全てのニュース ニュース購読
05.11 ユーティリティDr.Web CureIt!に含まれるDr.Web Virus-Finding Engineなどのコンポーネントをアップデート
2022年5月11日
株式会社Doctor Web Pacific
Dr.Web Virus-Finding Engineでは、本コンポーネント動作の安定性向上が図られました。
さらに、Dr.Web Scanning Engineでは次の変更が追加されました。
- アーカイブのスキャン時に、マスクを使用したファイル除外オプションが追加されました。ファイル名およびアーカイブ内のパスに対し除外を適用できます。
- ファイルを隔離からネットワークフォルダへ移動する際に、パスが正しくない旨が表示される問題が解決されました。
- Dr.Web Scanning Engineプロセス用のアイコンが追加されました。
上記に加え、信頼済みアプリケーションのデータベースが更新されました。
2022年4月27日
株式会社Doctor Web Pacific
上記の全製品にて下記のコンポーネントがアップデートされました。
Dr.Web Scanning Engine (12.6.9.202203290)
- アーカイブのスキャン時に、マスクに基づくファイル除外オプションが追加されました。除外オプションには、ファイル名およびアーカイブ内のパスに対し除外を適用できます。
- 脅威を駆除する際に発生するエラーが修整されました。
- ファイルを隔離からネットワークフォルダへ移動する際に、パスが正しくない表示されるエラーが修整されました。
- Dr.Web Scanning Engine プロセスのためのアイコンが追加されました。
Dr.Web Control Service (12.12.0.03180)
- Windows Security Centerとの連携は、個別のモジュール Dr.Web WSC Service により行われます。
- 許可デバイスリスト内のオブジェクトが追加・削除される際のデバッグロギングが拡充されました。
- Joke、 Hacktool および Riskware プログラムを対象に、 Dr.Web 12.0 for Windows 製品の設定にてデフォルト値に戻す際に、誤った値になる問題が解決されました。
- Windows イベントログでは、脅威の検出に関するメッセージに含まれていたエラーが修整されました。
- ライセンス状態(ブロック済み等)の更新ルーチンに変更が加えられました。
- システム時刻に変更があった場合、自動更新を妨げるエラーが修整されました。
- 製品動作の安定性が向上しました。
Dr.Web Protection for Windows (12.06.10.04180)
- 暗号化ランサムウェア検出の効率化が図られました。
上記のほか、 Dr.Web Enterprise Security Suite 12.0 および13.0、 Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれる Dr.Web ES Service (12.12.0.03220) が、アップデートされました。
- サブスクリプション(Dr.Web AV-Desk)を法人向けタイプに変更した場合、Office Controlの設定が要求されない問題が解決されました。
- "プログラム終了を待機" の設定が指定されている状態でも、タスクスケジューラーのジョブが、関連付けられているジョブのプログラムが終了する前に実行されてしまう問題が解決されました。
- ロギングへ改良が加えられました。
- 製品動作の安定性が向上しました。
さらに、動作の安定性向上を図り、上記の製品に含まれる Dr.Web ES Update Helper (1.0.3.01280) が更新されました。また、 Dr.Web Enterprise Security Suite 13.0 および Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれる Dr.Web Mesh Client (12.5.2.202203210) も更新されました。
Dr.Web Security Space 12.0、 Dr.Web Enterprise Security Sute 12.0 および 13.0、 Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれるコンフィギュレーションスクリプト Lua-script for antispam (12.5.8.04140) がアップデートされ、製品インストールおよび削除の際にログに発生するエラーが修整されました。
さらに、以下のコンポーネントが更新されました。
- 上記の全製品に含まれる Lua-script for av-service、 dwprot、 spider-g3、 traffic-hook (12.10.14.12090) および Lua-script for amsi-plugin、 elam (12.10.16.01270)
- Dr.Web Security Space 12.0、 Dr.Web Anti-virus 12.0 for Windows Server、 Dr.Web Enterprise Security Suite 12.0 および13.0、 Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれる Lua-script for device-guard (12.10.14.12090)
- Dr.Web Security Space 12.0、 Dr.Web Anti-virus 12.0、 Dr.Web Enterprise Security Suite 12.0 および 13.0、 Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれる Lua-script for net-filter (12.10.14.12090)
- Dr.Web 12.0 for Windows に含まれる Products.xml for standalone (12.0.6.07280)
- Dr.Web Enterprise Security Suite 12.0 に含まれる Products.xml for es-agent (12.0.4.02070) および Lua-script for es-service (12.5.6.02070)
- Dr.Web Enterprise Security Suite 13.0 および Dr.Web AV-Desk 13.0 の Dr.Web Anti-virus サブスクリプションサービスに含まれる Products.xml for es-agent (13.0.6.07280) および Lua-script for es-service (12.10.14.12090)
今回のアップデートを実行時に、新しいモジュールDr.Web WSC Serviceが接続されるため、Windows Security Center より、アンチウイルスの無効化および再度の有効化についての通知が出る可能性がありますが、アンチウイルス保護は継続して動作しますので、ご安心ください。
アップデートは自動的に行われますが、システムの再起動が必要です。
04.26 Dr.Web製品に含まれるDr.Web Virus-Finding Engineをアップデート、動作安定性を向上
2022年4月26日
株式会社Doctor Web Pacific
今回のアップデートでは、内部変更が加えられ、Dr.Web Virus-Finding Engineの動作安定性の向上が図られました。
Dr.Web Virus-Finding Engineの更新が適用された製品は、下記となります。
x64プラットフォーム(個人向け製品):
- Dr.Web for macOS 11.1/12.0/12.5
- Dr.Web Anti-virus for Linux 11.1
- Dr.Web AV-Desk 10.00.1/10.01.0/13 (Dr.Web Anti-virusサブスクリプションサービス)
※UNIX対応Dr.Web Agent
x64プラットフォーム(法人向け製品):
- Dr.Web for UNIX Server 11.1
- Dr.Web for UNIX Mail Server 11.1
- Dr.Web for Internet Gateways UNIX 11.1
- Dr.Web Enterprise Security Suite 10.00.0/10.00.1/10.01.0/11.00/12.00/13
※UNIX対応Dr.Web Agent - Dr.Web for Kerio Mail Server (Unix) 11.1
x86プラットフォーム(個人向け製品):
- Dr.Web Anti-virus for Linux 6/11.0/11.1
- Dr.Web for macOS 9.0/11.0
- Dr.Web Security Space 11.5/12
- Dr.Web Anti-virus 11.5/12
- Dr.Web AV-Desk 10.01.0/13 (Dr.Web Anti-virusサブスクリプションサービス)
x86プラットフォーム (法人向け製品):
- Dr.Web for UNIX Server 6/11.0/11.1
- Dr.Web for UNIX Mail Server 6/11.0/11.1
- Dr.Web for Internet Gateways UNIX 6/11.0/11.1
- Dr.Web Anti-virus for Windows Server11.5/12
- Dr.Web for MS Exchange 11.5/12
- Dr.Web for IBM Lotus Domino (Windows対応) 11.5/12
- Dr.Web LiveDisk 9
- Dr.Web Enterprise Security Suite 11.00/12.00/13
ARM64プラットフォーム(個人向け製品):
- Dr.Web Anti-virus for Linux 11.1
- Dr.Web for macOS 12.0/12.5
- Dr.Web AV-Desk 13 (Dr.Web Anti-virusサブスクリプションサービス)
※UNIX対応Dr.Web Agent
ARM64プラットフォーム(法人向け製品):
- Dr.Web for UNIX Server UNIX 11.1
- Dr.Web for UNIX Mail Server 11.1
- Dr.Web for Internet Gateways UNIX 11.1
- Dr.Web Enterprise Security Suite 12/13
※UNIX対応Dr.Web Agent
Dr.Web Virus-Finding Engine は、システムのアンチウイルス保護の主要なコンポーネントであります。本コンポーネントはウイルスやマルウェアの検索・検出ルーチンを実行し、不審な挙動を解析します。
アップデートは自動的に行われます。
04.21 2022年3月のウイルスレビュー
2022年4月21日
株式会社Doctor Web Pacific
3月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は前月と比較して13.2%増加しています。最もアクティブな暗号化ランサムウェアは
3月の主な傾向
- ユニークな脅威の数が増加
- アドウェアが依然として最もアクティブな脅威の一つとなる
Doctor Webサーバーによる統計
3月に最も多く検出された脅威:
- Adware.SweetLabs.5
- 「Opencandy」などのアドウェアの作成者による、Windows GUIの代替アプリケーションストアとアドオンです。
- Adware.Downware.19998
- 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
- Trojan.Siggen17.24247
- Siggenファミリーに属するトロイの木馬です。
- Adware.OpenCandy.247
- システムに他のソフトウェアをインストールするよう設計されたアプリケーションのファミリーです。
- Trojan.AutoIt.710
- AutoItスクリプト言語で記述され、マイニング型トロイの木馬やRATトロイの木馬の一部として拡散される悪意のあるユーティリティプログラムです。
メールトラフィック内で検出された脅威の統計
- W97M.DownLoader.2938
- X97M.DownLoader.922
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードするよう設計されています。
- Trojan.Siggen17.24247
- Siggenファミリーに属するトロイの木馬です。
- BackDoor.SpyBotNET.25
- VB.NET言語で記述されたバックドアで、ファイルシステムを操作し(ディレクトリをコピー、作成、削除するなど)、プロセスを終了させ、スクリーンショットを撮ることができます。
- HTML.FishForm.279
- フィッシングメールを介して拡散される、有名なサイトを模倣した偽の認証ページです。ユーザーが入力した認証情報は攻撃者に送信されます。
暗号化ランサムウェア
2022年3月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数には、2月と比較して約13.26%の増加が認められました。
Trojan.Encoder.26996 — 26.23%Trojan.Encoder.3953 — 13.99%Trojan.Encoder.567 — 8.04%- Trojan.Encoder.30356 — 1.40%
Trojan.Encoder.11539 — 1.05%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2022年3月、Doctor Webのアナリストは、動画を視聴することでお金をもらえると謳うサイトが増加していることを確認しました。ユーザーは登録するための必須入力項目としてクレジットカード番号の提示を求められます。実際には機密データはサイバー犯罪者の手に渡り、ユーザーがお金を受け取ることはありません。
上の画像はそのようなサイトの例です。動画を視聴することで支払われる金額と、すでにお金を受け取ったとされるユーザーからの熱烈なレビューが掲載されています。
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
3月、Doctor Web はAndroid デバイスとiOSデバイスのユーザーから仮想通貨を盗むよう設計されたトロイの木馬CoinStealについて注意喚起を行う記事を公表しました。これらトロイの木馬は脅威アクターによってMetaMask、imToken、Bitpie、 TokenPocketなどのポピュラーな仮想通貨ウォレットアプリの一部のバージョンに埋め込まれ、正規のバージョンを装って拡散されていました。CoinStealは仮想通貨ウォレットにアクセスするために必要なシードフレーズを盗みます。
Google Playではその他の脅威も発見されています。それらの中にはさまざまな詐欺スキームに用いられるAndroid.FakeAppや、ユーザーのFacebookアカウントにアクセスするために必要な機密情報を盗むよう設計されたトロイの木馬
Android向けDr.Web アンチウイルス製品の検出統計によると、他のアプリケーションの通知から情報を盗むトロイの木馬
3月のモバイルマルウェアに関連した注目すべきイベントは以下のとおりです。
- トロイの木馬
Android.Spy.4498 の活動が減少 - アドウェア型トロイの木馬の活動が依然として活発
- Android デバイスとiOSデバイスのユーザーから仮想通貨を盗むよう設計された悪意のあるアプリを発見
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
04.21 2022年3月のウイルスレビュー ― マルウェア活動の増加等
2022年4月21日
株式会社Doctor Web Pacific
04.20 2022年3月のモバイルマルウェアレビュー ― 仮想通貨を盗むトロイの木馬、Google Play上の新たな脅威等
2022年4月20日
株式会社Doctor Web Pacific
そのほか、3月にはAndroid デバイスとiOSデバイスの両方のユーザーを標的として仮想通貨を盗むよう設計されたトロイの木馬CoinStealが発見され、Google Playでも新たなマルウェアが発見されました。詳細については3月のレビューをご覧ください。
04.20 2022年3月のモバイルマルウェアレビュー
2022年4月20日
株式会社Doctor Web Pacific
2022年3月には他のアプリの通知から情報を盗むよう設計されたトロイの木馬
3月半ばにはAndroid デバイスとiOSデバイスのユーザーから仮想通貨を盗むよう設計された悪意のあるアプリケーションについて注意喚起を行う記事を公表しました。また、Google Playでは3月を通して新たなトロイの木馬が発見されています。
3月の主な傾向
- トロイの木馬 Android.Spy.4498 の活動が減少
- アドウェア型トロイの木馬が依然としてアクティブな脅威の一つとなる
- Android デバイスとiOSデバイスのユーザーから仮想通貨を盗むよう設計された悪意のあるアプリを発見
3月の脅威
3月、Doctor Webはトロイの木馬CoinStealの発見について注意を喚起する記事を公表しました。これらトロイの木馬はAndroid デバイスとiOSデバイスの両方のユーザーを標的とし、仮想通貨を盗むよう設計されています。脅威アクターによって改変されたポピュラーな仮想通貨ウォレットアプリ(MetaMask、imToken、Bitpie、 TokenPocketなど)の一部のバージョンに潜み、無害な正規のバージョンを装って拡散されていました。
以下の画像は、正規のMetaMaskアプリケーションと、その偽バージョンの動作を比較した例です。
このトロイの木馬はユーザーに気づかれることなくシードフレーズを盗み、リモートサーバーに送信します。盗まれたシードフレーズは仮想通貨ウォレットに保管されている仮想通貨にアクセスするために使用されます。このような数十ものトロイの木馬がDoctor Webのスペシャリストによって発見されました。この脅威に関する詳細はこちらの記事をご覧ください。
Dr.Web for Androidによる統計
Android.Spy.4498 - 他のアプリの通知内容を盗むトロイの木馬です。アプリをダウンロードしてインストールするようユーザーに促したり、さまざまなダイアログボックスを表示したりすることもできます。
Android.HiddenAds .3018Android.HiddenAds .1994- 迷惑な広告を表示させるよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると 自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.MobiDash .6932- 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Triada .4567- さまざまな悪意のある動作を実行する多機能なトロイの木馬です。このマルウェアは他のアプリのプロセスを感染させるトロイの木馬ファミリーに属します。亜種の中にはAndroidデバイスの製造過程で犯罪者によってファームウェア内に組み込まれているものもあります。さらに、保護されたシステムファイルやフォルダにアクセスするために脆弱性を悪用するものもあります。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
- Program.WapSniff.1.origin
- WhatsAppのメッセージを傍受するように設計されたAndroidプログラムです。
Program.SecretVideoRecorder .1.originProgram.SecretVideoRecorder .2.origin- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションです。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアと見なされます。
Program.KeyStroke.3 - キーストロークを傍受する機能を持った、Android向けアプリケーションです。一部の亜種は着信SMSを追跡したり、通話履歴にアクセスしたり、通話を録音したりすることもできます。
Tool.SilentInstaller .14.originTool.SilentInstaller .6.originTool.SilentInstaller .13.originTool.SilentInstaller .7.origin- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
Tool.Packer .1.origin- Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
Adware.SspSdk .1.originAdware.AdPush .36.originAdware.Adpush .6547Adware.Adpush .16510- Adware.Myteam.2.origin
Google Play上の脅威
3月、Google Playでは
また、Facebookユーザーを標的としたトロイの木馬 Android.PWS.Facebook.134 も発見されています。このトロイの木馬は画像編集ソフトウェアPhoto PIPとCollager Photo Makerに潜み、ユーザーのFacebookアカウントにアクセスするために必要なデータを盗みます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
04.20 Dr.Web 30周年を記念し、Dr.Web Security Space 1年分の保護をプレゼントします!
2022 年4月20日
本キャンペーンの期間中は、3年ライセンス(PC2台)の価格は8584JPYではなく、6329JPYとなります。
Dr.Web Security Space には、30年間にわたり蓄積してきた弊社の豊富なノウハウが活かされております。本製品に含まれるコンポーネントを活用し、さまざまな種類の脅威に対して防止対策を講じることができます。Dr.Web は、ファイルシステム保護、スパム対策、脅威が含まれるウェブサイトへのアクセス制御、暗号化ランサムウェア防御対策などを提供します。
Dr.Web Security Spaceライセンスを購入された場合、Androidデバイス向け保護を無料でお使いいただけます。本キャンペーンの条件では、モバイルデバイス2台を無料で保護することが可能です。
Dr.Webをご購入できる絶好のチャンスです。是非、今回のチャンスをお見逃しないようお願い申し上げます!
04.18 Dr.Web Security Space for macOS をバージョン12.6.2へアップデート
2022年4月18日
株式会社Doctor Web Pacific
本アップデートにより、一部のファイルに対するスキャンの終了を妨げる問題が解決されました。
さらに、本アプリのインターフェイスにてエラーの説明が修正されたほか、Dr.Webクラウドサービスへの内部変更が追加されました。
Dr.Web Security Space 12.6.2 for macOS を使用するには、新しいディストリビューションファイルをダウンロードする必要があります。.
04.18 Dr.Web Enterprise Security Suite 13.0およびDr.Web AV-Desk 13.0のServerソフトウェアに含まれるOpenSSLライブラリをアップデート
2022年4月18日
株式会社Doctor Web Pacific
Dr.Web Serverに含まれる OpenSSL ライブラリが、バージョン 1.1.1n へアップデートされました。
上記のほか、Serverにてキャッシュファイルがタイムリーにクリアされないエラーが修正されました。
アップデートは、Dr.Webグローバルアップデートシステム経由で実施されます。
04.14 DrWebBot 2.1 for Telegramをアップデート
2022年4月14日
株式会社Doctor Web Pacific
今回のアップデートでは、リンクの処理および解析メカニズムに改良が加えられたほか、アプリケーションの検査ルーチンの一部が最適化されました。
Dr.Web Bot for Telegram を使用するには、 Telegramにおけるアカウント @DrWebBot を検索するか、直接 telegram.me/drwebbot にアクセスした後、ファイル又はリンクを送信すると、Dr.Web Bot にオンザフライでスキャンされ、その結果が表示されます。
04.13 Dr.Web 11.1 for UNIXおよびDr.Web Enterprise Security Suite 13.0のScanning Serverに含まれるコンポーネントをアップデート
2022年4月13日
株式会社Doctor Web Pacific
上記のコンポーネントに変更が加えられ、動作が改善されました。
アップデートは、Dr.Webリポジトリ経由で実施されます。 Dr.Web Enterprise Security Suite 13.0 の Scanning Serverをアップデートするには、UNIX系Dr.Web製品のrunパケットの標準プロシージャーが用いられます。
04.06 2022年2月のウイルスレビュー
2022年4月6日
株式会社Doctor Web Pacific
2月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は前月と比較して10.72%減少しています。最もアクティブな暗号化ランサムウェアは Trojan.Encoder.26996 で、リクエスト全体の四分の一近くを占めていました。
2月の主な傾向
- マルウェア活動の増加
- アドウェアが依然として最もアクティブな脅威の一つとなる
Doctor Webサーバーによる統計
2月に最も多く検出された脅威:
- Adware.SweetLabs.5
- 「Opencandy」などのアドウェアの作成者による、Windows GUIの代替アプリケーションストアとアドオンです。
- Adware.Downware.19998
- 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
- Adware.OpenCandy.247
- システムに他のソフトウェアをインストールするよう設計されたアプリケーションのファミリーです。
- Trojan.AutoIt.710
- Trojan.AutoIt.961
- AutoItスクリプト言語で記述され、マイニング型トロイの木馬やRATトロイの木馬の一部として拡散される悪意のあるユーティリティプログラムです。
メールトラフィック内で検出された脅威の統計
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードするよう設計されています。
- HTML.Fisher.353
- メールアカウントにアクセスするための認証情報入力フォームを表示させるフィッシングHTMLページです。
- BackDoor.SpyBotNET.25
- VB.NET言語で記述されたバックドアで、ファイルシステムを操作し(ディレクトリをコピー、作成、削除するなど)、プロセスを終了させ、スクリーンショットを撮ることができます。
- Trojan.PackedNET.1168
- パックされたマルウェアです。
- HTML.FishForm.294
- フィッシングメールを介して拡散される、有名なサイトを模倣した偽の認証ページです。ユーザーが入力した認証情報は攻撃者に送信されます。
暗号化ランサムウェア
2022年2月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数には、1月と比較して約10.72%の減少が認められました。
Trojan.Encoder.26996 — 23.63%Trojan.Encoder.3953 — 11.99%Trojan.Encoder.567 — 3.77%Trojan.Encoder.11539 — 3.77%- Trojan.Encoder.30356 — 3.42%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2022年2月、Doctor Webのアナリストはオンラインデリバリーサービスを装った詐欺サイトが増加していることを確認しました。機密データの含まれたページがユーザーごとに作成され、ユーザーはそこで支払いのためにクレジットカード情報を入力するよう促されます。
上の画像はそのようなサイトの例です。偽の追跡番号と支払い状況が表示されています。
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
Android向けDr.Web アンチウイルス製品の検出統計によると、他のアプリケーションの通知から情報を盗むトロイの木馬
Google Playでは
2月のモバイルマルウェアに関連した注目すべきイベントは以下のとおりです。
- トロイの木馬
Android.Spy.4498 の活動が増加 - アドウェア型トロイの木馬の活動が依然として活発
- Google Playに新たな悪意のあるアプリケーションが登場
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
04.06 2022年2月のウイルスレビュー ― マルウェア活動の増加等
2022年4月6日
株式会社Doctor Web Pacific
04.05 2022年2月のモバイルマルウェアレビュー
2022年4月5日
株式会社Doctor Web Pacific
2022年2月には、他のアプリの通知から情報を盗むよう設計されたトロイの木馬
Google Play では、悪意ある攻撃者によってさまざまな詐欺スキームに用いられる
2月の主な傾向
- トロイの木馬
Android.Spy.4498 が引き続きAndroidデバイス上で最も多く検出された脅威となる - アドウェア型トロイの木馬が依然としてアクティブな脅威の一つとなる
- Google Playに新たな脅威が登場
Dr.Web for Androidによる統計
Android.Spy.4498 - 他のアプリの通知内容を盗むトロイの木馬です。アプリをダウンロードしてインストールするようユーザーに促したり、さまざまなダイアログボックスを表示したりすることもできます。
Android.HiddenAds .3018Android.HiddenAds .624.origin- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると 自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.MobiDash .6932- 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.DownLoader .475.origin- 別のマルウェアや不要なソフトウェアをダウンロードするトロイの木馬です。Google Play 上の一見無害なアプリや悪意のあるWebサイトに隠されている場合があります。
Program.FakeAntiVirus .1- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
Program.SecretVideoRecorder .1.originProgram.SecretVideoRecorder .2.origin- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションです。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアと見なされます。
Program.KeyStroke.3 - キーストロークを傍受する機能を持った、Android向けアプリケーションです。一部の亜種は着信SMSを追跡したり、通話履歴にアクセスしたり、通話を録音したりすることもできます。
- Program.WapSniff.1.origin
- WhatsAppのメッセージを傍受するように設計されたAndroidプログラムです。
Tool.SilentInstaller .14.originTool.SilentInstaller .6.originTool.SilentInstaller .13.originTool.SilentInstaller .7.origin- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
Tool.DdosId.1.origin - ネットワーク、Webサーバー、Webサイトの安定性・負荷テスト用に設計されたAndroidアプリです。このアプリ自体は悪意のあるものではありませんが、DoS(Denial-of-Service:サービス妨害)攻撃に用いられる可能性があります。そのため、Dr.Webによって潜在的に危険なツールとして検出されます。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
Adware.AdPush .36.originAdware.SspSdk .1.origin- Adware.Myteam.2.origin
Adware.Adpush .16510Adware.Adpush .6547
Google Play上の脅威
Google Playでは、2月を通してDoctor Webのスペシャリストによって新たな偽アプリが発見されています。悪意のある攻撃者はこれらのアプリをさまざまな詐欺スキームに使用しています。その一部である
また、「Flying Knife Master-Throw Hit」、「Powerful Multi Space-2Accounts」、「Space Flight Battle」、「Idle Soldier-Battle Royale.io」などのアプリやゲームには多機能トロイの木馬
そのほか、アフィリエイトプログラムのサイトを開いてユーザーを有料モバイルサービスに登録するトロイの木馬
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
04.05 2022年2月のモバイルマルウェアレビュー ― スパイウェア型トロイの木馬の活動増加、Google Play上の脅威等
2022年4月5日
株式会社Doctor Web Pacific
Google Playからは2月にもさまざまな悪意のあるアプリが拡散されました。詐欺スキームに用いられる
04.05 Dr.Web製品に含まれるDr.Web Virus-Finding Engineをアップデート
2022年4月5日
株式会社Doctor Web Pacific
ウイルスデータベースの完全な再起動が実施される際に、本コンポーネントが正常に動作しない問題を確認したため、安定した製品動作を確保するため以前のバージョンにロールバックされました。
対象製品は、下記となります。
- Dr.Web Security Space 7/8/9/10/11.0
- Dr.Web Anti-virus 7/8/9/10/11.0
- Dr.Web Anti-virus 7/8/10/11.0 for Windows Server
- Dr.Web 10.0/11 for MS Exchange
- Dr.Web 10/11.0 for IBM Lotus Domino (Windows)
- Dr.Web ATM Shield 6
- Dr.Web 6 for Kerio Mail Server (Windows)
- Dr.Web 6 for Kerio Internet Gateways (Windows)
- Dr.Web 6 for MIMEsweeper
- Dr.Web LiveDisk 9
- Dr.Web 6 for Qbik Wingate
- Dr.Web 6 for TrafficInspector
- Dr.Web CureNet! 10/11
- Dr.Web 11 for Microsoft ISA Server and Forefront TMG
- Dr.Web AV-Desk 10.00.1
- Dr.Web Enterprise Security Suite 10.00.0/10.00.1/10.01.0
上記のほか、 Dr.Web Enterprise Security Suite 10.01.0 に含まれる Dr.Web Scanning Engine (11.5.4.201810010) がアップデートされました。
Dr.Web Virus-Finding Engine をロールバックするには、システムの再起動が必要です。 Dr.Web Enterprise Security Suite 10.01.0を更新時に、 再起動を求めるダイアログが表示されます。他の上記Dr.Web製品の場合、ユーザーが手動にてシステムを再起動する必要があります。注意!再起動が実施されるまで、製品は正常に動作しない可能性があります。
2022年4月5日
株式会社Doctor Web Pacific
本アップデートにより、Dr.Web Anti-rootkit API にて予防的保護へ変更が加えられ、誤検知を引き起こす原因が解消されました。
アップデートは自動的に行われます。
03.31 Doctor Web、Dr.Web Security Space for BlackBerryのサポートを終了
2022年3月31日
株式会社Doctor Web Pacific
弊社製品ラインアップにて、モバイルデバイス向け保護を希望される場合、多くのユーザーに信頼されているDr.Web Security Space for Androidの利用を是非ご検討ください。
2022年3月31日
株式会社Doctor Web Pacific
Dr.Web Anti-rootkit API では、予防的保護メカニズムに変更が追加され、誤検知を引き起こす原因が解消されました。
アップデートは自動的に行われます。
2022年3月29日
株式会社Doctor Web Pacific
Dr.Web Anti-rootkit APIでは、暗号化ランサムウェアの検出機能が改良されました。
アップデートは自動的に行われます。
03.29 DrWebBot 2.1 for Telegram および DrWebBot 1.0 for VKをアップデート
2022年3月29日
株式会社Doctor Web Pacific
DrWebBot for 2.1 for Telegram にてリンク検査にかかる時間の増加やコマンドへの反応が遅くなる問題が解決されました。
さらに、オブジェクト検査を行う主要なコンポーネント DrWebBot Checker がアップデートされました。
Dr.Web Bot for Telegram を使用するには、Telegramにおけるアカウント@DrWebBotを検索するか、直接 telegram.me/drwebbot にアクセスした後、ファイル又はリンクを送信すると、 Dr.Web Bot によりオンザフライでスキャンされ、その結果が表示されます。
DrWebBot for VKを使用するには、こちらのリンクをクリックしてください。表示されたページにコマンド/settingsを挿入すると、本ボットの言語(英語またはロシア語)やスキャン通知の種類を選択するための必要な設定を行えます。
03.25 2022年1月のウイルスレビュー
2022年3月25日
株式会社Doctor Web Pacific
1月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は前月と比較して72.15%増加しています。最もアクティブな暗号化ランサムウェアは Trojan.Encoder.26996 で、リクエスト全体の三分の一近くを占めていました。
1月の主な傾向
- マルウェア活動の減少
- アドウェアが依然として最もアクティブな脅威の一つとなる
- ランサムウェアによって暗号化されたファイルの復号化リクエスト数が増加
Doctor Webサーバーによる統計
1月に最も多く検出された脅威:
- Adware.SweetLabs.5
- 「Opencandy」などのアドウェアの作成者による、Windows GUIの代替アプリケーションストアとアドオンです。
- Adware.Downware.19998
- Adware.Downware.19985
- 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
- Adware.OpenCandy.247
- システムに他のソフトウェアをインストールするよう設計されたアプリケーションのファミリーです。
- Trojan.AutoIt.961
- AutoItスクリプト言語で記述され、マイニング型トロイの木馬やRATトロイの木馬の一部として拡散される悪意のあるユーティリティプログラムです。
メールトラフィック内で検出された脅威の統計
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードするよう設計されています。
- BackDoor.SpyBotNET.25
- VB.NET言語で記述されたバックドアで、ファイルシステムを操作し(ディレクトリをコピー、作成、削除するなど)、プロセスを終了させ、スクリーンショットを撮ることができます。
- HTML.FishForm.273
- フィッシングメールを介して拡散される、有名なサイトを模倣した偽の認証ページです。ユーザーが入力した認証情報は攻撃者に送信されます。
- Exploit.ShellCode.69
- 脆弱性CVE-2017-11882を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。
- Trojan.PackedNET.1156
- パックされたマルウェアです。
暗号化ランサムウェア
2022年1月にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数には、2021年12月と比較して約72.15%の増加が認められました。
- Trojan.Encoder.26996 — 32.11%
- Trojan.Encoder.3953 — 12.55%
- Trojan.Encoder.567 — 7.75%
- Trojan.Encoder.11539 — 2.21%
- Trojan.Encoder.30356 — 1.48%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2022年1月、Doctor Webのアナリストは大手の石油会社や銀行を装った投資詐欺サイトが増加していることを確認しました。これらのサイトは、ガスプロムバンクを通じて「夢を実現し」「収益を得る」よう提案しています。
上の画像は、プラットフォームにアクセスするためにテストを受けるようすすめるフィッシングサイトの一部です。
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
Android向けDr.Web アンチウイルス製品の検出統計によると、1月にAndroidデバイス上で最も多く検出された脅威はトロイの木馬 Android.Spy.4498 となっています。このトロイの木馬は他のアプリケーションの通知から情報を盗むほか、別のアプリケーションをダウンロードしたり、さまざまな内容のダイアログボックスを表示させることができます。アドウェア型トロイの木馬も引き続き多く検出されています。一方で、任意のコードをダウンロードして実行する機能を備えたトロイの木馬による攻撃は減少しています。
Google Playでは新たな脅威が検出されました。それらの中には Android.FakeApp ファミリーに属する偽アプリやユーザーを有料サービスに登録する Android.Subscription ファミリーに属するトロイの木馬、Facebookアカウントのハッキングに必要なデータを盗むトロイの木馬 Android.PWS.Facebookが含まれていました。
1月のモバイルセキュリティに関する注目すべきイベントは以下のとおりです。
- スパイウェア型トロイの木馬 Android.Spy.4498 が広く拡散される
- アドウェア型トロイの木馬の活動が依然として活発
- 任意のコードをダウンロードして実行するトロイの木馬の活動が減少
- Google Playに新たな悪意のあるアプリケーションが登場
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
03.25 カザフスタンの通信事業者を狙ったAPT攻撃に関する調査レポート
2022年3月25日
株式会社Doctor Web Pacific
ハッカー側のミスにより、Doctor Webは被害を受けた企業を特定し、使用されているバックドア管理ツールを明らかにすることに成功しました。得られた情報から、このハッカーグループはMicrosoft Exchangeがインストールされているアジア企業のメールサーバーに特化した攻撃を行っていると結論付けることができます。ただし、以下を含むその他の国の企業も標的となっています。
- エジプトの政府機関
- イタリアの空港
- 米国のマーケティング会社
- カナダの輸送および木材加工会社
C&Cサーバーから収集されたログには2021年8月から11月初旬の間に攻撃を受けた企業が含まれていました。一部のケースでは、Microsoft Exchangeが導入されているサーバーのみでなく、ドメインコントローラにも BackDoor.Whitebird.30 がインストールされています。使用されているツールや手法、インフラストラクチャから、Doctor Webでは、この攻撃の背後にはAPTハッカーグループ「Calypso」が存在するものと結論付けました。
Remote Rover
BackDoor.Whitebird.30 のC&CサーバーはRemote Rover(リモートローバー)を呼び出します。このRemote Roverにより、ハッカーがリモートでアプリケーションを起動したり、バックドアの設定を更新したり、ファイルをダウンロード・アップロードしたりすることが可能になります。また、Remote Rover経由でシェルコマンドを使用することもできます。C&Cサーバーのインターフェースは以下の画像のようになっています。
Remote Roverには次の内容の設定ファイルCFG\default.iniが付属しています。
E:\个人专用\自主研发远程\2021\RR\配置备份\telecom.cfg OneClock.exeこの中国語のパスを英語にすると次のようになります。
E:\personal use\Independent research and development remote\2021\RR\Configuration backup\telecom.cfg使用されたマルウェアとその動作の詳細については、調査レポートのPDFバージョン(英語)またはDr.Webウイルスライブラリを参照してください。
- BackDoor.Siggen2.3622
- BackDoor.PlugX.93
- BackDoor.Whitebird.30
- Trojan.Loader.891
- Trojan.Loader.896
- Trojan.Uacbypass.21
- Trojan.DownLoader43.44599
結論
標的型攻撃に関する本調査では、Doctor Webのウイルスアナリストによって複数のバックドアとトロイの木馬が発見され詳細がまとめられました。ハッカーグループは2年以上前に通信事業者のネットワークに侵入しており、他の標的型攻撃インシデントと同様、今回も攻撃が長期間にわたって気付かれることがなかったという点は特筆に値します。
Doctor Webでは、ネットワークリソースの健全性を定期的にチェックし、ネットワーク内にマルウェアが潜んでいることを示唆する障害をタイムリーに解消するよう推奨しています。標的型攻撃がもたらす主な脅威の一つはデータの侵害ですが、それだけでなく侵入者が企業ネットワーク内に長期間存在し続けるという点も問題です。これにより、侵入者が何年にもわたって企業の動向を監視し、いつでも機密情報にアクセスすることが可能になります。社内ネットワーク内で悪意のあるアクティビティが疑われる場合は、Doctor Webのウイルスラボまでご連絡ください。高品質な支援をご提供いたします。Dr.Web FixIt!を使用することでサーバーやワークステーション上のマルウェアを検出することが可能です。迅速かつ適切な対抗措置を講じることで、標的型攻撃による被害を最小限に食い止め、深刻な結果を回避することができます。
03.25 2022年1月のウイルスレビュー ― マルウェア活動の増加等
2022年3月25日
株式会社Doctor Web Pacific
