2012年7月3日掲載

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは2011年9月よりWin32.Rmnet.12の監視を続けてきましたが、2012年6月、このボットネットに含まれる感染したホスト数が300万台を超えたことを確認しました。ファイルを感染させるWin32.Rmnet.12は、ポピュラーなFTPクライアントによって保存されたパスワードを盗み、バックドアとしても機能する為、重大な脅威となり得る危険性を孕んでいます。

2012年4月中旬Doctor Webは、ハッカーによって構築されたボットネットに含まれる、Win32.Rmnet.12に感染したコンピューター数が100万台を超えたことを報告しましたが、その後も感染数は着実に増加を続け、5月の終わりには250万台に達しました（5月のウイルス脅威）。さらに6月の末には320万台を記録しています。このボットネットの増加速度は比較的早く、Doctor Webによって監視されるコントロールサーバーには毎日5000～8000台の新たに感染したコンピューターが接続され、その数は15,000台に達する日もあります。下のグラフは6月におけるボット数の増加を表しています。

Win32.Rmnet.12はexeファイルを感染させることで自身を複製することができ、webページに埋め込まれたVBscriptコードを使用して拡散されるという点に注意してください。このウイルスは複数のモジュールから成り、ロードされたwebページにコンテンツを埋め込み（webインジェクション）、犯罪者の作成したサイトにブラウザをリダレクトし、ユーザーがwebフォームに入力した情報をリモートホストに送信します。下のスクリーンショットは、マルウェアによってページのコードに挿入されたスクリプトの例です。

次のスクリーンショットは、Win32.Rmnet.12によってアクセスがブロックされたwebアドレスのリスト、およびブラウザを犯罪者のサイトへリダレクトするために使用された検索クエリのリストです。

またWin32.Rmnetは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの最も広く普及しているFTPクライアントによって保存されたパスワードを盗み、その上、感染したコンピューター上でFTPサーバーを起動させます。このウイルスは内部サービスへのアクセスにバックコネクトを使用することにより、例えば、外部IPアドレスを持っていないコンピューター上でもFTPサーバーを動作させることが可能です。Win32.Rmnet.12のもう1つのコンポーネントは、リモートコマンドセンターから受け取ったコマンドを実行し、感染したシステム内で収集した情報を犯罪者に送信することが出来ます。

このトロイの木馬の地域的な拡散傾向にはあまり変化が見られませんでした。感染したコンピューター数が最も多かったのはインドネシア（22.6%）、次いでバングラデシュ（15.8%）、ベトナム（13.2%）、インド（7.9%）、パキスタン（4.9%）、エジプト（3.5%）となっています。ロシアは全体の2.8%を占め、またそれぞれの感染台数は先月よりもずっと多くなっています。Doctor Webは、今後もこのボットネットの動向を注意深く監視していきます。