Doctor Web ニュース

2017年6月23日

株式会社Doctor Web Pacific

2017年6月22日

株式会社Doctor Web Pacific

2017年6月20日

株式会社Doctor Web Pacific

クラウドサービスは極めて信頼性と利便性が高く、そしてLinuxよりもセキュアなものはないと、これまで繰り返し言われてきました。そこにあるのは、ユーザーフレンドリーなインターフェースか、さらにユーザーフレンドリーなインターフェースか、という2択であるかのように見えました。しかし今回も、突如として事件は起きました。

セキュリティスペシャリストは、今回の事例はソフトウェア更新の未実行や設定上の欠陥などを利用した通常のランサムウェア攻撃であると見ていますが、要求された身代金は史上最高額であり、最も成功したLinuxへの攻撃であると言えます。

誰の責任か？

1. 同ホスティングサービス企業は顧客に対してバックアップの作成を提供しておらず、既存のインフラストラクチャーに障害があった場合に切り替えるためのシステムを構築していませんでした。
2. 同社の顧客はホスティングインフラストラクチャーに頼り切っていたため、データのバックアップを作成していませんでした。

クラウドサービスプロバイダーに対する成功した攻撃例は以前にも確認されていますが、これほど注目を集めた事例はありませんでした。

Doctor Webでは、同様の事例が今後急激に増加するものと見ています。

このような成功例に刺激を受け、模倣犯罪が多数発生する可能性があるというのがその理由です。プロバイダーに対する攻撃の波は後に減少していく可能性もあり、また逆に、Linuxに対する攻撃のように、このような攻撃が新たなトレンドになっていく可能性もあります。予測を立てるのは時期尚早であると言えるでしょう。

Doctor Webによる推奨事項

1. データをクラウド上に保存し、バックアップを作成していない場合は、直ちに作成するようにしてください。さらに、作成したバックアップを別のプロバイダーのサーバー、または自宅や異なるロケーションに保存してください。
2. クラウドベースのサーバーやサイト、サービスを借りている場合、それはご自身でデータを保護しなくてもよいということではありません。セキュリティは重要な問題です。バックアップを作成する必要があるほか、コンピューターとクラウドの両方に最低限アンチウイルスが必要です。

Dr.Web Server Security Suite (マルウェアからサーバーを保護します)と Dr.Web Gateway Security Suite (受信するトラフィックをスキャンし、疑わしいサイトへのアクセスをブロックします)はサービスプロバイダーのインフラストラクチャーに対する保護を提供します。

Dr.Web Enterprise Security Suite は、企業の規模に関係なく、その企業のすべての顧客に対する保護を提供します。アンチウイルス保護はプロバイダー側だけでなく、顧客側(企業ネットワークおよび従業員のコンピューター)にも必要であるという点に留意してください。これが、中間者攻撃に対する唯一の防御手段です。

2017年6月15日

株式会社Doctor Web Pacific

マイニングトロイの木馬は感染させたデバイスのコンピューティングリソースを使用して仮想通貨をマイニングする悪意のあるプログラムです。Doctor Webのアナリストは、Windowsコンピューターを感染させる能力を持ったそのようなトロイの木馬の1つについて調査を行いました。

Trojan.BtcMine.1259 と名付けられたこの悪意のあるプログラムは、仮想通貨Monero (XMR)をマイニングするよう設計されていました。このマイナーは Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。

起動されると、 Trojan.BtcMine.1259 は感染させたコンピューター上で自身のコピーが動作していないかどうかを確認します。次に、プロセッサのコア数を確認し、その数がトロイの木馬の設定ファイル内で指定されたスレッド数よりも多いか、または同じであった場合は、自身の本体内に保存されたライブラリを復号化してメモリ上にロードします。このライブラリは、Gh0st RATとして知られる、オープンソースコードを持ったリモート管理システムの改変されたバージョンです(Dr.Web Anti-virusによって BackDoor.Farfli.96 として検出されます)。続けて Trojan.BtcMine.1259 は自身のコピーをディスク上に保存し、それをシステムサービスとして起動させます。正常に起動されると、設定ファイル内で指定されたアドレスのC&Cサーバーからアップデートをダウンロードしようと試みます。

仮想通貨Moneroをマイニングするよう設計されたメインのモジュールもまた、ライブラリとして実装されており、 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。このモジュールの設定ファイルでは、仮想通貨のマイニングに使用されるプロセッサのコア数とコンピューティングリソース量、マイナーが自動的に実行される間隔、およびその他のパラメータが指定されています。 Trojan.BtcMine.1259 は感染したコンピューター上で実行中のプロセスをトラッキングし、タスクマネージャーの起動が試みられると、自身の動作を終了させます。

マイニングトロイの木馬が初めて登場したのは6年以上も前のことになりますが(2011年にTrojan.BtcMine.1のシグネチャがDr.Webウイルスデータベースに追加されています)、サイバー犯罪者は依然として、ユーザーの許可なしにコンピューターリソースを使用する悪意のあるプログラムの拡散を続けています。コンピューターがこのようなプログラムに感染していることを示す兆候には、システムの処理速度低下やCPUの過熱が挙げられます。Dr.Web Anti-virusは Trojan.BtcMine.1259 とその全てのコンポーネントを削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.BtcMine.1259の詳細(英語)

2017年6月13日

株式会社Doctor Web Pacific

Doctor Webは、一部のDr.Web製品に含まれるLua-Updaterモジュール (11.0.21.06080)、 Dr.Web Anti-rootkit API (11.1.11.201706060)、 Dr.Web Control Service (11.0.13.06051 and 11.0.12.06061)およびスキャンエンジンのLuaスクリプト (11.0.6.06050)のアップデートを行いました。また、Dr.Web KATANA 1.0ではkatana-serviceモジュール(11.1.7.06051)がアップグレードされました。今回のアップデートでは、発見されたエラーが修正され、軽微な変更が加えられました。

中でも特に、Lua-UpdaterとDr.Web更新サーバーとの通信ルーチンが最適化されました。

また、ローカルユーザープロファイルでWindowsにログインすることができなくなるというAnti-rootkit APIの問題が修正され、一時プロファイルでログインする必要がなくなりました。

アップデートは自動的に行われますが、Dr.Web KATANAではシステムの再起動が必要です。

2017年6月13日

株式会社Doctor Web Pacific

Doctor Webは、Windows向けDr.Web for IBM Lotus Dominoをバージョン11.0.2へアップデートしました。今回のアップデートにより、新しい機能が追加されたほか、発見されたエラーが修正されました。

今回のアップデートでは、Windows Server 2016がサポートされました。

また、集中管理サーバーへ統計情報が転送される際に発生するエラーが修正されました。さらに、SMTPタスクのフリーズを引き起こす問題が解決され、NSFベースへのアクセスがリクエストされた際にメール検査時に発生するエラーも修正されました。

アップデートされたDr.Web for IBM Lotus Dominoのバージョンをインストールするために、旧バージョンをアンインストールする必要があります。既存の設定を保存するには、エクスポート/インポート機能をご利用ください。

2017年6月9日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web 11.0 for UNIX Mail ServersおよびDr.Web Anti-virus 11.0.3 for Linuxのベータテスト参加者を募集します。両製品ともに、徹底的に機能の見直しが行われ、管理がさらに容易となり、セキュリティを強化する新機能が搭載されました。

Dr.Web for UNIX Mail Serversでは、以下の変更が行なわれました。

• 同製品のアーキテクチャーが一新されました。今回のアップデートでは、メールサーバーの標準サービス(Milter、 Spamd、 Rspamd)を使用することにより、使用中のメールサーバーのインフラとの連携が可能となり、サーバーとの統合が不要となりました。
• 標準的なメールプロトコル(SMTP、POP3およびIMAP)を用いる転送経路上で、メールサーバーとクライアントに対し透過的になるように、本製品を構成するオプションが追加されました(GNU/Linuxのみ対応)。
• 望ましくない受信メールの内容は隔離への移動ではなく、パスワードで保護されたアーカイブに保存されます。
• 独自の管理用ウェブインタフェースが搭載されたことにより、Webminの利用が不要になりました。
• OpenLDAPおよびActive Directoryサービスからの情報を、メールフィルタリングルールに用いることが可能になりました。
• 製品に関する統計情報および重要なイベント(例えば、メールのブロック)に関する通知をSNMP経由で送信する機能が追加されました。
• Milter/Spamd/Rspamdを利用できないメールサーバーにおいて、Clamdを用いてメールを検査することが可能になりました。
• DNSxLを利用したメール送受信者のアドレス検査の実行が可能になりました。

Dr.Web Anti-virus for Linuxでは、以下の変更が行なわれました。

• IMAP(S)/POP3(S)プロトコルを使用する受信メールのスキャン機能が追加されました。
• SMTP(S)プロトコルを使用する送信メールのスキャン機能が追加されました。

Dr.Web 11.0 for UNIX Mail serversおよびDr.Web Anti-virus 11.0.3 for Linuxの新しい機能にご興味のある方は、是非、ベータテストにご参加ください。

2017年6月5日

株式会社Doctor Web Pacific

この度、Linuxを標的とする2つの悪意のあるプログラムについて、Doctor Webのセキュリティリサーチャーによる調査が行われました。これらプログラムの1つは感染させたデバイス上に仮想通貨をマイニングするアプリケーションをインストールし、もう1つはプロキシサーバーを起動させます。

Linux.MulDrop.14 という名前でDr.Webのウイルスデータベースに追加された最初の1つは小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラムで、5月の後半から拡散されています。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.MulDrop.14 は感染させたデバイス上でパスワードを変更し、マイナーを解凍して起動させます。続けて、開かれた22番ポートを持つネットワークノードを無限ループで検索し、SSHプロトコル経由で接続を確立した後、それらのコンピューター上で自身のコピーを起動させます。

Linux.ProxyM と名付けられたもう1つのトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です：

攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています：

このトロイの木馬は、ハニーポット(悪意のあるプログラムについて解析するために情報セキュリティスペシャリストによって用いられるおとりのサーバー)を見分ける特殊な手法を用います。起動されると、 Linux.ProxyM はC&Cサーバーに接続し、そこから承認を受け取った後、感染したデバイス上でSOCKSプロキシサーバーを起動させます。サイバー犯罪者はオンライン活動を匿名化する目的でこのトロイの木馬を使用することができます。

上記トロイの木馬はいずれもLinux向けDr.Web製品によって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

• Linux.MulDrop.14の技術的説明(英語)
• Linux.ProxyMの技術的説明(英語)

2017年6月2日

株式会社Doctor Web Pacific

Doctor Webは、 Dr.Web Security Space 11.0、 Dr.Web Anti-virus11.0、 Dr.Web Anti-virus 11.0 for Windows File Servers、 Dr.Web Enterprise Security Suite 10.0、 Dr.Web AV-Desk 10.0、 Dr.Web KATANA 1.0 および Dr.Web CureNet! に含まれるDr.Web SelfPROtectモジュールをアップデートしました。今回のアップデートにより、発見されたエラーが修正されました。

システムのクリティカルなエラー(BSOD)を引き起こす問題が解決されました。

アップデートは自動的に行われますが、システムの再起動が必要です。

2017年6月1日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web Enterprise Security Suite 10.1 (201705110)に含まれるServerソフトウェア、Dr.Web Enterprise Proxy (201705110)、Dr.Web Enterprise Agent for Windows (11.0.1.05150) および Dr.Web Enterprise Agent for Windows supporting Active Directory (11.00.05180)をアップデートしました。今回のアップデートでは、新しい機能が追加されたほか、発見されたエラーが修正され、マニュアルも更新されました。

Dr.Web Enterprise Security Suite 10.1に含まれるServerでは、以下の変更が行なわれました。

• ライセンスキーファイルの自動更新が可能となりました。
• Dr.Web Security Control Centerでは、予防的保護機能とAgentの設定箇所を分けました。
• アンチウイルスネットワークのツリー内に表示されるAgentのソートが可能になりました。
• アンチウイルスネットワークのツリー内の一部の情報をエクスポート可能になりました。
• 多数のAgentに更新を配信する際に、サーバーのパフォーマンスが低下する問題が解決されました。
• 新しいホストがDr.Webサーバーへの接続を承認されないエラーが修正されました。
• Dr.Web Security Control Center内の"レポジトリコンテンツ"および"隔離"セクションにて、大きなファイルの入出力時にエラーが発生する問題が解決されました。
• アンチウイルスネットワーク内のステーション数をカウントするリクエストが、Web API経由で送信された場合に発生するエラーが修正されました。

Dr.Web Enterprise Proxyでは、以下の変更が行なわれました。

• Dr.Web Enterprise Proxyの負荷が大きい場合に、IDを持たないAgentがインストールできない問題が解決されました。
• 起動時のメモリ消費を削減しました。
• バージョン6のAgentが、プロキシサーバー経由で接続できない問題が解決されました。

Agentに含まれるコンポーネントでは、以下の変更が行なわれました。

• 最新のWindows 10 Creators Updateとの互換性が保たれました。
• 各コンポーネントが、最新バージョンへアップデートされました。

アップデートされたDr.Web Enterprise Security SuiteはDr.Web Control Center のwebインターフェースから入手することができます。アップデート日は2017年5月11日になっています。また、アップデートされたディストリビューションファイルは、Doctor Webサイトからダウンロードできます。

2017年6月1日

株式会社Doctor Web Pacific

Doctor Webは、一部のDr.Web製品に含まれるDr.Web Anti-rootkit API (11.1.11.201705260)、Dr.Web SelfPROtect (11.01.10.05180) およびコンフィギュレーションスクリプトをアップデートしました。今回のアップデートにより、新しい機能が加えられたほか、内部変更が追加されました。

上記の製品に含まれるDr.Web Anti-rootkit API、およびDr.Web Anti-virus、 Dr.Web Security Space、 Dr.Web Enterprise Security Suite、 Dr.Web AV-Desk、 Dr.Web KATANA とDr.Web CureNet!に含まれるDr.Web SelfPROtectでは、最新の脅威を含む脅威検出アルゴリズムが改善されました。

アップデートは自動的に行われますが、システムの再起動が必要です。

2017年5月31日

Doctor Webは、2017年5月におけるモバイルデバイスを狙った脅威についての総括をここに報告します。5月には、別のプログラムをダウンロードし、感染させたデバイスに関する情報をサイバー犯罪者に送信するトロイの木馬がGoogle Play上で発見されました。Google Play上では、また別のトロイの木馬が組み込まれたアプリケーションも発見されています。このトロイの木馬は追加のコンポーネントをダウンロード・起動し、広告を表示させます。そのほか、5月にはユーザーの口座から金銭を盗むバンキング型トロイの木馬の拡散もありました。

2017年5月31日

株式会社Doctor Web Pacific

Doctor Webは2017年5月のウイルスレビューをここに報告します。5月はWannaCryとして広く知られるようになった危険な暗号化ワームの大量拡散が起こった月として記憶に残るでしょう。また、macOSを標的とするバックドアやLinux向けの複雑なマルチコンポーネントトロイの木馬も発見されました。

2017年5月25日

株式会社Doctor Web Pacific

Linuxを標的とする悪意のあるプログラムはWindows向けのものほど多く拡散されてはいませんが、それでもなお、ユーザーに対して深刻な被害をもたらしています。この度、Doctor Webのスペシャリストは様々なハードウェアアーキテクチャ搭載のLinuxデバイスを感染させる複雑なマルチコンポーネントトロイの木馬について調査を行いました。

Linux.LuaBot ファミリーに属するこのトロイの木馬による最初の攻撃は、2016年12月にDoctor Webのセキュリティリサーチャーによって確認されています。このトロイの木馬は2016年11月から継続的に進化を続けており、 Linux.LuaBot の新しい亜種が定期的に登場していますが、全てのバージョンがLuaスクリプトで書かれています。 Linux.LuaBot は31のLuaスクリプトと2つの追加モジュールで構成され、それぞれが独自の機能を実行します。Intel x86(およびIntel x86_64)、 MIPS、 MIPSEL、 Power PC、 ARM、 SPARC、 SH4、 M68kのアーキテクチャを搭載するデバイスを感染させることができ、すなわち、コンピューターのみでなく、ルーターやセットアップボックス、ネットワークストレージ、IPカメラ、その他の「スマート」デバイスを幅広く感染させることができます。Doctor WebのスペシャリストはSPARCアーキテクチャ向けに設計されたトロイの木馬のサンプルを検出することはできませんでした。トロイの木馬はSPARCアーキテクチャを特定することはできますが、このアーキテクチャ向けの実際のモジュールは見つかっていません。

Linux.LuaBot に含まれるスクリプトは全て相互に依存しています。トロイの木馬は攻撃対象となるIPアドレスのリストを生成し、リスト上にあるリモートデバイスへの接続を試み、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出します。ネットワークノードをハッキングするために Linux.LuaBot によって使用されるスクリプトは、攻撃対象デバイスのアーキテクチャを特定することができるのみでなく、サイバー犯罪者を欺くためのおとりのサーバー「ハニーポット」を見分ける特殊なメカニズムを持っています。「ハニーポット」は、サイバー犯罪者の用いる攻撃の手法やテクニックについて解析するために情報セキュリティスペシャリストによって使用されるものです。また、攻撃はTelnetプロトコルとSSHプロトコル経由で実行され、これらプトロコルの動作にはそれぞれ異なるLuaスクリプトが対応しています。デバイスへのアクセスに成功すると、悪意のあるスクリプトが該当するアーキテクチャの Linux.LuaBot をデバイス上にインストールします。Telnet経由での攻撃では、まず初めにデバイス上に小さなモジュールがインストールされ、このモジュールが起動されると、トロイの木馬をダウンロードします。SSH経由での攻撃では、直ちにトロイの木馬がダウンロードされます。

Linux.LuaBot モジュールの1つは完全に機能するWebサーバーで、HTTPプロトコル経由で動作します。このサーバーは感染したデバイス上にアプリケーションを保存して起動し、要求に応じてそのディレクトリからファイルを送信し、トロイの木馬のバージョンに関する情報を共有します。この度登場した Linux.LuaBot の新しいバージョンでは、デバイスに関するデータを送信する機能が取り除かれていました。

Linux.LuaBot はHTTPプロトコル経由でC&Cサーバーと通信し、送信される全ての情報は暗号化されています。新しい設定ファイルやモジュールの検索には、通常のTorrentネットワークで使用されるものと同じBittorent DHTプロトコルに基づいた、P2Pネットワークが使用されます。この機能にはまた別のスクリプトが使われます。また、送受信するメッセージの真正性を検証するために電子署名が用いられます。P2Pネットワークを利用できない場合、別のスクリプトが感染した他のノードを使用し、特別なリクエストに応じてファイルを感染したデバイス上にダウンロードすることで Linux.LuaBot をアップデートします。このスクリプトが使用されていたのは Linux.LuaBot の初期のバージョンのみです。

Linux.LuaBot がLinuxデバイスのユーザーにとって危険である理由は、このトロイの木馬が実際はバックドアであるという点にあります。換言すればすなわち、 Linux.LuaBot はサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、このトロイの木馬の初期のバージョンは感染させたデバイス上でプロキシサーバーを起動させる機能を備えており、サイバー犯罪者はそのサーバーを使用してオンライン活動を匿名化していました。

Doctor Webのスペシャリストは Linux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。

Doctor Webでは、異なる機能やアーキテクチャ上の特徴を持った複数の Linux.LuaBot の亜種について把握しています。Dr.Web Anti-virusは現時点で存在する Linux.LuaBot の全てのバージョンを検出することができます。

Linux.LuaBotの詳細

2017年5月24日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web Security Space for Androidをバージョン11.1.2へアップデートしました。今回のアップデートでは、発見されたエラーが修正されたほか、インタフェースに変更が加えられました。

Dr.Web Security Space for Androidでは、以下の変更が加えられました。

• バージョン5.x以前のAndroidデバイスにおいて、Yandex.BrowserにてURLフィルターのエラーが修正されました。
• 一部のデバイスにおいて、アプリ動作の異常終了を引き起こす原因が解決されました。
• バージョン5.x以前のAndroidデバイスを対象に、インタフェースが変更されました。

本製品の最新バージョンをGoogle Play (Dr.Web Security Space、 Dr.Web Security Space Life) およびDoctor Webウェブサイトから入手できます。

アップデートは自動的に行われます。しかし、デバイス上の設定で自動更新が無効である場合、Google Playにアクセスし、アプリケーションのリストからDr.Web Security Space または Dr.Web Security Space Lifeを選択した後、「更新」をタップする必要があります。

Doctor Webのウェブサイトからアップデートを実行する場合には、新しいディストリビューションファイルをダウンロードする必要があります。更新の設定で「最新バージョン」が有効である場合、ウイルスデーベースが更新される際に、新しいバージョンに関する通知が表示されます。通知が表示されたダイアログボックスより新しいバージョンをダウンロードすることができます。

Dr.Web Security Space for Android 11.1.2のリリースノート(英語)

2017年5月23日

株式会社Doctor Web Pacific

Doctor Webは、無料で提供される緊急システム復旧ツールDr.Web LiveDisk 9.0をアップデートしました。今回のアップデートでは、発見されたエラーが修正されました。

今回のアップデートにより、USB対応バージョンにおいて、SSE2命令非対応CPUを実装しているコンピュータ上で本ユーティリティの異常終了を引き起こす問題が解決されました。

また、リムーバブルメディアにDr.Web LiveDiskを書き込むことができないエラーが修正されました。

Dr.Web LiveDiskのダウンロード

2017年5月19日

みなさんこんにちは！野田貴子です。

先日、興味深い詐欺がこちらの記事（https://news.drweb.co.jp/show/?i=11257&lng=ja&c=9）で紹介されました。その名も「八百長詐欺」です。八百長というとスポーツの賭け試合などにおけるインチキのことですが、八百長とマルウェアが一体どう関係しているのでしょうか。

みなさんはパチンコ、スポーツの試合結果、株価などの予測が確実に当たるとしたら、その情報にお金を払いますか。子供の性別や性的嗜好を指定できる方法があるとしたら、その情報にお金を払いますか。どんなに切実でも、やめておいた方が無難です。このような商売は十中八九インチキ、あるいは違法（インサイダーなど）でしょうから。

これらの詐欺を行う人にとって、一番の壁はまず利用者に信用してもらうことです。信用してお金を払ってもらうに至れば、あとは一定の確率でクレームや返金があろうと問題ありません。

掛け試合、ロト、パチンコといったギャンブルでは、一度当たるところを実演してみせれば信憑性が上がります。

パチンコの場合は、無関係の人を「あの席に座って今当てている人がうちのスタッフだ。ただし周りの人にバレるから声はかけないで欲しい。」と紹介します。

ロトや試合の場合は、すでに終わったものをあたかも将来のまだ結果が出ていないものであると利用者に信じこませ、その結果を当ててみせる方法があります。

しかし、今回はマルウェアを利用した八百長詐欺に焦点を当ててみましょう。

仮に、お金を払えば未来のサッカーの試合結果を教えてくれるというサービスがあるとします。口コミを読むと評判は良さそうですが、本当に当たるのかどうかはまだ確信が持てません。そこで試しに、「試合結果予測お試しダウンロード（無料）」というリンクをクリックし、近日行われる予定の試合結果が書かれたファイルをダウンロードしました。

みなさんご想像の通り、このファイルがマルウェア（悪意のあるソフトウェア）です。必ずしもパソコンに感染するタイプのマルウェアではありませんが、人を騙そうと悪意を持っていることは確実です。

さて、このダウンロードしたファイルの中身を見ようとしたところ、パスワードのロックがかかっています。パスワードは試合が終わった後にメールで教えてもらえるようです。

後日試合が終わるとすぐにパスワードが送られてきました。パスワードを入力してファイルを開いてみると、なんと、たった今終わったばかりの試合の結果がファイルに書かれていました！今後はお金を払えば試合前にファイルの中身を見ることができるそうです。これはすごい！と予測能力を信じてしまった人は、次の試合予測を知るために代金を支払い、早速賭け試合に乗じます。しかし、これ以降送られてくる試合予測は、どれもデタラメなものばかりなのでした。

実はこのファイルには初めから試合結果の予測は書かれていません。試合後に送られてくるパスワードを入力すると、そのパスワードの種類によって試合結果が自動で書き換わるようにプログラムされているだけなのです。

Dr.Webのデータベースにはこのタイプのウイルスも登録されているとはいえ、世の中に美味しい話はそうそうあるものではないということを、心に留めておきたいと思います。

興味がある方はDr.Webの製品ページも是非ご覧ください。
http://products.drweb.co.jp/biz/business_products/

執筆者：野田貴子（吉政創成株式会社）

2017年5月18日

株式会社Doctor Web Pacific

Doctor Webは、一部のDr.Web製品に含まれるDr.Web Scanning Engine (11.1.10.201704260)、Dr.Web Control Service (11.0.13.04281)、Dr.Web Thunderstorm Cloud Client SDK (11.0.2.04270) およびコンフィギュレーションスクリプトLua-script for antispam (11.0.5.11080)をアップデートしました。今回のアップデートでは、内部変更が加えられ、発見されたエラーが修正されました。

Dr.Web Security Space 11.0、Dr.Web Anti-virus 11.0 およびDr.Web Anti-virus 11.0 for Windows File Serversに含まれるControl Serviceでは、ライセンスの有効期間が開始していない状況において期限切れと表示されるエラーが修正されました。

Dr.Web Security Space 11.0、 Dr.Web Enterprise Security Suite 10.0 および Dr.Web AV-Desk 10.0 に含まれるLua-script for antispamでは、アンチスパムモジュールのアンインストール後に、dwantispam.exeのプロセスが正常に終了するために、必要な変更が加えられました。

アップデートは自動的に行われますが、システムの再起動が必要です。

2017年5月18日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web KATANA 1.0に含まれるDr.Web Anti-rootkit API (11.1.10.201705100)、コンフィギュレーションスクリプトLua-script for main (1.0.0.03300)、 Lua-script for av-service (1.0.0.03310)、Thunderstorm Cloud Client SDK (11.0.2.04270)、およびDr.Web KATANA 1.0 Business Editionに含まれるDr.Web KATANA BE setup (1.0.2.05120)をアップデートしました。今回のアップデートでは、内部変更が加えられました。

本アップデートにより、脅威の検出・駆除がさらに改善されました。

Dr.Web KATANAのアップデートは自動的に行われますが、システムの再起動が必要です。Dr.Web KATANA Business Editionの場合、管理モジュールの再起動が必要です。

2017年5月17日

株式会社Doctor Web Pacific

5月12日金曜日、「WannaCry」として知られる危険なワームが世界各地で多くのコンピューターを感染させました。Doctor Webでは、スペシャリストによる同マルウェアの調査を現在も続けていますが、現時点で明らかになっているその結果の一部を本記事にてご紹介します。

「Wannacry」と呼ばれるこのマルウェアはユーザーの介入なしにMicrosoft Windowsコンピューターを感染させるネットワークワームです。Dr.Web Anti-virusはこのワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。2017年5月12日の午前10時より拡散され始めたこのワームは、ランダムなIPアドレスを持った、ローカルネットワーク内にある全てのコンピューターとリモートインターネットサーバーを攻撃し、445番ポートへの接続確立を試みます。1台のコンピューターを感染させると、他のコンピューターへと感染を広げようとします。このことが、今回の大規模な拡散に繋がっています。この悪意のあるプログラムは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。

ネットワークワーム

起動されると、ワームはトロイの木馬内で指定されているドメインを持つリモートサーバーに対してリクエストを送信し、応答を受け取ると動作を終了します。一部のメディアでは、このドメインを登録することでWannaCryの拡散を止めることに成功したと報道しています。トロイの木馬が拡散された時点で、このドメインはサイバー犯罪者の不注意によって未登録となっていました。しかしながら、今回の解析の結果からは、このトロイの木馬はローカルネットワークにアクセスしているがインターネットには接続されていないコンピューターを感染させ、それらのコンピューター上で動作することが可能であるということが示唆されています。拡散が終了したと考えるのは早計に過ぎるといえるでしょう。

このトロイの木馬は起動されると「mssecsvc2.0」という名のシステムサービスとして自身を登録します。また、コマンドラインパラメータに対して敏感に反応し、引数が指定されると、エラー発生に備えてサービスの自動起動を有効にしようと試みます。システムサービスとして起動されてから24時間以内にワームは自動的に動作を終了します。

感染させたコンピューター上で起動された後、ワームはそのコンピューターのローカルネットワーク内でアクセス可能なサーバーとインターネット上のランダムなIPアドレスを持ったコンピューターを探し、445番ポートへの接続を試みます。接続の確立に成功すると、SMBプロトコルの脆弱性を悪用してそれらのコンピューターを感染させます。

ドロッパー

ドロッパーは、OS内に悪意のある実行ファイルをインストールするよう設計されたコンポーネントです。WannaCryのドロッパーにはパスワード保護されたZIPアーカイブが含まれており、このアーカイブにトロイの木馬エンコーダーの暗号化されたファイル、サイバー犯罪者からの要求を含んだWindowsデスクトップの壁紙、onionサーバーのアドレスとビットコインの送金先となるウォレット名を含んだファイル、Torネットワーク内で動作するプログラムを含んだアーカイブが含まれています。ドロッパーはワームの本体から起動され、自身をシステム内にインストールし、そして自身のコピーをランダムな名前のシステムサービスとして起動させようと試みます。この試みに失敗した場合、コピーは普通のプログラムとして実行されます。ドロッパーの主な役割はアーカイブの中身をディスク上に保存し、エンクリプターを起動させることです。

トロイの木馬型ランサムウェア

Trojan.Encoder.11432 はランダムなキーでファイルを暗号化します。ファイルには暗号化キーの長さに関するデータ、暗号化キー自体、暗号化の種類とソースファイルのサイズに関する情報が含まれています。暗号化の過程でf.wnryという名前のファイルが作成され、そこにはトロイの木馬がテストとして復号化するファイルのリストが含まれています。

このトロイの木馬は、感染したコンピューター上のシャドウコピーを削除し、システムの復元機能を無効にする作成者のデコーダーを持っています。また、Windowsデスクトップの壁紙を以下のような画像ファイルに変更します：

次に、Torネットワークとの動作に使用するアプリケーションを展開(または、それらをインターネットからダウンロード)し、トロイの木馬の設定ファイル内で指定されたアドレスを持つonionサーバーに接続します。そのサーバーから、仮想通貨ビットコインを入金させるウォレット名を受け取り、設定ファイル内に書き込みます。 Trojan.Encoder.11432 はonionサーバーとのデータのやり取りに独自のプロトコルを使用しています。

デコーダーは、f.wnryファイル内のリストで指定されている複数のテストファイルを復号化することを可能にします。復号化に必要な秘密鍵は、悪意のあるプログラムのコンポーネントの1つに含まれています。そのため、トロイの木馬を使用することなくテストファイルを復号化することができます。ただし、テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。

残念ながら、現時点では Trojan.Encoder.11432 によって暗号化されたファイルを復元することはできません。

感染の兆候

WannaCryに感染したシステムには以下のサービスとファイルが存在します：

• 「mssecsvc2.0」システムサービス("Microsoft Security Center (2.0) Service"と表示)
• トロイの木馬のエンコーダーファイル「C:\WINDOWS\tasksche.exe」(悪意のあるプログラムの古いコピーは「C:\WINDOWS\qeriuwjhrf」内に保存されています)

感染した場合の対処

• さらなる感染拡大を防ぐため、感染したシステムやコンピューター(重要なデータを含むもの)をコンピューターネットワークから隔離する
• データのバックアップを、あらゆるコンピューターから切り離して外部ストレージ上に保存する

本ワームに関する技術的な説明(英語)についてはこちらをご確認ください。

2017年5月15日

株式会社Doctor Web Pacific

5月12日金曜日、「WannaCry」、「WannaCryptor」、「WanaCrypt0r」、「WCrypt」、「WCRY」、「WNCRY」などとも呼ばれる Trojan.Encoder.11432 が世界各地でコンピューターを攻撃し、個人のほか政府機関や企業に大きな被害が出ています。Dr.Webソフトウェアのユーザーは、このランサムウェアから保護されています。

このトロイの木馬の最初の亜種 (Wanna Decryptor 1.0) は2017年3月27日午前07:20にDoctor Webのラボにて解析され、同日午前11:51にウイルスデータベースに追加されています。

「WannaCry」としても知られる Trojan.Encoder.11432 は金曜日の夜から拡散され、土曜日には世界中で大手企業のコンピューターを感染させています。

Doctor Webでは5月12日午前10:45にそのサンプルを入手し、Dr.Webウイルスデータベースに追加しました。

サンプルがデータベースに追加される以前より、Dr.Webは BACKDOOR.Trojan として既にこのトロイの木馬を検出していました。

Trojan.Encoder.11432 と名付けられたこのトロイの木馬はマルチコンポーネントなエンコーダーで、4つのコンポーネント(ネットワークワーム、エンコーダードロッパー、エンコーダー、作成者のデコーダー)を含んでいます。

Trojan.Encoder.11432 は感染させたコンピューター上にあるファイルを暗号化し、それらを復元するために、指定されたe-wallet(イーウォレット)にビットコインで身代金を支払うよう要求します。

このトロイの木馬の大規模拡散は、プロトコル「SMB」の脆弱性が要因となっています。Windows 10よりも古いバージョンの全てのWindows OSがこの脆弱性を持っています。Dr.Webユーザーは、 Trojan.Encoder.11432 の拡散が開始されて以降、何らの被害も受けていません。

Trojan.Encoder.11432 による感染からコンピューターを守るための推奨事項は以下のとおりです：

• お使いのOS向けのMS17-010アップデート(technet.microsoft.com/en-us/library/security/ms17-010.aspxで入手可能)と最新のセキュリティアップデートを全てインストールする。
• アンチウイルスをアップデートする。
• ファイアウォールを使用して、攻撃対象のネットワークポート(139、445)を閉じる。
• 攻撃されている、脆弱性を持ったOSのサービスを無効にする。
• 新しいソフトウェア(実行ファイル)のインストールと実行を禁止する。
• 不必要なユーザー権限を削除する(新しいソフトウェアを起動・インストールする権限)。
• システム内の必要のないサービスを削除する。
• Torネットワークへのアクセスを禁止する。

2017年5月15日

株式会社Doctor Web Pacific

Doctor Webは、無料のAndroid向けアンチウィルスDr.Web Light 10.0 for Androidをリリースしました。今回のバージョンでは、インタフェースおよび機能が大幅に最善されたほか、Android Ver. 7.1がサポートされました。

Dr.Web Light for Androidのインターフェースでは、変更が加えられ、発見された脅威に関するすべての通知が同じのイベントウィンドウにて表示するようになり、ユーザビリティの向上が図られました。

また、本プログラムでは、新しいアンチウイルスエンジンが搭載されたほか、悪意のあるオブジェクトの検知能力も、さらに向上しました。

さらに、発生しているエラーを特定するために、詳しい情報を収集・記録するシステムが導入されました。

Dr.Web Light for Androidのバージョン10.0へのアップデートが自動的に行われます。しかし、デバイス上の設定で自動更新のオプションが無効である場合、Google Playにアクセスし、アプリケーションのリストからDr.Web Lightアンチウイルスを選択した後、「更新」をタップする必要があります。

2017年5月12日

株式会社Doctor Web Pacific

Doctor Webのセキュリティリサーチャーは、サイバー犯罪者から受け取ったコマンドを実行する、Macを標的とした新たなトロイの木馬を発見し、その調査を行いました。

Mac.BackDoor.Systemd.1 としてDr.Webウイルスデータベースに追加されたこのバックドア型トロイの木馬は、起動されるとミススペリングを含んだメッセージ「This file is corrupted and connot be opened」をコンソールに表示させ、systemdと呼ばれるデーモンとして自身を再起動させます。また、 Mac.BackDoor.Systemd.1 は該当するフラグをセットすることで自身のファイルを隠そうと試みます。次に、SHコマンドを使用してplistファイルを作成し、自動起動するよう自身を登録します。

このトロイの木馬の本体には暗号化された設定情報が保存されています。その情報に応じて、 Mac.BackDoor.Systemd.1 はC&Cサーバーとの接続を自身で確立するか、または接続リクエストを受信するのを待ちます。接続されると、バックドアは受け取ったコマンドを実行し、サイバー犯罪者に対して以下の情報を定期的に送信します：

• OSの名前とバージョン
• ユーザー名
• ルート権限を取得可能かどうか
• 使用可能な全てのネットワークインターフェースのMACアドレス
• 使用可能な全てのネットワークインターフェースのIPアドレス
• 外部IPアドレス
• CPUの種類
• RAM容量
• マルウェアのバージョンと設定に関するデータ

Mac.BackDoor.Systemd.1 は独自のファイルマネージャーを持っており、サイバー犯罪者は感染したコンピューター上にあるファイルやフォルダに対して様々な操作を行うことが可能です。このバックドアは以下のコマンドを実行することができます：

• 指定されたディレクトリのコンテンツ一覧を受け取る
• ファイルを読み込む
• ファイルに書き込む
• ファイルのコンテンツを取得する
• ファイルやフォルダを削除する
• ファイルやフォルダの名前を変更する
• ファイルやフォルダの権限を変更する（chmodコマンド）
• ファイルの所有者を変更する（chownコマンド）
• フォルダを作成する
• bashシェルでコマンドを実行する
• トロイの木馬をアップデートする
• トロイの木馬を再インストールする
• C&CサーバーのIPアドレスを変更する
• プラグインをインストールする

Mac.BackDoor.Systemd.1 はMac向けのDr.Web製品によって検出・削除されるため、Dr.Webユーザーに危害が及ぶことはありません。

Mac.BackDoor.Systemd.1の詳細

2017年5月4日

株式会社Doctor Web Pacific

Doctor Webでは、「無料」のライセンスキーをダウンロードするユーザーを狙った、新たな悪意のあるプログラムについて注意喚起を行っています。この悪意のあるソフトウェアの拡散には従来のものとは異なる方法が用いられています。

少し前に、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループ内に、Dr.Web Anti-virusの無料ライセンスキーのダウンロードを提供する匿名ユーザーからのメッセージが出現しました。多くの場合、このようなメッセージにはRGhostファイルホスティングへのリンクが含まれています。リンクをたどってしまった被害者は、26 KBのRARアーカイブをダウンロードするかどうかを尋ねられます。Doctor Webグループのモデレーターは、これらのメッセージを可能な限り速やかに削除するよう努めていますが、投稿された直後に削除することは時として困難な場合があります。

アーカイブにはシンプルテキストドキュメントのアイコンを持った小さな実行ファイルが含まれています。この悪意のあるプログラムは同じバックドアですが、シグネチャ検出を回避するために、オンライン上で公表される度に新たにパックされているということが、解析された全てのサンプルから明らかになっています。その結果、 Trojan.MulDrop7.26387 と名付けられたこのトロイの木馬は、Dr.Web Anti-virusによって直ちに検出されることがありません。新しいサンプルは、ウイルスデータベースが新たに更新された後でのみ検出することが可能になります。 Trojan.MulDrop7.26387 はアンチウイルスのライセンスキーを装って拡散されていることから、サイバー犯罪者は、アンチウイルスソフトウェアを使用していないか、または無償の保護プログラムを使用している不注意なユーザーを陥れようと企んでいたものと考えられます。

Trojan.MulDrop7.26387 は非常に興味深い昔ながらの機能を備えた多目的バックドアで、広く知られているRemote Administration Tool (RAT) Njrat 0.7 Golden By Hassan Amiriをベースに作成されています。このツールはDr.WebによってBackDoor.NJRat.1013として検出されます。

起動後、 Trojan.MulDrop7.26387 はC&Cサーバーに接続し、感染したコンピューターに関する情報(ハードドライブのシリアル番号、インストールされているOSのビット版、コンピューター名、メーカー名、インストールされている場合はアンチウイルスのバージョン、Webカメラが使用可能かどうか)を送信します。このトロイの木馬は以下のコマンドを実行することができます：

• Windowsデスクトップ壁紙を置き換える
• コンピューターの電源を切る、または再起動させる
• 規定されたテキストでのシステムメッセージをスクリーン上に出力する
• マウスキーの機能を入れ替える
• 音声シンセサイザーやスピーカーを使用して特定の言葉を再生する
• Windowsタスクバーを隠し、その後復元する
• 光学ドライブを開く、または閉じる
• ディスプレイをオンオフする
• 指定されたリンクをブラウザで開く
• システムレジストリの指定された値を読み込む、インストールする、または削除する
• スクリーンショットを作成し、C&Cサーバーに送信する
• 指定された実行ファイルをダウンロード・起動する
• トロイの木馬の実行ファイルをリフレッシュ、または削除する

Trojan.MulDrop7.26387 の最も危険な機能の1つは、キー入力を記録する、埋め込まれたキーロガーです。このデータはコマンドに応じてサイバー犯罪者のサーバー上にダウンロードされます。また、このトロイの木馬は恐ろしい画像の含まれたSWF動画を予期せぬタイミングで感染したコンピューター上に表示させることができます。

ユーザーを怯えさせたり混乱させたりすることを主な目的としたこのような悪意のあるプログラムは昨今では非常に珍しいものとなっています。多くのトロイの木馬は収益を得ることを目的としたものであり、ただ単に「楽しむ」ためにユーザーを怖がらせるようなウイルスを拡散させるというのは、まるで中学生のいたずらのようです。

「ただほど高いものはない」という諺が示すとおり、商用ソフトウェアのライセンスキーを無料で提供するあらゆるダウンロードリンクは結局のところ詐欺であると言えます。このような罠に陥らないよう十分に警戒するようにしてください。

Trojan.MulDrop7.26387の詳細

2017年5月3日

株式会社Doctor Web Pacific

Doctor Webは、Dr.Web 11.0.2 for Microsoft Exchange Serverをリリースしました。今回のリリースにより、発見されたエラーが修正されました。

Dr.Web 11.0.2 for Microsoft Exchange Serverでは、下記のエラーが修正されました。

• 本製品の旧バージョンをアップデートする際、ユーザープロフィールが正常に表示されないエラー
• Active Directoryに接続できないエラー
• 潜在的な危険性があるプログラム、ダイアラー、ハッキングツール、アドウェア、およびジョーカーのスキャンを無効化できないエラー

アップデートの詳細およびDr.Web 11.0.2 for Microsoft Exchange Serverのシステム要件については、リリースノート(英語)をご覧ください。