2012年7月11日掲載

株式会社Doctor Web Pacific

2012年の6月は、ウイルス活動の特別な活発化や大拡散は見られず、情報セキュリティの面においては比較的穏やかな月となりました。しかし、犯罪者は悪意のあるソフトウェアを拡散する為にメールの大量配信を実行し、Androidを狙った新たなトロイの木馬も登場しました。全体として、検出された脅威の数は僅かに減少したと言えますが、この傾向は長期休暇のある夏に良く見られる典型的なものでもあります。

ウイルス

Dr.Web CureIt!によって収集された統計によると、6月にユーザーのコンピューター上で最も多く検出されたマルウェアは先月と同様Trojan.Mayachok.1で、その検出件数は5月の3.73% （45,327件）から6月の5.82% （56,767 件）へと大幅に増加しています。トロイの木馬ダウンローダーの亜種の検出数もまた倍増し、Trojan.SMSSendの亜種も以前と同様頻繁に検出されています。一方で、Trojan.Carberpの亜種の検出割合は僅かに減少しました。以下のグラフは、Dr.Web CureIt!によって検出された最も一般的な脅威の割合を表しています。

メール経由で拡散される脅威に関しては、感染したコンピューター上に他の危険なアプリケーションをダウンロードするBackDoor.Andromeda.22（このバックドアファミリーのプログラムはリモートサーバーとの間で暗号化したデータのやり取りを行い、コマンドに応じて様々なファイルを感染したコンピューター上にダウンロードすることが出来ます）が他を引き離し、2位と3位にはトロイの木馬ダウンローダー、4位にはその大規模な拡散について最近の記事でも報告されたTrojan.Inject1.4969がつけています。Win32.HLLM.MyDoomワームやその他のWindowsブロッカーもまた、メールによって頻繁に拡散されています。

ボットネット

4月、Doctor WebはBackDoor.Flashback.39に感染した大量のMacコンピューターから成る史上最大規模のボットネットを発見しました。驚くべきことにこのボットネットは、ボットの数は徐々に減少しているものの、未だその活動を続けています。確認されたデータによると、ネットワークに接続された感染したMacの数は6月の初めの364,741台から同月の終わりには191,756台に減少し、24時間の間にBackDoor.Flashback.39ネットワークに新たに接続される感染したコンピューター数は平均25台と、こちらも非常に少なくなっています。下のグラフは2012年6月におけるBackDoor.Flashback.39 ボット数の推移を表しています。

このグラフから、BackDoor.Flashback.39に感染したアクティブなコンピューターの数は確実に減少傾向にあることが読み取れます。Macユーザーの方は、この脅威に対抗するため特別に設置されたhttps://www.drweb.com/flashbackにて、お使いのコンピューターが感染していないかどうかをチェックし、また駆除方法や脅威に関する詳細をご確認いただけます。

一方Win32.Rmnet.12ファイルインフェクターの場合状況は異なり、既に報告した通り、このボットネットに含まれるホスト数は300万台を超えています。地域的な拡散傾向にはほとんど変化は見られず、最も多く拡散している国は未だインドネシア、バングラデシュ、ベトナム、インド、エジプトとなっています。また、ロシアでも多くのコンピューターが感染しています。Win32.Rmnet.12の詳細についてはこちらの記事を参照してください。Win32.Rmnet.12ネットワークには1日平均9,000～150,000台の新しいボットが登録され、感染したコンピューターの合計台数を著しく増加させています。下のグラフは2012年6月におけるWin32.Rmnet.12ボットネットの増加状況を表しています。

同時に、その速度はやや劣るものの Win32.Rmnet.16ボットネットもまた増加を続けています。このマルウェアの亜種は主にイギリスおよびオーストラリアで拡散され、5月の末には84,491台だった感染したコンピューター数は、その後1か月の間に104,874台に増加しています。下のグラフではWin32.Rmnet.16の感染数の増加傾向を確認することが出来ます。

今月の脅威：Trojan.Hottrend

セキュリティエキスパートによってTinba（tiny banker）と名付けられた、最も小さいバンキングトロイの木馬が「今月の脅威」に選ばれました。このトロイの木馬はアセンブリ言語で書かれた僅か20KBという非常にコンパクトなマルウェアで、Trojan.HottrendとしてDr.Webウイルスデータベースに登録されています。なお、このトロイの木馬ファミリーの最初のレコードが同ウイルスデータベースに登録されたのは早くも2012年4月下旬のことでした。

このマルウェアの主要な目的は、インターネットトラフィックを監視し、重要な情報（バンキング情報など）を傍受して犯罪者に送信することにあります。また6月には、約80KBのTrojan.PWS.Banker.64540など、その他の種類の小さいバンキングトロイの木馬もいくつかDoctor Webのウイルスアナリストによって発見されています。このトロイの木馬に関する詳細はこちらの記事をご覧ください。また、Trojan.Hottrendの悪意のあるペイロードに関してはこちらを参照してください。

Androidを狙った脅威

Androidに対する新たな脅威は一定の割合で出現し続けています。6月には35個を超えるAndroid.SmsSendの亜種、およびモバイルデバイスに危害を加える可能性のあるその他いくつかの悪意のあるプログラムがウイルスデータベースに追加されました。また6月の後半には、感染したモバイルデバイス上のSMSを盗む Android.SpyEye.2.originトロイの木馬の拡散についての報告もありました。

6月の末には、スパムによって拡散されるAndroid.SmsBot.1.originがDr.Webウイルスデータベースに追加されました。この悪意のあるプログラムは非常に複雑なアルゴリズムを使用してTwitterアカウント名を作成し、そのアカウント名を介してコントロールサーバー名を入手します。コマンドセンターとの接続が確立されると、Android.SmsBot.1は感染したデバイスに関する情報を犯罪者に送信し、コマンドを受け取ってその実行に関するレポートを返すことが可能になります。このプログラムの主要な機能の1つは、ユーザーの許可無しにSMSを送信することです。このアプリケーションの目的は自動的な電話による投票であると指摘する匿名のユーザーもいますが（プログラム製作関係者であると思われます）、モバイルデバイスのユーザーに被害をもたらす危険性もあります。

6月にメールトラフィック内で検出されたマルウェアTop20

6月にユーザーのコンピューター上で検出されたマルウェアTop20