをダウンロードするという機能にあります。それら悪意のあるプログラムはメモリーカード上からWindows PCを感染させることが出来ます。また、ダウンロードされたファイルには実行ファイル及びautorun.infファイルが含まれており、感染したメモリーカードがコンピューターに接続すると同時にマルウェアが自動的に起動されるようになっています。Windows Vista以降では、自動実行機能はデフォルトで無効になっているため、Android.Claco.1.origin によって深刻な被害を受けることはありません。

その他2月の注目すべきマルウェアには、改変されたアプリケーションに含まれ、中国のwebサイトを介して拡散されたAndroid.Damon.1.origin があります。Android.Damon.1.origin はリモートサーバーからのコマンドに従ってSMSを送信する、通話発信を行う、指定されたwebページをロードすることが出来ます。また、デバイス所有者の個人情報(アドレス帳の中身、通話履歴、GPS位置情報)をサーバーへ送信することも可能です。

また月全体を通して、Android.SmsSend マルウェアファミリーに属する新たな亜種のDr.Webウイルスデータベースへの追加がありました。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=612&lng=ja&c=2