Doctor Web ニュース
2012年5月18日掲載
株式会社Doctor Web Pacific
Win32.HLLW.Autoruner.64548は、他の多くのワームと同様の方法によって拡散します。まずディスク上に自身のコピーを作成し、autorun.infファイルをルートディレクトリに置くことで、デバイスがコンピューターに接続されると同時にワームが起動されるようにします。感染したコンピューター上で起動されると、Win32.HLLW.Autoruner.64548はディスク内のRARアーカイブを探し、secret.exe、AVIRA_License.exe、Warcraft_money.exe、CS16.exe、Update.exe、private.exe、Autoruns.exe、Tutorial.exe、Autorun.exe、Readme.exe、Real.exe, readme.exe、Keygen.exe、Avast_keygen.exeのいずれかの名前で自身をその中に置きます。それによりアーカイブが破損してしまう場合もあります。
またこのワームはペイロードモジュールを持ち、そのボディにはWin32.HLLW.Autoruner.64548がmssys.dllとしてWindowsフォルダ内に保存する実行ファイルが含まれています。この悪意のあるプログラムはライブラリファイルをレジストリ内に登録し、ペイロードコードを自身のプロセスのコピー内に挿入します。次にリモートサーバーに接続し、実行ファイルをダウンロード・実行するためのコマンドを待ちます。
Win32.HLLW.Autoruner.64548はRARアーカイブを感染させる数少ない悪意のあるプログラムの1つです。RARアーカイブを解凍する際は、アーカイブ内に疑わしい実行ファイルが追加されていないか十分注意するようにしてください。それらのファイルを実行してしまうと、コンピューターに害を及ぼす危険性があります。このワームのシグネチャはDr.Webウイルスデータベースに加えられています。
05.15 Dr.Web CureIt 7.0のベータ版を公開
2012年5月15日掲載
株式会社Doctor Web Pacific
Dr.Web CureIt 7.0は、多くのユーザー間で人気のある通常のアップデートというだけでなく、情報セキュリティ脅威に対抗するための、世界でも最も知られたツールの1つにおける新たな時代の幕開けとも言えるものです。このユーティリティのバージョン7.0は、マルチコアプロセッサのあらゆる利点を使用し、マルチスレッドモードでのスキャニングサブシステムを用いてコンピューターディスクを検査することができます。最新のOS上で使用できるよう最適化され、それによりスキャン速度が向上するのみならず、ユーザーの使用感もさらに快適なものになりました。プログラムの安定性が著しく向上し、ユーティリティ動作のエラーによって引き起こされるBSOD(Blue Screen of Death)がスキャンの実行中に表示される可能性が取り除かれました。
Dr.Web CureIt 7.0ではユーザーインターフェースのデザインが大幅に変更され、また、Dr.Web anti-virus および Dr.Web Security Space 7.0で使用されていたサブシステムルートキットスキャンが、このプログラムに対しては初めて組み込まれました。スキャンの対象を選択する機能が拡張され、メモリー、ブートセクター、スタートアップオブジェクトなどのスキャンを個別に実行することが可能となりました。さらに、スキャン中にネットワーク接続をブロックする機能、およびスキャン終了後にOSをシャットダウンする機能が加わりました。
このアプリケーションの新しいバージョンには、BIOS搭載のコンピューターを感染させる悪意のあるプログラム「BIOSキット」への感染を検査する機能も備わっています。Doctor Webは、新たな種類のマルウェアを検出するために、この修復ユーティリティのバージョン7.0を使用してお使いのコンピューターを検査することを推奨します。ベータテストに参加をご希望のユーザーは、サイト(英語)よりDr.Web CureIt 7.0のベータ版をダウンロードしてください。
05.15 イギリス、オーストラリアを襲うWin32.Rmnet.16
2012年5月15日掲載
株式会社Doctor Web Pacific
Win32.Rmnet.16はC言語およびアセンブリ言語で書かれ、複数の機能モジュールで構成されています。ウイルスをシステム内に侵入させるインジェクターの動作はWin32.Rmnet.12と同様で、ブラウザプロセスに自身のコードを挿入し、ドライバを一時フォルダに保存した上でMicorsoft Windows Serviceとして起動させたのち、ウイルスボディを一時ディレクトリおよびスタートアップフォルダにコピーするというものです。ボディファイルはランダムな名前と. exe拡張子を持っています。
バックドアペイロードもまたWin32.Rmnet.12のそれと同様、リモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。ただし、Win32.Rmnet.16にはWin32.Rmnet.12との重要な違いも見られます。Win32.Rmnet.16では、悪意のあるアプリケーションリソースにはもはや組み込まれていないが特別なルーチンを使用して作成されるコントロールサーバーIPアドレスの署名にデジタル署名が使用されるという点です。さらにモジュールは、一般に広く普及しているアンチウイルスプログラムのプロセスを停止させることが可能で、このことがWin32.Rmnet.16をさらに危険なものにしています。バックドアによってダウンロードされた悪意のあるコンポーネントや設定ファイルは.log拡張子を持つ暗号化されたファイル内に保存され(このファイルは% APPDATA%フォルダ内にあります)、そのファイル名は感染したシステムに関する情報に基づいて作成されます。modules.dllファイル内のモジュールが、この.log拡張子を持つファイルからデータをロードし、コンピューターメモリー内にロードされたコードに対するあらゆる操作を実行してコンポーネントのコードがハードドライブ上に復号化されないようにします。
Win32.Rmnet.12と同様、Win32.Rmnet.16はMBRを改変し、そのファイルを暗号化してディスクの最後に保存することができます。再起動されると、感染したブートレコード内にある悪意のあるコードがコントロールを掌握し、メモリー内にあるモジュールの読み込みおよび復号化を行ってそれらを実行します。このコンポーネントはMBR.Rmnet.1と名付けられています。Dr.Webアンチウイルスソフトウェアを使用することで、Win32.Rmnetによって改変されたブートレコードを復元することが可能です。
Win32.Rmnet.16によってリモートコマンドセンターからダウンロードされるモジュールの中には、一般的なFTPクライアント・そのFTPサーバー・スパイモジュールによって保存されたパスワードを盗むためのFtp Grabber v2.0が含まれています。
この新しいバージョンに組み込まれている感染モジュールはポリモーフィック型で、犯罪者の管理するリモートサイトからダウンロードされます。このウイルスはシステムのものを含む、ディスク上で見つかった全てのexeファイルおよびdllファイルを感染させますが、Win32.Rmnet.12とは異なり、自身をリムーバブルフラッシュドライブにコピーすることはできません。
Doctor WebのウイルスアナリストはWin32.Rmnet.16ボットネットの1つを注意深く監視しています。2012年5月11日現在、このボットネットは55,310台の感染したホストで構成され、その55.9%がイギリスのものでした。次いでオーストラリアが40%、アメリカおよびフランスが3位(1.3%)となっています。またオーストリア、イラン、インド、ドイツでも1%未満の感染が確認されています。都市別ではロンドンが最も多く(5,747台、10.4%)、次点でシドニー(3,120台、5.6%)、その下にメルボルン(2,670台、4.8%)、ブリスベン(2,323台、4.2%)、パース(1,481台、2.7%)、アデレード(1,176台、2.1%)、およびイギリスのバーミンガム、マンチェスターで約1.5%となっています。Win32.Rmnet.16に感染したホストの国別分布を以下に示します。
ロシアにおいては、Win32.Rmnet.16による感染は未だほとんど見られませんが、これも時間の問題と言えるでしょう。Doctor Webは上記ボットネットの動向に対する監視を今後も継続して行っていきます。もしご利用のコンピュータがWin32.Rmnet.12に感染してしまっている場合は、Dr.Web CureIt!、もしくはDr.Web LiveCDユーティリティを使用して、ウイルスを駆除することが可能です。
05.15 Dr.Web Virus Finding Engineをアップデート
2012年5月15日掲載
株式会社Doctor Web Pacific
アップデートされたエンジンには、ディスクのブートセクタに対するヒューリスティック解析の機能が加わりました。また、メモリーリークに関するエラーが修正され、apk (dex)およびbzip2ファイルの検査時に発生する問題が取り除かれました。
ユーザーであれば、アップデートは自動的に行われます。
05.11 ルートアクセス付きAndroidデバイスを狙う新たなトロイの木馬
2012年5月11日掲載
株式会社Doctor Web Pacific
この新しいトロイの木馬は、ソフトウェアを配信するポピュラーなサイトを介して公式アプリケーションと一緒に拡散されます。「マトリョーシカ人形」方式を採用しており、改変されたアプリケーション(Dr.WebによってAndroid.MulDrop.origin.3として検出されました)の中に、暗号化された別のプログラムパッケージ(apkファイル)が含まれています。つまり、最初のアプリケーションはドロッパー-他の悪意のあるプログラムを配信するためのコンテナなのです。
ここで重要なのは、トロイの木馬の製作者は、システムユーティリティやコンフィギュレーターなど特定の種類のアプリケーションをドロッパーとして使用するという点です。それらのアプリケーションの動作には管理者権限が必要であるため、起動後にルートアクセスを要求されてもユーザーが不審に思う事がないというのがその理由です。
必要な権限の取得に成功すると、Android.MulDrop.origin.3は含んでいたapkファイルを復号化してシステムディレクトリ内に置きます(ComAndroidSetting.apkという名前で/system/app/に)。驚くべきことに、Android.MulDrop.origin.4として既にウイルスデータベースに加えられていたアプリケーションもまたドロッパーであり、Android.MulDrop.origin.3同様、暗号化されたapkパッケージを含んでいます。トロイの木馬は次のシステム起動後にアクティベート化され、中に潜んでいたプログラムパッケージを復号化・インストールしますが、このプログラムパッケージはAndroid.DownLoader.origin.2として検出されたトロイの木馬ダウンローダーです。
Android.DownLoader.origin.2は自動実行機能も備えており、システムの起動後にリモートサーバーに接続して、ダウンロード・インストールするアプリケーションのリストを受け取ります。リストの内容は、犯罪者の着想および目的に応じて、悪意のあるソフトウェアであったりまたは害のないアプリケーションであったりと様々です。
2012年4月28日に、Doctor Webのスペシャリストは別のバージョンのドロッパーを発見しました。Android.DownLoader.origin.2は、Android.MulDrop.origin.3と同様ソフトウェアを配信するサイトを介して拡散されますが、その動作には若干の違いが見られます。このトロイの木馬は起動されると、中に含まれている暗号化されたapkファイルを予め復号化したうえでメモリーカード上に置きます。同時にパネルには、「Android Patch 8.2.3」というフレーズを含んだ通知メッセージが表示されます。ユーザーがメッセージをクリックするとインストールの手順が開始されますが、ドロッパー開発者の不手際による、必要なパッケージをメモリーカードに書き込めないというエラーが原因となりインストールは完了されません。
トロイの木馬製作者がこのようなミスを犯さなければ、システム内にはトロイの木馬ダウンローダーAndroid.DownLoader.origin.1がインストールされ、モバイルデバイスを起動する度に自動実行されたことでしょう。このダウンローダーはリモートサーバーに接続し、システムにダウンロード・インストールするアプリケーションのリストを含んだxmlファイルを受け取ります。モディフィケーションの加えられていないデバイス上では、この動作にはユーザーの操作が求められますが、ルートアクセス付きシステムのユーザーであればなんら疑念を抱くことは無いでしょう。
分析の結果、Android.DownLoader.origin.2はAndroid.MulDrop.origin.3と同じ開発者の手によるものであることが判明しました。Android.DownLoader.origin.2は、犯罪者が彼らのテクノロジーを実行するためのテストプラットフォームであったと考えられます。
Dr.Web for Android Anti-virus + Anti-spamおよび Dr.Web 7.0 for Android Lightによって、これら悪意のあるプログラムからお使いのモバイルデバイスを保護することが可能です。感染の危険性を最小限に食い止める為、Android搭載モバイルデバイスのユーザーはインストールするアプリケーションおよびその配信元に十分注意し、また可能な限り公式のGoogle Play(play.google.com)からダウンロードすることを推奨します。
05.10 Android向けアンチウイルスソフトウェアを装うトロイの木馬
2012年5月10日掲載
株式会社Doctor Web Pacific
Android OSの人気が高まるにつれ、犯罪者がそれを利用した利益の獲得に乗り出すのは必然的なことと言え、このモバイルプラットフォームを狙う新たな脅威の出現はもはやユーザーを驚かせることはなくなりました。Androidを標的とした悪意のあるプログラムの中で最も一般的なものはAndroid.SmsSendファミリーで、このアプリケーションはユーザーの承諾無しにSMSを送信します。
多くの場合、Android.SmsSendは様々なメディアのプレイヤーソフトウェアやモバイルブラウザなどのポピュラーなアプリケーションのアップデートを装った形でダウンロードされますが、昨今では次第に異なる手法が用いられるようになっています。犯罪者は広告を表示させるための様々なシステムを利用して、直ちにモバイルデバイスのウイルススキャンを実行するようユーザーに呼びかけるメッセージを表示させます。このメッセージをクリックすると、モバイルデバイスをスキャンするためのサイトへ飛ばされますが、そのサイトはDr.Web Security Space 7.0のアイコンの1つやインターフェースを模倣しています。しかしこのインターフェースを作成する際に、犯罪者は1つ誤りを犯しています。現時点でモバイルデバイスを標的とするバージョンでは存在しない脅威、例えばWindowsに対するバンキングトロイの木馬であるTrojan.Carberp.60などがアンチウイルスによって検出されるのです。ユーザーが脅威の「駆除」に同意してしまうと、Android.SmsSendファミリートロイの木馬がデバイスにダウンロードされます。
 |
 |
 |
 |
Dr.Web 7.0 for Androidのベータ版には、いわゆる「クラウド・テクノロジー」を使用してブラウザ上で開かれたリンクを検査するCloud Checkerと呼ばれるモジュールが含まれています。Dr.Webのインターフェースを模倣した、ハッカーによって作成されたサイトはこのCloud Checkerによってブロックすることが出来ますが、ユーザーの皆様には警戒を怠らず、疑わしいサイトからはアプリケーションをダウンロードしないよう推奨します。
2012年5月9日掲載
株式会社Doctor Web Pacific
世界規模で攻撃されるMac
BackDoor.Flashback.39マルウェアを用いてハッカーによって作成された史上初のボットネットは、文字通りの意味で80万台を超えるMac OS X搭載コンピューターを、そしてまた比喩的な意味では多数の情報ポータルサイトおよびメディアを襲いました。このニュースはまたたく間に世界中に広がり、センセーションを巻き起こしました。
3月の下旬にDoctor Webウイルスラボは、Mac OS Xに対するマルウェアの拡散に既知のJavaの脆弱性が悪用されているという最初の報告を受け取りました。同様の情報が定期的に様々なソースから寄せられたことから、Javaの脆弱性を利用するBackDoor.Flashback.39トロイの木馬がApple互換コンピューターによるボットネットを構成している可能性が浮上してきました。このマルウェアは、その他同種の多くのマルウェア同様、トロイの木馬がコントロールサーバーとして使用するドメイン名を選択する為のビルトインアルゴリズムを備えています。このような手法は、第一にネットワークの「生存率」を大幅に高め、そして第二に、ボットの発生させるトラフィックがある臨界値を超えた場合に、コマンドセンター間でロードを効率的かつタイムリーに再配分することを可能にします。しかし同時にこのことが、情報セキュリティのプロフェッショナル達に対しても、トロイの木馬がコントロールセンターの選択に使用する手法を「暴き」、必要な統計を収集する為の「ダミーの」コマンドセンターを作り、さらにネットワークのコントロールを掌握することさえ可能にするという機会をもたらしました。この手法は「シンクホール」と呼ばれ、ウイルス対抗策として広く用いられています。2012年4月3日、Mac OS X搭載のコンピューターで構成されるボットネットが存在するという仮説を裏付けるため、いくつかのBackDoor.Flashback.39コントロールサーバードメインがDoctor Webエキスパートによって登録されました。この時点では、Mac OS Xに対する未だかつてない大規模なボットネットを目撃することになろうとは誰も予想していませんでした。その高い信頼性およびアーキテクチャーによって、Mac OS Xは比較的安全なOSであると考えられていたためです。しかし、現実はあらゆる予想を裏切り、Doctor Webによってコントロールされたサーバーは最初の1時間だけで13万台を超えるボットの活動を記録しました。朝までにその数は55万台に達し、コントロールセンターはロードのプロセスを停止しました。2012年4月4日、Doctor WebはBackDoor.Flashback.39ボットネットの発見に関するプレスリリースを行い、その衝撃的な内容は24時間の内に多くの世界中のニュース機関およびメディアによって取り上げられました。
BackDoor.Flashback.39が感染させるシステムには2つの条件があります。システムにJava Virtual Machineがインストールされていること、および改変されたwebページがユーザーによってブラウザ上で開かれることです。それらは特別にデザインされた悪意のあるwebページで、ウイルス製作者はリソースへのアクセスを持っています。ページ上にある悪意のあるコードがJavaアプレットをロードし、このアプレットがJavaの脆弱性を悪用して自身の起動に関わる実行ファイルおよび.plistファイルをAppleコンピューターのハードドライブ上に保存します。次にアプレットは、ユーザーの干渉無しにトロイの木馬を動作させるために、保存した設定ファイルをlaunchdサービスに送ります。この間ユーザーは一切不審に気づくことなく、既にマルウェアに感染したMacのブラウザでwebページを見続けていることになります。
当初、Doctor Webが持つ情報は BackDoor.Flashbackトロイの木馬亜種を使用したボットネットのほんの一部についてのみでしたが、4月16日には、日付を基に生成された名前を持つドメインが新たに登録されました。これらのドメイン名は全てのBackDoor.Flashback.39亜種によって使用されるため、コントロールサーバー名が追加されることにより、悪意のあるネットワークを構成するボット数の正確な割り出しが可能になりました。感染したコンピューターが最も多く発見されたのはアメリカ(56.6%)で、2位はカナダ(19.8%)、3位にイギリス(12.8%)、そしてオーストラリア(6.1%)が4位となっています。
2012年4月4日にApple社は、BackDoor.Flashbackトロイの木馬に利用されるJavaの脆弱性を修正するためのアップデートをリリースしました。しかしながら、コンピューターが既に感染してしまっている場合、アップデートではユーザーをマルウェアから保護することは出来ません。その後まもなくして、感染したMacの数は80万台を超えました。ところが数日後、多くのコンピューターセキュリティエキスパートによってBackDoor.Flashback.39ホスト数の大幅な減少が報告されたのです。喜びもつかの間、Doctor Webによって実行された調査の結果、それらエキスパート達の計算にエラーが認められました。
BackDoor.Flashback.39はコントロールサーバー名の生成に、非常に高度なルーチンを使用します。ドメイン名の大半はマルウェアリソースに組み込まれたパラメータを使用して生成され、残りの生成には現在の日付が使用されます。このトロイの木馬は、予め定義されたプロパティに応じてサーバーに一連のクエリを送信します。4月の初め、BackDoor.Flashback.39コマンドサーバーの主なドメインがDoctor Webによって登録され、それらに対するボットからの始めてのリクエストが送信されました。しかしDoctor Webによってコントロールされるサーバーとのやり取りの後、トロイの木馬は、詳細不明な第三者によってコントロールされる74.207.249.7のサーバーに対してリクエストを送信しています。このサーバーはボットとの通信は行いますが、TCP接続を閉じることはしません。その結果、ボットはサーバーからの応答を待つスタンバイモードに切り替わり、コマンドに応じなくなります。情報セキュリティスペシャリストによって登録されているコマンドセンターとの通信が行われなくなることから、Symantec およびKaspersky LabがBackDoor.Flashback.39ボット数の大幅な減少を報告する一方でDoctor Webの統計は未だ大規模な拡散を記録するという、矛盾する結果が生まれたと考えられます。以下のチャートはBackDoor.Flashback.39拡散の実態を示しています。
2012年4月28日現在、BackDoor.Flashback.39ネットワークには合計で824,739台のボットが含まれ、そのうち334,592台がアクティブになっています。
BackDoor.Flashback.39トロイの木馬によって感染したコンピューター上にダウンロードされるファイルについての分析は、調査の主要な課題となっています。この悪意のあるアプリケーションは、管理者権限または一般ユーザー権限(ペイロードがロードされる時点で、管理者パスワードを入力するよう要求するダイアログウィンドウが表示されます)で動作することができ、2つのタイプのコントロールサーバーを利用します。1つ目のカテゴリに属するサーバーはweb検索トラフィックを監視し、犯罪者によって管理される悪意のあるサイトへユーザーをリダレクトします。2つ目のカテゴリに属するサーバーは、感染したシステム内でバックドアとしてのタスクを実行するようボットに対してコマンドを出します。Doctor Webのアナリストは、 BackDoor.Flashbackがコントロールサーバードメイン名を作成するために用いるルーチンを逆行分析することでいくつかのドメイン名を登録することに成功し、ボットから受け取るリクエストを解析しました。
上記1つ目のカテゴリのコンロトールサーバー名はトロイの木馬の設定データ内にあるリストを使用して生成され、また現在の日付を使用したドメイン名のリストも生成されます。第2レベルドメイン名も同様で、一方トップレベルドメイン名はorg、. com、. co.uk、. cn、. inなどになります。トロイの木馬は、生成されたリストに応じて、コントロールサーバーに一連のリクエストを送信します。サーバーに送信された/owncheck/ または /scheck/ GETリクエストのユーザーエージェントフィールドには、感染したMacのUUIDが含まれています。応答にドメイン名のSHA1ハッシュ値が含まれていた場合、このドメインは信頼できるものとされ、以後、そのドメイン名はコマンドサーバー名と見なされます。Doctor Webは、2012年4月12日にこのカテゴリのドメインの掌握に成功し、現在も監視を続けています。
1つ目のカテゴリのドメインを定義した後、悪意のあるプログラムは2つ目のタイプのドメインの検索を開始します。ボットは、その設定データ内にあるリストを使用して、いくつかのコントロールサーバーに対して/auupdate/ GETリクエストを送信します。これらのリクエストのユーザーエージェントフィールドには、感染したシステムに関する詳細な情報が含まれています。コントロールサーバーが正しい応答を返さなかった場合、トロイの木馬はhttp://mobile.twitter.com/searches?q=
2012年4月13日には、UUIDを含んだリクエストが24時間の間に1つ目のドメイン名カテゴリのコントロールサーバーに対して30,549件、2つ目のドメイン名カテゴリのコントロールサーバーに対しては28,284件送信されています。2012年4月12日から26日の間に、合計で95,563件のUUIDを含むリクエストがBackDoor.Flashbackペイロードをコントロールするサーバーに送信されています。以下のグラフは、2012年4月13日にBackDoor.Flashbackペイロードからコントロールサーバーに送信されたリクエストの分析に基づく統計データです。
BackDoor.Flashbackの発見後まもなく、Doctor Webはこの脅威に特化した情報サイトを設置しました。このページ上で、お使いのMacが感染していないかどうかを確認することができます。また、その他の追加情報や BackDoor.Flashbackトロイの木馬に関する動画、このトロイの木馬を検出・駆除することが可能な無料スキャナーDr.Web Light for Mac OS Xへのリンクもご利用いただけます。
もう1つのボットネットMeet Rmnet
Doctor Webの統計から、Microsoft Windowsワークステーションを感染させる脅威の中で現在主流となっているのはWin32.Rmnet.12ファイルウイルスであることが分かりました。このウイルスは様々な方法で拡散し、特に、webページが開かれると同時に侵入者が実行ファイルを保存することを可能にするブラウザの脆弱性を悪用します。まずウイルスは、ディスク上に保存されたhtmlファイルを全て探し出し、それらにVBScriptコードを埋め込みます。またWin32.Rmnet.12は、ディスク上で見つかった.exe拡張子を持つ全ての実行ファイルを感染させ、リムーバブルフラッシュドライブに自身をコピーすることができます。次に、フラッシュドライブ上のルートフォルダ内にオートランファイル、および悪意のあるアプリケーションへのショートカットを保存し、このアプリケーションがウイルスを起動させます。
Win32.Rmnet.12は、複数のモジュールから成る複合マルチコンポーネントで、自身を複製することができます。それらコンポーネントの1つであるバックドアは、起動されると70秒間隔でgoogle.com、bing.com、yahoo.comにリクエストを送信し、その応答を解析することでインターネット接続の速度を割り出そうとします。次にWin32.Rmnet.12は感染したコンピューター上でFTPサーバーを起動させ、リモートサーバーに接続してシステムに関する情報を犯罪者に送信します。バックドアはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることすら可能です。
また別のコンポーネントは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗み、後にその情報が、ネットワーク攻撃の実行や、リモートサーバー上に様々な悪意のあるオブジェクトを置くために悪用されることがあります。またWin32.Rmnet.12は、犯罪者が異なるサイト上において認証を要するユーザーアカウントにアクセスできるよう、ユーザーのクッキーを検索します。さらにこのモジュールは、特定のサイトへのアクセスをブロックし、ウイルス製作者によって管理されるサイトへとユーザーをリダレクトすることができます。Win32.Rmnet.12の亜種の1つには、バンクアカウント情報を盗むためにwebページへの挿入を行うことが可能なものもあります。
Win32.Rmnet.12に感染したホストによって構成されたボットネットは、最初のウイルスサンプルがウイルスアナリストの手に渡った2011年9月に、既にDoctor Webによって発見されています。Win32.Rmnet.12リソース内で見つかったコントロールサーバーの名前が直ちに解明され、少しの間をおいて、ボットとコントロールサーバー間の通信プロトコルも明らかになりました。これにより、ネットワーク内にあるボットの数を確定し、またそれらをコントロールすることが可能になりました。2012年2月14日、Doctor Webのウイルスアナリストは後にBackDoor.Flashback.39ボットネットの調査にも使用されることになる「シンクホール」と呼ばれる手法を用いて、Win32.Rmnet.12ネットワークの1つをコントロールする複数のサーバードメイン名を登録することでボットネットに対するコントロールを完全に掌握することに成功しました。同月の下旬には、また別のWin32.Rmnet.12サブネットをこの手法によって乗っ取ることにも成功しています。以下のチャートは、Doctor Webのスペシャリストによってコントロールされるボットネット数の推移を表しています。
感染したコンピューターの台数が最も多かったのはインドネシアで320,014台、ボットネットのサイズに占める割合は27.12%でした。次点は166,172台、14.08%のバングラデシュで、ベトナム(154,415台、13.08%)が3位、その下にインド(83,254台、7.05%)、パキスタン(46,802台、3.9%)、ロシア(43,153台、3.6%)、エジプト(33,261台、2.8%)、ナイジェリア(27,877台、2.3%)、ネパール(27,705台、2.3%)、イラン(23,742台、2.0%)が続きます。またその他、カザフスタン共和国(19,773台、1.67%)、ベラルーシ共和国(14,196台、1.2%)、ウクライナ(12,481台、1.05%)となっています。アメリカは比較的少数で4,327 台の0.36%、最も少なかった国はカナダ(250台、0.02%)でした。また、アルバニア、デンマーク、タジキスタンで各1台ずつ発見されています。 Win32.Rmnet.12ボットネットの国別分布を以下に示します。
ヨーロッパを制覇するエンクリプター
4月には、ヨーロッパ諸国もまた問題に直面することとなりました。同月の中旬頃から、エンコーダトロイの木馬、特にTrojan.Encoder.94による被害のレポートが、ロシア国外からDoctor Webアンチウイルスラボに寄せられるようになりました。Trojan.Encoder.94は感染させたシステム内にあるユーザーのファイル、特にMicrosoft Officeドキュメント・音楽・写真・画像・ディスク上のアーカイブを探し、それらを暗号化します。ユーザーのファイルが暗号化されると、Ukash または Paysafecard経由での50ユーロまたはポンドの支払いを要求するメッセージが表示されます。
このトロイの木馬のインターフェースは英語ですが、感染はドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリアなどで発生し、次いでブラジル、アルゼンチンおよびその他ラテンアメリカ諸国からもレポートが寄せられるようになりました。Doctor Webのエンジニアはユーザーから受け取った全てのデータを復元することに成功しており、このことは、用いられるテクノロジーの効果の高さを明確に物語っています。
Trojan.Encoder.94による感染の被害を最小限に食い止める為、必要なファイルを全てバックアップしておくことを推奨します。万一ファイルが感染してしまった場合にデータの損失を防ぐための手順を以下に記載します。
- OSを再インストールしないでください
- ハードドライブ上にあるファイルを削除しないでください
- 暗号化されたデータをご自身で復元しようとしないこと
- Doctor Webテクニカルサポートに連絡する。 ファイルを送信する際に「修復依頼」を選択してください。このサービスは無料です。
- トロイの木馬によって暗号化されたdoc ファイルまたは. txtファイルをチケットに添付する。
- ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。
その他4月のウイルス脅威
上述の脅威と比較すると、2012年4月にDoctor Webエキスパートによって確認・駆除されたその他の情報セキュリティ脅威はそれほど目立たず、またその危険性も大して高いものではありません。例えば、ウイルスデータベースに加えられたウイルスの中に Trojan.Spambot.11349 があります。このトロイの木馬はメールクライアント(Microsoft OutlookやThe Bat!など)のアカウントを盗み、Webブラウザの自動入力フォームに使用されたデータを犯罪者に送信します。このトロイの木馬の拡散に使用されているのは、Backdoor.Andromedaという良く知られたバックドアです。
Trojan.Spambot.11349はDelphで書かれたローダー、およびペイロードを格納するダイナミックライブラリという2つのコンポーネントで構成されています。ローダーの機能はこの手の悪意のあるソフトウェアに共通する一般的なもので、ファイアーウォールをすり抜けてシステム内に悪意のあるライブラリをインストールします。感染したコンピューターのメモリ内にロードされたライブラリは、コンピューターのコントロールを乗っ取ります。
管理権を得た悪意のあるライブラリは、ドライブ上に自身のコピーが存在しないかどうかを確認し、ボットのユニークなIDとなる9個のランダムな数字からなる数値をシステムレジストリに書き込みます。次にTrojan.Spambot.11349はSSLライブラリ、およびリクエストのストリングを圧縮する為のzlibライブラリをディスク上に保存します。ボットから送信されたリクエストのHOSTフィールドには外部のIPアドレスが含まれ、これがTrojan.Spambot.11349の特徴となっています。SSLおよびzlibとの動作のために別々のダイナミックリンクライブラリを使用するという点も、悪意のあるプログラムの構造には滅多に見られない珍しいものと言えるでしょう。
Trojan.Spambot.11349の際立った特徴の1つは、トロイの木馬のリソースに保存されたサブネットのリストから特別なアルゴリズムによって選択されたランダムなIPアドレスに対して、連続的なクエリを送信するという動作にあります。次にトロイの木馬は、ライブラリのボディ内に暗号化された形で保存されているアドレスを持つ3つの管理サーバーのうちの1つに接続し、設定ファイルの取得を試みます。ファイルの入手に成功した場合は、Microsoft OutlookおよびThe Bat!メールクライアントから盗んだアカウントのデータを含んだクエリを作成し、zlibライブラリを使用して圧縮したのち犯罪者のリモートサーバーへ送信します。システムを感染させた後は、そのコンピューターからのスパム配信が可能であるかどうかを確認する為に、ランダムな文字の組み合わせで作成したメールを送信します。送信に成功すると、今後のスパム配信に必要なデータをリモートサーバーから受け取ります。4月24日現在、Trojan.Spambot.11349はバイアグラの広告を含んだメールを配信しています。
また先月は、AndroidモバイルOSに対する脅威の出現もありました。4月の初旬、Android.Gongfuマルウェアのファミリーに新たな亜種が登場し、非公式のソフトウェアリソースから配信される複数のアプリケーション内で同時に発見されています。特に多く検出されたのは、ハッカーによって改変されたAngry Birds Spaceでした。
|
|
|
|
これらの脅威は全て、Dr.Webアンチウイルスソフトウェアによって検出・駆除することが可能ですが、ユーザーの皆様には警戒を怠らず、信頼できないソースから取得したプログラムは実行しないことを推奨します。
4月にメールトラフィック内で検出されたマルウェアTop20
| 01.04.2012 00:00 - 30.04.2012 23:00 | ||
| 1 | Trojan.Fraudster.261 | 1.30% |
| 2 | SCRIPT.Virus | 1.11% |
| 3 | Trojan.Fraudster.256 | 0.92% |
| 4 | Trojan.Carberp.30 | 0.76% |
| 5 | Trojan.Fraudster.252 | 0.70% |
| 6 | Trojan.Mayachok.1 | 0.67% |
| 7 | Win32.HLLW.Shadow | 0.67% |
| 8 | Win32.HLLW.Shadow.based | 0.65% |
| 9 | JS.IFrame.233 | 0.61% |
| 10 | Tool.InstallToolbar.74 | 0.61% |
| 11 | Trojan.SMSSend.2726 | 0.59% |
| 12 | JS.Siggen.192 | 0.59% |
| 13 | Trojan.Fraudster.292 | 0.54% |
| 14 | Adware.Predictad.1 | 0.53% |
| 15 | Win32.HLLW.Autoruner.59834 | 0.53% |
| 16 | Trojan.SMSSend.2669 | 0.49% |
| 17 | BackDoor.Ddoser.131 | 0.49% |
| 18 | Trojan.Carberp.29 | 0.48% |
| 19 | Adware.Downware.179 | 0.47% |
| 20 | Win32.HLLW.Autoruner.5555 | 0.47% |
4月にユーザーのコンピューター上で検出されたマルウェアTop20
| 01.04.2012 00:00 - 30.04.2012 23:00 | ||
| 1 | SCRIPT.Virus | 0.97% |
| 2 | Trojan.Fraudster.261 | 0.97% |
| 3 | Trojan.Fraudster.256 | 0.75% |
| 4 | Trojan.SMSSend.2726 | 0.67% |
| 5 | JS.Siggen.192 | 0.65% |
| 6 | Trojan.Fraudster.292 | 0.63% |
| 7 | Trojan.Mayachok.1 | 0.61% |
| 8 | Trojan.Carberp.30 | 0.59% |
| 9 | Win32.HLLW.Shadow.based | 0.55% |
| 10 | Trojan.SMSSend.2704 | 0.55% |
| 11 | Trojan.Fraudster.252 | 0.53% |
| 12 | Win32.HLLW.Shadow | 0.53% |
| 13 | Tool.InstallToolbar.74 | 0.51% |
| 14 | Adware.Predictad.1 | 0.49% |
| 15 | Win32.HLLW.Autoruner.59834 | 0.49% |
| 16 | Tool.Unwanted.JS.SMSFraud.10 | 0.47% |
| 17 | Trojan.SMSSend.2669 | 0.47% |
| 18 | JS.IFrame.233 | 0.47% |
| 19 | Adware.Downware.179 | 0.45% |
| 20 | BackDoor.Ddoser.131 | 0.45% |
05.08 日本/ロシア/EUのAPT/標的型サイバー攻撃の現状と具体的な対策に関するセミナー、5月30日(水)に東京で開催
〜IPA/ラック/BSIジャパン/Doctor Webが緊急開催〜
2012年5月8日掲載
株式会社Doctor Web Pacific
【開催背景】 昨今、特定の企業・組織を標的とした標的型攻撃による被害が深刻化するなど、情報セキュリティに関する脅威が多様化・高度化すると同時に、攻撃対象が中小規模の組織にまで拡大しており、社会全体にとって重大な脅威となっています。 この現状への対策として、国内の情報セキュリティ対策支援の中心的存在であるIPA(独立行政法人情報処理推進機構)、株式会社ラック、BSIジャパンによる現状と課題の分析、対策・提言に加え、同様の脅威・課題を持つロシア/EUの現状と対策についても詳しくご説明します。 受講料は無料でどなたでもご参加いただけます。
【お申し込み方法/詳細説明ページ】 http://www.drweb.co.jp/seminar_info/20120530
【開催概要】 開催日:2012年5月30日(水) 14:00〜17:00 (受付開始 13:45) 定員:50名 費用:無料 会場:都市センターホテル(東京都千代田区平河町2-4-1) 7階会議室
◆プログラム内容 1.「サイバー攻撃の現状と対策:IPAの取り組み」 <講師> 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリー ラボラトリー長 小林 偉昭 氏
2.「ロシア/EUにおけるサイバー攻撃の現状とDoctor Webの取り組み」 <講師> Doctor Web ,Ltd. CEO Boris Sharov(ボリス シャロフ)氏
3.「標的型攻撃に於いて要になるマルウエア解析の課題と対策」 <講師> 株式会社ラック セキュリティ事業本部 セキュリティ技術統括 常務理事 西本 逸郎 氏
4.「PCIDSSやISMSの仕組みを活用したAPT/標的型サイバー攻撃からの予防」(30分) <講師> BSI グループジャパン株式会社 マネージャ 筒井 浩二朗 氏
5.「緊急時に有効なマルウエア対策について」(30分) <講師> 株式会社Doctor Web Pacific ディレクタ 田崎 十悟 氏
【Doctor Web, Ltd.について】 Doctor Web, Ltd.は、1992年からアンチウイルスを中心とした『Dr.WEB』ブランドをワールドワイドで展開しているロシアのITセキュリティソリューションベンダーです。ロシアの国防総省/政府機関/インターナショナルバンク/石油・エネルギー関連施設/地方自治体をはじめ、世界中のグローバルカンパニーにご利用いただいている信用と実績を持つ、業界最高水準のセキュリティ製品です。ウイルス・スパイウェアや迷惑メール(スパム) を確実に検出するその能力は第三者権威機関によって高く評価されています。
■会社概要 名称: 株式会社Doctor Web Pacific 所在地: 〒210-0005 神奈川県川崎市川崎区東田町1-2 NKF川崎ビル 2F 代表者: 代表取締役菅原 修 業務開始: 2010年12月 資本⾦: 4,000万円 株主: Doctor Web, Ltd.(100%) URL : http://www.drweb.co.jp/
■本セミナーに関するお問合せ先 株式会社Doctor Web Pacific セミナー事務局 TEL : 044-201-7711 FAX : 044-201-7712 E-Mail: sales.dwp@drweb.com Web : http://www.drweb.co.jp/
05.08 BackDoor.Flashbackが感染したMac上にダウンロードするオブジェクトに関する分析
2012年5月8日掲載
株式会社Doctor Web Pacific
BackDoor.Flashback.39は、launchdによる自身の自動起動を可能にする実行ファイルおよび設定ファイルを感染したMacのハードドライブ上に保存する為に、Javaの脆弱性を悪用します。次に、BackDoor.Flashback.39はコントロールサーバーに接続し、感染したシステム上に実行ファイルをダウンロード・インストールします。この時点で、管理者パスワードを入力するようユーザーに対して要求するダイアログウィンドウが表示され、ユーザーがパスワードを入力してしまうと、悪意のあるプログラムが昇格した権限で実行されます。ただし、パスワードを入力しなかった場合でもトロイの木馬はユーザーのホームディレクトリに保存され、現在のユーザー権限で実行されます。悪意のあるタスクを実行するにはそれで十分なのです。
ダウンロードされた悪意のあるアプリケーションは2つのタイプのコントロールサーバーと連携して動作します。1つ目のカテゴリに属するサーバーはweb検索トラフィックを監視し、犯罪者によって管理される悪意のあるサイトへユーザーをリダレクトします。2つ目のカテゴリに属するサーバーは、感染したシステム内でバックドアとしてのタスクを実行するようボットに対してコマンドを出します。Doctor Webのアナリストは、 BackDoor.Flashbackがコントロールサーバードメイン名を作成するために用いるルーチンを逆行分析することでいくつかのドメイン名を登録することに成功し、ボットから受け取るリクエストを解析して統計を割り出しました。
上記1つ目のカテゴリのコンロトールサーバー名はトロイの木馬の設定データ内にあるリストを使用して生成され、また現在の日付を使用したドメイン名のリストも生成されます。第2レベルドメイン名も同様で、一方トップレベルドメイン名はorg、. com、. co.uk、. cn、. inなどになります。トロイの木馬は、生成されたリストに応じて、コントロールサーバーに一連のリクエストを送信します。サーバーに送信された/owncheck/ または /scheck/ GETリクエストのユーザーエージェントフィールドには、感染したMacのUUIDが含まれています。応答にドメイン名のSHA1ハッシュ値が含まれていた場合、このドメインは信頼できるものとされ、以後、そのドメイン名はコマンドサーバー名と見なされます。Doctor Webは、2012年4月12日にこのカテゴリのドメインの掌握に成功し、現在も監視を続けています。
1つ目のカテゴリのドメインを定義した後、悪意のあるプログラムは2つ目のタイプのドメインの検索を開始します。ボットは、その設定データ内にあるリストを使用して、いくつかのコントロールサーバーに対して/auupdate/ GETリクエストを送信します。これらのリクエストのユーザーエージェントフィールドには、感染したシステムに関する詳細な情報が含まれています。以下はリクエストの例です。
20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0
Where:
- ボットのバージョン
- hw.machine
- kern.osrelease
- Hardware UUID
- ペイロードファイルSHA1値
- 第三者ブラウザのアベイラビリティビットマスク
- 定数
- ボットの権限を表す値0 — 一般ユーザー、1 — 特権ユーザー
コントロールサーバーが正しい応答を返さなかった場合、トロイの木馬はhttp://mobile.twitter.com/searches?q=<string>を使用した検索においてハッシュタグとして機能する文字列の生成に、現在の日付を使用します。例えば、あるトロイの木馬のバージョンは04.13.2012という日付に対して"rgdgkpshxeoa"というフォーマットの文字列を生成します(他のバージョンのボットは異なる文字列を作成します)。トロイの木馬が、コントロールサーバーアドレスを囲むendbumpタグやbumpbeginを含んだTwitterのメッセージを探し当てた場合は、それらがドメイン名に使用されます。Doctor Webは4月13日にこのカテゴリのドメイン掌握を開始しましたが、Doctor Webアナリストがその手段として登録したTwitterアカウントが翌日4月14日の土曜日にブロックされました。
2012年4月13日には、UUIDを含んだリクエストが24時間の間に1つ目のドメイン名カテゴリのコントロールサーバーに対して30,549件、2つ目のドメイン名カテゴリのコントロールサーバーに対しては28,284件送信されています。2012年4月12日から26日の間に、合計で95,563件のUUIDを含むリクエストがBackDoor.Flashbackペイロードをコントロールするサーバーに送信されています。2012年4月13日にBackDoor.Flashbackペイロードからコントロールサーバーに送信されたリクエストの24時間分析中に得られたその他の統計データについては、以下のグラフをご覧ください。
05.07 Control Centerを含むDr.Web製品のウイルス検索エンジンアップデートに関するお知らせ
2012年5月7日掲載
株式会社Doctor Web Pacific
Dr.Web Virus Finding Engine7.0では、スキャンのスピードが劇的に向上し、システムパフォーマンスや起動中のWindowsタスクに応じてメモリの動的割り当てを行う機能が導入されました。ヒューリスティックアナライザーには、新しいテクノロジーScriptHeuristicが採用され、HTMLおよびPDFドキュメント内に潜む脅威の検出および解析が可能になりました。このテクノロジーにより、「目に見えない」IFRAMEエレメントの抽出および解析も可能となり、ウイルスデータベースの検査においてJavaScriptのシンタックスが考慮されるようになりました。
Dr.Web Virus Finding Engine7.0のアップデートは2012年5月15日にリリースされ、自動的に実行されます。Dr.Web Enterprise Security Suiteの以前のバージョンをお使いのユーザーは、6.0.3までアップグレードする必要があります。またControl Center の含まれている、Dr.Web anti-virus for Linux、Dr.Web for Unix file servers、Dr.Web for Unix mail servers、Dr.Web for Internet gateways Unix、Dr.Web for Novell Storage Services、Dr.Web for Mac OS X Server file servers、Dr.Web for Mac OS Xのユーザーは、互換性の問題を回避する為、最新のバージョンまでアップグレードを行ってください。
05.07 Dr.Web for Mac OS X および Dr.Web for Mac OS X Serverをアップデート
2012年5月7日掲載
株式会社Doctor Web Pacific
Dr.Web Virus Finding Engine 7.0は、HTML やPDFドキュメント内に潜む脅威の検出・駆除を可能にするScriptHeuristicやファイル構造エントロピー解析などの新しいマルウェア検出テクノロジーを備えています。この新しいエンジンのもう1つの利点は大幅に向上したスキャン速度です。また、シグネチャベースのスキャンにおいてJavaScriptのシンタックスが考慮されるようになりました。
バージョン6.0.3のアプリケーションはマルチスレッドスキャンをサポートし、これによりスキャン速度が大幅に向上します。アクティブな脅威を駆除するための、新たに導入された修復ルーチンは悪意のあるプロセスを停止させ、それらが自動起動する為に必要なファイルを削除します。さらに、システムファイルのアクセス制限をすり抜けて侵入したマルウェアも駆除することが可能です。隔離内にあるファイルの削除・移動・復元速度が向上し、スキャン対象となるオブジェクトのリストからメールファイルを除外することが出来るようになりました。既知のエラーが修復されることでインストーラーの安定性が向上しました。Dr.Web SpIDer Guard File Monitorのシステムリソース消費量が減少しました。また、新しいバージョンが利用可能であるかどうか、プログラムがユーザーに対して通知を行うようになりました。アプリケーション構造の最適化により、その安定性が向上しました。
Dr.Web for Mac OS X および Dr.Web for Mac OS X Serverを6.0.3にアップデートするには、www.drweb.co.jpからディストリビューションをダウンロードして上書きインストール、または前回のバージョンを削除してからインストールを行ってください。
04.27 メールクライアントのアカウントを盗むTrojan.Spambot.11349
2012年4月27日掲載
株式会社Doctor Web Pacific
この悪意のあるプログラムの拡散に使用されているのは、Backdoor.Andromedaという良く知られたバックドアです。Trojan.Spambot.11349はDelphで書かれたローダー、およびペイロードを格納するダイナミックライブラリという2つのコンポーネントで構成されています。ローダーの機能はこの手の悪意のあるソフトウェアに共通する一般的なもので、ファイアーウォールをすり抜けてシステムライブラリ内にマルウェアをインストールします。名前に「vcnost.e」を含まないプロセスからローダーが起動された場合、トロイの木馬は名前svcnostを含む全てのプロセスを削除し、ハードディスク上にあるフォルダの1つにsvcnost.exeという名前で自身を保存した上で、アプリケーションの自動実行に関わるレジストリブランチにリンクを登録します。その後Trojan.Spambot.11349は自身のコピーを起動させます。それが管理者権限で実行されていた場合、Windowsのファイアーウォールをすり抜けるようレジストリに変更を加え、アンチウイルスプログラムサイトへのユーザーのアクセスをブロックしてファイルホストを上書きします。最後にローダーは、ペイロードを格納するダイナミックライブラリをオペレーティングメモリに置き、以後の管理を託します。
管理権を得た悪意のあるライブラリは、ドライブ上に自身のコピーが存在しないかどうかを確認し、ボットのユニークなIDとなる9個のランダムな数字からなる数値をシステムレジストリに書き込みます。次にTrojan.Spambot.11349はSSLライブラリ、およびリクエストのストリングを圧縮する為のzlibライブラリをディスク上に保存します。ボットから送信されたリクエストのHOSTフィールドには外部のIPアドレスが含まれ、これがTrojan.Spambot.11349の特徴となっています。SSLライブラリおよびzlibライブラリとの動作のために別々のダイナミックリンクライブラリを使用するという点も、悪意のあるプログラムの構造には滅多に見られない珍しいものと言えるでしょう。
Trojan.Spambot.11349の際立った特徴の1つは、トロイの木馬サブネットのリソースに保存されたリストから特別なアルゴリズムによって選択されたランダムなIPアドレスに対して、連続的なクエリを送信するという動作にあります。次にトロイの木馬は、ライブラリのボディ内に暗号化された形で保存されているアドレスを持つ3つの管理サーバーのうちの1つに接続し、設定ファイルの取得を試みます。ファイルの入手に成功した場合は、Microsoft OutlookおよびThe Bat!メールクライアントから盗んだアカウントのデータを含んだクエリを作成し、zlibライブラリを使用して圧縮したのち犯罪者のリモートサーバーへ送信します。システムを感染させた後は、そのコンピューターからのスパム配信が可能であるかどうかを確認する為に、ランダムな文字の組み合わせで作成したメールを送信します。送信に成功すると、今後のスパム配信に必要なデータをリモートサーバーから受け取ります。4月24日現在、Trojan.Spambot.11349はバイアグラの広告を含んだメールを配信しています。
このトロイの木馬のシグネチャは既にDoctor Webウイルスデータベースに加えられており、Dr.Webアンチウイルス製品をご利用のユーザーはその脅威から保護されています。しかしながら、万一お使いのメールアカウントへのアクセスデータが盗まれた可能性がある場合は、直ちにメールアカウントのパスワードを変更することを推奨します。
04.23 Doctor WebはBackDoor.Flashback.39ボット数の減少を確認せず
2012年4月23日掲載
株式会社Doctor Web Pacific
Doctor Webの統計によると、81万7879台のボットがBackDoor.Flashback.39ボットネットに接続され、平均55万台の感染したコンピューターがコントロールサーバーと24時間やり取りを行っています。4月16日、71万7004のユニークなIPアドレスおよび59万5816のMac UUIDがBackDoor.Flashback.39ボットネットに登録され、4月17日にはユニークなIPアドレスが71万4483、Mac UUIDが58万2405となっています。同時に、未だBackDoor.Flashback.39ネットワークに登録されていなかった感染したコンピューターが、日々ボットネットに加えられています。以下のチャートは、2012年4月3日から4月19日までのBackDoor.Flashback.39ボットネットを構成するボット数の推移を表しています。
しかしながら、この頃オープンアクセスで公表されたレポートではBackDoor.Flashback.39ボットの減少が報告されています。通常、この手のレポートは、乗っ取ったボットネットコントロールサーバーから取得した統計の解析に基づいています。Doctor Webのアナリストは、このような相反する結果が生じた原因を突き止めるための調査に乗り出しました。
BackDoor.Flashback.39はコントロールサーバー名の生成に、非常に高度なルーチンを使用します。ドメイン名の大半はマルウェアリソースに組み込まれたパラメータを使用して生成され、残りの生成には現在の日付が使用されます。このトロイの木馬は、予め定義されたプロパティに応じてサーバーに一連のクエリを送信します。4月の初め、BackDoor.Flashback.39コマンドサーバーの主なドメインがDoctor Webによって登録され、それらに対するボットからの始めてのリクエストが送信されました。さらに4月16日には、現在の日付を使用して生成された名前を持つドメインが追加されました。これらのドメイン名は全てのBackDoor.Flashback.39亜種によって使用されるため、コントロールサーバー名が追加されることにより、悪意のあるネットワークを構成するボット数の正確な割り出しが可能になりました。このことは、上のグラフにも顕著に表れています。しかしDoctor Webによってコントロールされるサーバーとのやり取りの後、トロイの木馬は、詳細不明な第三者によってコントロールされる74.207.249.7のサーバーに対してリクエストを送信しています。このサーバーはボットとの通信は行いますが、TCP接続を閉じることはしません。その結果、ボットはサーバーからの応答を待つスタンバイモードに切り替わり、コマンドに応じなくなります。情報セキュリティスペシャリストによって登録されているコマンドセンターとの通信が行われなくなることから、Symantec およびKaspersky LabがBackDoor.Flashback.39ボット数の大幅な減少を報告する一方でDoctor Webの統計は未だ大規模な拡散を記録するという、矛盾する結果が生まれたと考えられます。以下の画像は、コマンドセンターへのTCP接続がいかにしてBackDoor.Flashback.39ボットをフリーズさせるかを示しています。
Doctor Webは、BackDoor.Flashback.39脅威について再びMac OS Xユーザーの皆様に警告し、Javaアップデートをインストールし、システムが感染していないかどうか確認する為のスキャンを実行するよう強く推奨します。BackDoor.Flashbackの検出・駆除に関する詳細についてはAnti-Flashbackのページをご覧ください。また、無料でご利用頂けるDr.Web for Mac OS X Lightを使用してトロイの木馬を削除することが可能です。
