2012年7月3日掲載
株式会社Doctor Web Pacific
2012年4月中旬Doctor Webは、ハッカーによって構築されたボットネットに含まれる、Win32.Rmnet.12に感染したコンピューター数が100万台を超えたことを報告しましたが、その後も感染数は着実に増加を続け、5月の終わりには250万台に達しました(5月のウイルス脅威)。さらに6月の末には320万台を記録しています。このボットネットの増加速度は比較的早く、Doctor Webによって監視されるコントロールサーバーには毎日5000~8000台の新たに感染したコンピューターが接続され、その数は15,000台に達する日もあります。下のグラフは6月におけるボット数の増加を表しています。
Win32.Rmnet.12はexeファイルを感染させることで自身を複製することができ、webページに埋め込まれたVBscriptコードを使用して拡散されるという点に注意してください。このウイルスは複数のモジュールから成り、ロードされたwebページにコンテンツを埋め込み(webインジェクション)、犯罪者の作成したサイトにブラウザをリダレクトし、ユーザーがwebフォームに入力した情報をリモートホストに送信します。下のスクリーンショットは、マルウェアによってページのコードに挿入されたスクリプトの例です。 次のスクリーンショットは、Win32.Rmnet.12によってアクセスがブロックされたwebアドレスのリスト、およびブラウザを犯罪者のサイトへリダレクトするために使用された検索クエリのリストです。 またWin32.Rmnetは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗み、その上、感染したコンピューター上でFTPサーバーを起動させます。このウイルスは内部サービスへのアクセスにバックコネクトを使用することにより、例えば、外部IPアドレスを持っていないコンピューター上でもFTPサーバーを動作させることが可能です。Win32.Rmnet.12のもう1つのコンポーネントは、リモートコマンドセンターから受け取ったコマンドを実行し、感染したシステム内で収集した情報を犯罪者に送信することが出来ます。 このトロイの木馬の地域的な拡散傾向にはあまり変化が見られませんでした。感染したコンピューター数が最も多かったのはインドネシア(22.6%)、次いでバングラデシュ(15.8%)、ベトナム(13.2%)、インド(7.9%)、パキスタン(4.9%)、エジプト(3.5%)となっています。ロシアは全体の2.8%を占め、またそれぞれの感染台数は先月よりもずっと多くなっています。Doctor Webは、今後もこのボットネットの動向を注意深く監視していきます。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments