Doctor Web ニュース
2017年5月19日
みなさんこんにちは!野田貴子です。
先日、興味深い詐欺がこちらの記事(https://news.drweb.co.jp/show/?i=11257&lng=ja&c=9)で紹介されました。その名も「八百長詐欺」です。八百長というとスポーツの賭け試合などにおけるインチキのことですが、八百長とマルウェアが一体どう関係しているのでしょうか。
みなさんはパチンコ、スポーツの試合結果、株価などの予測が確実に当たるとしたら、その情報にお金を払いますか。子供の性別や性的嗜好を指定できる方法があるとしたら、その情報にお金を払いますか。どんなに切実でも、やめておいた方が無難です。このような商売は十中八九インチキ、あるいは違法(インサイダーなど)でしょうから。
これらの詐欺を行う人にとって、一番の壁はまず利用者に信用してもらうことです。信用してお金を払ってもらうに至れば、あとは一定の確率でクレームや返金があろうと問題ありません。
掛け試合、ロト、パチンコといったギャンブルでは、一度当たるところを実演してみせれば信憑性が上がります。
パチンコの場合は、無関係の人を「あの席に座って今当てている人がうちのスタッフだ。ただし周りの人にバレるから声はかけないで欲しい。」と紹介します。
ロトや試合の場合は、すでに終わったものをあたかも将来のまだ結果が出ていないものであると利用者に信じこませ、その結果を当ててみせる方法があります。
しかし、今回はマルウェアを利用した八百長詐欺に焦点を当ててみましょう。
仮に、お金を払えば未来のサッカーの試合結果を教えてくれるというサービスがあるとします。口コミを読むと評判は良さそうですが、本当に当たるのかどうかはまだ確信が持てません。そこで試しに、「試合結果予測お試しダウンロード(無料)」というリンクをクリックし、近日行われる予定の試合結果が書かれたファイルをダウンロードしました。
みなさんご想像の通り、このファイルがマルウェア(悪意のあるソフトウェア)です。必ずしもパソコンに感染するタイプのマルウェアではありませんが、人を騙そうと悪意を持っていることは確実です。
さて、このダウンロードしたファイルの中身を見ようとしたところ、パスワードのロックがかかっています。パスワードは試合が終わった後にメールで教えてもらえるようです。
後日試合が終わるとすぐにパスワードが送られてきました。パスワードを入力してファイルを開いてみると、なんと、たった今終わったばかりの試合の結果がファイルに書かれていました!今後はお金を払えば試合前にファイルの中身を見ることができるそうです。これはすごい!と予測能力を信じてしまった人は、次の試合予測を知るために代金を支払い、早速賭け試合に乗じます。しかし、これ以降送られてくる試合予測は、どれもデタラメなものばかりなのでした。
実はこのファイルには初めから試合結果の予測は書かれていません。試合後に送られてくるパスワードを入力すると、そのパスワードの種類によって試合結果が自動で書き換わるようにプログラムされているだけなのです。
Dr.Webのデータベースにはこのタイプのウイルスも登録されているとはいえ、世の中に美味しい話はそうそうあるものではないということを、心に留めておきたいと思います。
興味がある方はDr.Webの製品ページも是非ご覧ください。
http://products.drweb.co.jp/biz/business_products/
執筆者:野田貴子(吉政創成株式会社)
2017年5月18日
株式会社Doctor Web Pacific
Dr.Web Security Space 11.0、Dr.Web Anti-virus 11.0 およびDr.Web Anti-virus 11.0 for Windows File Serversに含まれるControl Serviceでは、ライセンスの有効期間が開始していない状況において期限切れと表示されるエラーが修正されました。
Dr.Web Security Space 11.0、 Dr.Web Enterprise Security Suite 10.0 および Dr.Web AV-Desk 10.0 に含まれるLua-script for antispamでは、アンチスパムモジュールのアンインストール後に、dwantispam.exeのプロセスが正常に終了するために、必要な変更が加えられました。
アップデートは自動的に行われますが、システムの再起動が必要です。
18.05 Dr.Web KATANA 1.0 および Dr.Web KATANA 1.0 Business Edition に含まれるコンポーネントをアップデート
2017年5月18日
株式会社Doctor Web Pacific
本アップデートにより、脅威の検出・駆除がさらに改善されました。
Dr.Web KATANAのアップデートは自動的に行われますが、システムの再起動が必要です。Dr.Web KATANA Business Editionの場合、管理モジュールの再起動が必要です。
17.05 Doctor Webによる「WannaCry」トロイの木馬についての追加報告
2017年5月17日
株式会社Doctor Web Pacific
「Wannacry」と呼ばれるこのマルウェアはユーザーの介入なしにMicrosoft Windowsコンピューターを感染させるネットワークワームです。Dr.Web Anti-virusはこのワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。2017年5月12日の午前10時より拡散され始めたこのワームは、ランダムなIPアドレスを持った、ローカルネットワーク内にある全てのコンピューターとリモートインターネットサーバーを攻撃し、445番ポートへの接続確立を試みます。1台のコンピューターを感染させると、他のコンピューターへと感染を広げようとします。このことが、今回の大規模な拡散に繋がっています。この悪意のあるプログラムは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。
ネットワークワーム
起動されると、ワームはトロイの木馬内で指定されているドメインを持つリモートサーバーに対してリクエストを送信し、応答を受け取ると動作を終了します。一部のメディアでは、このドメインを登録することでWannaCryの拡散を止めることに成功したと報道しています。トロイの木馬が拡散された時点で、このドメインはサイバー犯罪者の不注意によって未登録となっていました。しかしながら、今回の解析の結果からは、このトロイの木馬はローカルネットワークにアクセスしているがインターネットには接続されていないコンピューターを感染させ、それらのコンピューター上で動作することが可能であるということが示唆されています。拡散が終了したと考えるのは早計に過ぎるといえるでしょう。
このトロイの木馬は起動されると「mssecsvc2.0」という名のシステムサービスとして自身を登録します。また、コマンドラインパラメータに対して敏感に反応し、引数が指定されると、エラー発生に備えてサービスの自動起動を有効にしようと試みます。システムサービスとして起動されてから24時間以内にワームは自動的に動作を終了します。
感染させたコンピューター上で起動された後、ワームはそのコンピューターのローカルネットワーク内でアクセス可能なサーバーとインターネット上のランダムなIPアドレスを持ったコンピューターを探し、445番ポートへの接続を試みます。接続の確立に成功すると、SMBプロトコルの脆弱性を悪用してそれらのコンピューターを感染させます。
ドロッパー
ドロッパーは、OS内に悪意のある実行ファイルをインストールするよう設計されたコンポーネントです。WannaCryのドロッパーにはパスワード保護されたZIPアーカイブが含まれており、このアーカイブにトロイの木馬エンコーダーの暗号化されたファイル、サイバー犯罪者からの要求を含んだWindowsデスクトップの壁紙、onionサーバーのアドレスとビットコインの送金先となるウォレット名を含んだファイル、Torネットワーク内で動作するプログラムを含んだアーカイブが含まれています。ドロッパーはワームの本体から起動され、自身をシステム内にインストールし、そして自身のコピーをランダムな名前のシステムサービスとして起動させようと試みます。この試みに失敗した場合、コピーは普通のプログラムとして実行されます。ドロッパーの主な役割はアーカイブの中身をディスク上に保存し、エンクリプターを起動させることです。
トロイの木馬型ランサムウェア
Trojan.Encoder.11432 はランダムなキーでファイルを暗号化します。ファイルには暗号化キーの長さに関するデータ、暗号化キー自体、暗号化の種類とソースファイルのサイズに関する情報が含まれています。暗号化の過程でf.wnryという名前のファイルが作成され、そこにはトロイの木馬がテストとして復号化するファイルのリストが含まれています。
このトロイの木馬は、感染したコンピューター上のシャドウコピーを削除し、システムの復元機能を無効にする作成者のデコーダーを持っています。また、Windowsデスクトップの壁紙を以下のような画像ファイルに変更します:
次に、Torネットワークとの動作に使用するアプリケーションを展開(または、それらをインターネットからダウンロード)し、トロイの木馬の設定ファイル内で指定されたアドレスを持つonionサーバーに接続します。そのサーバーから、仮想通貨ビットコインを入金させるウォレット名を受け取り、設定ファイル内に書き込みます。 Trojan.Encoder.11432 はonionサーバーとのデータのやり取りに独自のプロトコルを使用しています。
デコーダーは、f.wnryファイル内のリストで指定されている複数のテストファイルを復号化することを可能にします。復号化に必要な秘密鍵は、悪意のあるプログラムのコンポーネントの1つに含まれています。そのため、トロイの木馬を使用することなくテストファイルを復号化することができます。ただし、テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。
残念ながら、現時点では Trojan.Encoder.11432 によって暗号化されたファイルを復元することはできません。
感染の兆候
WannaCryに感染したシステムには以下のサービスとファイルが存在します:
- 「mssecsvc2.0」システムサービス("Microsoft Security Center (2.0) Service"と表示)
- トロイの木馬のエンコーダーファイル「C:\WINDOWS\tasksche.exe」(悪意のあるプログラムの古いコピーは「C:\WINDOWS\qeriuwjhrf」内に保存されています)
感染した場合の対処
- さらなる感染拡大を防ぐため、感染したシステムやコンピューター(重要なデータを含むもの)をコンピューターネットワークから隔離する
- データのバックアップを、あらゆるコンピューターから切り離して外部ストレージ上に保存する
本ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
15.05 Doctor Webのユーザーはランサムウェア「WannaCry」から保護されています
2017年5月15日
株式会社Doctor Web Pacific
このトロイの木馬の最初の亜種 (Wanna Decryptor 1.0) は2017年3月27日午前07:20にDoctor Webのラボにて解析され、同日午前11:51にウイルスデータベースに追加されています。
「WannaCry」としても知られる Trojan.Encoder.11432 は金曜日の夜から拡散され、土曜日には世界中で大手企業のコンピューターを感染させています。
Doctor Webでは5月12日午前10:45にそのサンプルを入手し、Dr.Webウイルスデータベースに追加しました。
サンプルがデータベースに追加される以前より、Dr.Webは BACKDOOR.Trojan として既にこのトロイの木馬を検出していました。
Trojan.Encoder.11432 と名付けられたこのトロイの木馬はマルチコンポーネントなエンコーダーで、4つのコンポーネント(ネットワークワーム、エンコーダードロッパー、エンコーダー、作成者のデコーダー)を含んでいます。
Trojan.Encoder.11432 は感染させたコンピューター上にあるファイルを暗号化し、それらを復元するために、指定されたe-wallet(イーウォレット)にビットコインで身代金を支払うよう要求します。
このトロイの木馬の大規模拡散は、プロトコル「SMB」の脆弱性が要因となっています。Windows 10よりも古いバージョンの全てのWindows OSがこの脆弱性を持っています。Dr.Webユーザーは、 Trojan.Encoder.11432 の拡散が開始されて以降、何らの被害も受けていません。
Trojan.Encoder.11432 による感染からコンピューターを守るための推奨事項は以下のとおりです:
- お使いのOS向けのMS17-010アップデート(technet.microsoft.com/en-us/library/security/ms17-010.aspxで入手可能)と最新のセキュリティアップデートを全てインストールする。
- アンチウイルスをアップデートする。
- ファイアウォールを使用して、攻撃対象のネットワークポート(139、445)を閉じる。
- 攻撃されている、脆弱性を持ったOSのサービスを無効にする。
- 新しいソフトウェア(実行ファイル)のインストールと実行を禁止する。
- 不必要なユーザー権限を削除する(新しいソフトウェアを起動・インストールする権限)。
- システム内の必要のないサービスを削除する。
- Torネットワークへのアクセスを禁止する。
15.05 Dr.Web Light 10.0 for Androidをリリース
2017年5月15日
株式会社Doctor Web Pacific
Dr.Web Light for Androidのインターフェースでは、変更が加えられ、発見された脅威に関するすべての通知が同じのイベントウィンドウにて表示するようになり、ユーザビリティの向上が図られました。
また、本プログラムでは、新しいアンチウイルスエンジンが搭載されたほか、悪意のあるオブジェクトの検知能力も、さらに向上しました。
さらに、発生しているエラーを特定するために、詳しい情報を収集・記録するシステムが導入されました。
Dr.Web Light for Androidのバージョン10.0へのアップデートが自動的に行われます。しかし、デバイス上の設定で自動更新のオプションが無効である場合、Google Playにアクセスし、アプリケーションのリストからDr.Web Lightアンチウイルスを選択した後、「更新」をタップする必要があります。
12.05 Doctor Web、Macを標的とする新たなバックドアを発見
2017年5月12日
株式会社Doctor Web Pacific
Mac.BackDoor.Systemd.1 としてDr.Webウイルスデータベースに追加されたこのバックドア型トロイの木馬は、起動されるとミススペリングを含んだメッセージ「This file is corrupted and connot be opened」をコンソールに表示させ、systemdと呼ばれるデーモンとして自身を再起動させます。また、 Mac.BackDoor.Systemd.1 は該当するフラグをセットすることで自身のファイルを隠そうと試みます。次に、SHコマンドを使用してplistファイルを作成し、自動起動するよう自身を登録します。
このトロイの木馬の本体には暗号化された設定情報が保存されています。その情報に応じて、 Mac.BackDoor.Systemd.1 はC&Cサーバーとの接続を自身で確立するか、または接続リクエストを受信するのを待ちます。接続されると、バックドアは受け取ったコマンドを実行し、サイバー犯罪者に対して以下の情報を定期的に送信します:
- OSの名前とバージョン
- ユーザー名
- ルート権限を取得可能かどうか
- 使用可能な全てのネットワークインターフェースのMACアドレス
- 使用可能な全てのネットワークインターフェースのIPアドレス
- 外部IPアドレス
- CPUの種類
- RAM容量
- マルウェアのバージョンと設定に関するデータ
Mac.BackDoor.Systemd.1 は独自のファイルマネージャーを持っており、サイバー犯罪者は感染したコンピューター上にあるファイルやフォルダに対して様々な操作を行うことが可能です。このバックドアは以下のコマンドを実行することができます:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する(chmodコマンド)
- ファイルの所有者を変更する(chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
Mac.BackDoor.Systemd.1 はMac向けのDr.Web製品によって検出・削除されるため、Dr.Webユーザーに危害が及ぶことはありません。
04.05 Doctor Webセキュリティリサーチャー、「VK」ソーシャルネットワーク上で 無料のライセンスキーとして拡散されていた新たなトロイの木馬を発見
2017年5月4日
株式会社Doctor Web Pacific
少し前に、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループ内に、Dr.Web Anti-virusの無料ライセンスキーのダウンロードを提供する匿名ユーザーからのメッセージが出現しました。多くの場合、このようなメッセージにはRGhostファイルホスティングへのリンクが含まれています。リンクをたどってしまった被害者は、26 KBのRARアーカイブをダウンロードするかどうかを尋ねられます。Doctor Webグループのモデレーターは、これらのメッセージを可能な限り速やかに削除するよう努めていますが、投稿された直後に削除することは時として困難な場合があります。
アーカイブにはシンプルテキストドキュメントのアイコンを持った小さな実行ファイルが含まれています。この悪意のあるプログラムは同じバックドアですが、シグネチャ検出を回避するために、オンライン上で公表される度に新たにパックされているということが、解析された全てのサンプルから明らかになっています。その結果、 Trojan.MulDrop7.26387 と名付けられたこのトロイの木馬は、Dr.Web Anti-virusによって直ちに検出されることがありません。新しいサンプルは、ウイルスデータベースが新たに更新された後でのみ検出することが可能になります。 Trojan.MulDrop7.26387 はアンチウイルスのライセンスキーを装って拡散されていることから、サイバー犯罪者は、アンチウイルスソフトウェアを使用していないか、または無償の保護プログラムを使用している不注意なユーザーを陥れようと企んでいたものと考えられます。
Trojan.MulDrop7.26387 は非常に興味深い昔ながらの機能を備えた多目的バックドアで、広く知られているRemote Administration Tool (RAT) Njrat 0.7 Golden By Hassan Amiriをベースに作成されています。このツールはDr.WebによってBackDoor.NJRat.1013として検出されます。
起動後、 Trojan.MulDrop7.26387 はC&Cサーバーに接続し、感染したコンピューターに関する情報(ハードドライブのシリアル番号、インストールされているOSのビット版、コンピューター名、メーカー名、インストールされている場合はアンチウイルスのバージョン、Webカメラが使用可能かどうか)を送信します。このトロイの木馬は以下のコマンドを実行することができます:
- Windowsデスクトップ壁紙を置き換える
- コンピューターの電源を切る、または再起動させる
- 規定されたテキストでのシステムメッセージをスクリーン上に出力する
- マウスキーの機能を入れ替える
- 音声シンセサイザーやスピーカーを使用して特定の言葉を再生する
- Windowsタスクバーを隠し、その後復元する
- 光学ドライブを開く、または閉じる
- ディスプレイをオンオフする
- 指定されたリンクをブラウザで開く
- システムレジストリの指定された値を読み込む、インストールする、または削除する
- スクリーンショットを作成し、C&Cサーバーに送信する
- 指定された実行ファイルをダウンロード・起動する
- トロイの木馬の実行ファイルをリフレッシュ、または削除する
Trojan.MulDrop7.26387 の最も危険な機能の1つは、キー入力を記録する、埋め込まれたキーロガーです。このデータはコマンドに応じてサイバー犯罪者のサーバー上にダウンロードされます。また、このトロイの木馬は恐ろしい画像の含まれたSWF動画を予期せぬタイミングで感染したコンピューター上に表示させることができます。
ユーザーを怯えさせたり混乱させたりすることを主な目的としたこのような悪意のあるプログラムは昨今では非常に珍しいものとなっています。多くのトロイの木馬は収益を得ることを目的としたものであり、ただ単に「楽しむ」ためにユーザーを怖がらせるようなウイルスを拡散させるというのは、まるで中学生のいたずらのようです。
「ただほど高いものはない」という諺が示すとおり、商用ソフトウェアのライセンスキーを無料で提供するあらゆるダウンロードリンクは結局のところ詐欺であると言えます。このような罠に陥らないよう十分に警戒するようにしてください。
03.05 Dr.Web 11.0.2 for Microsoft Exchange Serverをリリース
2017年5月3日
株式会社Doctor Web Pacific
Dr.Web 11.0.2 for Microsoft Exchange Serverでは、下記のエラーが修正されました。
- 本製品の旧バージョンをアップデートする際、ユーザープロフィールが正常に表示されないエラー
- Active Directoryに接続できないエラー
- 潜在的な危険性があるプログラム、ダイアラー、ハッキングツール、アドウェア、およびジョーカーのスキャンを無効化できないエラー
アップデートの詳細およびDr.Web 11.0.2 for Microsoft Exchange Serverのシステム要件については、リリースノート(英語)をご覧ください。
2017年5月9日
株式会社Doctor Web Pacific
4月には、サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬が発見されました。また、機密情報やアカウントの金銭を盗むよう設計された新たなバンキング型トロイの木馬が複数Google Play上で確認されています。そのうちの1つは、インターネット上で動画を見るためのプログラムに、また別の1つはフラッシュライトプログラムに埋め込まれていました。
4月の主な傾向
- Android向けのスパイウェア型トロイの木馬を検出
- バンキング型トロイの木馬がGoogle Playに侵入
4月のモバイル脅威
4月には、サイバースパイ行為を行う目的で使用されるAndroid向けトロイの木馬 Android.Chrysaor.1.origin が発見されました。この悪意のあるプログラムはSkype、Viber、WhatsAppなどの多くのオンライン通信プログラムからやり取りを盗むほか、Webブラウザの履歴やSMSメッセージ、その他の機密データを盗みます。また、モバイルデバイス上でのキーボード操作をトラッキングすることで、入力された全ての情報を横取りし、スクリーンショットを作成し、サイバー犯罪者からの着信に密かに応答することで周りの音声を盗聴します。
Dr.Web for Androidによる統計
-
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.93
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Sprovider.9
- ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
-
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Patacore.2
- Adware.Appsad.3.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる望まないプログラムモジュールです。
バンキング型トロイの木馬
4月には、新たなAndroid向けバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin としてDr.Webウイルスデータベースに追加されたそのうちの1つは、面白い動画を紹介するFunny Videos 2017およびHappyTimeアプリケーション内に隠されていました。このトロイの木馬は、以前こちらの記事で紹介した別のAndroid向けバンキング型トロイの木馬の亜種で、サイバー犯罪者によって一般に公開されているソースコードを基に作成されています。
Android.BankBot.179.origin はバンキングプログラムやその他のソフトウェアプログラムのリストを含んだ設定ファイルをC&Cサーバーから受け取り、それらプログラムの動作をトラッキングします。リスト上にあるプログラムが起動されると、偽の認証ウィンドウを表示させてログインおよびパスワードを入力させます。ユーザーがGoogle Playを起動させた場合、 Android.BankBot.179.origin は偽の決済フォームを表示させ、クレジットカードの情報を入力するよう要求します。また、このトロイの木馬は受信SMSメッセージをトラッキングし、受信するクレジットカードの確認コードを横取りします。
Android.BankBot.179.originは以下の特徴を備えています:
- サイバー犯罪者によって公開されたバンキング型トロイの木馬のソースコードを基に作成されている
- Google Playから拡散されている
- 正常に機能する動画プレイヤーに埋め込まれている
- システムから簡単に削除されないようにするために、管理者権限を要求する
- 数百のバンキングプログラムやその他のポピュラーなソフトウェアを攻撃することができる(サイバー犯罪者は設定ファイルをアップデートするだけでよい)
4月に発見されたまた別のAndroid向けバンキング型トロイの木馬は Android.BankBot.180.origin と名付けられました。このトロイの木馬はフラッシュライトアプリケーションであるFlashlight LED Widget内に埋め込まれていました。起動されると、 Android.BankBot.180.origin はホーム画面から自身のアイコンを削除し、モバイルデバイス上の管理者権限を要求します。その後、フラッシュライトの動作は悪意のあるプログラムのウィジェットを介してコントロールされるようになります。
Android.BankBot.180.origin はバンキングプログラムの起動をトラッキングし、それらの前面に偽のウィンドウを表示させてログインとパスワードを入力させます。また、 Android.BankBot.179.origin と同様、Google Playが起動されると偽のフォームを表示させてユーザーのクレジットカード情報を盗もうと試みます。
Android向けバンキング型トロイの木馬はサイバー犯罪者がアカウントから金銭を盗むことを可能にすることから、最も危険な悪意のあるプログラムの1つであるとされています。そのバンキング型トロイの木馬がGoogle Playから拡散されると、その危険はいっそう大きなものになります。Google PlayはAndroidモバイルデバイス向けの最も信頼できるソフトウェア配信元と考えられているため、そこからアプリケーションをダウンロードするユーザーは警戒を怠りがちになるというのがその理由です。お使いのモバイルデバイスをバンキング型トロイの木馬やその他の悪意のあるプログラムから守るため、Dr.Web for Androidをインストールすることをお勧めします。
今すぐ、Dr.WebでAndroidデバイスを保護します
2017年4月28日
株式会社Doctor Web Pacific
Dr.Web Net filtering Serviceのアップデートにより、保護されるコンピュータにて、Outlook Expressおよび一部のオンラインバンキングシステムとの接続に関する問題が解決されました。
アップデートは自動的に行われますが、システムの再起動が必要です。
2017年5月11日
株式会社Doctor Web Pacific
4月は情報セキュリティに関して慌ただしい月となりました。月の始めには、マルチコンポーネントトロイの木馬を拡散するための悪意のあるメールが配信されました。このトロイの木馬は感染させたコンピューターから機密情報を盗むよう設計されていました。同月中旬にはユーザーを騙す悪意のあるプログラムを使用した詐欺手法についてDoctor Webのスペシャリストによる調査が行われ、下旬にはMicrosoft Officeの脆弱性が発見されました。この脆弱性は、感染させたコンピューターからパスワードを盗むトロイの木馬の拡散に利用されていました。
4月の主な傾向
- マルチコンポーネントトロイの木馬を含んだ悪意のあるメールの配信
- Microsoft Officeの脆弱性を発見
- Windows向けの新たなトロイの木馬の拡散
4月の脅威
4月には、 Trojan.MulDrop7.24844 と名付けられたマルチコンポーネントトロイの木馬が、メールに添付されたアーカイブとして拡散されていました。
このアーカイブには、プログラミング言語「AutoIt」の機能を使用して作られた、パックされたコンテナが含まれています。感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの1つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。このトロイの木馬はその他に2つのアプリケーションをディスク上に保存します。これらのプログラムはMimikatzツールの32ビット版および64ビット版で、開かれたWindowsのセッションでパスワードを横取りするよう設計されています。 Trojan.MulDrop7.24844 はユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時に指定されたパラメータに応じて、その他複数の機能を実行します。 Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスし、感染したコンピューターをコントロールすることを可能にします。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.SMSSend.7306
インストーラの組み込まれたアーカイブとして拡散される悪意のあるプログラムのファミリーに属します。高額なサービス番号にSMSを送信してインストールを継続するようユーザーを誘導することでアーカイブのコンテンツへのアクセスを獲得するか、または電話番号を指定して受信したメッセージに含まれるコードを入力するよう誘導することで有料サービスへの登録を確定させます。Trojan.SMSSendの主な目的は身代金を得ることです。 - Win32.Virut.5
実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - BackDoor.Comet.3269
感染したデバイス上でサイバー犯罪者から受け取ったコマンドを実行し、犯罪者による不正アクセスを可能にするマルウェアファミリーに属します。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。 - Android.SmsSend.15044
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
暗号化ランサムウェア
2017年4月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの33.57%
- Trojan.Encoder.3953 — リクエストの8.97%
- Trojan.Encoder.567 — リクエストの3.80%
- Trojan.Encoder.10144 — リクエストの3.59%
- Trojan.Encoder.761 — リクエストの2.58%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
 |  |
危険なWEBサイト
2017年4月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は568,903件となっています。
| 2017年3月 | 2017年4月 | 推移 |
| + 223,173 | + 568,903 | + 154.91% |
4月中旬、Doctor Webでは、サイバー犯罪者によって以前より使用されている詐欺手法である「八百長詐欺」についての記事を掲載しました。
多くの場合、サイバー犯罪者は「スポーツの試合結果について信頼性の高い情報」を売り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。最近では、この詐欺手法に変化が見られ、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。しかしながら、実際に被害者に対して送信されるのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。このプログラムは、WinRARで作成されたSFXアーカイブのインターフェースと動作を完全に模倣したものとなっています。この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。このプログラムは Trojan.Fraudster.2986 としてウイルスデータベースに追加され、拡散元となるWebサイトは非推奨サイトのリストに加えられています。
その他の情報セキュリティイベント
4月の末には、 Trojan.DownLoader23.60762 と名付けられた悪意のあるプログラムが拡散されました。このトロイの木馬は主要なブラウザからログインとパスワードを盗み、ユーザーの許可なしに危険なファイルをダウンロードするよう設計されています。また、感染させたコンピューター上でブラウザのプロセス内に埋め込まれ、ネットワークとの動作を司る関数を横取りします。 Trojan.DownLoader23.60762 は以下のコマンドを実行することができます:
- 感染させたコンピューターのディスク上にある一時フォルダからファイルを起動させる
- 実行中のプロセス内に自身を埋め込む
- 指定されたファイルを削除する
- 指定された実行ファイルを起動させる
- Google Chromeによって使用されるSQLiteデータベースを保存し、サイバー犯罪者に送信する
- C&Cサーバーを指定されたものに変更する
- cookieを削除する
- OSを再起動させる
- コンピューターの電源を切る
この脅威に関する詳細についてはこちらの記事をご覧ください。
その他、4月にはMicrosoft Office Wordで脆弱性が発見され、それに対するエクスプロイト Exploit.Ole2link.1 がサイバー犯罪者によって開発されています。このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。この脅威に関する詳細についてはこちらの記事をご覧ください。
LINUXを標的としたマルウェア
4月を通して、様々なLinuxデバイスに対する1,317,388件の攻撃がDoctor Webのスペシャリストによって確認されています。そのうち、SSHプロトコルを介したものが147,401件、Telnetプロトコルを介したものが1,169,987件となっています。以下の円グラフは最も多く検出されたLinux向けトロイの木馬の内訳を表しています:
- Linux.Mirai
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬です。コンピューターを再起動することができなくなるよう、システムのハングアップを防止するウォッチドッグタイマーを無効にします。 - Linux.DownLoader
感染したコンピューター上に他のマルウェアをダウンロード・インストールするよう設計された、Linux向けの悪意のあるプログラムやスクリプトのファミリーです。 - Linux.BackDoor.Remaiten
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬のファミリーです。Telnet プロトコルを使用してデバイスをハッキングし、ブルートフォースアタックによってパスワードを取得することができます。成功すると、アセンブラ言語で書かれたローダーをコンピューター上に保存し、このローダーによって他のトロイの木馬がダウンロード・インストールされます。 - Linux.Mrblack
ARMプロセッサを搭載したLinuxディストリビューション上で動作し、DDoS攻撃を実行するよう設計されたトロイの木馬です。C&Cサーバーから受け取った指示を実行するためのコマンドハンドラが埋め込まれています。 - Linux.DDoS
DDoS攻撃を実行するよう設計された、Linux向けトロイの木馬ファミリーです。 - Linux.PNScan
Linuxルーターを感染させるよう設計されたネットワークワームです。このワームは自身でデバイスを感染させ、ポート9000と1337を開放し、これらのポート経由で受け取ったリクエストを処理し、C&Cサーバーに接続します。
4月、Doctor Webのスペシャリストは Linux.UbntFM ファミリーに属する悪意のあるプログラムのアップデートされたバージョンについて解析を行いました。 Linux.UbntFM.2 と名付けられたこのトロイの木馬はLinuxOSを標的としており、その中にはUbiquiti Networksによって作成され、同社のデバイス上にインストールされるAir OSが含まれています。 Linux.UbntFM.2 はtgz.アーカイブに含まれて拡散され、bashスクリプトで書かれています。
Linux.UbntFM.2 は感染させたデバイス上で新しいアカウントを作成し、任意のファイルを起動させます。また、Air OSのWebインターフェースに存在する脆弱性を悪用して、リモートデバイスを攻撃することができます。この脆弱性は、任意のパスを経由して任意のファイルを不正にダウンロードすることを可能にするものです。プロトコルを特定できない場合(または感染させたデバイスにAir OSがインストールされていない場合)、 Linux.UbntFM.2 は特殊な辞書、「root」・「admin」・「ubnt」のログイン、そしてファイル内に保存されたパスワードを使用してSSH接続のアカウント情報を割り出そうと試みます。このプログラムの動作に関する情報は技術的情報(英語)をご確認ください。
また、4月にはFgtトロイの木馬ファミリーに属する新たな亜種 Linux.BackDoor.Fgt.645 が登場しました。この亜種は限られた機能しか備えていない(リモートネットワークサーバーをハッキングするためのパスワードを割り出すモジュールとドロッパーのみ)という点でこれまでのバージョンと異なっています。その他、 Linux.BackDoor.Fgt.645 は.shスクリプトをダウンロード・実行するためのリクエストを送信することができます。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
4月には、スパイ行為を行うよう設計された新たなAndroid向けトロイの木馬 Trojan Android.Chrysaor.1.origin がDr.Webウイルスデータベースに追加されました。この悪意のあるプログラムはAndroidデバイスユーザーから機密情報を盗むための標的型攻撃に使用されています。また、新たなバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin と名付けられたそのうちの1つは、オンライン動画を提供するプログラムを装って拡散され、実際に動画プレイヤーとしても機能するものでした。Android.BankBot.180.originと名付けられたまた別のバンキング型トロイの木馬は、フラッシュライトプログラムを装っていました。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬の発見
- Androidユーザーの機密情報や金銭を盗むバンキング型トロイの木馬をGoogle Play上で発見
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
追加情報
2017年4月26日
株式会社Doctor Web Pacific
今回のアップデートでは、新しい機能が搭載されたほか、内部変更が加えられ、発見されたエラーが修正されました。
アップデートとともに、Dr.Web Anti-virus および Dr.Web Security Spaceでは、Windows Script Host および PowerShellを検査する新規のモジュール、Dr.Web Amsi-client (11.0.0.201612120)が追加されました。
Dr.Web Anti-virus、Dr.Web Security Space およびDr.Web Anti-virus for Windows File ServersのAgentに、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
- 新規のモジュールであるDr.Web Amsi-clientが追加されました。
- Agentのユーザーモードで統計情報を確認できるようになりました。
- データ損失防止機能においてコピーの作成および復元を実行する際、エラーの通知表示が修正されました。
- Agentの動作の安定性が向上しました。また、システムへのログオン時、コンポーネントのアップデート時、保護対象のフォルダが変更されていない状況でのコピーの作成時に、Agentが異常終了する問題が解決されました。
- Windows XP対応コンピュータでは、シリアル番号登録、および3ヶ月間トライアルのライセンスを取得する手続きに変更が加えられました。
- スキャン対象外となるファイル、フォルダおよびアプリケーション用のルールを作成/修正する際、パスをコピーするオプションが追加されました。
- Windowsでコントラストテーマが使用されている場合、Agentウィンドウ内の表示が改善されました。
- ファイルを隔離から復元するウィンドウでは、ユーザーによって変更された「パス」フィールドの値が更新されない問題が解決されました。
Dr.Web Enterprise Security Suite および Dr.Web AV-DeskのAgentでは、以下の変更が加えられました。
- 保護されるステーションでは、「画面上に通知を表示する」オプションが無効な状態でも、通知がポップアップされるエラーが修正されました。
- ウイルスデータベースが古くなり、サーバーとの接続がないステーションにおいて、Dr.Webアイコンが正常に表示しないエラーが修正されました。
Dr.Web Anti-virus、Dr.Web Security Space およびDr.Web Anti-virus for Windows File Serversに含まれるDr.Web Control Serviceでは、以下の変更が加えられました。
- 所有されるライセンスのうち、有効なライセンスとして最新のものを指定する仕組みが改善されました。
- Windows Security Center (Action Center)との連携が改善されました。
- データ損失防止機能において、下記が改善されました。
- 様々なディスク上にあるバックアップコピーのフォルダを削除することが可能になりました。削除する都度、設定ウィンドウを開く必要はありません。
- アンチウイルス設定をデフォルトにリセットした後、正常に動作しないエラーが修正されました
- ユーザーモードで操作するAgentの設定では、「不明なエラーが発生しました。コピーを保存する別のディスクを指定してください…」というメッセージが誤って表示されてしまう問題が解決されました。
- プリンターへのタスク送信をブロックするための修正が追加されました。
- 保護されるコンピュータの再起動後も、SpIDer Gateおよびペアレンタルコントロールが無効のままとなるエラーが修正されました。
Dr.Web Enterprise Security Suite および Dr.Web AV-Deskに含まれるDr.Web Control Serviceでは、以下の変更が加えられました。
- 長期間再起動が行われない場合に、保護されるステーションからウイルスデータベースが古くなったことをサーバーに対し通知しないエラーが修正されました。
- 隔離に移動されたファイルの変更日時の情報が正常に送信されない原因であった、ステーションとサーバー間の接続が切断される問題が解決されました。
- ユーザーによるAgentの設定が連続的にリセットされる問題が解決されました。
- 追加でインストールされるコンポーネントの設定が、サーバーに遅れてリクエストするエラーが修正されました。
- アプリケーションの除外リストがサーバーからAgentへ正常に送信されない問題が解決されました。
- Agentがスリープモードに切り替わった後、接続の異常切断に関するメッセージがサーバーのコンソールに表示されるエラーが修正されました。
- Windows Security Center (Action Center)との連携が改善されました。
Dr.Web Anti-virus、Dr.Web Security Space、Dr.Web Anti-virus for Windows File Servers、Dr.Web Enterprise Security Suite および Dr.Web AV-Deskに含まれるDr.Web Scanner SEでは、以下の変更が加えられました。
- パラメーター /ARW、/GO、/STの動作が修正されました。
- 一部のファイルに対し、隔離への移動が失敗した場合でも、ファイル駆除結果が正常に表示されるようになりました。
- Windowsでコントラストテーマが使用されている場合、Scannerウィンドウ内の表示が改善されました。
Dr.Web Security Spaceに含まれる Dr.Web Net filtering Serviceでは、以下の変更が加えられました。
- ペアレンタルコントロールのカテゴリに新たに「アノニマイザー」が追加されました。
Dr.Web Anti-virus、Dr.Web Security Space、Dr.Web Anti-virus for Windows File Servers、Dr.Web Enterprise Security Suite および Dr.Web AV-Deskに含まれる Dr.Web Net filtering Serviceでは、以下の変更が加えられました。
- セキュリティレベルがより高いプロトコルを用いて接続する場合、SSL 2.0の処理が修正されました。
- ペアレンタルコントロールのブラックリストに追加されたウェブサイトへのアクセスが制限される際に表示されるページに変更が加えられました。
- Dr.Web Net filtering Serviceのプロセスが終了する際に、ログへの書き込みが実行されない問題が解決されました。
Dr.Web Scanning Engineでは、以下の変更が加えられました。
- Windows XP SP2 および Windows Server 2003 R2 SP2対応コンピュータ上にアンチスパムのモジュールがダウンロードされない問題が解決されました。
- コンソールスキャナーでは、メールファイルと不審なファイルを対象としたパラメーター「I」が正常に動作するようになりました。
- クラウドサービスより脅威タイプの特定が適切ではない判断を受信した場合、EventLogにイベントの書き込みが追加されます。
Dr.Web Security Space、Anti-virus for Windows setupでは、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
- 入力フィールドではコンテキストメニューが表示されないエラーが修正されました。
Dr.Web Anti-virus for Windows servers setupでは、以下の変更が加えられました。
- Dr.Web Anti-virus for Windows File Serversを変更、または削除する場合、確認コードの入力待機時に、コンポーネントの異常終了を引き起こすエラーが修正されました。
Dr.Web Security Space に含まれるDr.Web Tipsでは、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
Dr.Web Anti-virus、Dr.Web Security Space、Dr.Web Enterprise Security Suite およびDr.Web AV-Deskのローカライゼーションでは、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
- プログラムのインタフェースにて表示される文章が修正されたほか、ローカライゼーションの一部が更新されました。
Dr.Web Anti-virus、Dr.Web Security Space、Dr.Web Enterprise Security Suite、Dr.Web AV-Desk および Dr.Web KATANAに含まれるDr.Web Shellguard anti-exploit moduleでは、以下の変更が加えられました。
- 「ArcheAge」ゲームで、GameGuardと連携する際に誤検知が発生する問題が解決されました。
Dr.Web AV-Desk Agent for Windows setupでは、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
- インストール時に空き容量の不足に関する通知が修正されました。
- ライセンス使用許諾契約が一新されました
- ステーション上にDr.Web Agentをインストールする際、360 Total Security製品の検出が可能となりました。
- Dr.Web 11.0 for IBM Lotus Domino および Dr.Web 11.0 for MS Exchangeとの互換性が維持されるようになりました。
- Agentをバージョン6からバージョン11にアップグレードする際、SpIDer Guardのファイルモニターが削除される問題が解決されました。
Dr.Web Enterprise Agent for Windows setupでは、以下の変更が加えられました。
- アラビア語およびペルシア語が追加されました。
- Agentをバージョン6からバージョン11にアップグレードする際、SpIDer Guardのファイルモニターが削除される問題が解決されました。
- インストール時に空き容量の不足に関する通知が修正されました。
- ステーション上にDr.Web Agentをインストールする際、Lumension Endpoint Securityの検出が可能となりました。
アップデートは自動的に行われますが、システムの再起動が必要です。
20.04 Doctor Web、Microsoft Officeを狙う新たなエクスプロイトについて調査
2017年4月20日
株式会社Doctor Web Pacific
この脆弱性はMicrosoft Word内で発見され、それに対するエクスプロイトがサイバー犯罪者によって開発されています。これまではMicrosoft Officeの脆弱性を悪用する際にOLEオブジェクトが使用されていたのに対し、この度 Exploit.Ole2link.1 としてDr.Webウイルスデータベースに追加されたこのエクスプロイトは、XMLテクノロジーを使用しています。
このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。
現時点で、サイバー犯罪者はこのメカニズムを使用して被害者のコンピューター上にTrojan.DownLoader24.49614をインストールしています。このトロイの木馬は感染させたシステム上で別の悪意のあるソフトウェアをダウンロード・起動します。
Dr.Webのアンチウイルス製品は Exploit.Ole2link.1 を含んだファイルを検出・削除することができます。 したがって、Dr.Webユーザーに危害が及ぶことはありません。
20.04 Dr.Web Enterprise Security Suite 10.0 および Dr.Web AV-Desk 10.0に含まれるコンポーネントをアップデート
2017年4月20日
株式会社Doctor Web Pacific
今回のアップデートにより、最新のWindows 10 Creators Updateとの互換性が保たれました。
アップデートは自動的に行われます。
20.04 Doctor Web、パスワードを盗むトロイの木馬について調査
2017年4月20日
株式会社Doctor Web Pacific
新しいトロイの木馬には1つの機能のみを実行するものが多く、同時に複数の機能を実行するものでも主要な機能は1つであることがほとんどです。しかしながら、 Trojan.DownLoader23.60762 は非常に珍しい多機能な悪意のあるプログラムでした。このマルウェアはWindowsデバイスを攻撃の対象としたもので、感染させたシステム上に他のアプリケーションをダウンロードし、ブラウザからログインとパスワードを盗み、そして様々なWebサイト上で入力されたデータを横取りします。
コンピューター上で起動されると、 Trojan.DownLoader23.60762 は本体を解凍し、自身のプロセスのメモリ内で悪意のあるコードの断片を探して実行します。このトロイの木馬は、実行ファイルのコピーを感染させたデバイスのディスク上にある一時フォルダ内に保存し、そのファイルへのパスをアプリケーションの自動起動を管理するシステムレジストリキーに記録します。その結果、 Trojan.DownLoader23.60762 はOSと同時に起動するようになります。
機密情報を盗むため、 Trojan.DownLoader23.60762 はWindowsブラウザのプロセスのほか、Microsoft Internet Explorer、Mozilla Firefox、Google Chromeのプロセス内に埋め込まれ、ブラウザ内でネットワークとの動作を司る関数を横取りします。これにより、ブラウザからログインとパスワードを抜き取り、Webページ上でユーザーが入力したデータを盗むことが可能になります。
Trojan.DownLoader23.60762 はC&Cサーバーに接続して以下のようなコマンドを受け取ります:
- 感染させたコンピューターのディスク上にある一時フォルダからファイルを起動させる
- 実行中のプロセス内に自身を埋め込む
- 指定されたファイルを削除する
- 指定された実行ファイルを起動させる
- Google Chromeによって使用されるSQLiteデータベースを保存し、サイバー犯罪者に送信する
- C&Cサーバーを指定されたものに変更する
- cookieを削除する
- OSを再起動させる
- コンピューターの電源を切る
Trojan.DownLoader23.60762 のシグネチャは既にDr.Webデータベースに追加されているため、Dr.Webユーザーに危害が及ぶことはありません。
2017年4月19日
株式会社Doctor Web Pacific
上記の製品に含まれるDr.Web SelfPROtectでは、定期的なスキャンの実行中にOSをフリーズさせる可能性のある、メモリリークが発生する問題が解決されました。
また、Dr.Web Security Space 11.0、 Dr.Web Anti-virus 11.0、 Dr.Web KATANA 1.0 および Dr.Web AV-Desk 10.0に含まれる Thunderstorm Cloud Client SDKでは、 アンチウイルスの誤検出を引き起こすエラーが修正されました。
アップデートは自動的に行われますが、システムの再起動が必要です。
18.04 『ウイルス対策ソフトが発見しにくいポリモーフィック型ウイルスとは』
2017年4月18日
みなさんこんにちは!野田貴子です。
ウイルス対策ソフトにとって大きな役割は2つあります。ウイルスを発見することと、ウイルスを退治することです。その両者ができなければウイルス対策はできません。現実世界の警察に例えれば、犯人の発見と犯人の逮捕の両方ができて初めて地域の安全が守られることと同じでしょうか。
Dr.Webはウイルスの発見と退治、そのどちらもを得意とするウイルス対策ソフトです。
発見しにくいウイルスのひとつに「ポリモーフィック型ウイルス」というものがあります。「ポリゴン(polygon)」が「多角形」という意味を持つように、「ポリモーフィック(polymorphic)」とは「多様性」のことです。ポリモーフィック型ウイルスは変装の得意なウイルスで、増殖するたびにその形態を変化させます。そのため、以前発見したときの姿と同じウイルスがいないかどうかを調べる「パターンマッチング」方式だけでは、このタイプのウイルスを見落としてしまいます。
では、どのようにすればポリモーフィック型ウイルスを発見できるのでしょうか。
見た目ではウイルスと分からないウイルスを発見するためには、「ヒューリスティックスキャン」という検出手法を利用します。これは警察のおとり捜査とよく似ています。つまり、ウイルスかどうか実際に動かして試してみるのです。もし本当にウイルスだった場合に感染してしまうのを防ぐため、不明なプログラムの実行には仮想環境などの安全な場所を使います。
Dr.Webは初めてポリモーフィック型ウイルスを発見したウイルス対策ソフトです。2017年2月のウイルス傾向でも、ポリモーフィック型ウイルスの発見について報告しています。
https://news.drweb.co.jp/show/review/?lng=ja&i=11187
このようなウイルスが出てきた背景には、攻撃者たちの目的の変化があります。コンピュータウイルスが出始めの頃は、ジョークを表示させたりコンピュータをクラッシュさせたりするような、ウイルスの存在をアピールし、攻撃者自身の実力を誇示するための派手なウイルスが流行りました。しかし今は、自己満足ではなく金銭のために働くウイルスが主流です。感染したコンピュータの中でこっそりとお金になる情報を集めたり、詐欺のための活動を行うウイルスにとっては、ターゲットの人間やウイルス対策ソフトに発見されないことが大事になったのです。
近年では感染したパソコンを勝手に暗号化し身代金を要求ような「ランサムウェア」にポリモーフィックの技術が使われることがあります。面白い話として、被害者が身代金を支払ったものの、攻撃者がその暗号化を解除できずに、Dr.Webのサポートに暗号の解除を依頼するよう伝えたということがありました。
ウイルス対策ソフトでは今回のウイルスだけではなく様々な不審点も検知することができますので、きちんと対策がなされているかどうか、いま一度チェックしてみてはいかがでしょうか。それではみなさま、どうぞお健やかにお過ごしくださいませ。
興味がある方はDr.Webの製品ページも是非ご覧ください。
http://products.drweb.co.jp/biz/business_products/
執筆者:野田貴子(吉政創成株式会社)
17.04 Doctor Web、広く使用される詐欺手法を発見
2017年4月17日
株式会社Doctor Web Pacific
いわゆる八百長詐欺を行うサイバー犯罪者の従来の手口はとてもシンプルなものです。「スポーツの試合結果について信頼性の高い検証された情報」を売るための特別なWebサイトを作り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。そのようなサイトの制作者は自らを引退したコーチやスポーツアナリストであると名乗っています。実際は、ある買い手が受け取る情報と、また別の買い手が受け取る情報は真逆のものとなっており、被害者から苦情があった場合は損失を補償するために次の予測を無料で提供するとしています。
最近では、この詐欺手法に変化が見られます。買い手を惹きつけるために、依然としてWebサイトやソーシャルネットワークのパブリックページは作成されていますが、サービス品質向上のためと称して、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。
実際に被害者に対して送信されるのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。 Trojan.Fraudster.2986 としてDr.Webのウイルスデータベースに追加されたこのプログラムは、WinRARで作成されたSFXアーカイブのインターフェースと動作を完全に模倣したものとなっています。このプログラムは一般的なRAR SFXアーカイブと見分けがつかないだけでなく、ユーザーが誤ったパスワードを入力した場合や、その他の操作を実行した場合にもアーカイブと同様の動作をします。
この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。サイバー犯罪者は試合終了後に被害者に対して適切なパスワードを送信するだけでよいのです。該当する結果のテキストファイルが「アーカイブ」から「抽出され」ます(実際はテンプレートをベースにトロイの木馬によって生成されます)。
この詐欺手法には、パスワード保護されたMicrosoft Excelファイルを被害者に送信するという別のバージョンもあります。ファイルには特別なマクロが含まれており、このマクロは入力されたパスワードに応じて該当する結果を挿入するという同様の方法を使用しています。
試合結果について犯罪者が提供する様々な予測は全て、いつだれが遭遇してもおかしくない詐欺手法です。インサイダー情報を用いて賭けを行うことで大金を手に入れるチャンスを提供するWebサイトは、それらがどんなに説得力のあるものであっても信用しないようにしてください。
14.04 Dr.Web日本の島根県のユーザーにウイルス対策サービスを提供開始
2017年4月14日
株式会社MCセキュリティはWebインターネットセキュリティアプライアンスとソリューションの提供に特化したビジネス展開を進めており、アンチウイルス保護の問題の必要性を十分に理解しています。
同社がロシアのインターネットサービスの選択肢を選んだのは、顧客のオンサイトサポートを提供するために直接訪問する必要がなく、保護されたオブジェクトのプロセスを制御する能力によって決定されたからです。これにより、 株式会社MCセキュリティは時間とコストを節約しながらビジネスを展開できます。また、Doctor Webアンチウイルス製品はすでに同社のスペシャリストがその品質の高さを熟知していたということも注目すべき点です。
「Dr.Webアンチウイルスサービスにより、当社の競合他社と比較して低い価格で高いレベルのアンチウイルス保護を提供することができます。さらに、他の企業でも同様の価格品質比を持つクラウドベースの製品はありません。もう1つの重要な側面 、それは、この情報セキュリティ業界の中で、Doctor Webがランサムウェア対策を早期から着手しているという点です。」と述べています — 株式会社MCセキュリティ 取締役統括部長 長崎洋一 様。
MCセキュリティについて
株式会社MCセキュリティは、2006年に日本でデバイスとソフトウェアを開発、製造、販売する会社として設立されました。日本の最先端のITネットワークセキュリティ技術の開発と生産を目指し、あらゆるユーザーレベルの情報資産を容易に保護できるようにすることを目的としています。日本語と日本のサポートスタイルにこだわり、安全なネットワーク環境と、スムースなユーザーワーク環境を提供します。
13.04 Dr.Web Security Space 11.1.1 for Androidをアップデート
2017年4月13日
株式会社Doctor Web Pacific
以下の変更が加えられました。
- Anti-theftコマンドへのSMSでの返信が重複して送信される問題が解決されました。
- Anti-theft、ファイアウォールおよびSecurity Auditorで発見されたエラーが修正されました。
- Opera miniブラウザにてURLフィルターが正常に動作するための修正が加えられました。
- Android 7.0 および 7.1対応デバイスにおいて、更新ダイアログボックス経由でDoctor Webサイトからダウンロードされたアプリの異常終了を引き起こすエラーが修正されました。
アップデートされた製品は、Google play (Dr.Web Security Space for Android、 Dr.Web Security Space for Android Life License) またはDoctor Webのウェブサイトからダウンロードできます。
アップデートは自動的に行われます。デバイス上で自動更新の設定が無効となっている場合には、Google playにアクセスし、アプリリストからDr.Web Security Space または Dr.Web Security Space Life Licenseを選択した後、「更新」ボタンをクリックする必要があります。
Doctor Webのウェブサイトからアップデートを実行する場合には、新しいディストリビューションファイルをダウンロードする必要があります。更新の設定で「最新バージョン」が有効である場合、ウイルスデーベースが更新される際に、新しいバージョンに関する通知が表示されます。通知が表示されたダイアログボックスより新しいバージョンをダウンロードすることができます。
注意! Android バージョン 7.x対応デバイスを使用されており、Doctor WebのウェブサイトよりDr.Web Security Space for Androidをインストールした場合、表示されたダイアログボックスを使用せずに、手動でアプリをダウンロードし、既存のバージョンに上書きインストールを行なってください。
13.04 Doctor Web、悪意のあるメールの配信について警告
2017年4月13日
株式会社Doctor Web Pacific
悪意のある添付ファイルを含んだメールの大量配信は最も広く使用されているトロイの木馬の拡散方法の一つです。サイバー犯罪者は、コンピューターを感染させる添付ファイルを受信者に開かせるよう、メッセージの内容に工夫をこらしています。
ここ数日にわたり、「Made the payment(支払いが完了しました)」という件名の付いたメールがLLC Globalniye Sistemy (Global Systems)の代理という形で配信されています。メールには「4月6日に支払いをしましたが、まだそちらからお返事をいただいておりません」という内容の以下のテキストが含まれています(構文やスペリングは原文のまま):
Good day!
We made the payment on April, 6, but for some reason we haven’t received an answer from you.
We hereby request to process the payment as soon as possible and provide the services because time is an issue for us.
The copy of the billing statement and other documents are in the attached archive.
Please, check the details of the billing statement. Perhaps there has been a mistake that caused the failure in delivery of our payment. It could be the reason for the delay.
Yours faithfully,
LLC Globalniye Sistemy
メールには「Billing from LLC Globalniye Sistemy April 6 2017.JPG.zip」という名前の4MBを超えるアーカイブが添付されています。アーカイブに含まれていた「.JPG[数十のスペース].exe」拡張子の付いた実行ファイルが、 Trojan.MulDrop7.24844 という名前でDr.Webウイルスデータベースに追加されました。ユーザーがこの「画像」を開くと、プログラムが起動します。
アプリケーションはパックされたコンテナで、プログラミング言語「AutoIt」の機能を使用して作られています。起動されると、プログラムは自身が単独のコピーとして実行されているのかどうかを確認し、32ビット版および64ビット版Windows上でユーザーアカウント制御(UAC:User Account Control)を回避するためにライブラリをディスク上に保存するほか、その他いくつかのファイルも保存します。次に、 Trojan.MulDrop7.24844 は自身を自動起動プログラムとして登録します(Windows XPではシステムレジスタを改変することで、それよりも新しいバージョンのWindowsではタスクスケジューラを使用して)。また、Google ChromeとMozilla Firefoxのパスワードを抜き出し、テキストファイルに保存しようと試みます。
感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの一つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。
Trojan.MulDrop7.24844 のまた別のコンポーネントであるxservice.binは暗号化されたAutoitコンテナで、2つの実行ファイルをディスク上に抽出します。これらのプログラムは、開かれたWindowsのセッションでパスワードを横取りするよう設計されたMimikatzツールの32ビット版および64ビット版です。xservice.binは様々なキーで起動することができ、どのキーで起動されたかによって感染したコンピューター上で実行する動作が異なります。
| キー | 説明 |
|---|---|
| -help | 使用可能なキーを表示する(未知のエンコーディングでサポート情報を表示させる) |
| -screen | スクリーンショットを作成し、Screen(<時間>_<分>).jpg (<時間>_<分>は現在の時間)という名前のファイルに保存してファイルに「hidden」および「system」属性を付与する |
| -wallpaper <path> | 壁紙を<path>パラメータで指定されているものに変える |
| -opencd | CDドライブを開く |
| -closecd | CDドライブを閉める |
| -offdesktop | 次のテキストをコンソールに表示:"Not working =(" |
| -ondesktop | 次のテキストをコンソールに表示:"Not working =(" |
| -rdp | RDPを起動させる(下記参照) |
| -getip | 次のWebサイトを使用して、感染したコンピューターのIPアドレスを取得する:http://ident.me/ |
| -msg <type> <title> <msg> | 指定されたヘッダとテキストを持った、特定の種類(err、notice、qst、inf)のダイアログを作成する |
| -banurl <url> | %windir%\System32\drivers\etc\hostsファイルに次の文字列を追加する:"127.0.0.1 <url>"(<url>はコマンド引数で指定されたもの) |
また、このアプリケーションはユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時にスクリーンショットを作成します。
Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスすることを可能にしますが、そのために、Rdpwrapと呼ばれるプログラムをGithubサーバーからダウンロードし、それを隠しモードで実行するためのパラメータと一緒にインストールします。このプログラムはProgram.RdpwrapとしてDr.Web Anti-virusに検出されます。次に、 Trojan.MulDrop7.24844 はディスク上に保存しておいたMimikatzツールの力を借りて、現在のユーザーアカウントのパスワードを取得しようと試みます。このパスワードはシステムレジストリ内に保存され、感染したコンピューターとの通信に使用されます。この不正な接続の結果、サイバー犯罪者はコンピューターの完全なコントロールを掌握します。
Trojan.MulDrop7.24844 のシグネチャは既にDr.Webデータベースに追加されているため、このトロイの木馬はDoctor Web Anti-virus製品によって検出・削除されます。Windows ユーザーの方は警戒を怠らず、メールに添付された疑わしいファイルを開かないようにすることが推奨されます。
11.04 Doctor Web:モバイルデバイスからの有料サービス登録に対する対応策
2017年4月10日
株式会社Doctor Web Pacific
WAP-clickを使用して有料コンテンツにアクセスさせるサービスが多くのネットワークプロバイダーによって提供されています。これらのプロバイダーはWebサイトの所有者がモバイルトラフィックから収益を得ることを可能にする複数のパートナープログラムを積極的に使用しています。例えば、MegaFonは2012年に新たなWAP-clickテクノロジーを発表し、それについて「MegaFon加入者が、パートナー企業の運営するWebサイト上で音声・動画・画像ファイルを簡単に購入し、また、ダウンロードすることなくサービスを利用することを可能にする」サービスであると謳っています。
このテクノロジーは、要求されたコンテンツへアクセスするために料金を支払うよう指示するメッセージを含んだWebページに、モバイルユーザーをリダイレクトするというシンプルなものです。このWebページにはボタンが表示されており、ユーザーがクリックすると有料サービスに登録されるようになっています。
appleinsider.ruからのスクリーンショット
このサービスはユーザーの間で、また、インターネットメディアのページ上で、またたく間に議論の的となりました。中でも特に、WAP-clickは VC.RU、 Apple Insider、その他多くのサイトで取り上げられています。1名のユーザーに至っては、有料サービスへの登録をSMS経由で確定するようネットワークプロバイダーに対して要求する申し立ての署名を集めています。
この登録はプロバイダーのネットワークに含まれる全てのユーザーに対して利用可能となっています。USBモデムの所有者も許可していない登録による被害を受け、この問題に対する解決策を独自に模索しています。解決策の一部は http://vsyako.blogspot.ru/2014/06/podpiski.html や https://антиподписки.рф などのサイトに記載されています。Windowsユーザーの場合、有料サービスへの登録に対する対抗策の1つとして、hostsファイルに適切な変更を加えることが提案されています。この推奨策は元々、登録を処理するサイトであるwap.megafonpro.ruへのアクセスを制限するためのものでした。この方法はしばらくの間有効でしたが、MegaFonは同じ機能を持った複数の異なるドメインを所有しているということが後に明らかになりました:
| Ip | Host | ns | org | date |
|---|---|---|---|---|
| 83.149.0.245 | (wap.)megafonpro.ru | ns1.misp.ru | PJSC "MegaFon" | 2004-02-25T21:00:00Z |
| 83.149.0.245 | podpiskipro.ru | ns1.nwgsm.ru | PJSC "MegaFon" | 2014-02-25T07:24:40Z |
| 83.149.0.245 | iclickpro.ru | ns1.nwgsm.ru | PJSC "MegaFon" | 2015-02-17T13:45:14Z |
| 31.173.34.226 | moy-m-portal.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-04-07T15:00:38Z |
| 31.173.34.226 | propodpiski.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:21Z |
| 31.173.34.227 | mfprovas.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:22Z |
| 31.173.34.227 | vasmfpro.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:22Z |
| 31.173.34.227 | propodpiskimf.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:23Z |
| 31.173.34.227 | promfvas.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:23Z |
| 31.173.34.227 | vasmpro.ru | ns1.misp.ru | North-West Branch of PJSC "MegaFon" | 2016-05-10T11:39:24Z |
WAP-clickテクノロジーの実際の例を見てみましょう。Doctor Webでは、MegaFonのモバイルインターネットを使用した実験を行いました。まず、ユーザーは夏の栽培期に菜園に玉ねぎを植えようと考えたと仮定します。この場合、最も良い方法はGoogle検索で見つけた園芸家の指示に従うというものになるでしょう。「how and when to plant onions(玉ねぎを植える方法と時期)」と検索欄に入力すると、ユーザーのニーズに合わせたリンクが表示されました。
リンク先のWebサイトのHTMLコードには特殊なスクリプトが埋め込まれていて、このスクリプトによってユーザーのネットワークプロバイダーが特定されます。今回の実験では、以下のすべての動作がMegaFon加入者に対してのみ実行されています。
該当するWebリソースを開こうとすると、リダイレクトの連鎖が自動で実行されます。リダイレクトは少なくとも5~7回行われ、最終的にMegaFonの所有する(WHOISによって提供されたデータによる)オンライン登録サイトにたどり着きます。
サービス登録ページには、Webサイトにアクセスするためにユーザーは1日30ルーブルを支払う必要があるという警告が明確に記載されています。Webサイトを見るための料金は「個人的な使用を目的とした記事やニュース」の提供に対するものであるとされています。しかしながら、解像度の高い画面(USBモデムの接続されたタブレットやコンピューター)などの一部のケースでは、この重要な警告はより目立たなくなり、ユーザーは小さな文字に気が付かない可能性があります。
提示された条件にユーザーが同意した場合であっても、その後、玉ねぎに関する情報を見ることはできません。登録ボタンをクリックすると、ユーザーはまた別のリダイレクションの連鎖によってLLC Informpartnyor(http://informpartner.com)の所有するWebリソースinfonews24.ruへと飛ばされます。次に、ユーザーは有料サービスに登録された旨を通知するSMSを受け取りますが、SMSに対応していないUSBモデムの所有者はこの通知を受け取ることができず、ネットワークプロバイダーからの請求書を見て初めて有料サービスに登録されていることに気が付きます。
登録ボタンがクリックされた瞬間から、例えユーザーが有料サイトを訪問していない場合やインターネットを使用していない場合であっても、また、モバイルデバイスの電源を入れていない場合ですら、ユーザーの口座からは1日30ルーブルが引き落とされます。
有料サービスの解約は簡単ではありません。Doctor Webのスペシャリストは、登録されている有料サービスがあるかどうかを特定するために数日間にわたってモバイルデバイスからUSSDリクエストを送信し続けました。しかしながら、SMSによるMegaFonからの返答は、当該登録番号で利用中の有料サービスは存在しないというものでした。
モバイルデバイスからログインするか、またはデスクトップからログインするかに関係なく、MegaFonユーザーの「Dashboard(ダッシュボード)」内でも全く同じ結果が確認され、Webサイト http://podpiski.megafon.ru でも同様でした。Webリソースへの有料アクセスについては何も記載がありませんでした。今回の実験では、登録に関する情報は数日後に「Dashboard(ダッシュボード)」内に表示されるようになり、それまでの間、毎日料金が引き落とされていました。
MegaFonでは、有料サービスの料金引き落とし専用の特別なコンテンツ用アカウントをユーザーに対して提供しています。このアカウントによって、ユーザーのメインアカウントから料金が引き落とされることを防ぎます。この無料サービスを利用するには、テクニカルサポートサービスまで連絡するか、プロバイダーのオフィスまで出向く必要があります。
WAP-clickによる登録を防ぐためのまた別の方法として、MegaFonはサービス番号に対して特別なリクエスト「УСТЗАПРЕТ1(USTZAPRET1)」を送信するという方法を提供しています。ただし、この方法で登録を防ぐことができるのは90日間だけであるという点に注意する必要があります。その後、MegaFonユーザーは再び有料サービスに誤って加入してしまう危険にさらされます。
モバイルアカウントから定期的に料金が引き落とされていることに気が付いた場合は、有料サービスに登録されていないかどうか確認するようにしてください。また、モバイルネットワークのメインアカウント残高を守るため、コンテンツ用アカウントに接続することが推奨されます。Doctor Webでは、モバイルインターネットを使用する際は慎重を期し、誤って有料サービスに登録してしまったことが明らかになった場合はご自身で、またはネットワークプロバイダーのサポートサービスに連絡することで、できるだけ早く解約するよう推奨しています。
2017年4月10日
株式会社Doctor Web Pacific
Dr.Web Scanning Engineでは、以下の変更が加えられました。
- 不審なファイルに対し「無視する」アクションが選択された際、それらのファイルが隔離へ移動される問題が解決されました。
- ログのローテーションが正常に行われないエラーが修正されました。
Dr.Web Thunderstorm Cloud Client SDKでは、以下の変更が加えられました。
- 新しい Intelプロセッサーとの互換性が確保されました。
Dr.Web Anti-rootkit API Baseでは、以下の変更が加えられました。
- 証明書および信頼できるアプリケーションのデータベースが更新されました。
Dr.Web KATANA Control Serviceでは、以下の変更が加えられました。
- Dr.Web ShellGuardがプログラムモジュールのリストに追加されました。
Dr.Web KATANA Agentでは、以下の変更が加えられました。
- 隔離されたオブジェクトに関する説明が変更され、不要なフィールドが削除されました。
アップデートは自動的に行われますが、システムの再起動が必要です。
2017年4月6日
株式会社Doctor Web Pacific
2017年の春は活発化するインターネット詐欺や悪意のあるソフトウェアの拡散で幕を開けました。また、DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬が発見され、Androidデバイスの画面上に迷惑な広告を表示させるモジュールの組み込まれたプログラムがGoogle Play上に登場しました。既に5000万人以上のユーザーがこのアプリケーションをインストールしています。そのほか、潜在的に危険なインターネットリソースが多数Dr.Webの非推奨サイトデータベースに追加されています。
3月の主な傾向
- 新たなLinux向けトロイの木馬の登場
- 多数の詐欺サイトを発見
- 迷惑な広告を表示させるモジュールおよびAndroid OSを標的とするトロイの木馬の拡散
3月の脅威
Linuxを標的とするマルウェアの多くは、感染させたデバイス上に他のトロイの木馬をダウンロード、プロキシサーバーを設置、またはDDoS攻撃を実行するよう設計されています。3月にDoctor Webのセキュリティリサーチャーによって発見され Linux.DDoS.117 と名付けられたトロイの木馬は、これらのうち最後の機能を実行するものでした。
この悪意のあるプログラムには、Intel x86、 M68K、 MIPS、 MIPSEL、 SPARC、 SH4、 Power PC、 ARMアーキテクチャ向けのバージョンがあります。起動された Linux.DDoS.117 はインターネット接続を待ち、接続が確立されると、感染したデバイスに関する情報を犯罪者に送信します。このトロイの木馬はコマンドインタープリタSHを使用して、受け取ったコマンドを実行します。サイバー犯罪者は特殊なコマンドを使用して攻撃対象ホストの名前とDDoS攻撃の時間に関するデータをトロイの木馬に送信します。 Linux.DDoS.117 に関する詳細については、こちらのテクニカル情報(英語)をご確認ください。
Dr.Web Anti-virusによる統計
- Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。 - Trojan.SMSSend.7306
インストーラの組み込まれたアーカイブとして拡散される悪意のあるプログラムのファミリーに属します。高額なサービス番号にSMSを送信してインストールを継続するようユーザーを誘導することでアーカイブのコンテンツへのアクセスを獲得するか、または電話番号を指定して受信したメッセージに含まれるコードを入力するよう誘導することで有料サービスへの登録を確定させます。Trojan.SMSSendの主な目的は身代金を得ることです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Win32.Virut.5
実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。 - Trojan.Click2.9790
様々なウェブサイトのトラフィックを増やすよう設計されたトロイの木馬ファミリーです。このようなトロイの木馬はブラウザをコントロールすることで、ユーザーのリクエストを該当するウェブページへリダイレクトさせます。 - Win32.HLLW.Shadow
リムーバブルメディアやネットワークドライブ経由で自信を複製するワームです。また、標準的なSMBプロトコルを使用してネットワーク経由で拡散されます。C&Cサーバーから実行ファイルをダウンロードし、実行するよう設計されています。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - Android.SmsSend.15044
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。 - Android.Spy.178.origin
ユーザーのパスワードなど個人情報を盗むWindows向けトロイの木馬です。
暗号化ランサムウェア
2017年3月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの26.71%
- Trojan.Encoder.3953 — リクエストの5.89%
- Trojan.Encoder.10144 — リクエストの2.83%
- Trojan.Encoder.761 — リクエストの2.60%
- Trojan.Encoder.567 — リクエストの2.09%
3月の初め、ランサムウェア型トロイの木馬Dharmaによって使用されているプライベートキーのリストへのリンクがbleepingcomputer.comフォーラムのユーザーによって公表されました。Doctor Webの分類に従って Trojan.Encoder.3953と名付けられたこのエンコーダーのプライベートキーがリークされたのはこれで2度目になります。このトロイの木馬によって暗号化されたファイルには、サイバー犯罪者のメールアドレスを含んだサフィックスと、 .xtbl、 .CrySiS、 .crypted、 .crypt、または.lockの拡張子が付けられます。キーがリークされたおかげで、Doctor Webでは早くも3月2日に、 Trojan.Encoder.3953によって暗号化されたファイルを復号化する方法を開発することに成功しています
また、3月には Trojan.Encoder.10465 によって暗号化されたファイルを復号化するアルゴリズムがDoctor Webのスペシャリストによって開発されました。このトロイの木馬はDelphiで書かれており、感染したファイルには「.crptxxx」という拡張子が付けられます。このエンコーダーに関する詳細と、感染してしまった場合の推奨される対処方法についてはこちらの記事をご覧ください。
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
| |
危険なウェブサイト
2017年3月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は223,173件となっています。
| 2017年2月 | 2017年3月 | 推移 |
|---|---|---|
| + 134,063 | + 223,173 | + 66.46% |
3月、インターネットサイトのオーナーや管理者を標的とした500を超える詐欺サイトがDoctor Webのセキュリティリサーチャーによって発見されました。それらの多くは、インターネット検索結果でのサイトの表示順位の向上を提案する内容のメールをYandexからのものを装って送信していました。メールには、サービスに対する支払いのためのフォームが表示されるページへのリンクが含まれています。
これは、支払いを済ませた被害者にサービスが提供されることはないという、一般的なよくある詐欺です。サイバー犯罪者はこのようなページを500以上も作成し、それらを複数のリース契約オンラインサイト上に置いています。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
3月、Doctor Webのスペシャリストは新たな広告モジュールをGoogle Play上で発見し、 Adware.Cootek.1.origin と名付けました。このモジュールはTouchPalと呼ばれるスクリーンキーボードアプリに組み込まれていました。TouchPalがインストールされると、 Adware.Cootek.1.origin は削除することのできないウィジェットを作成し、ロック画面上にバナーを組み込むなど、様々な種類の迷惑な広告を表示させます。また、モバイルデバイスのロックが解除されると直ちにバナーを表示させる機能も備えています。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Google Play上で、組み込まれた攻撃的な広告モジュールを発見
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
