2012年6月13日掲載

株式会社Doctor Web Pacific

2012年5月は目立った脅威の拡散も見られず、情報セキュリティの面では比較的穏やかな月となりました。しかし、ヨーロッパではトロイの木馬エンコーダーの被害を受けるユーザーの数が増加し、また、Androidを狙った新たな脅威の出現もありました。

ウイルス

Trojan.Mayachok.1の次点にはオンラインバンキングのユーザーを狙ったTrojan.Carberp（1.3%）がつけています。また、悪意のあるダウンローダーTrojan.SMSSend（1.5%）やTrojan.Hosts（約0.5%）、および多くのIRCボットも比較的多数検出されています。

4月と比較してみると、Trojan.Mayachok.1の感染件数には1.36%の増加が見られ、その検出数は10,500件多くなっています。一方、Trojan.Carberpの検出数は4分の1近く減少し、DNS サーバーアドレスを含むWindows/System32/Drivers/etc/hosts ファイルを改変するTrojan.Hostsマルウェアの感染件数にはほとんど増加が見られませんでした。

検出されたその他の脅威の数には変化は見られませんでした。

スパム

メールトラフィック内で検出されたマルウェアの中で最も多かったのは、ブラウザを偽のサイトへリダレクトする悪意のあるスクリプトTrojan.SMSSend.2856でした。メール内で検出されたその他の悪意のあるプログラムにはTrojan.Mayachok.1および Trojan.Carberpが含まれていました。

ボットネット

4月の初旬にDoctor Webのウイルスアナリストによって発見された、80万台を超えるMac OS Xを搭載するコンピューターから構成されるBackDoor.Flashback.39ボットネットは、未だ存在しているものの、感染するコンピューター数には減少が見られます。ネットワーク内のボット数は5月の初めに529,355台に減り、5月24日現在その数は331,992台となっています。一方、新たな感染数は1日平均110台で、こちらもまた着実に減少を続けています。以下のグラフは、2012年5月におけるBackDoor.Flashback.39ボット数の推移を表しています。

次のグラフは、新たに登録されたBackDoor.Flashback.39ボットネットの数です。

4月、Doctor Webはファイルを感染させるWin32.Rmnet.12を使用して構築された大規模なボットネットの発見を報告しました。このボットネットには100万台を超える感染したコンピューターが含まれ、それらの大部分は中東およびアジアのものでした。 Win32.Rmnet.12は複数のモジュールから成る複合マルチコンポーネントで、自身を複製することができます。バックドアとしての機能も持ち、また、リモートコントロールセンターからのコマンドを実行し、最も広く普及しているGhisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのFTPクライアントからパスワードを盗みます。

2012年5月29日現在、Win32.Rmnet.12ボットネットには感染したコンピューター2,641,855台が含まれ、1か月の間に2倍の規模に膨れ上がっています。一方、最も多くウイルスが拡散された国はインドネシア、バングラデシュ、ベトナム、インド、エジプトとなっており、こちらには大きな変化は見られませんでした。また、ロシアでも多数の感染が発見されています。以下のグラフは、2012年5月におけるWin32.Rmnet.12ボットネットの増加を表しています。

グラフには、１日平均約25,000台のコンピューターが新たに感染し、ボットネットは急速に増加を続けていることが明白に表れています。

Doctor Webのウイルスアナリストによって注意深く監視が続けられているもう1つのボットネット－Win32.Rmnet.16ボットネット－に関しても似たような状況が見られます。5月の初旬にDoctor Webは、このボットネットを構成するホストの数が55,310台に達し（2012年5月11日現在）、その多くがイギリスのものであることを報告しましたが、その後18日間でその数は84,491台にまで増加しました。以下のグラフは、ネットワーク内における新たなボット数の増加を表しています。

その割合にバラつきは見えるものの、新たに感染するコンピューターの数は増加を続けていることが分かります。

Androidに対する脅威

先月は、Google Androidを標的とする新たな脅威も出現しました。5月の初旬、Doctor Webはユーザーの皆様に対し、ルートアクセス付きモバイルデバイスを狙ったトロイの木馬についての警告を発表しました。この悪意のあるプログラムは「マトリョーシカ人形」方式を採用しており、改変されたアプリケーションの中に、暗号化されたapkファイルが含まれています。また、トロイの木馬によってインストールされたダウンローダーが、感染したデバイス上に他のアプリケーションをダウンロードし、それらを実行します。

5月には、Android.Proxy.1.originと名付けられた悪意のあるアプリケーションも発見されました。このトロイの木馬はシステムのアップグレードを装い、改変されたサイトから拡散されます。また、感染したデバイス上でプロキシサーバーを動作させることで、デバイスが接続されているプライベートネットワークへのアクセスをハッカーに与えます。IFRAMEの組み込まれた改変されたサイトをユーザーが訪れると、トロイの木馬のダウンロードが自動的に開始されますが、アプリケーションをインストールするまでデバイスが感染することはありません。

Windowsロッカーおよびエンコーダー

5月にDoctor Webテクニカルサポートサービスに寄せられたリクエストの多く（全体の21.2%）は、ブロッカープログラムに関するものでした。その数は4月に比べて僅かに減少しています。また、Trojan.Encoderプログラムに感染したファイルの復号化に関するリクエスト数も0.71%まで減少しました。その他のウイルス脅威に関するリクエストは全体の5.3%でした。

その他

2012年5月に発見されたその他の情報セキュリティ脅威の中で注目すべきものを以下にまとめます。

• Facebookを狙い始めるサイバー詐欺師達
• ディスク上に自身をコピーしルートディレクトリ内にautorun.infファイルを置くことで拡散し、RARアーカイブを探して感染させるWin32.HLLW.Autoruner.64548
• Doctor Webのウイルスアナリストによって発見されたIRCボット－犯罪者の管理するリモートサーバーからファイルをダウンロードし、IRCサーバーのコマンドに応じてDDoS攻撃を実行するBackDoor.IRC.Aryan.1
• OS内で起動中のプロセスを検索する機能を備え、インスタントメッセンジャーでスパムを拡散するもう1つのIRCボット

5月にメールトラフィック内で検出されたマルウェアTop20

5月にユーザーのコンピューター上で検出されたマルウェアTop20