Doctor Web ニュース

RARアーカイブを感染させる新たなワーム

Fri, 18 May 2012 11:31:26 GMT

2012年5月18日掲載

株式会社Doctor Web Pacific

Doctor Webは、RARアーカイブを感染させるワームWin32.HLLW.Autoruner.64548についてユーザーの皆様に警告します。このワームはリモートサーバーから実行ファイルをダウンロードし、感染したコンピューター上で悪意のあるタスクを実行します。

Win32.HLLW.Autoruner.64548は、他の多くのワームと同様の方法によって拡散します。まずディスク上に自身のコピーを作成し、autorun.infファイルをルートディレクトリに置くことで、デバイスがコンピューターに接続されると同時にワームが起動されるようにします。感染したコンピューター上で起動されると、Win32.HLLW.Autoruner.64548はディスク内のRARアーカイブを探し、secret.exe、AVIRA_License.exe、Warcraft_money.exe、CS16.exe、Update.exe、private.exe、Autoruns.exe、Tutorial.exe、Autorun.exe、Readme.exe、Real.exe, readme.exe、Keygen.exe、Avast_keygen.exeのいずれかの名前で自身をその中に置きます。それによりアーカイブが破損してしまう場合もあります。

またこのワームはペイロードモジュールを持ち、そのボディにはWin32.HLLW.Autoruner.64548がmssys.dllとしてWindowsフォルダ内に保存する実行ファイルが含まれています。この悪意のあるプログラムはライブラリファイルをレジストリ内に登録し、ペイロードコードを自身のプロセスのコピー内に挿入します。次にリモートサーバーに接続し、実行ファイルをダウンロード・実行するためのコマンドを待ちます。

Win32.HLLW.Autoruner.64548はRARアーカイブを感染させる数少ない悪意のあるプログラムの1つです。RARアーカイブを解凍する際は、アーカイブ内に疑わしい実行ファイルが追加されていないか十分注意するようにしてください。それらのファイルを実行してしまうと、コンピューターに害を及ぼす危険性があります。このワームのシグネチャはDr.Webウイルスデータベースに加えられています。

イギリス、オーストラリアを襲うWin32.Rmnet.16

Tue, 15 May 2012 14:27:15 GMT

2012年5月15日掲載

株式会社Doctor Web Pacific

2012年4月、Doctor Webは、Win32.Rmnet.12ウイルスを使用して形成されたボットネットに100万台を超える感染したホストが含まれていることを報告しましたが、先ごろ、このウイルスの新たな亜種の拡散がDoctor Webのアナリストによって確認されました。この亜種はWin32.Rmnet.16と名付けられ、コントロールサーバーIPアドレスの署名にデジタル署名を使用するという点がWin32.Rmnet.12との主な違いとなっています。またウイルス開発者はウイルスを構成する機能モジュールのアップデートも行っています。Win32.Rmnet.16による感染の多くはイギリスおよびオーストラリアで発生しました。

Win32.Rmnet.16はC言語およびアセンブリ言語で書かれ、複数の機能モジュールで構成されています。ウイルスをシステム内に侵入させるインジェクターの動作はWin32.Rmnet.12と同様で、ブラウザプロセスに自身のコードを挿入し、ドライバを一時フォルダに保存した上でMicorsoft Windows Serviceとして起動させたのち、ウイルスボディを一時ディレクトリおよびスタートアップフォルダにコピーするというものです。ボディファイルはランダムな名前と. exe拡張子を持っています。

バックドアペイロードもまたWin32.Rmnet.12のそれと同様、リモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。ただし、Win32.Rmnet.16にはWin32.Rmnet.12との重要な違いも見られます。Win32.Rmnet.16では、悪意のあるアプリケーションリソースにはもはや組み込まれていないが特別なルーチンを使用して作成されるコントロールサーバーIPアドレスの署名にデジタル署名が使用されるという点です。さらにモジュールは、一般に広く普及しているアンチウイルスプログラムのプロセスを停止させることが可能で、このことがWin32.Rmnet.16をさらに危険なものにしています。バックドアによってダウンロードされた悪意のあるコンポーネントや設定ファイルは.log拡張子を持つ暗号化されたファイル内に保存され（このファイルは% APPDATA%フォルダ内にあります）、そのファイル名は感染したシステムに関する情報に基づいて作成されます。modules.dllファイル内のモジュールが、この.log拡張子を持つファイルからデータをロードし、コンピューターメモリー内にロードされたコードに対するあらゆる操作を実行してコンポーネントのコードがハードドライブ上に復号化されないようにします。

Win32.Rmnet.12と同様、Win32.Rmnet.16はMBRを改変し、そのファイルを暗号化してディスクの最後に保存することができます。再起動されると、感染したブートレコード内にある悪意のあるコードがコントロールを掌握し、メモリー内にあるモジュールの読み込みおよび復号化を行ってそれらを実行します。このコンポーネントはMBR.Rmnet.1と名付けられています。Dr.Webアンチウイルスソフトウェアを使用することで、Win32.Rmnetによって改変されたブートレコードを復元することが可能です。

Win32.Rmnet.16によってリモートコマンドセンターからダウンロードされるモジュールの中には、一般的なFTPクライアント・そのFTPサーバー・スパイモジュールによって保存されたパスワードを盗むためのFtp Grabber v2.0が含まれています。

この新しいバージョンに組み込まれている感染モジュールはポリモーフィック型で、犯罪者の管理するリモートサイトからダウンロードされます。このウイルスはシステムのものを含む、ディスク上で見つかった全てのexeファイルおよびdllファイルを感染させますが、Win32.Rmnet.12とは異なり、自身をリムーバブルフラッシュドライブにコピーすることはできません。

Doctor WebのウイルスアナリストはWin32.Rmnet.16ボットネットの1つを注意深く監視しています。2012年5月11日現在、このボットネットは55,310台の感染したホストで構成され、その55.9%がイギリスのものでした。次いでオーストラリアが40%、アメリカおよびフランスが3位（1.3%）となっています。またオーストリア、イラン、インド、ドイツでも1%未満の感染が確認されています。都市別ではロンドンが最も多く（5,747台、10.4%）、次点でシドニー（3,120台、5.6%）、その下にメルボルン（2,670台、4.8%）、ブリスベン（2,323台、4.2%）、パース（1,481台、2.7%）、アデレード（1,176台、2.1%）、およびイギリスのバーミンガム、マンチェスターで約1.5%となっています。Win32.Rmnet.16に感染したホストの国別分布を以下に示します。

ロシアにおいては、Win32.Rmnet.16による感染は未だほとんど見られませんが、これも時間の問題と言えるでしょう。Doctor Webは上記ボットネットの動向に対する監視を今後も継続して行っていきます。もしご利用のコンピュータがWin32.Rmnet.12に感染してしまっている場合は、Dr.Web CureIt!、もしくはDr.Web LiveCDユーティリティを使用して、ウイルスを駆除することが可能です。

Dr.Web Virus Finding Engineをアップデート

Tue, 15 May 2012 10:31:18 GMT

2012年5月15日掲載

株式会社Doctor Web Pacific

Doctor Webは、シングルユーザ向けDr.Web Anti-virus、Dr.Web Security Space6.0および7.0、Dr.Web Desktop Security Suite、Dr.Web Server Security Suite、Dr.Web Mail Security Suite、Control Centerの含まれていないDr.Web Gateway Security Suite、修復ユーティリティーDr.Web CureIt!およびDr.Web CureNet!、Dr.Web LiveCD/LiveUSBに含まれるDr.Web Virus Finding Engineをバージョン7.0.2にアップデートしました。

アップデートされたエンジンには、ディスクのブートセクタに対するヒューリスティック解析の機能が加わりました。また、メモリーリークに関するエラーが修正され、apk （dex）およびbzip2ファイルの検査時に発生する問題が取り除かれました。

ユーザーであれば、アップデートは自動的に行われます。

Dr.Web CureIt 7.0のベータ版を公開

Tue, 15 May 2012 10:07:30 GMT

2012年5月15日掲載

株式会社Doctor Web Pacific

Doctor Webは、修復ユーティリティDr.Web CureIt 7.0のベータ版を公開しました。このアプリケーションは、悪意のあるプログラムを駆除しコンピューターを修復するためのポピュラーなツールで、他のデベロッパーによる同種のソリューションの持つ全ての利点を兼ね備えています。主な特長は、ブロッカー脅威に対抗するための強化モードと、そして言うまでもなく、他のアンチウイルス製品との連携が可能であるという点にあります。このユーティリティは、最も危険な脅威にも対抗可能な1つのアプリケーション内に集められた情報セキュリティの最新テクノロジーを使用しています。

Dr.Web CureIt 7.0は、多くのユーザー間で人気のある通常のアップデートというだけでなく、情報セキュリティ脅威に対抗するための、世界でも最も知られたツールの1つにおける新たな時代の幕開けとも言えるものです。このユーティリティのバージョン7.0は、マルチコアプロセッサのあらゆる利点を使用し、マルチスレッドモードでのスキャニングサブシステムを用いてコンピューターディスクを検査することができます。最新のOS上で使用できるよう最適化され、それによりスキャン速度が向上するのみならず、ユーザーの使用感もさらに快適なものになりました。プログラムの安定性が著しく向上し、ユーティリティ動作のエラーによって引き起こされるBSOD（Blue Screen of Death）がスキャンの実行中に表示される可能性が取り除かれました。

Dr.Web CureIt 7.0ではユーザーインターフェースのデザインが大幅に変更され、また、Dr.Web anti-virus および Dr.Web Security Space 7.0で使用されていたサブシステムルートキットスキャンが、このプログラムに対しては初めて組み込まれました。スキャンの対象を選択する機能が拡張され、メモリー、ブートセクター、スタートアップオブジェクトなどのスキャンを個別に実行することが可能となりました。さらに、スキャン中にネットワーク接続をブロックする機能、およびスキャン終了後にOSをシャットダウンする機能が加わりました。

このアプリケーションの新しいバージョンには、BIOS搭載のコンピューターを感染させる悪意のあるプログラム「BIOSキット」への感染を検査する機能も備わっています。Doctor Webは、新たな種類のマルウェアを検出するために、この修復ユーティリティのバージョン7.0を使用してお使いのコンピューターを検査することを推奨します。ベータテストに参加をご希望のユーザーは、サイト(英語)よりDr.Web CureIt 7.0のベータ版をダウンロードしてください。

ルートアクセス付きAndroidデバイスを狙う新たなトロイの木馬

Fri, 11 May 2012 18:02:12 GMT

2012年5月11日掲載

株式会社Doctor Web Pacific

Doctor Webは、Android OSを標的とした新たな悪意のあるプログラムの出現について警告します。被害を受けたのは、昇格された権限を持ったシステムを使用するモバイルデバイスのユーザーです。

この新しいトロイの木馬は、ソフトウェアを配信するポピュラーなサイトを介して公式アプリケーションと一緒に拡散されます。「マトリョーシカ人形」方式を採用しており、改変されたアプリケーション（Dr.WebによってAndroid.MulDrop.origin.3として検出されました）の中に、暗号化された別のプログラムパッケージ（apkファイル）が含まれています。つまり、最初のアプリケーションはドロッパー－他の悪意のあるプログラムを配信するためのコンテナなのです。

ここで重要なのは、トロイの木馬の製作者は、システムユーティリティやコンフィギュレーターなど特定の種類のアプリケーションをドロッパーとして使用するという点です。それらのアプリケーションの動作には管理者権限が必要であるため、起動後にルートアクセスを要求されてもユーザーが不審に思う事がないというのがその理由です。

必要な権限の取得に成功すると、Android.MulDrop.origin.3は含んでいたapkファイルを復号化してシステムディレクトリ内に置きます（ComAndroidSetting.apkという名前で/system/app/に）。驚くべきことに、Android.MulDrop.origin.4として既にウイルスデータベースに加えられていたアプリケーションもまたドロッパーであり、Android.MulDrop.origin.3同様、暗号化されたapkパッケージを含んでいます。トロイの木馬は次のシステム起動後にアクティベート化され、中に潜んでいたプログラムパッケージを復号化・インストールしますが、このプログラムパッケージはAndroid.DownLoader.origin.2として検出されたトロイの木馬ダウンローダーです。

Android.DownLoader.origin.2は自動実行機能も備えており、システムの起動後にリモートサーバーに接続して、ダウンロード・インストールするアプリケーションのリストを受け取ります。リストの内容は、犯罪者の着想および目的に応じて、悪意のあるソフトウェアであったりまたは害のないアプリケーションであったりと様々です。

2012年4月28日に、Doctor Webのスペシャリストは別のバージョンのドロッパーを発見しました。Android.DownLoader.origin.2は、Android.MulDrop.origin.3と同様ソフトウェアを配信するサイトを介して拡散されますが、その動作には若干の違いが見られます。このトロイの木馬は起動されると、中に含まれている暗号化されたapkファイルを予め復号化したうえでメモリーカード上に置きます。同時にパネルには、「Android Patch 8.2.3」というフレーズを含んだ通知メッセージが表示されます。ユーザーがメッセージをクリックするとインストールの手順が開始されますが、ドロッパー開発者の不手際による、必要なパッケージをメモリーカードに書き込めないというエラーが原因となりインストールは完了されません。

トロイの木馬製作者がこのようなミスを犯さなければ、システム内にはトロイの木馬ダウンローダーAndroid.DownLoader.origin.1がインストールされ、モバイルデバイスを起動する度に自動実行されたことでしょう。このダウンローダーはリモートサーバーに接続し、システムにダウンロード・インストールするアプリケーションのリストを含んだxmlファイルを受け取ります。モディフィケーションの加えられていないデバイス上では、この動作にはユーザーの操作が求められますが、ルートアクセス付きシステムのユーザーであればなんら疑念を抱くことは無いでしょう。

分析の結果、Android.DownLoader.origin.2はAndroid.MulDrop.origin.3と同じ開発者の手によるものであることが判明しました。Android.DownLoader.origin.2は、犯罪者が彼らのテクノロジーを実行するためのテストプラットフォームであったと考えられます。

Dr.Web for Android Anti-virus + Anti-spamおよび Dr.Web 7.0 for Android Lightによって、これら悪意のあるプログラムからお使いのモバイルデバイスを保護することが可能です。感染の危険性を最小限に食い止める為、Android搭載モバイルデバイスのユーザーはインストールするアプリケーションおよびその配信元に十分注意し、また可能な限り公式のGoogle Play（play.google.com）からダウンロードすることを推奨します。

Android向けアンチウイルスソフトウェアを装うトロイの木馬

Thu, 10 May 2012 11:53:02 GMT

2012年5月10日掲載

株式会社Doctor Web Pacific

Doctor Webは、犯罪者達がAndroid搭載のモバイルデバイスに対する悪意のあるプログラム拡散に、新たなソーシャルエンジニアリング手法を用い始めたことについて警告します。ウイルス製作者によって作成されたwebサイトから、アンチウイルスプログラムを装ったAndroid.SmsSendトロイの木馬をダウンロードしてしまう危険性があります。

Android OSの人気が高まるにつれ、犯罪者がそれを利用した利益の獲得に乗り出すのは必然的なことと言え、このモバイルプラットフォームを狙う新たな脅威の出現はもはやユーザーを驚かせることはなくなりました。Androidを標的とした悪意のあるプログラムの中で最も一般的なものはAndroid.SmsSendファミリーで、このアプリケーションはユーザーの承諾無しにSMSを送信します。

多くの場合、Android.SmsSendは様々なメディアのプレイヤーソフトウェアやモバイルブラウザなどのポピュラーなアプリケーションのアップデートを装った形でダウンロードされますが、昨今では次第に異なる手法が用いられるようになっています。犯罪者は広告を表示させるための様々なシステムを利用して、直ちにモバイルデバイスのウイルススキャンを実行するようユーザーに呼びかけるメッセージを表示させます。このメッセージをクリックすると、モバイルデバイスをスキャンするためのサイトへ飛ばされますが、そのサイトはDr.Web Security Space 7.0のアイコンの1つやインターフェースを模倣しています。しかしこのインターフェースを作成する際に、犯罪者は1つ誤りを犯しています。現時点でモバイルデバイスを標的とするバージョンでは存在しない脅威、例えばWindowsに対するバンキングトロイの木馬であるTrojan.Carberp.60などがアンチウイルスによって検出されるのです。ユーザーが脅威の「駆除」に同意してしまうと、Android.SmsSendファミリートロイの木馬がデバイスにダウンロードされます。

Dr.Web 7.0 for Androidのベータ版には、いわゆる「クラウド・テクノロジー」を使用してブラウザ上で開かれたリンクを検査するCloud Checkerと呼ばれるモジュールが含まれています。Dr.Webのインターフェースを模倣した、ハッカーによって作成されたサイトはこのCloud Checkerによってブロックすることが出来ますが、ユーザーの皆様には警戒を怠らず、疑わしいサイトからはアプリケーションをダウンロードしないよう推奨します。

2012年4月のウイルス脅威

Wed, 09 May 2012 17:47:41 GMT

2012年5月9日掲載

株式会社Doctor Web Pacific

2012年の4月は、情報セキュリティ脅威に関するイベントという点において、最も密度の濃い月としてユーザーの記憶に残ることでしょう。4月の初旬、Doctor WebのエキスパートはMac OS X搭載コンピューターによって構成される史上最大規模のボットネットを発見し、その少し後には、100万台以上の感染したコンピューターを含むWin32.Rmnet.12ボットネットの乗っ取りに成功したことを公表しました。同月の後半には、トロイの木馬エンコーダがまず西ヨーロッパの人々を、その後、世界中のユーザーを脅かし始めました。

世界規模で攻撃されるMac

BackDoor.Flashback.39マルウェアを用いてハッカーによって作成された史上初のボットネットは、文字通りの意味で80万台を超えるMac OS X搭載コンピューターを、そしてまた比喩的な意味では多数の情報ポータルサイトおよびメディアを襲いました。このニュースはまたたく間に世界中に広がり、センセーションを巻き起こしました。

3月の下旬にDoctor Webウイルスラボは、Mac OS Xに対するマルウェアの拡散に既知のJavaの脆弱性が悪用されているという最初の報告を受け取りました。同様の情報が定期的に様々なソースから寄せられたことから、Javaの脆弱性を利用するBackDoor.Flashback.39トロイの木馬がApple互換コンピューターによるボットネットを構成している可能性が浮上してきました。このマルウェアは、その他同種の多くのマルウェア同様、トロイの木馬がコントロールサーバーとして使用するドメイン名を選択する為のビルトインアルゴリズムを備えています。このような手法は、第一にネットワークの「生存率」を大幅に高め、そして第二に、ボットの発生させるトラフィックがある臨界値を超えた場合に、コマンドセンター間でロードを効率的かつタイムリーに再配分することを可能にします。しかし同時にこのことが、情報セキュリティのプロフェッショナル達に対しても、トロイの木馬がコントロールセンターの選択に使用する手法を「暴き」、必要な統計を収集する為の「ダミーの」コマンドセンターを作り、さらにネットワークのコントロールを掌握することさえ可能にするという機会をもたらしました。この手法は「シンクホール」と呼ばれ、ウイルス対抗策として広く用いられています。2012年4月3日、Mac OS X搭載のコンピューターで構成されるボットネットが存在するという仮説を裏付けるため、いくつかのBackDoor.Flashback.39コントロールサーバードメインがDoctor Webエキスパートによって登録されました。この時点では、Mac OS Xに対する未だかつてない大規模なボットネットを目撃することになろうとは誰も予想していませんでした。その高い信頼性およびアーキテクチャーによって、Mac OS Xは比較的安全なOSであると考えられていたためです。しかし、現実はあらゆる予想を裏切り、Doctor Webによってコントロールされたサーバーは最初の1時間だけで13万台を超えるボットの活動を記録しました。朝までにその数は55万台に達し、コントロールセンターはロードのプロセスを停止しました。2012年4月4日、Doctor WebはBackDoor.Flashback.39ボットネットの発見に関するプレスリリースを行い、その衝撃的な内容は24時間の内に多くの世界中のニュース機関およびメディアによって取り上げられました。

BackDoor.Flashback.39が感染させるシステムには2つの条件があります。システムにJava Virtual Machineがインストールされていること、および改変されたwebページがユーザーによってブラウザ上で開かれることです。それらは特別にデザインされた悪意のあるwebページで、ウイルス製作者はリソースへのアクセスを持っています。ページ上にある悪意のあるコードがJavaアプレットをロードし、このアプレットがJavaの脆弱性を悪用して自身の起動に関わる実行ファイルおよび.plistファイルをAppleコンピューターのハードドライブ上に保存します。次にアプレットは、ユーザーの干渉無しにトロイの木馬を動作させるために、保存した設定ファイルをlaunchdサービスに送ります。この間ユーザーは一切不審に気づくことなく、既にマルウェアに感染したMacのブラウザでwebページを見続けていることになります。

当初、Doctor Webが持つ情報は BackDoor.Flashbackトロイの木馬亜種を使用したボットネットのほんの一部についてのみでしたが、4月16日には、日付を基に生成された名前を持つドメインが新たに登録されました。これらのドメイン名は全てのBackDoor.Flashback.39亜種によって使用されるため、コントロールサーバー名が追加されることにより、悪意のあるネットワークを構成するボット数の正確な割り出しが可能になりました。感染したコンピューターが最も多く発見されたのはアメリカ（56.6%）で、2位はカナダ（19.8%）、3位にイギリス（12.8%）、そしてオーストラリア（6.1%）が4位となっています。

2012年4月4日にApple社は、BackDoor.Flashbackトロイの木馬に利用されるJavaの脆弱性を修正するためのアップデートをリリースしました。しかしながら、コンピューターが既に感染してしまっている場合、アップデートではユーザーをマルウェアから保護することは出来ません。その後まもなくして、感染したMacの数は80万台を超えました。ところが数日後、多くのコンピューターセキュリティエキスパートによってBackDoor.Flashback.39ホスト数の大幅な減少が報告されたのです。喜びもつかの間、Doctor Webによって実行された調査の結果、それらエキスパート達の計算にエラーが認められました。

BackDoor.Flashback.39はコントロールサーバー名の生成に、非常に高度なルーチンを使用します。ドメイン名の大半はマルウェアリソースに組み込まれたパラメータを使用して生成され、残りの生成には現在の日付が使用されます。このトロイの木馬は、予め定義されたプロパティに応じてサーバーに一連のクエリを送信します。4月の初め、BackDoor.Flashback.39コマンドサーバーの主なドメインがDoctor Webによって登録され、それらに対するボットからの始めてのリクエストが送信されました。しかしDoctor Webによってコントロールされるサーバーとのやり取りの後、トロイの木馬は、詳細不明な第三者によってコントロールされる74.207.249.7のサーバーに対してリクエストを送信しています。このサーバーはボットとの通信は行いますが、TCP接続を閉じることはしません。その結果、ボットはサーバーからの応答を待つスタンバイモードに切り替わり、コマンドに応じなくなります。情報セキュリティスペシャリストによって登録されているコマンドセンターとの通信が行われなくなることから、Symantec およびKaspersky LabがBackDoor.Flashback.39ボット数の大幅な減少を報告する一方でDoctor Webの統計は未だ大規模な拡散を記録するという、矛盾する結果が生まれたと考えられます。以下のチャートはBackDoor.Flashback.39拡散の実態を示しています。

2012年4月28日現在、BackDoor.Flashback.39ネットワークには合計で824,739台のボットが含まれ、そのうち334,592台がアクティブになっています。

BackDoor.Flashback.39トロイの木馬によって感染したコンピューター上にダウンロードされるファイルについての分析は、調査の主要な課題となっています。この悪意のあるアプリケーションは、管理者権限または一般ユーザー権限（ペイロードがロードされる時点で、管理者パスワードを入力するよう要求するダイアログウィンドウが表示されます）で動作することができ、2つのタイプのコントロールサーバーを利用します。１つ目のカテゴリに属するサーバーはweb検索トラフィックを監視し、犯罪者によって管理される悪意のあるサイトへユーザーをリダレクトします。2つ目のカテゴリに属するサーバーは、感染したシステム内でバックドアとしてのタスクを実行するようボットに対してコマンドを出します。Doctor Webのアナリストは、 BackDoor.Flashbackがコントロールサーバードメイン名を作成するために用いるルーチンを逆行分析することでいくつかのドメイン名を登録することに成功し、ボットから受け取るリクエストを解析しました。

上記1つ目のカテゴリのコンロトールサーバー名はトロイの木馬の設定データ内にあるリストを使用して生成され、また現在の日付を使用したドメイン名のリストも生成されます。第2レベルドメイン名も同様で、一方トップレベルドメイン名はorg、. com、. co.uk、. cn、. inなどになります。トロイの木馬は、生成されたリストに応じて、コントロールサーバーに一連のリクエストを送信します。サーバーに送信された/owncheck/ または /scheck/ GETリクエストのユーザーエージェントフィールドには、感染したMacのUUIDが含まれています。応答にドメイン名のSHA1ハッシュ値が含まれていた場合、このドメインは信頼できるものとされ、以後、そのドメイン名はコマンドサーバー名と見なされます。Doctor Webは、2012年4月12日にこのカテゴリのドメインの掌握に成功し、現在も監視を続けています。

１つ目のカテゴリのドメインを定義した後、悪意のあるプログラムは2つ目のタイプのドメインの検索を開始します。ボットは、その設定データ内にあるリストを使用して、いくつかのコントロールサーバーに対して/auupdate/ GETリクエストを送信します。これらのリクエストのユーザーエージェントフィールドには、感染したシステムに関する詳細な情報が含まれています。コントロールサーバーが正しい応答を返さなかった場合、トロイの木馬はhttp://mobile.twitter.com/searches?q=を使用した検索においてハッシュタグとして機能する文字列の生成に、現在の日付を使用します。例えば、あるトロイの木馬のバージョンは04.13.2012という日付に対して"rgdgkpshxeoa"というフォーマットの文字列を生成します（他のバージョンのボットは異なる文字列を作成します）。トロイの木馬が、コントロールサーバーアドレスを囲むbumpbegin やendbumpタグを含んだTwitterのメッセージを探し当てた場合は、それらがドメイン名に使用されます。Doctor Webは4月13日にこのカテゴリのドメイン掌握を開始しましたが、Doctor Webアナリストがその手段として登録したTwitterアカウントが翌日の4月14日土曜日にブロックされました。

2012年4月13日には、UUIDを含んだリクエストが24時間の間に１つ目のドメイン名カテゴリのコントロールサーバーに対して30,549件、2つ目のドメイン名カテゴリのコントロールサーバーに対しては28,284件送信されています。2012年4月12日から26日の間に、合計で95,563件のUUIDを含むリクエストがBackDoor.Flashbackペイロードをコントロールするサーバーに送信されています。以下のグラフは、2012年4月13日にBackDoor.Flashbackペイロードからコントロールサーバーに送信されたリクエストの分析に基づく統計データです。

BackDoor.Flashbackの発見後まもなく、Doctor Webはこの脅威に特化した情報サイトを設置しました。このページ上で、お使いのMacが感染していないかどうかを確認することができます。また、その他の追加情報や BackDoor.Flashbackトロイの木馬に関する動画、このトロイの木馬を検出・駆除することが可能な無料スキャナーDr.Web Light for Mac OS Xへのリンクもご利用いただけます。

もう1つのボットネットMeet Rmnet

Doctor Webの統計から、Microsoft Windowsワークステーションを感染させる脅威の中で現在主流となっているのはWin32.Rmnet.12ファイルウイルスであることが分かりました。このウイルスは様々な方法で拡散し、特に、webページが開かれると同時に侵入者が実行ファイルを保存することを可能にするブラウザの脆弱性を悪用します。まずウイルスは、ディスク上に保存されたhtmlファイルを全て探し出し、それらにVBScriptコードを埋め込みます。またWin32.Rmnet.12は、ディスク上で見つかった.exe拡張子を持つ全ての実行ファイルを感染させ、リムーバブルフラッシュドライブに自身をコピーすることができます。次に、フラッシュドライブ上のルートフォルダ内にオートランファイル、および悪意のあるアプリケーションへのショートカットを保存し、このアプリケーションがウイルスを起動させます。

Win32.Rmnet.12は、複数のモジュールから成る複合マルチコンポーネントで、自身を複製することができます。それらコンポーネントの1つであるバックドアは、起動されると70秒間隔でgoogle.com、bing.com、yahoo.comにリクエストを送信し、その応答を解析することでインターネット接続の速度を割り出そうとします。次にWin32.Rmnet.12は感染したコンピューター上でFTPサーバーを起動させ、リモートサーバーに接続してシステムに関する情報を犯罪者に送信します。バックドアはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることすら可能です。

また別のコンポーネントは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗み、後にその情報が、ネットワーク攻撃の実行や、リモートサーバー上に様々な悪意のあるオブジェクトを置くために悪用されることがあります。またWin32.Rmnet.12は、犯罪者が異なるサイト上において認証を要するユーザーアカウントにアクセスできるよう、ユーザーのクッキーを検索します。さらにこのモジュールは、特定のサイトへのアクセスをブロックし、ウイルス製作者によって管理されるサイトへとユーザーをリダレクトすることができます。Win32.Rmnet.12の亜種の1つには、バンクアカウント情報を盗むためにwebページへの挿入を行うことが可能なものもあります。

Win32.Rmnet.12に感染したホストによって構成されたボットネットは、最初のウイルスサンプルがウイルスアナリストの手に渡った2011年9月に、既にDoctor Webによって発見されています。Win32.Rmnet.12リソース内で見つかったコントロールサーバーの名前が直ちに解明され、少しの間をおいて、ボットとコントロールサーバー間の通信プロトコルも明らかになりました。これにより、ネットワーク内にあるボットの数を確定し、またそれらをコントロールすることが可能になりました。2012年2月14日、Doctor Webのウイルスアナリストは後にBackDoor.Flashback.39ボットネットの調査にも使用されることになる「シンクホール」と呼ばれる手法を用いて、Win32.Rmnet.12ネットワークの1つをコントロールする複数のサーバードメイン名を登録することでボットネットに対するコントロールを完全に掌握することに成功しました。同月の下旬には、また別のWin32.Rmnet.12サブネットをこの手法によって乗っ取ることにも成功しています。以下のチャートは、Doctor Webのスペシャリストによってコントロールされるボットネット数の推移を表しています。

感染したコンピューターの台数が最も多かったのはインドネシアで320,014台、ボットネットのサイズに占める割合は27.12%でした。次点は166,172台、14.08%のバングラデシュで、ベトナム（154,415台、13.08%）が3位、その下にインド（83,254台、7.05%）、パキスタン（46,802台、3.9%）、ロシア（43,153台、3.6%）、エジプト（33,261台、2.8%）、ナイジェリア（27,877台、2.3%）、ネパール（27,705台、2.3%）、イラン（23,742台、2.0%）が続きます。またその他、カザフスタン共和国（19,773台、1.67%）、ベラルーシ共和国（14,196台、1.2%）、ウクライナ（12,481台、1.05%）となっています。アメリカは比較的少数で4,327 台の0.36%、最も少なかった国はカナダ（250台、0.02%）でした。また、アルバニア、デンマーク、タジキスタンで各1台ずつ発見されています。
Win32.Rmnet.12ボットネットの国別分布を以下に示します。

ヨーロッパを制覇するエンクリプター

4月には、ヨーロッパ諸国もまた問題に直面することとなりました。同月の中旬頃から、エンコーダトロイの木馬、特にTrojan.Encoder.94による被害のレポートが、ロシア国外からDoctor Webアンチウイルスラボに寄せられるようになりました。Trojan.Encoder.94は感染させたシステム内にあるユーザーのファイル、特にMicrosoft Officeドキュメント・音楽・写真・画像・ディスク上のアーカイブを探し、それらを暗号化します。ユーザーのファイルが暗号化されると、Ukash または Paysafecard経由での50ユーロまたはポンドの支払いを要求するメッセージが表示されます。

このトロイの木馬のインターフェースは英語ですが、感染はドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリアなどで発生し、次いでブラジル、アルゼンチンおよびその他ラテンアメリカ諸国からもレポートが寄せられるようになりました。Doctor Webのエンジニアはユーザーから受け取った全てのデータを復元することに成功しており、このことは、用いられるテクノロジーの効果の高さを明確に物語っています。

Trojan.Encoder.94による感染の被害を最小限に食い止める為、必要なファイルを全てバックアップしておくことを推奨します。万一ファイルが感染してしまった場合にデータの損失を防ぐための手順を以下に記載します。

OSを再インストールしないでください
ハードドライブ上にあるファイルを削除しないでください
暗号化されたデータをご自身で復元しようとしないこと
Doctor Webテクニカルサポートに連絡する。ファイルを送信する際に「修復依頼」を選択してください。このサービスは無料です。
トロイの木馬によって暗号化されたdoc ファイルまたは. txtファイルをチケットに添付する。
ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

その他4月のウイルス脅威

上述の脅威と比較すると、2012年4月にDoctor Webエキスパートによって確認・駆除されたその他の情報セキュリティ脅威はそれほど目立たず、またその危険性も大して高いものではありません。例えば、ウイルスデータベースに加えられたウイルスの中に Trojan.Spambot.11349 があります。このトロイの木馬はメールクライアント（Microsoft OutlookやThe Bat!など）のアカウントを盗み、Webブラウザの自動入力フォームに使用されたデータを犯罪者に送信します。このトロイの木馬の拡散に使用されているのは、Backdoor.Andromedaという良く知られたバックドアです。

Trojan.Spambot.11349はDelphで書かれたローダー、およびペイロードを格納するダイナミックライブラリという2つのコンポーネントで構成されています。ローダーの機能はこの手の悪意のあるソフトウェアに共通する一般的なもので、ファイアーウォールをすり抜けてシステム内に悪意のあるライブラリをインストールします。感染したコンピューターのメモリ内にロードされたライブラリは、コンピューターのコントロールを乗っ取ります。

管理権を得た悪意のあるライブラリは、ドライブ上に自身のコピーが存在しないかどうかを確認し、ボットのユニークなIDとなる9個のランダムな数字からなる数値をシステムレジストリに書き込みます。次にTrojan.Spambot.11349はSSLライブラリ、およびリクエストのストリングを圧縮する為のzlibライブラリをディスク上に保存します。ボットから送信されたリクエストのHOSTフィールドには外部のIPアドレスが含まれ、これがTrojan.Spambot.11349の特徴となっています。SSLおよびzlibとの動作のために別々のダイナミックリンクライブラリを使用するという点も、悪意のあるプログラムの構造には滅多に見られない珍しいものと言えるでしょう。

Trojan.Spambot.11349の際立った特徴の1つは、トロイの木馬のリソースに保存されたサブネットのリストから特別なアルゴリズムによって選択されたランダムなIPアドレスに対して、連続的なクエリを送信するという動作にあります。次にトロイの木馬は、ライブラリのボディ内に暗号化された形で保存されているアドレスを持つ3つの管理サーバーのうちの1つに接続し、設定ファイルの取得を試みます。ファイルの入手に成功した場合は、Microsoft OutlookおよびThe Bat!メールクライアントから盗んだアカウントのデータを含んだクエリを作成し、zlibライブラリを使用して圧縮したのち犯罪者のリモートサーバーへ送信します。システムを感染させた後は、そのコンピューターからのスパム配信が可能であるかどうかを確認する為に、ランダムな文字の組み合わせで作成したメールを送信します。送信に成功すると、今後のスパム配信に必要なデータをリモートサーバーから受け取ります。4月24日現在、Trojan.Spambot.11349はバイアグラの広告を含んだメールを配信しています。

また先月は、AndroidモバイルOSに対する脅威の出現もありました。4月の初旬、Android.Gongfuマルウェアのファミリーに新たな亜種が登場し、非公式のソフトウェアリソースから配信される複数のアプリケーション内で同時に発見されています。特に多く検出されたのは、ハッカーによって改変されたAngry Birds Spaceでした。

最初に登場したAndroid.Gongfuとは異なり、このトロイの木馬の新しいバージョンは、ユーザーの干渉無しにシステム内での自身の権限をルート権限まで昇格させることを可能にするAndroidの脆弱性を利用することはありません。代わりに、感染したアプリケーションと一緒に特別なマニュアルを提供します。プログラムの正常な動作およびアップデートに必要であると称して、このマニュアルで指示された手順に従うようユーザーに要求し、OSを管理者権限で動作させるようにします。管理者権限で起動されると、Android.Gongfuは、OSの安定した動作にとって非常に重要なプロセスを含むAndroidのシステムプロセス内に自身のコードを組み込むことができるようになります。このトロイの木馬は、感染したデバイスに関する情報を犯罪者に送信し、リモートホストから受け取ったコマンドを実行するのみならず、ユーザーの知らないところで他のアプリケーションをダウンロード・インストールすることが可能です。さらに、モバイルプラットフォームを狙うウイルス製作者達は、悪意のあるソフトウェアを拡散するために、ユーザーの心理―セキュリティに関する不安―を巧みに利用する新たな手法を用い始めました。犯罪者は広告を表示させるための様々なシステムを利用して、直ちにモバイルデバイスのウイルススキャンを実行するようユーザーに呼びかけるメッセージを表示させます。このメッセージをクリックすると、モバイルデバイスをスキャンするためのサイトへ飛ばされますが、そのサイトはDr.Web Security Space 7.0のアイコンの1つやインターフェースを模倣しています。しかしこのインターフェースを作成する際に、犯罪者は1つ誤りを犯しています。モバイルデバイスを標的とするバージョンは現時点では存在しない脅威、例えばWindowsに対するバンキングトロイの木馬であるTrojan.Carberp.60などがアンチウイルスによって検出されるのです。ユーザーが脅威の「駆除」に同意してしまうと、Android.SmsSendファミリートロイの木馬がデバイスにダウンロードされます。

これらの脅威は全て、Dr.Webアンチウイルスソフトウェアによって検出・駆除することが可能ですが、ユーザーの皆様には警戒を怠らず、信頼できないソースから取得したプログラムは実行しないことを推奨します。

4月にメールトラフィック内で検出されたマルウェアTop20

01.04.2012 00:00 - 30.04.2012 23:00
1	Trojan.Fraudster.261	1.30%
2	SCRIPT.Virus	1.11%
3	Trojan.Fraudster.256	0.92%
4	Trojan.Carberp.30	0.76%
5	Trojan.Fraudster.252	0.70%
6	Trojan.Mayachok.1	0.67%
7	Win32.HLLW.Shadow	0.67%
8	Win32.HLLW.Shadow.based	0.65%
9	JS.IFrame.233	0.61%
10	Tool.InstallToolbar.74	0.61%
11	Trojan.SMSSend.2726	0.59%
12	JS.Siggen.192	0.59%
13	Trojan.Fraudster.292	0.54%
14	Adware.Predictad.1	0.53%
15	Win32.HLLW.Autoruner.59834	0.53%
16	Trojan.SMSSend.2669	0.49%
17	BackDoor.Ddoser.131	0.49%
18	Trojan.Carberp.29	0.48%
19	Adware.Downware.179	0.47%
20	Win32.HLLW.Autoruner.5555	0.47%

4月にユーザーのコンピューター上で検出されたマルウェアTop20

01.04.2012 00:00 - 30.04.2012 23:00
1	SCRIPT.Virus	0.97%
2	Trojan.Fraudster.261	0.97%
3	Trojan.Fraudster.256	0.75%
4	Trojan.SMSSend.2726	0.67%
5	JS.Siggen.192	0.65%
6	Trojan.Fraudster.292	0.63%
7	Trojan.Mayachok.1	0.61%
8	Trojan.Carberp.30	0.59%
9	Win32.HLLW.Shadow.based	0.55%
10	Trojan.SMSSend.2704	0.55%
11	Trojan.Fraudster.252	0.53%
12	Win32.HLLW.Shadow	0.53%
13	Tool.InstallToolbar.74	0.51%
14	Adware.Predictad.1	0.49%
15	Win32.HLLW.Autoruner.59834	0.49%
16	Tool.Unwanted.JS.SMSFraud.10	0.47%
17	Trojan.SMSSend.2669	0.47%
18	JS.IFrame.233	0.47%
19	Adware.Downware.179	0.45%
20	BackDoor.Ddoser.131	0.45%

日本/ロシア/EUのAPT/標的型サイバー攻撃の現状と具体的な対策に関するセミナー、5月30日(水)に東京で開催

Tue, 08 May 2012 12:23:48 GMT

〜IPA/ラック/BSIジャパン/Doctor Webが緊急開催〜

2012年5月8日掲載

株式会社Doctor Web Pacific

ロシアのウイルス対策ベンダDoctor Web, Ltd.の日本法人である株式会社Doctor Web Pacific(本社：川崎市川崎区、代表取締役：菅原修、資本金：4,000万円、以下 Doctor Web)は、同社が事務局を務めるAPT/標的型サイバー攻撃の対策セミナーを5月30日(水)に東京で開催します。

【開催背景】
昨今、特定の企業・組織を標的とした標的型攻撃による被害が深刻化するなど、情報セキュリティに関する脅威が多様化・高度化すると同時に、攻撃対象が中小規模の組織にまで拡大しており、社会全体にとって重大な脅威となっています。
この現状への対策として、国内の情報セキュリティ対策支援の中心的存在であるIPA(独立行政法人情報処理推進機構)、株式会社ラック、BSIジャパンによる現状と課題の分析、対策・提言に加え、同様の脅威・課題を持つロシア/EUの現状と対策についても詳しくご説明します。
受講料は無料でどなたでもご参加いただけます。

【お申し込み方法/詳細説明ページ】
http://www.drweb.co.jp/seminar_info/20120530

【開催概要】
開催日：2012年5月30日(水) 14:00〜17:00 (受付開始 13:45)
定員：50名
費用：無料
会場：都市センターホテル(東京都千代田区平河町2-4-1) 7階会議室

◆プログラム内容
1.「サイバー攻撃の現状と対策：IPAの取り組み」
＜講師＞
独立行政法人情報処理推進機構
技術本部セキュリティセンター情報セキュリティ技術ラボラトリー
ラボラトリー長小林偉昭氏

2.「ロシア/EUにおけるサイバー攻撃の現状とDoctor Webの取り組み」
＜講師＞
Doctor Web ,Ltd.
CEO Boris Sharov(ボリスシャロフ)氏

3.「標的型攻撃に於いて要になるマルウエア解析の課題と対策」
＜講師＞
株式会社ラック
セキュリティ事業本部セキュリティ技術統括
常務理事西本逸郎氏

4.「PCIDSSやISMSの仕組みを活用したAPT/標的型サイバー攻撃からの予防」(30分）
＜講師＞
BSI グループジャパン株式会社
マネージャ筒井浩二朗氏

5.「緊急時に有効なマルウエア対策について」(30分）
＜講師＞
株式会社Doctor Web Pacific
ディレクタ田崎十悟氏

【Doctor Web, Ltd.について】
Doctor Web, Ltd.は、1992年からアンチウイルスを中心とした『Dr.WEB』ブランドをワールドワイドで展開しているロシアのITセキュリティソリューションベンダーです。ロシアの国防総省/政府機関/インターナショナルバンク/石油・エネルギー関連施設/地方自治体をはじめ、世界中のグローバルカンパニーにご利用いただいている信用と実績を持つ、業界最高水準のセキュリティ製品です。ウイルス・スパイウェアや迷惑メール(スパム) を確実に検出するその能力は第三者権威機関によって高く評価されています。

■会社概要
名称：株式会社Doctor Web Pacific
所在地：〒210-0005 神奈川県川崎市川崎区東田町1-2 NKF川崎ビル 2F
代表者：代表取締役菅原修
業務開始： 2010年12月
資本⾦： 4,000万円
株主： Doctor Web, Ltd.(100％）
URL ： http://www.drweb.co.jp/

■本セミナーに関するお問合せ先
株式会社Doctor Web Pacific セミナー事務局
TEL ： 044-201-7711
FAX ： 044-201-7712
E-Mail： sales.dwp@drweb.com
Web ： http://www.drweb.co.jp/

BackDoor.Flashbackが感染したMac上にダウンロードするオブジェクトに関する分析

Tue, 08 May 2012 09:46:12 GMT

2012年5月8日掲載

株式会社Doctor Web Pacific

Doctor Webウイルスアナリストは、BackDoor.Flashbackに感染したMac OS X搭載のコンピューターによって構成される史上最大規模のボットネットに関する調査を続けてきました。犯罪者の操るサーバーからこのトロイの木馬によってダウンロードされたファイルについての分析が主要な課題の1つとなっています。

BackDoor.Flashback.39は、launchdによる自身の自動起動を可能にする実行ファイルおよび設定ファイルを感染したMacのハードドライブ上に保存する為に、Javaの脆弱性を悪用します。次に、BackDoor.Flashback.39はコントロールサーバーに接続し、感染したシステム上に実行ファイルをダウンロード・インストールします。この時点で、管理者パスワードを入力するようユーザーに対して要求するダイアログウィンドウが表示され、ユーザーがパスワードを入力してしまうと、悪意のあるプログラムが昇格した権限で実行されます。ただし、パスワードを入力しなかった場合でもトロイの木馬はユーザーのホームディレクトリに保存され、現在のユーザー権限で実行されます。悪意のあるタスクを実行するにはそれで十分なのです。

ダウンロードされた悪意のあるアプリケーションは2つのタイプのコントロールサーバーと連携して動作します。１つ目のカテゴリに属するサーバーはweb検索トラフィックを監視し、犯罪者によって管理される悪意のあるサイトへユーザーをリダレクトします。2つ目のカテゴリに属するサーバーは、感染したシステム内でバックドアとしてのタスクを実行するようボットに対してコマンドを出します。Doctor Webのアナリストは、 BackDoor.Flashbackがコントロールサーバードメイン名を作成するために用いるルーチンを逆行分析することでいくつかのドメイン名を登録することに成功し、ボットから受け取るリクエストを解析して統計を割り出しました。

20|i386|9.8.0|4DE360BE-E79E-5AD6-91CF-D943761B3785|6bbbbfb49b1659ebaaadffa20215bfc787577bd8|001|007|0

Where:

ボットのバージョン
hw.machine
kern.osrelease
Hardware UUID
ペイロードファイルSHA1値
第三者ブラウザのアベイラビリティビットマスク
定数
ボットの権限を表す値0 — 一般ユーザー、1 — 特権ユーザー

コントロールサーバーが正しい応答を返さなかった場合、トロイの木馬はhttp://mobile.twitter.com/searches?q=<string>を使用した検索においてハッシュタグとして機能する文字列の生成に、現在の日付を使用します。例えば、あるトロイの木馬のバージョンは04.13.2012という日付に対して"rgdgkpshxeoa"というフォーマットの文字列を生成します（他のバージョンのボットは異なる文字列を作成します）。トロイの木馬が、コントロールサーバーアドレスを囲むendbumpタグやbumpbeginを含んだTwitterのメッセージを探し当てた場合は、それらがドメイン名に使用されます。Doctor Webは4月13日にこのカテゴリのドメイン掌握を開始しましたが、Doctor Webアナリストがその手段として登録したTwitterアカウントが翌日4月14日の土曜日にブロックされました。

2012年4月13日には、UUIDを含んだリクエストが24時間の間に１つ目のドメイン名カテゴリのコントロールサーバーに対して30,549件、2つ目のドメイン名カテゴリのコントロールサーバーに対しては28,284件送信されています。2012年4月12日から26日の間に、合計で95,563件のUUIDを含むリクエストがBackDoor.Flashbackペイロードをコントロールするサーバーに送信されています。2012年4月13日にBackDoor.Flashbackペイロードからコントロールサーバーに送信されたリクエストの24時間分析中に得られたその他の統計データについては、以下のグラフをご覧ください。

Dr.Web for Mac OS X および Dr.Web for Mac OS X Serverをアップデート

Mon, 07 May 2012 11:21:35 GMT

2012年5月7日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web for Mac OS X および Dr.Web for Mac OS X Serverのバージョン6.0.3をリリースしました。今回のアップデートではDr.Web Virus Finding Engineおよびウイルスデータベース7.0が組み込まれました。また、マルチスキャンに対応し、向上した安定性と信頼性およびその他強化された機能を誇ります。

Dr.Web Virus Finding Engine 7.0は、HTML やPDFドキュメント内に潜む脅威の検出・駆除を可能にするScriptHeuristicやファイル構造エントロピー解析などの新しいマルウェア検出テクノロジーを備えています。この新しいエンジンのもう1つの利点は大幅に向上したスキャン速度です。また、シグネチャベースのスキャンにおいてJavaScriptのシンタックスが考慮されるようになりました。

バージョン6.0.3のアプリケーションはマルチスレッドスキャンをサポートし、これによりスキャン速度が大幅に向上します。アクティブな脅威を駆除するための、新たに導入された修復ルーチンは悪意のあるプロセスを停止させ、それらが自動起動する為に必要なファイルを削除します。さらに、システムファイルのアクセス制限をすり抜けて侵入したマルウェアも駆除することが可能です。隔離内にあるファイルの削除・移動・復元速度が向上し、スキャン対象となるオブジェクトのリストからメールファイルを除外することが出来るようになりました。既知のエラーが修復されることでインストーラーの安定性が向上しました。Dr.Web SpIDer Guard File Monitorのシステムリソース消費量が減少しました。また、新しいバージョンが利用可能であるかどうか、プログラムがユーザーに対して通知を行うようになりました。アプリケーション構造の最適化により、その安定性が向上しました。

Dr.Web for Mac OS X および Dr.Web for Mac OS X Serverを6.0.3にアップデートするには、www.drweb.co.jpからディストリビューションをダウンロードして上書きインストール、または前回のバージョンを削除してからインストールを行ってください。

Control Centerを含むDr.Web製品のウイルス検索エンジンアップデートに関するお知らせ

Mon, 07 May 2012 09:49:07 GMT

2012年5月7日掲載

株式会社Doctor Web Pacific

Doctor Webは、Control Center の含まれているDr.Web Desktop Security SuiteおよびDr.Web Server Security Suiteに組み込まれたウイルス検索エンジンのアップデートを、2012年5月15日に実施することをここに報告します。アップデートは、バージョン6.0.3および6.0.2のサーバーを使用する全てのユーザーに対しては自動的に実行されます。6.0.2よりも前のバージョンでは、Dr.Web Virus Finding Engineはアップデートされません。必ずサーバーソフトウェアのアップデートをインストールしておくようにしてください。

Dr.Web Virus Finding Engine7.0では、スキャンのスピードが劇的に向上し、システムパフォーマンスや起動中のWindowsタスクに応じてメモリの動的割り当てを行う機能が導入されました。ヒューリスティックアナライザーには、新しいテクノロジーScriptHeuristicが採用され、HTMLおよびPDFドキュメント内に潜む脅威の検出および解析が可能になりました。このテクノロジーにより、「目に見えない」IFRAMEエレメントの抽出および解析も可能となり、ウイルスデータベースの検査においてJavaScriptのシンタックスが考慮されるようになりました。

Dr.Web Virus Finding Engine7.0のアップデートは2012年5月15日にリリースされ、自動的に実行されます。Dr.Web Enterprise Security Suiteの以前のバージョンをお使いのユーザーは、6.0.3までアップグレードする必要があります。またControl Center の含まれている、Dr.Web anti-virus for Linux、Dr.Web for Unix file servers、Dr.Web for Unix mail servers、Dr.Web for Internet gateways Unix、Dr.Web for Novell Storage Services、Dr.Web for Mac OS X Server file servers、Dr.Web for Mac OS Xのユーザーは、互換性の問題を回避する為、最新のバージョンまでアップグレードを行ってください。

メールクライアントのアカウントを盗むTrojan.Spambot.11349

Fri, 27 Apr 2012 15:08:20 GMT

2012年4月27日掲載

株式会社Doctor Web Pacific

Doctor Webは、非常に興味深い動作アルゴリズムを持つマルウェアTrojan.Spambot.11349の拡散について報告します。このトロイの木馬はメールクライアント（Microsoft OutlookやThe Bat!など）のアカウントを盗み、Webブラウザの自動入力フォームに使用されたデータを犯罪者に送信してしまうことから、ユーザーにとって危険なものであると言えます。

この悪意のあるプログラムの拡散に使用されているのは、Backdoor.Andromedaという良く知られたバックドアです。Trojan.Spambot.11349はDelphで書かれたローダー、およびペイロードを格納するダイナミックライブラリという2つのコンポーネントで構成されています。ローダーの機能はこの手の悪意のあるソフトウェアに共通する一般的なもので、ファイアーウォールをすり抜けてシステムライブラリ内にマルウェアをインストールします。名前に「vcnost.e」を含まないプロセスからローダーが起動された場合、トロイの木馬は名前svcnostを含む全てのプロセスを削除し、ハードディスク上にあるフォルダの1つにsvcnost.exeという名前で自身を保存した上で、アプリケーションの自動実行に関わるレジストリブランチにリンクを登録します。その後Trojan.Spambot.11349は自身のコピーを起動させます。それが管理者権限で実行されていた場合、Windowsのファイアーウォールをすり抜けるようレジストリに変更を加え、アンチウイルスプログラムサイトへのユーザーのアクセスをブロックしてファイルホストを上書きします。最後にローダーは、ペイロードを格納するダイナミックライブラリをオペレーティングメモリに置き、以後の管理を託します。

管理権を得た悪意のあるライブラリは、ドライブ上に自身のコピーが存在しないかどうかを確認し、ボットのユニークなIDとなる9個のランダムな数字からなる数値をシステムレジストリに書き込みます。次にTrojan.Spambot.11349はSSLライブラリ、およびリクエストのストリングを圧縮する為のzlibライブラリをディスク上に保存します。ボットから送信されたリクエストのHOSTフィールドには外部のIPアドレスが含まれ、これがTrojan.Spambot.11349の特徴となっています。SSLライブラリおよびzlibライブラリとの動作のために別々のダイナミックリンクライブラリを使用するという点も、悪意のあるプログラムの構造には滅多に見られない珍しいものと言えるでしょう。

Trojan.Spambot.11349の際立った特徴の1つは、トロイの木馬サブネットのリソースに保存されたリストから特別なアルゴリズムによって選択されたランダムなIPアドレスに対して、連続的なクエリを送信するという動作にあります。次にトロイの木馬は、ライブラリのボディ内に暗号化された形で保存されているアドレスを持つ3つの管理サーバーのうちの1つに接続し、設定ファイルの取得を試みます。ファイルの入手に成功した場合は、Microsoft OutlookおよびThe Bat!メールクライアントから盗んだアカウントのデータを含んだクエリを作成し、zlibライブラリを使用して圧縮したのち犯罪者のリモートサーバーへ送信します。システムを感染させた後は、そのコンピューターからのスパム配信が可能であるかどうかを確認する為に、ランダムな文字の組み合わせで作成したメールを送信します。送信に成功すると、今後のスパム配信に必要なデータをリモートサーバーから受け取ります。4月24日現在、Trojan.Spambot.11349はバイアグラの広告を含んだメールを配信しています。

このトロイの木馬のシグネチャは既にDoctor Webウイルスデータベースに加えられており、Dr.Webアンチウイルス製品をご利用のユーザーはその脅威から保護されています。しかしながら、万一お使いのメールアカウントへのアクセスデータが盗まれた可能性がある場合は、直ちにメールアカウントのパスワードを変更することを推奨します。

Doctor WebはBackDoor.Flashback.39ボット数の減少を確認せず

Mon, 23 Apr 2012 13:51:58 GMT

2012年4月23日掲載

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、2012年4月4日にDoctor Webによって発見された、これまでに例を見ない大規模なMacボットネットの監視を続けてきました。それによって得られた統計には、近ごろ公表された「BackDoor.Flashback.39に感染したMacの台数は減少している」というレポートとの大きな食い違いが見られました。その数は未だ65万台前後に及んでいたのです。

Doctor Webの統計によると、81万7879台のボットがBackDoor.Flashback.39ボットネットに接続され、平均55万台の感染したコンピューターがコントロールサーバーと24時間やり取りを行っています。4月16日、71万7004のユニークなIPアドレスおよび59万5816のMac UUIDがBackDoor.Flashback.39ボットネットに登録され、4月17日にはユニークなIPアドレスが71万4483、Mac UUIDが58万2405となっています。同時に、未だBackDoor.Flashback.39ネットワークに登録されていなかった感染したコンピューターが、日々ボットネットに加えられています。以下のチャートは、2012年4月3日から4月19日までのBackDoor.Flashback.39ボットネットを構成するボット数の推移を表しています。

しかしながら、この頃オープンアクセスで公表されたレポートではBackDoor.Flashback.39ボットの減少が報告されています。通常、この手のレポートは、乗っ取ったボットネットコントロールサーバーから取得した統計の解析に基づいています。Doctor Webのアナリストは、このような相反する結果が生じた原因を突き止めるための調査に乗り出しました。

BackDoor.Flashback.39はコントロールサーバー名の生成に、非常に高度なルーチンを使用します。ドメイン名の大半はマルウェアリソースに組み込まれたパラメータを使用して生成され、残りの生成には現在の日付が使用されます。このトロイの木馬は、予め定義されたプロパティに応じてサーバーに一連のクエリを送信します。4月の初め、BackDoor.Flashback.39コマンドサーバーの主なドメインがDoctor Webによって登録され、それらに対するボットからの始めてのリクエストが送信されました。さらに4月16日には、現在の日付を使用して生成された名前を持つドメインが追加されました。これらのドメイン名は全てのBackDoor.Flashback.39亜種によって使用されるため、コントロールサーバー名が追加されることにより、悪意のあるネットワークを構成するボット数の正確な割り出しが可能になりました。このことは、上のグラフにも顕著に表れています。しかしDoctor Webによってコントロールされるサーバーとのやり取りの後、トロイの木馬は、詳細不明な第三者によってコントロールされる74.207.249.7のサーバーに対してリクエストを送信しています。このサーバーはボットとの通信は行いますが、TCP接続を閉じることはしません。その結果、ボットはサーバーからの応答を待つスタンバイモードに切り替わり、コマンドに応じなくなります。情報セキュリティスペシャリストによって登録されているコマンドセンターとの通信が行われなくなることから、Symantec およびKaspersky LabがBackDoor.Flashback.39ボット数の大幅な減少を報告する一方でDoctor Webの統計は未だ大規模な拡散を記録するという、矛盾する結果が生まれたと考えられます。以下の画像は、コマンドセンターへのTCP接続がいかにしてBackDoor.Flashback.39ボットをフリーズさせるかを示しています。

Doctor Webは、BackDoor.Flashback.39脅威について再びMac OS Xユーザーの皆様に警告し、Javaアップデートをインストールし、システムが感染していないかどうか確認する為のスキャンを実行するよう強く推奨します。BackDoor.Flashbackの検出・駆除に関する詳細についてはAnti-Flashbackのページをご覧ください。また、無料でご利用頂けるDr.Web for Mac OS X Lightを使用してトロイの木馬を削除することが可能です。

広がるTrojan.Encoder感染

Fri, 20 Apr 2012 13:07:41 GMT

2012年4月20日掲載

株式会社Doctor Web Pacific

Trojan.Encoder.94によって被害を受けた国の数は現在も増え続けています。当初、このトロイの木馬に感染したコンピューターは主にロシアおよびCIS諸国で発見されていましたが、4月9日～10日にはヨーロッパ諸国のシステムに攻撃の手が及びました。そして現在、Doctor Webにはフランス、ベルギー、スイス、オランダ、クロアチア、スロベニア、ハンガリー、ルーマニアなどのヨーロッパ諸国の他、ラテンアメリカ（ブラジル、アルゼンチン）からサポートのリクエストが寄せられています。

このトロイの木馬エンコーダは、英語のインターフェースを備えロシア国外に広く拡散した最初のものとなりました。西ヨーロッパのユーザーからのTrojan.Encoder.94に関係する初めてのリクエストは2012年4月9～10日に発生し、主にドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリアからのものでした。

エンコーダは感染させたシステム内にあるユーザーのファイル、特にMicrosoft Officeドキュメント・音楽・写真・画像・ディスク上のアーカイブを探し、それらを暗号化します。ユーザーのファイルが暗号化されると、Ukash または Paysafecard経由での50ユーロ・ポンドの支払いを要求するメッセージが表示されます。英語のインターフェースを持ったこのトロイの木馬の5つのバージョンがDoctor Webによって発見されていますが、暗号化キーが異なるのみで、その動作に大きな違いは見られませんでした。

此の程、Doctor Webのテクニカルサポートサービスはブラジル、アルゼンチンおよびその他ラテンアメリカ諸国のユーザーからTrojan.Encoder.94に関するリクエストを受け取りました。このトロイの木馬はクロアチア、スイス、オランダ、スロベニア、ベルギー、フランス、ハンガリー、ルーマニアなどのヨーロッパにも拡散していました。Doctor Webのエンジニアはユーザーから寄せられた全てのデータを復元することに成功しており、このことは、用いられるテクノロジーの効果の高さを顕著に物語っています。

Doctor Webがエンコーダ駆除に関する情報を共有する組織の1つにComputer Emergency Response Teamのスロベニア支部があります。現在、CERTはDoctor Webからのテクノロジーおよび情報の後押しを受けて、巧みにこの問題に取り組んでいます。

お使いのコンピューターがTrojan.Encoder.94に感染してしまった場合、以下の手順に従うことを再度ユーザーの皆様に推奨します。

OSを再インストールしないでください
ハードドライブ上にあるファイルを削除しないでください
暗号化されたデータをご自身で復元しようとしないこと
Doctor Webテクニカルサポートに連絡する。ファイルを送信する際に「修復依頼」を選択してください。このサービスは無料です。
トロイの木馬によって暗号化されたdoc ファイルまたは. txtファイルをチケットに添付する。
ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

100万台ものWindows搭載コンピューターでボットネットを構成するRmnet.12

Thu, 19 Apr 2012 15:00:01 GMT

2012年4月19日掲載

株式会社Doctor Web Pacific

Doctor Webは、100万台を超える感染したコンピューターによるボットネットの構築を可能にするウイルスWin32.Rmnet.12の大規模な拡散について報告します。Win32.Rmnet.12はWindows PCを感染させてバックドアとして機能し、一般的なFTPクライアントによって保存されたパスワードを盗みます。これらのパスワードは後に、ネットワーク攻撃を仕掛けたり、webサイトを感染させる目的で使用されることがあります。またWin32.Rmnet.12はリモートサーバーから受け取ったコマンドを実行することもできますが、そのようなコマンドにはOSの動作を停止させてしまうものもあります。

Win32.Rmnet.12に関係する最初のエントリが2011年の9月にDr.Webウイルスデータベースに加えられ、以来、Doctor Webのアナリストはこの脅威の動向を注意深く監視し続けてきました。このウイルスは、感染したフラッシュドライブ経由で、感染した実行ファイルから、あるいはhtmlドキュメントに組み込まれた特別なスクリプト（ブラウザウィンドウで悪意のあるwebページが開かれるとウイルスをコンピューターに保存します）を使用して、など多種多様な方法でコンピューターに侵入します。VBScriptコードのシグネチャはVBS.RmnetとしてDr.Webウイルスデータベースに追加されました。

Win32.Rmnet.12は、複数のモジュールから成る複合マルチコンポーネントで、自身を複製することができます。起動されると、システムのデフォルトとして設定されているブラウザを探り当て（確認できなかった場合、ウイルスはMicrosoft Internet Explorerを狙います）、ブラウザプロセスに自身のコードを挿入します。次に、ハードドライブのシリアル番号を使用して自身のファイル名を作成し、カレントユーザーのオートランフォルダに保存され、そのファイルに「隠し」属性をつけます。また、このウイルスの設定ファイルも同じフォルダに保存されます。そして、組み込まれたルーチンを使用してコントロールサーバー名を特定し、そこへの接続を試みます。

ウイルスを構成するコンポーネントの1つであるバックドアは、起動されると70秒間隔でgoogle.com、bing.com、yahoo.comにリクエストを送信し、その応答を解析することでインターネット接続の速度を割り出そうとします。次にWin32.Rmnet.12は感染したコンピューター上でFTPサーバーを起動させ、リモートサーバーに接続してシステムに関する情報を犯罪者に送信します。バックドアはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることすら可能です。

また別のコンポーネントは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗み、後にその情報が、ネットワーク攻撃の実行や、リモートサーバー上に様々な悪意のあるオブジェクトを置くために悪用されることがあります。またWin32.Rmnet.12は、犯罪者が異なるサイト上において認証を要するユーザーアカウントにアクセスできるよう、ユーザーのクッキーを検索します。さらにこのモジュールは、特定のサイトへのアクセスをブロックし、ウイルス製作者によって管理されるサイトへとユーザーをリダレクトすることができます。Win32.Rmnet.12の亜種の1つには、バンクアカウント情報を盗むためにwebページへの挿入を行うことが可能なものもあります。

このウイルスは、webページの起動と同時に犯罪者が実行ファイルを保存・実行することを可能にするブラウザの脆弱性を悪用し、様々な方法で拡散されます。まずウイルスは、ディスク上に保存されたhtmlファイルを全て探し出し、それらにVBScriptコードを埋め込みます。またWin32.Rmnet.12は、ディスク上で見つかった.exe拡張子を持つ全ての実行ファイルを感染させ、リムーバブルフラッシュドライブに自身をコピーすることができます。次に、フラッシュドライブ上のルートフォルダ内にオートランファイル、および悪意のあるアプリケーションへのショートカットを保存し、このアプリケーションがウイルスを起動させます。

Win32.Rmnet.12に感染したホストによって構成されたボットネットは、最初のウイルスサンプルがウイルスアナリストの手に渡った2011年9月に、既にDoctor Webによって発見されています。Win32.Rmnet.12リソース内で見つかったコントロールサーバーの名前が直ちに解明され、少しの間をおいて、ボットとコントロールサーバー間の通信プロトコルも明らかになりました。2012年2月14日、Doctor Webのウイルスアナリストはシンクホール（このテクノロジーは後にBackDoor.Flashback.39ボットネットの調査にも使用されています）を作成し、Win32.Rmnet.12ネットワークの1つをコントロールする複数のサーバードメイン名を登録することでボットネットに対するコントロールを完全に掌握することに成功しました。同月の下旬には、また別のWin32.Rmnet.12サブネットをこの手法によって乗っ取ることにも成功しています。

当初ボットの台数は比較的少数でしたが、次第に数十万台に達し、やがてその数は倍増していきました。2012年4月15日現在、Win32.Rmnet.12には140万520台の感染したホストが含まれ、その数は着実に増加を続けています。

下のグラフはネットワークの拡大を示したものです。

感染したコンピューターの台数が最も多かったのはインドネシアで32万14台、ボットネットのサイズに占める割合は27.12%でした。次点は16万6172台、14.08%のバングラデシュで、ベトナム（15万4415台、13.08%）が3位、その下にインド（8万3254台、7.05%）、パキスタン（4万6802台、3.9%）、ロシア（4万3153台、3.6%）、エジプト（3万3261台、2.8%）、ナイジェリア（2万7877台、2.3%）、ネパール（2万7705台、2.3%）、イラン（2万3742台、2.0%）が続きます。またその他、カザフスタン共和国（1万9773台、1.67%）、ベラルーシ共和国（1万4196台、1.2%）、ウクライナ（1万2481台、1.05%）となっています。アメリカは比較的少数で4327 台の0.36%、最も少なかった国はカナダ（250台、0.02%）でした。また、アルバニア、デンマーク、タジキスタンで各1台ずつ発見されています。

Win32.Rmnet.12ボットネットの国別分布を以下に示します。

現在、Win32.Rmnet.12のネットワークはDoctor Webによって完全にコントロールされており、犯罪者がこれにアクセスし、感染したコンピューターに害を及ぼすことはありません。Win32.Rmnet.12による感染を防ぐため、最先端のアンチウイルスソフトウェアを使用し、そのウイルス定義を常に最新の状態にしておくことを推奨します。万一お使いのコンピューターがWin32.Rmnet.12に感染してしまった場合には、Dr.Web CureIt!またはDr.Web LiveCDを使用して駆除することが可能です。

BackDoor.Flashback.39の駆除方法（動画）

Tue, 17 Apr 2012 12:15:18 GMT

2012年4月17日掲載

株式会社Doctor Web Pacific

Doctor Webは、Macを標的とするBackDoor.Flashback.39の感染プロセスを再現すると同時にDr.Web Light for Mac OS Xによるその検出および駆除方法を紹介する動画をユーザーの皆様に提供します。

BackDoor.Flashback.39は、Mac OS X搭載のコンピューターを感染させ、犯罪者のコマンドに従って実行ファイルをインターネットからダウンロード・起動することができます。

その結果、感染したMacはボットネットの一部となり、様々なサイトへのパスワードを盗むことで犯罪者がフィッシング攻撃をしかけることを可能にします。感染の結果起こり得る被害は、ウイルス製作者の思いつく限りの範囲に及びます。

この脅威の駆除には、www.drweb.comまたはMac App Storeから無料でダウンロード可能なDr.Web Lightの使用を推奨します。BackDoor.Flashback.39を駆除する為に他のツールを使用する必要はありません。

BackDoor.Flashback.39の大規模な拡散に関する詳細については、Doctor WebのスペシャルプロジェクトAnti-Flashbackのページをご覧ください。

2012年3月のウイルス脅威

Fri, 13 Apr 2012 16:24:14 GMT

2012年4月13日掲載

株式会社Doctor Web Pacific

2012年の春最初の月は、Windowsおよびその他のプラットフォームに対する新たな脅威の出現が続き、常になく「ホット」なものになりました。中でも特に、犯罪者はMac OS Xを標的とするトロイの木馬の新たな拡散方法を編み出し、またAndroidに対する新たな悪意のあるアプリケーションも発見されました。さらに3月には、システムアクセスをブロックするために従来の物とは異なるテクニックを使用するWindowsブロッカーや、JavaScriptコードを使用する特別なwebページを介してBitcoin（電子通貨）をマイニングするトロイの木馬が発見されました。

Dr.Web CureIt!によって集められた統計によると、3月に最も多く検出されたウイルスは、感染したコンピューターからのインターネットアクセスをブロックするTrojan.Mayachok.1でした。オンラインバンキングのクライアントやトレーディングプラットフォームによって保存されたパスワードを盗む、Trojan.Carberpのようなバンキングトロイの木馬も多く検出されました。

Androidに対する新たな脅威

2012年3月6日、Google社はAndroid Marketの変更を公表しました。名称がGoogle Playに、アドレスがplay.google.comに変わっただけでなく、動画サービス、Android Market、Google Music、Google eBookstoreなどが統合されました。

犯罪者達はこの機会に乗じ、インターネット上にはGoogle Playのデザインを模倣したサイトが次から次へと出現しました。その内のいくつかでは、Android向けの悪意のあるソフトウェアが配信されています。Android.SmsSend トロイの木馬などの様々な悪意のあるアプリケーションを訪問者に対して拡散するための偽のwebサイト作成を可能にする特別なアフィリエイトプログラムも開発されています。

例えばあるアフィリエイトプログラムは、Webサイトのオーナーに対し、モバイルデバイスを使用する訪問者を「アフィリエイト」のリソースへリダレクトする特別なスクリプトをページ上に加えるオプションを提供しています。通常、そのようなスクリプトにはJavaScript、または.htaccess ファイルの特別なディレクティブが使用されます。

しかしながら、多くのAndroidユーザーはAndroid Marketがもはや存在しないということに気づいておらず、ソフトウェアはAndroid Marketからのみダウンロードするよう様々なエキスパート達がユーザーに呼びかける記事もインターネット上に多く出回っています。ユーザーが検索エンジンに該当するキーワードを入力すると、検索結果にはAndroid Marketのデザインを真似たWebサイトが表示されます。そのようなサイトの中には、安全なソフトウェアやゲームのダウンロードを提供するものもありますが、一方で悪意のあるソフトウェアを拡散するサイトも存在しています。

Mac OS Xを狙う新たなトロイの木馬

Mac OS X を標的とするトロイの木馬では、脆弱性Exploit.CVE2011-3544を悪用する BackDoor.Lamadai.1が発見されました。また、Microsoft Office for Macの脆弱性（Exploit.MS09-027.1）を利用するBackDoor.Lamadai.2および BackDoor.Macontrol.1も見つかっています。

Trojan.Winlock

従来の恐喝プログラムは特別なアプリケーションを使用してWindowsシェルまたはuserinit.exeを置き換え、システムへのアクセスをブロックして恐喝メッセージを表示させます。それと同時に、通常は、タスクウェア、コマンドプロンプト、レジストリエディタなどの様々なシステムユーティリティの起動をモニターし、ブロックします。しかしTrojan.Winlock.5729の開発者達は、それとは全く異なるよりシンプルな手法を取り入れました。

このトロイの木馬のコードは、コンピューターゲームの様々なパラメーターを調整するためのプログラムArtMoneyと一緒に拡散されます。インストーラーにはArtMoneyの他に3つのファイル－iogonui.exeという名前の、改変されたlogonui.exeファイル（Windows XPのログオン画面を表示する実行ファイル）が1つ、batファイルを含んだ自己展開型アーカイブが2つ－が含まれています。感染したインストーラーを起動すると、Windows VistaおよびWindows 7のC:\Users フォルダをハードドライブ上で検索するコマンドを含んだpassword_on.batファイルが実行されます。フォルダが見つかった場合には有害なコンポーネントは削除されますが、見つからなかった場合、Trojan.Winlock.5729はシステムがWindows XPであると判断し、システムレジストリを改変してlogonui.exeファイルをiogonui.exeファイルと置き換えます。そして現在のWindowsユーザー、およびadminやadministratorアカウントのパスワードを変更してしまいます。現在のユーザーアカウントが制限付きアカウントであった場合、トロイの木馬はそのプロセスを終了し、もう1つのbatファイルpassword_off.batがレジストリ内に元のUIHost値を設定します。

iogonui.exeファイルはWindows XPディストリビューションに含まれている正規のlogonui.exeですが、リソースエディタを使用して、Windows標準ウェルカムスクリーンの代わりに課金型SMSの送信を要求する画面を表示させます。

ひとたびシステムのログオフまたは再起動を行うと、全てのユーザーアカウントのパスワードが変更されているため、ユーザーは再びログインすることができなくなってしまいます。

2012年3月のその他の脅威

Doctor Webは、電子通貨Bitcoinをマイニングする新たなトロイの木馬の拡散を確認しました。感染したシステム内で起動されると、Trojan.IEMine.1は目に見えないウィンドウで開かれたInternet ExplorerのCOM オブジェクトを作成し、犯罪者によって作られたWebページを開くようブラウザに指示を与えます。このページには、Bitcoinのマイニングを実行するための、JavaScriptで記述されたスクリプトが含まれています。ターゲットとなるWebページ上で実行される計算はコンピューターのハードウェアリソースを大量に消費するため、低スペックのコンピューターではシステムパフォーマンスの大幅な低下を引き起こします。

さらに、GoldSourceゲームサーバーのオーナー間における熾烈な上位争いが、競争相手に対するフロッダープログラムを用いた攻撃という結果を引き起こしました。このようなプログラムは、一方で犯罪者自身のシステムに対してもダメージを及ぼすことがあります。2月、GoldSourceサーバーを動作不能にさせるアプリケーションがいくつかパブリックドメインに出現しました。Flooder.HLDSという名前でDr.Webウイルスデータベースに加えられたそのうちの1つは、グラフィカルインターフェースを持ち、ゲームサーバーへの大量のアクセスを模倣してフリーズやエラーを引き起こします。

もう1つの悪意のあるプログラムFlooder.HLDS.2は、クラッシュの原因となるデータパケットをサーバーに送信するもので、サーバーとのやり取りに複数の方法を使用します。いずれのアプリケーションもゲームフォーラムを介して広く拡散されており、それらを使用した、ゲームサーバーに対する同時攻撃の件数はこの1カ月の間に著しく増加しました。

Doctor Webのウイルスアナリストは、ゲームフォーラムからFlooder.HLDS.2のコピーを入手しました。このプログラムは起動されると、システムをBackDoor.DarkNess.47バックドアおよびTrojan.Wmchange.14に感染させます。前者はバックドアおよびDDoSボットとして機能し、一方トロイの木馬はユーザーのアカウントからお金を盗み出すために、感染したコンピューターのメモリ内にあるWebMoneyのIDを変更します。こうして、犯罪を企んだ者自身もまたウイルス攻撃の被害者となり、コンピューターを感染の危機にさらすことになります。

3月にメールトラフィック内で検出されたマルウェアTop20

01.03.2012 00:00 - 31.03.2012 16:00
1	JS.Siggen.192	16675353 (42.27%)
2	Win32.Rmnet.12	14293914 (36.24%)
3	Win32.HLLP.Whboy	3336057 (8.46%)
4	Trojan.DownLoad2.24758	1260064 (3.19%)
5	Trojan.Oficla.zip	775752 (1.97%)
6	Win32.HLLP.Neshta	564643 (1.43%)
7	Trojan.Inject.57506	276708 (0.70%)
8	Trojan.DownLoad2.32643	194468 (0.49%)
9	Trojan.Tenagour.9	180616 (0.46%)
10	Trojan.Tenagour.3	152860 (0.39%)
11	Trojan.Carberp.208	130417 (0.33%)
12	Trojan.Siggen2.62026	116670 (0.30%)
13	Trojan.Siggen2.58686	101121 (0.26%)
14	Trojan.IFrameClick.3	99859 (0.25%)
15	Trojan.PWS.Panda.368	86438 (0.22%)
16	Trojan.WMALoader	79203 (0.20%)
17	Trojan.Packed.19696	70133 (0.18%)
18	Trojan.NtRootKit.6725	46797 (0.12%)
19	Trojan.Fraudster.261	42210 (0.11%)
20	Trojan.DownLoad2.34604	41211 (0.10%)

総スキャン数:	38,656,062,243
感染数:	39,445,438 (0.10%)

3月にユーザーのコンピューター上で検出されたマルウェアTop20

01.03.2012 00:00 - 31.03.2012 16:00
1	JS.Siggen.192	198194452 (76.33%)
2	Win32.Rmnet.12	38403209 (14.79%)
3	Win32.HLLP.Neshta	8647504 (3.33%)
4	JS.IFrame.112	3918622 (1.51%)
5	JS.DownLoader.216	1382451 (0.53%)
6	JS.IFrame.167	705427 (0.27%)
7	JS.IFrame.95	642246 (0.25%)
8	BAT.Batalia.491	475531 (0.18%)
9	Trojan.IFrameClick.3	424833 (0.16%)
10	Trojan.PWS.Ibank.456	403856 (0.16%)
11	JS.IFrame.236	378860 (0.15%)
12	Trojan.MulDrop1.48542	368040 (0.14%)
13	JS.Autoruner	336441 (0.13%)
14	Win32.HLLP.Whboy	279385 (0.11%)
15	Trojan.Packed.20771	201975 (0.08%)
16	Trojan.Fraudster.261	193834 (0.07%)
17	Trojan.Hosts.5571	182009 (0.07%)
18	Trojan.DownLoad.968	163980 (0.06%)
19	Adware.Predictad.1	147480 (0.06%)
20	Win32.Siggen.8	142900 (0.06%)

総スキャン数:	357,755,042,533,173,265
感染数:	259,668,933 (0.00%)

Dr.Web for Unixをアップデート

Fri, 13 Apr 2012 15:16:47 GMT

2012年4月13日掲載

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web for Linux、Dr.Web for Internet gateways Unix、Dr.Web for Unix file servers、Dr.Web for Unix mail serversをバージョン6.0 .2.2.にアップデートしました。アップデートされた製品のディストリビューションにはアンチウイルスカーネル7.0.1.が含まれています。また、バグがいくつか修正され、これによりアンチウイルスソリューションの安定性が著しく向上しました。

プロキシサーバー経由でインターネットに接続した際に、アンチウイルスのアップデートをダウンロードできないという問題が修正されました。メールを保護する製品では、Daemonのスキャンモード（ローカルスキャンモードまたはリモートスキャンモード）を、ユーザーが設定ファイル内で指定することが出来るようになりました。

また、メールトラフィックを保護する製品における以下のエラーが取り除かれました。

メッセージヘッダをパーシングする際のエラー
Daemonのクラッシュを引き起こす問題
senderモジュールがメッセージを処理する際のバグ
メールシステムの安定性に影響を及ぼす可能性のある欠陥

リポジトリを使用して製品をインストールされた場合は、OSリポジトリの所定の手続きに従ってアップデートを行ってください。ユニバーサルパッケージを使用してインストールされた場合は、アップデートされたディストリビューションをダウンロードし、アプリケーションを再インストールしてください。

西へ向かうTrojan.Encoder

Fri, 13 Apr 2012 13:55:41 GMT

2012年4月13日掲載

株式会社Doctor Web Pacific

Doctor Webは、ロシア以外の国（ドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリア）においてTrojan.Encoderプログラムによる感染件数が著しく増加していることについて報告します。このタイプのマルウェアはハードディスク上に保存されたファイルを暗号化し、それらを復元する為にお金を支払うよう被害者に要求します。

エンコーダトロイの木馬はロシアのWindowsユーザーの間ではよく知られています。2011年1月にTrojan.Encoder.94の最初の亜種が広く拡散し、ブロッカートロイの木馬と並んで、ランサムウェアの中で特別な位置を占めるようになりました。エンコーダは感染させたシステム内にあるユーザーのファイル、特にMicrosoft Officeドキュメント・音楽・写真・画像・ディスク上のアーカイブを探し、それらを暗号化します。犯罪者は、ファイルを元に戻すために一定の金額を支払うようユーザーに要求します。

このようなトロイの木馬に悩まされてきたのは、長い間、ロシアおよびCIS諸国のユーザーのみでした。ところが数日前、Trojan.Encoder.94の3つの新たな亜種がヨーロッパ諸国で発見されました。このトロイの木馬の製作者は、まずロシアとその周辺諸国のみを標的とし、その後、突然国際市場に躍り出るというWinlockトロイの木馬の手法をなぞっているものと考えられます。

このトロイの木馬のインターフェースは英語ですが、感染はドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリアなどで起こっています。ロシア国外でのTrojan.Encoder.94による最初の被害者からの問い合わせは2012年4月9日～10日に発生しました。

ユーザーのファイルが暗号化されると、Ukash または Paysafecard経由での50ユーロ・ポンドの支払いを要求するメッセージが表示されます。英語のインターフェースを持ったこのトロイの木馬の3つのバージョンがDoctor Webによって発見されていますが、暗号化キーが異なるのみで、その動作に違いは見られませんでした。

Trojan.Encoder.94がユーザーのコンピューターに侵入するメカニズムは未だ完全には解明されていませんが、犯罪者はトロイの木馬ダウンローダーを使用し、既知の脆弱性を悪用しているものと思われます。Doctor Webのアナリストはこの問題の調査を続けています。

OSを再インストールしないでください
ハードドライブ上にあるファイルを削除しないでください
暗号化されたデータをご自身で復元しようとしないこと
Doctor Webテクニカルサポートに連絡する。ファイルを送信する際に「修復依頼」を選択してください。このサービスは無料です。
トロイの木馬によって暗号化されたdoc ファイルまたは. txtファイルをチケットに添付する。
ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

スペシャルプロジェクト：BackDoor.Flashback.39の駆除と初のMac OS Xウイルス拡散について

Thu, 12 Apr 2012 12:22:58 GMT

2012年4月12日掲載

株式会社Doctor Web Pacific

Doctor Webは、Mac OS X搭載のコンピューターを狙ったBackDoor.Flashback.39の大規模な拡散に対抗するためのスペシャルプロジェクトを立ち上げました。Anti-Flashbackにて、BackDoor.Flashback.39の検出および駆除方法、感染したMac台数、それらのコンピューターの国別分布、感染の推移についてご確認いただけます。

Anti-Flashbackプロジェクトは、お使いのコンピューターが既にBackDoor.Flashback.39に感染している、または感染する危険のあるMacユーザーを対象としています。

プロジェクトページでは、Flashbackボットネットについて、特にBackDoor.Flashback.39トロイの木馬についての詳細を確認することができ、拡散の推移およびメディアに掲載されたBackDoor.Flashback.39に関する情報を見ることができます。また、セキュリティに役立つアドバイス、他のボットネットワークに関する情報、ソフトウェアがどのように密かにダウンロード・インストールされるのかについても知ることができます。

BackDoor.Flashback.39の駆除には、他のベンダーによる特別なツールを使用するのではなく、Mac App Storeにて無料アプリケーションの上位にランクインしている信頼性の高いDr.Web Light for Mac OS Xを活用することを推奨します。お使いのMacに対して脅威となるトロイの木馬およびその他悪意のあるプログラムを簡単に検出・駆除することが可能です。

また、Anti-Flashbackプロジェクトサイト上にある特別なwebフォームを使用して、お使いのMacがBackDoor.Flashback.39に感染していないかどうかを確認することができます。

感染確認はこちら(英文サイト)→https://drweb.com/flashback/?lng=en

検出駆除はこちら→http://free.drweb.co.jp/drweb+mac+light/