ウイルスデータベース
2017年8月4日
株式会社Doctor Web Pacific
通常、盛夏の時期に大きなセキュリティイベントが起こることは多くありません。しかしながら、2017年の7月は異例の展開となりました。月の初め、Doctor Webのセキュリティリサーチャーによって、電子文書管理アプリケーションM.E.Docに含まれたバックドアが発見され、続けて製薬企業から医薬品の購入情報を盗む BackDoor.Dande の拡散元が特定されました。月末にはロシア連邦政府ポータル (gosuslugi.ru) が攻撃を受けていることが明らかになりました。そのほか、Androidを標的とした危険な悪意のあるプログラムが複数発見されています。
7月の主な傾向
- M.E.Docプログラム内でバックドアを発見
- Dandeバックドアの拡散元を特定
- ロシア連邦政府ポータルが攻撃を受ける
7月の脅威
M.E.Doc は Intellect Service 社によって開発された、ウクライナで広く使用されている電子文書管理アプリケーションです。Doctor Webのセキュリティリサーチャーは、 M.E.Doc のアップデートモジュールの1つ ZvitPublishedObjects.Server.MeCom に Windows システムレジストリキー "HKCU\SOFTWARE\WC" に対応するレコードが含まれていることを発見しました。
同じレジストリキーが Trojan.Encoder.12703 の動作にも使用されています。Doctor Webのカスタマーのコンピューターから取得したDr.Web Anti-virusのログを解析した結果、感染したシステム上で M.E.Doc のコンポーネントであるアプリケーション "ProgramData\Medoc\Medoc\ezvit.exe" によって Trojan.Encoder.12703 が起動されていました:
さらなる調査により、ライブラリの1つである ZvitPublishedObjects.dll には、以下の機能を実行するバックドアが含まれていることが明らかになりました:
- メールサーバーにアクセスするためのデータを収集する
- 感染したシステム上で任意のコマンドを実行する
- 感染したシステムに任意のファイルをダウンロードする
- あらゆる実行ファイルをダウンロード・保存・起動する
- 任意のファイルをリモートサーバーにアップロードする
また、M.E.Doc のアップデートモジュールは rundll32.exe ツールを使用してパラメータ#1でペイロードを実行することを可能にします。 Trojan.Encoder.12544 は、この方法によって被害者のコンピューター上で起動されていました。この脅威に関する詳細についてはこちらの記事をご覧ください。
統計
Dr.Web Anti-virusによる統計
- Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬です。 - Trojan.BtcMine
感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬のファミリーです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - Trojan.Encoder.6218
ファイルを暗号化し、復元するために身代金を要求する暗号化ランサムウェア型トロイの木馬ファミリーに属する悪意のあるプログラムです。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - EICAR Test File
アンチウイルスの動作をテストするための特殊なテキストファイルです。このファイルを検出したアンチウイルススキャナは、ウイルス検出時と全く同じ形で反応するようになっています。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD (Blue Screen of Death : ブルースクリーン) エラーを表示させるジョークプログラムです。 - Android.SmsSend.20784
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2017年7月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの34.80%
- Trojan.Encoder.567 — リクエストの8.21%
- Trojan.Encoder.761 — リクエストの3.19%
- Trojan.Encoder.5342 — リクエストの3.04%
- Trojan.Encoder.11423 — リクエストの2.13%
- Trojan.Encoder.11432 — リクエストの1.98%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年7月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は327,295件となっています。
| 2017年6月 | 2017年7月 | 推移 |
|---|---|---|
| + 229,381 | + 327,295 | + 42.6% |
7月の半ば、ロシア連邦政府ポータル (gosuslugi.ru) 内に悪意のある可能性のあるコードが埋め込まれているということが、Doctor Webのスペシャリストによって発見されました。少なくとも15のドメインアドレスが未知の個人によって登録されており、そのうちの少なくとも5つがオランダの企業のものでした。悪意のあるコードが政府ポータル訪問者のブラウザをそれらの1つに密かに接続させます。ユーザーによって要求されたWebサイトのページが動的に生成される際、Webサイトコードに <iframe> コンテナが追加されます。これにより、あらゆる外部データをダウンロードしたり、ユーザーのブラウザからリクエストしたりすることが可能になります。Doctor Webのニュース記事掲載から数時間後に、 gosuslugi.ru のすべての脆弱性がサイトの管理者によって削除されました。
その他の情報セキュリティイベント
2011年、Doctor Webは製薬企業や薬局をスパイする BackDoor.Dande の発見について報告を行いました。その後、攻撃を受けた企業の1つから提供されたハードドライブについて調査を行ったセキュリティリサーチャーによって、 BackDoor.Dande は ePrica と呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されているということが明らかになりました。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは 「Spargo Tekhnologii」 のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名 「Spargo」 を持っていました。
その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントは ePrica の古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。トロイの木馬には、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。 ePrica を削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
7月の初め、Google Play上で入手可能な人気のゲームBlazBlueに組み込まれた Android.DownLoader.558.origin がDoctor Webのスペシャリストによって発見されました。この悪意のあるプログラムは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があります。続けて、 Android.BankBot.211.origin と名付けられた危険なトロイの木馬が発見されました。このトロイの木馬は感染させたデバイスをコントロールし、銀行に関する情報のほか、パスワードを含むその他の機密情報を盗みます。7月の末には、サイバー犯罪者によって Android システムライブラリ内に埋め込まれ、モバイルデバイスの複数のモデルのファームウェアに組み込まれた Android.Triada.231 が発見されています。この悪意のあるプログラムは、実行されたすべてのプログラムのプロセス内に侵入し、トロイの木馬のモジュールを密かに起動させます。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Android デバイスの複数のモデルでファームウェアに組み込まれたトロイの木馬を検出
- Google Play上でダウンローダ型トロイの木馬を発見
- 感染させたデバイスをコントロールし、機密情報を盗む危険なバンキング型トロイの木馬の出現
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
2017年8月4日
株式会社Doctor Web Pacific
7月、Androidスマートフォンの複数のモデルにトロイの木馬がプリインストールされていることが、Doctor Webのセキュリティリサーチャーによって発見されました。サイバー犯罪者によってシステムライブラリ内に埋め込まれたこのトロイの木馬は、アプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動することができます。また、ダウンローダ型トロイの木馬の組み込まれたゲームがGoogle Play上で発見されたほか、感染したデバイスのコントロールを掌握して個人情報を盗む危険なバンキング型トロイの木馬についてアナリストによる調査が行われました。
7月の主な傾向
- Android デバイスの複数のモデルでファームウェアに組み込まれたトロイの木馬を検出。このトロイの木馬はアプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動します。
- Google Play上でダウンローダ型トロイの木馬を発見
- 危険なバンキング型トロイの木馬を発見
7月のモバイル脅威
7月、Doctor Webのセキュリティリサーチャーによって、Android モバイルデバイスのシステムライブラリ内に埋め込まれた Android.Triada.231 が発見されました。この悪意のあるプログラムはアプリケーションのプロセスに侵入し、追加のモジュールを密かにダウンロード・起動することができます。 Android.Triada.231 はAndroidデバイスの複数のモデルで同時に検出されています。
Android.Triada.231 の特徴:
- ソースコードレベルでシステムライブラリ内に侵入する
- 実行可能なすべてのアプリケーションのプロセスに侵入し、悪意のあるモジュールを埋め込む
- トロイの木馬をデバイスから削除するには、オリジナルのシステムイメージをインストールする必要がある
この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.DownLoader.337.origin
- Android.DownLoader.526.origin
- 別のアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.85.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.83.origin
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Avazu.8.origin
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Batmobi.4
- Adware.Cootek.1.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不審なプログラムモジュールです。
GOOGLE PLAY上のトロイの木馬
7月、人気のゲームBlazBlueに組み込まれた Android.DownLoader.558.origin がDoctor Webのスペシャリストによって発見されました。この悪意のあるプログラムはソフトウェアのアップデートを最適化するために設計されたシステムモジュール内に含まれていました。
このトロイの木馬の危険な点は、未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるというところにあります。この脅威に関する詳細についてはこちらの記事をご覧ください。
バンキング型トロイの木馬
7月には、危険なバンキング型トロイの木馬 Android.BankBot.211.origin が検出されました。このトロイの木馬はAndroid のAccessibility Serviceへのアクセス権を取得しようと試み、感染させたデバイスをコントロールし、パスワードを含むあらゆるデータをキーボード入力から盗むことができます。また、起動されたバンキングプログラムや決済サービスソフトウェア、その他のアプリケーションの前面に機密データを入力させる偽の入力フォームを表示させます。この脅威に関する詳細についてはこちらの記事をご覧ください。
サイバー犯罪者は、依然としてAndroidモバイルデバイスのユーザーに対する攻撃の手を緩めていません。トロイの木馬の機能を継続的に向上させ、あらゆる方法で拡散しようと画策しています。Doctor Webでは、お使いのスマートフォンやタブレットを悪意のあるアプリケーションから保護するために、Dr.Web for Androidをインストールすることを推奨しています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億回以上のダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
27.07 Dr.Web : Androidデバイスにプリインストールされたアプリケーションのプロセス を感染させ、悪意のあるモジュールをダウンロードするトロイの木馬
2017年7月27日
株式会社Doctor Web Pacific
Android.Triadaファミリーに属する他のトロイの木馬は悪意のある動作を実行するためにルート権限の取得を試みますが、 Android.Triada.231 はそれらトロイの木馬とは異なり、 libandroid_runtime.so システムライブラリ内に埋め込まれています。 Leagoo M5 Plus、 Leagoo M8、 Nomu S10、 Nomu S20を含む複数のモバイルデバイスで Android.Triada.231 の改変されたバージョンが発見されています。 libandroid_runtime.so はすべてのAndroidアプリケーションによって使用されるため、感染したシステム上で実行中のすべてのアプリケーションのメモリ内で悪意のあるコードが見つかります。
Android.Triada.231 はライブラリのソースコード内に埋め込まれています。このことから、トロイの木馬は感染したモバイルデバイスのファームウェア製造に関わっていた内部者や悪徳な提携企業によって拡散されたものと推測されます。
libandroid_runtime.so 内に埋め込まれていることから、 Android.Triada.231 はデバイス上のアプリケーションがシステムログに記録を行うたびにコントロールを掌握すると言うことができます。アプリケーション起動の前に Zygote が起動されるため、トロイの木馬の初回起動も Zygote によって実行されます。
初期化の後、この悪意のあるプログラムはいくつかのパラメータを設定し、作業ディレクトリを作成します。次に自身の実行環境を確認し、Dalvik環境であった場合はシステムメソッドの1つを横取りします。これにより、すべてのアプリケーションの起動を追跡し、それらの起動後直ちに悪意のある動作を開始することが可能になります。
Android.Triada.231 の主要な機能は、トロイの木馬の他のコンポーネントをダウンロードする悪意のある追加のモジュールを密かに起動させることです。そのために、 Android.Triada.231 は作成しておいた作業ディレクトリ内に特別なサブディレクトリがあるかどうかを確認します。サブディレクトリの名前には、プロセス内にトロイの木馬が侵入したアプリケーションの、ソフトウェアパッケージ名のMD5値が含まれています。そのようなサブディレクトリを見つけると、 Android.Triada.231 は次に、そこに含まれている 32.mmd または 64.mmd ファイル (それぞれ32ビット版および64ビット版OS) を探します。ファイルを見つけると、それを復号化して libcnfgp.so として保存し、システムメソッドの1つを使用してRAM内にロードします。続けて、復号化したファイルをデバイスから削除します。必要なオブジェクトが見つからなかった場合、 Android.Triada.231 は 36.jmd ファイルを探し、復号化して mms-core.jar として保存した後、クラスローダ DexClassLoader を使用して起動し、作成したコピーを削除します。
その結果として、 Android.Triada.231 はトロイの木馬の様々なモジュールをあらゆるアプリケーションのプロセスに侵入させ、それらの動作に影響を及ぼすことができます。例えば、ウイルス作成者は銀行のアプリケーションから機密情報を盗むためやサイバースパイモジュール用に、またはソーシャルメディアクライアントやメッセンジャーでのやり取りを横取りする目的で、悪意のあるプラグインをダウンロード・起動するトロイの木馬を作ることが可能です。
また、 Android.Triada.231 は libandroid_runtime.so からモジュール Android.Triada.194.origin を抽出することができます。 Android.Triada.194.origin は暗号化された形でライブラリ内に保存されています。その主な機能は、インターネットから悪意のある追加のコンポーネントをダウンロードし、それらのコンポーネントが相互に連携するようにすることです。
Android.Triada.231 はOSのライブラリの1つに埋め込まれ、システムセクション内に存在することから、標準的な方法では削除することができません。このトロイの木馬を削除する安全かつ確実な唯一の方法はクリーンな Android ファームウェアをインストールすることです。Doctor Webでは、この問題について、感染したスマートフォンの製造業者に対して報告を行いました。該当するデバイス向けにアップデートがリリースされると考えられます。ユーザーの皆様は、それらをすべてインストールするようにしてください。
24.07 Doctor Web:薬局向けソフトウェアePricaのインストーラに含まれて拡散され、 医薬品の購入に関する情報を盗むトロイの木馬BackDoor.Dande
2017年7月24日
株式会社Doctor Web Pacific
BackDoor.Dande による薬局や製薬企業に対する攻撃についてDoctor Webが最初に報告を行ったのは2011年のことでした。このバックドアは電子発注システムのユーザーから医薬品の購入に関する情報を盗んでいました。攻撃対象となったプログラムが製薬業界で使用されていたものであったことから、悪意のあるプログラムによる被害もまた同業界内に限られたものとなりました。以降、Doctor Webのスペシャリストは数年にわたってこのバックドアとその感染手法について調査を続けてきました。
最近の調査結果から、 BackDoor.Dande はePricaと呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されていることが明らかになっています。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは「Spargo Tekhnologii」のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名「Spargo」を持っていました。
その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントはePricaの古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。すなわち、ePrica開発元のセキュリティシステムが著しく損なわれているという可能性が示唆されています。ePricaは、プライベートキーによって暗号化された動的リンクライブラリ(DLL)であるプラグインNLBとEMDを持っており、それらには、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。
これらのプラグインを実行させるのがrunmod.exeモジュールです。このモジュールはサーバーから受け取ったコマンドに応じてプラグインを復号化し、メモリ内で起動させます。その後、データベースからの情報をコピーし、それらをリモートサーバーに送信します。アプリケーションのコンポーネントは、ePricaの開発元である「Spargo Tekhnologii」の含まれている企業グループ「Protek」の署名を持っています。
ePricaを削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。ePricaがアンインストールされたシステム上に未だ BackDoor.Dande が存在している可能性があるのです。
トロイの木馬のモジュールが含まれているePricaバージョン4.0.14.6のインストーラは2013年11月18日にリリースされていますが、バックドアのファイルの一部は2010年のものとなっています。このことから、薬局や製薬企業での購入に関する情報のコピーは、バックドアが初めて発見される少なくとも1年前から行われていた可能性があると考えられます。
BackDoor.Dande を含んだePricaのインストーラに関するさらなる詳細については、Doctor Webのウイルスライブラリ(英語)をご確認ください。
19.07 Doctor Web:危険なAndroid向けバンキング型トロイの木馬が モバイルデバイスのコントロールを掌握
2017年7月18日
株式会社Doctor Web Pacific
Android.BankBot.211.origin は、Adobe Flash Playerなどの無害なプログラムを装って拡散されています。ユーザーによってインストール・起動されると、Accessibility Serviceへのアクセス権を取得しようと試みます。その際、 Android.BankBot.211.origin はアクセス許可を要求するウィンドウを表示させますが、このウィンドウは閉じようとする度に何度も開き、デバイスの使用を妨げます。
Accessibility ServiceはAndroidスマートフォンやタブレットの使用を簡易化するためのもので、障害を持つ人々でも使いやすいようにするなど、様々な方法で使用されます。このサービスによって、プログラムは様々なインターフェースエレメントを自動的にクリックすることができるようになります (ダイアログボックスやシステムメニュー内のボタンなど) 。 Android.BankBot.211.origin はこれらの権限をユーザーに要求し、取得に成功すると自身を自動的にデバイス管理者リストに加えます。次に、自身をデフォルトのメッセージマネージャーとして設定し、画面キャプチャ機能へのアクセスを取得します。これら全てのアクションでシステム要求が表示されますが、トロイの木馬によって直ちに確定されるため、多くの場合ユーザーは見落としてしまいます。後の段階で、ユーザーが Android.BankBot.211.origin の取得したいずれかの機能を無効にしようと試みた場合、トロイの木馬はそれを拒否し、ユーザーをシステムメニューに戻します。
デバイスを感染させた後、トロイの木馬はC&Cサーバーに接続し、そこにモバイルデバイスを登録してコマンドを待ちます。 Android.BankBot.211.origin は以下のアクションを実行することができます:
- コマンドで指定された番号に対し、特定のテキストを含むSMSを送信する
- デバイスメモリ内に保存されているSMSデータをサーバーに送信する
- インストールされているアプリケーション、連絡先リスト、通話データに関する情報をサーバーに送信する
- コマンドで指定されたリンクを開く
- C&Cサーバーのアドレスを変更する
また、このトロイの木馬は送受信するすべてのSMSをトラッキングし、それらをサイバー犯罪者に送信します。
標準的なコマンドに加え、サイバー犯罪者はトロイの木馬に特別な指示を送信することができます。それらには Android.BankBot.211.origin が攻撃するアプリケーションに関する暗号化された情報が含まれています。そのようなコマンドを受け取った Android.BankBot.211.origin は以下の動作を実行することができます:
- 起動されたバンキングプログラムの前面に偽のログイン入力フォームを表示させる
- クレジットカード情報を入力するようユーザーを促すフィッシングダイアログを表示させる (Google Playで何かを購入した場合など)
- アンチウイルスや、トロイの木馬の動作を邪魔するその他のアプリケーションの動作をブロックする
Android.BankBot.211.origin は、あらゆるアプリケーションのユーザーを攻撃することができます。サイバー犯罪者は攻撃対象となるプログラムのリストを設定ファイル内で変更するだけです。 Android.BankBot.211.origin はC&Cサーバーに接続すると直ちにこのリストを受け取ります。 Android.BankBot.211.origin が発見された当初、攻撃の対象とされていたのはトルコの銀行の利用者のみでした。しかしながら、その範囲は後に、ドイツ、オーストラリア、ポーランド、フランス、英国、米国を含む国々へと拡大しています。本記事掲載時点で、このトロイの木馬による攻撃を受けたプログラムには、決済システム、リモート・バンキング・サービス (RBS) 、およびその他のソフトウェアと連動するよう設計された50を超えるアプリケーションが含まれています。
以下は Android.BankBot.211.origin によって表示される偽のウィンドウの例です:
このトロイの木馬は、起動されたすべてのアプリケーションと、それらを使用するユーザーの操作に関する情報も収集します。例えば、メニューエレメントなどの入力可能なテキストフィールドをモニタリングし、ボタンやユーザーインターフェースのその他のコンポーネントのクリックを記録します。
さらに、 Android.BankBot.211.origin はユーザーがあらゆるプログラム内で、またはあらゆるWebサイト上で入力したログイン認証やその他の認証情報を盗む機能を備えています。パスワードを盗むために、 Android.BankBot.211.origin は全てのキーストロークのスクリーンショットを撮り、必要な文字列を取得した後、それらを隠します。表示されたフィールド内に入力された情報と保存されたすべてのスクリーンショットは、C&Cサーバーに送信されます。
Android.BankBot.211.origin はユーザーによる削除を阻むことから、感染してしまった場合は以下の操作を行う必要があります:
- 感染したスマートフォンまたはタブレットをセーフモードで起動する
- システム設定にログインし、デバイス管理者リストを開く
- リスト内でトロイの木馬を探し、該当する権限を無効にする (その際、トロイの木馬は重要なデータがすべて失われる旨の警告を出すことでユーザーを脅しますが、これらはただのトリックで、ファイルは安全です)
- デバイスを再起動させてアンチウイルスによるフルスキャンを実行し、スキャン完了後にトロイの木馬を削除する
Android.BankBot.211.origin のすべての既知のバージョンはDr.Web Anti-virus によって検出されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
05.07 100万を超えるダウンロード数:Doctor Web、Google Play上で また新たなAndroid向けトロイの木馬を発見
2017年7月5日
株式会社Doctor Web Pacific
Android.DownLoader.558.origin と名付けられたこの悪意のあるアプリケーションは人気の高いゲームBlazBlueに組み込まれ、100万件を超えてダウンロードされていました。このトロイの木馬は、Android向けプログラムのアップデートを自動化・簡略化するために設計された「Excelliance」と呼ばれる特別なソフトウェアパッケージ(SDK、ソフトウェア開発キット)の一部です。
アプリケーションの古いバージョン全体を新しいバージョンと入れ替える標準的なアップデート方法とは異なり、上記のSDKは、ソフトウェアパッケージ全体を再インストールすることなく必要なコンポーネントのみを個別にダウンロードすることを可能にします。これにより、デベロッパーはユーザーが新しいバージョンのリリースを把握していない場合でも、モバイルデバイス上にインストールされたソフトウェアを常に最新のバージョンに保つことが可能になります。しかしながら、Excellianceは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるため、ダウンローダ型トロイの木馬として動作すると言うことができます。このアップデート方法は危険であり、Google Playの規則に違反しています。
Android.DownLoader.558.origin は、自身が組み込まれているプログラムまたはゲームの初回起動と同時に動作を開始します。このトロイの木馬は、他のアプリケーションエレメントと一緒に、ディレクトリからリソースと共に抽出されて復号化されます。その後は、ユーザーが感染したアプリケーションを起動しなくとも、モバイルデバイスがインターネットに接続される度に自動的に起動します。
このトロイの木馬モジュールは、ネットワークアクティビティを追跡し、C&Cサーバーへの接続を試みます。サーバーの設定により、 Android.DownLoader.558.origin は応答として、別のプログラムコンポーネントをダウンロードするコマンドを受け取る場合があります。例えばBlazBlueの場合、欠けているファイルやアップデートがあれば、モジュールはそれらをダウンロードするよう提案します。
アプリケーションの追加のリソースやアップデートに加え、 Android.DownLoader.558.origin は個別のAPKファイル、DEXファイル、ELFファイルをダウンロードすることができます。これらのファイルはユーザーに気付かれずに起動される場合があります。例えば、ダウンロードされたDEXファイルのコードはユーザーの操作を必要とせず、自動的に実行されます。
一方、ダウンロードされたAPKファイルのインストールが行われる際は、ユーザーに対して標準的なダイアログボックスが表示されます。 ただし、 Android.DownLoader.558.origin がルート権限を持っている場合、インストールはユーザーに気付かれずに実行されます。これが、SDK「Excelliance」の最も危険な点です。その製作者によって、いつメインのアプリケーションに全く関係のないオブジェクトをダウンロードするよう指示するコマンドが送信されないとも限りません。そのようなオブジェクトとして、広告モジュールや第三者プログラム、さらにはGoogle Play以外からダウンロードされて許可なしに実行される別のトロイの木馬などが挙げられます。
Doctor Webでは、ゲーム「BlazBlue」で使用されているSDKに含まれるトロイの木馬コンポーネントの危険な動作についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、 Android.DownLoader.558.origin を含んだバージョンのBlazBlueはGoogle Play上でダウンロード可能な状態のままとなっています。
Android.DownLoader.558.origin を含んだアプリケーションはDr.Web for Androidアンチウイルス製品によって検出されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
04.07 Doctor Web:サイバー犯罪者をコンピューターにアクセスさせるバックドア を含んだM.E.Doc
2017年7月4日
株式会社Doctor Web Pacific
レポートによると、 Trojan.Encoder.12544 の最初の拡散はウクライナの Intellect Service社が開発したポピュラーなアプリケーションである M.E.Doc を利用して行われたということです。Doctor Webのセキュリティリサーチャーは、 M.E.Doc のアップデートモジュールの1つ ZvitPublishedObjects.Server.MeCom にWindowsシステムレジストリキー "HKCU\SOFTWARE\WC" に対応するレコードが含まれていることを発見しました。
このレジストリキーがDoctor Webセキュリティリサーチャーの注意を引いたのは、同じパスが Trojan.Encoder.12703 の動作に使用されていたためです。Doctor Webのカスタマーのコンピューターから取得したDr.Web Anti-virusのログを解析した結果、感染したシステム上で M.E.Doc のコンポーネントであるアプリケーション "ProgramData\Medoc\Medoc\ezvit.exe" によって Trojan.Encoder.12703 が起動されていました:
id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:\Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe
source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll
created process: \Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe:1184 --> \Device\HarddiskVolume3\Windows\System32\cmd.exe:6328
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Users\user\Desktop\, cmd: "cmd.exe" /c %temp%\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
status: signed_microsoft, script_vm, spc / signed_microsoft / clean
id: 425036 ==> allowed [2], time: 0.285438 ms
2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]
id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:\Device\HarddiskVolume3\Windows\System32\csrss.exe
source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:\Device\HarddiskVolume3\Windows\System32\csrsrv.dll
created process: \Device\HarddiskVolume3\Windows\System32\csrss.exe:692 --> \Device\HarddiskVolume3\Windows\System32\conhost.exe:7144
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:\windows\system32\, cmd: \??\C:\windows\system32\conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"
status: signed_microsoft, spc / signed_microsoft / clean
id: 425037 ==> allowed [2], time: 0.270931 ms
2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]
id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:\Device\HarddiskVolume3\Windows\System32\cmd.exe
source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:\Device\HarddiskVolume3\Windows\System32\cmd.exe
created process: \Device\HarddiskVolume3\Windows\System32\cmd.exe:1340 --> \Device\HarddiskVolume3\Users\user\AppData\Local\Temp\wc.exe:3648
bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Users\user\Desktop\, cmd: C:\Users\user\AppData\Local\Temp\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra
fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe
hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown
id: 425045 ==> undefined [1], time: 54.639770 ms
感染したシステムからリクエストされたファイル ZvitPublishedObjects.dll は、Doctor Webウイルスラボで解析されたサンプルと同じハッシュを持っていました。その結果、Doctor Webセキュリティリサーチャーは、ダイナミックリンクライブラリ ZvitPublishedObjects.dll として実装されたM.E.Docのアップデートモジュールにバックドアが含まれているという結論を下すに至りました。さらなる調査により、このバックドアは感染したシステム上で以下の機能を実行することが可能であるということが明らかになりました:
- メールサーバーにアクセスするためのデータを収集する
- 感染したシステム上で任意のコマンドを実行する
- 感染したシステムに任意のファイルをダウンロードする
- あらゆる実行ファイルをダウンロード・保存・起動する
- 任意のファイルをリモートサーバーにアップロードする
M.E.Docアップデートモジュールの以下のコードフラグメントはかなりユニークで、 rundll32.exe ツールを使用してパラメータ#1でペイロードを実行することを可能にします:
NePetya、 Petya.A、 ExPetya または WannaCry-2 と呼ばれる暗号化トロイの木馬 (Trojan.Encoder.12544) は、この方法によって被害者のコンピューター上で起動されます。
ロイター通信の報道によると、インタビューに応じた M.E.Doc の開発者は M.E.Doc のアプリケーションに悪意のある機能は含まれていないと回答しています。このことと、コードの解析結果を踏まえ、Doctor Webセキュリティリサーチャーは、サイバー犯罪者によって M.E.Doc のコンポーネントの1つが悪意のあるプログラムに感染させられたものとする結論を下しました。このコンポーネントは BackDoor.Medoc としてDr.Webウイルスデータベースに追加されています。
2017年7月3日
株式会社Doctor Web Pacific
6月には、イランのモバイルデバイスユーザーを攻撃してサイバー犯罪者から受け取ったコマンドを実行するAndroid向けトロイの木馬が発見され、Google Play上に複数の悪意のあるアプリケーションが登場しました。それらのアプリケーションの1つはルート権限の取得を試み、システムライブラリに侵入し、密かにソフトウェアをインストールする機能を備えていました。その他のアプリケーションは高額な番号に対してSMSメッセージを送信し、ユーザーを有料サービスに登録させるものでした。Google Playからは、使用することで個人情報を流出させる恐れのあるリスクウェアも拡散されていました。また、Android向けの新たな暗号化トロイの木馬も発見されています。
6月の主な傾向
- サイバースパイ行為を実行するAndroid向けトロイの木馬の発見
- Google Play上で複数の脅威を発見
- Android向け暗号化ランサムウェアプログラムの拡散
6月のモバイル脅威
6月、イランのモバイルデバイスユーザーに対して攻撃を行う Android.Spy.377.origin が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗み、それらをサイバー犯罪者に送信します。また、犯罪者から受け取ったコマンドを実行する機能も備えています。
Android.Spy.377.origin は以下の特徴を備えています:
- 無害なアプリケーションを装って拡散されます。
- 連絡先リスト、受信および送信SMSメッセージ、Googleアカウントデータを盗みます。
- デバイスのフロントカメラで写真を撮ります。
- Telegramプロトコルを介してサイバー犯罪者によって管理されます。
- この脅威に関する詳細についてはこちらの記事をご覧ください。
Android.Spy.377.originに関する詳細についてはこちらの記事をご覧ください
Dr.Web for Androidによる統計
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.85.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.337.origin
- モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Android.Triada.264.origin
- 様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。
- Adware.Jiubang.1
- Adware.SalmonAds.1.origin
- Adware.Batmobi.4
- Adware.Avazu.8.origin
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不審なプログラムモジュールです。モバイルデバイス上に広告を表示させます
GOOGLE PLAY上の脅威
6月、ウクライナでブロックされているソーシャルネットワークサイト「VK」や「Odnoklassniki」へのアクセスを可能にするリスクウェアがGoogle Play上で発見されました。 Program.PWS.1 としてDr.Webウイルスデータベースに追加されたこれらのアプリケーションは、サイトのブロックを回避するために匿名化サーバーを使用し、また、ログインやパスワード、その他のユーザーの個人情報を暗号化していませんでした。この脅威に関する詳細についてはこちらの記事をご覧ください。
6月には、 Android.Dvmap ファミリーに属するトロイの木馬がGoogle Play上で発見されています。これらの悪意のあるプログラムは、起動されるとモバイルデバイスのルート権限を取得しようと試みます。成功すると、システムライブラリを感染させ、追加のコンポーネントをインストールします。これらのトロイの木馬はサイバー犯罪者から受け取ったコマンドを実行するほか、ユーザーの操作なしに別のアプリケーションをダウンロード・起動させることができます。
6月にGoogle Playから拡散されたまた別のトロイの木馬は、 Android.SmsSend.1907.origin および Android.SmsSend.1908.origin としてDr.Webウイルスデータベースに追加されました。サイバー犯罪者はこれらを無害なプログラム内に組み込んでいます。これらの悪意のあるアプリケーションは高額な番号に対してSMSメッセージを送信し、サービスプロバイダのカスタマーを有料サービスに登録します。その後、トロイの木馬は、有料サービスに登録されたことを知らせる通知をユーザーが受け取ることのないよう、受信する全てのメッセージを削除していきます。
ランサムウェア型トロイの木馬
6月には、ランサムウェア Android.Encoder.3.origin が発見されました。このランサムウェアは中国のAndroidユーザーを標的とし、SDカード上のファイルを暗号化します。このエンコーダーの製作者は、2017年5月に世界中で数十万台のコンピューターを感染させた暗号化ランサムウェアWannaCryに着想を得ており、身代金を要求するメッセージに似たようなデザインを使用していました。
サイバー犯罪者は20元の身代金を要求し、その額は3日ごとに倍になります。 Android.Encoder.3.origin がモバイルデバイスを感染させてから1週間以内に身代金が支払われなかった場合、暗号化されたファイルが削除されます。
Android向けの悪意のあるプログラムやリスクウェアは、様々なウェブサイトだけでなくGoogle Playからダウンロードされることでモバイルデバイスを感染させています。未知のアプリケーションをインストールする際は十分に注意し、Dr.Web for Androidを使用することをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルス
- Google Playだけで1億回以上のダウンロード
- Dr.Webの個人向け製品のユーザーは無料
2017年7月3日
株式会社Doctor Web Pacific
2017年6月の最も注目すべきイベントは、 Petya、 Petya.A、 ExPetya、または WannaCry-2としても知られる新たな暗号化ワーム Trojan.Encoder.12544 の大量拡散です。世界中で多くの企業や個人のコンピューターが、この悪意のあるプログラムに感染しています。また、6月にはLinux向けの2つの悪意のあるプログラムが登場しました。これらプログラムの1つは感染させたデバイス上に仮想通貨をマイニングするアプリケーションをインストールし、もう1つはプロキシサーバーを起動させます。6月半ばにはまた別のマイニングトロイの木馬が検出されましたが、こちらはWindowsユーザーを狙ったものでした。そのほか、Androidを標的とする複数の悪意のあるプログラムが新たに発見されています。
6月の主な傾向
- 暗号化ワーム Trojan.Encoder.12544 の大規模拡散
- Windows向けマイニングトロイの木馬の拡散
- Linux向けの新たな悪意のあるプログラムを発見
6月の脅威
6月27日、危険な暗号化ワームの拡散を知らせる最初の一報が世界中を駆け抜けました。マスメディアはこのワームをPetya、Petya.A、ExPetya、または WannaCry-2と呼び、一方、Doctor Webのセキュリティリサーチャーは Trojan.Encoder.12544 と名付けました。実際のところ、この悪意のあるプログラムと Petya (Trojan.Ransom.369) との共通点はあまりなく、ファイルテーブルを暗号化する方法のみとなっています。このトロイの木馬はWannaCryによる攻撃の際に使用されていたものと同じ脆弱性を悪用してコンピューターを感染させていました。 Trojan.Encoder.12544 は、感染させたコンピューター上で認証されたローカルユーザーやドメインユーザーのリストを取得します。次に、書き込み可能なネットワークフォルダを探し、受け取ったデータを使用してそれらを開き、リストのコピーをそれらのフォルダ内に保存します。一部の研究者は、Windowsフォルダ内にperfcファイルを作成することで Trojan.Encoder.12544 の起動を防ぐことができると指摘しています。たしかに、ワームは拡張子を除いたトロイの木馬の名前と合致する名前を持ったファイルがシステムフォルダ内にあるかどうかによって2度目の起動をチェックします。しかしながら、トロイの木馬の名前がサイバー犯罪者によって変更されてしまえば、 "C:\Windows\perfc" ファイルを作成することでコンピューターを感染から守ることはできなくなります。さらに、 Trojan.Encoder.12544 がファイルの存在を確認するのは、十分な権限を持っている場合のみとなっています。
Trojan.Encoder.12544 はCドライブのVBR(ボリュームブートレコード)を破損させ、ドライブの最初のセクターにトラッシュデータを詰め込みます。続けて、XORアルゴリズムを使用して暗号化した元のWindowsブートレコードをドライブの別の部分にコピーし、その元のレコードをトロイの木馬のブートレコードで上書きします。その後、コンピューターを再起動させるタスクを作成し、コンピューターの固定ディスク上にあるファイルの暗号化を開始します。コンピューターが再移動された後、Windowsの標準搭載ツールCHDISKのものと類似したテキストが画面上に表示されます。
その間、 Trojan.Encoder.12544 はMFT(マスターファイルテーブル)を暗号化します。暗号化が完了すると、画面には身代金の要求が表示されます。
Doctor Webのセキュリティリサーチャーは、 Trojan.Encoder.12544 は元々身代金を要求するためではなく、感染させたコンピューターを破損させる目的で開発されたものであると考えています。その理由として、第一に、サイバー犯罪者は被害者との連絡用にメールアドレスを1つしか用意しておらず、そのアドレスは拡散が発生して間もなくブロックされました。第二に、感染させたコンピューターの画面上に表示されるキーは、実際の暗号化キーとは何の関係もないランダムな一連の記号です。第三に、サイバー犯罪者に送信されるキーはファイル・アロケーション・テーブルの暗号化に使用されるキーとは何の関係もなく、したがって、犯罪者はディスクを復号化するためのキーを被害者に提供することはできません。この脅威に関する詳細についてはこちらの記事を、ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
Trojan.Encoder.12544 の拡散は、ウクライナで広く利用されている税務会計ソフト「MEDoc」のアップデートシステムを悪用して開始されました。Doctor Webでは、同様の拡散方法を用いる悪意のあるプログラムをこれまでに既に確認しています。2012年、悪意のあるプログラム BackDoor.Dande を用いた、ロシアの薬局や製薬企業に対する攻撃がDoctor Webのセキュリティリサーチャーによって確認されました。このスパイウェア型トロイの木馬は製薬業界で使用されているプログラムから医薬品の受注に関する情報を盗むものでした。 BackDoor.Dande は http://ws.eprica.ru からダウンロードされますが、このサイトは「Spargo Tekhnologii」のもので、医薬品の価格をモニタリングするためのプログラムである ePrica をアップデートするよう設計されていました。この脅威に関する詳細についてはこちらの記事を、技術的な説明(英語)についてはこちらをご確認ください。
Dr.Web Anti-virusによる統計
- Trojan.InstallCore
望まない悪意のあるアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.Kbdmai.16
アドウェア型トロイの木馬です。その機能の1つとして、ブラウザウィンドウ内に様々なウェブサイトを開きます。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Moneyinst.69
他のトロイの木馬を含む様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。 - Trojan.InstallCore
アドウェアや望まないプログラムをインストールするトロイの木馬ファミリーです。 - Trojan.Kbdmai.37
アドウェア型トロイの木馬です。その機能の1つとして、ブラウザウィンドウ内に様々なウェブサイトを開きます。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin, Android.Locker.1733
Android向けのランサムウェア型トロイの木馬です。デバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Win32.HLLP.Neshta
2005年よりセキュリティリサーチャーに知られているファイルウイルスです。41472バイト以上のEXE PEファイルを感染させます。感染の過程で自身をファイルの先頭に書き込み、元の先頭をファイルの末尾に移動させます。«Neshta 1.0 Made in Belarus»というストリングを含んでいます。 - EICAR Test File
アンチウイルスの動作をテストするための特殊なテキストファイルです。このファイルを検出したアンチウイルススキャナは、ウイルス検出時と全く同じ形で反応するようになっています。 - Android.Androrat.1.origin
Androidデバイス向けのスパイウェアプログラムです。
暗号化ランサムウェア
2017年6月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの28.51%
- Trojan.Encoder.10103 — リクエストの8.10%
- Trojan.Encoder.567 — リクエストの5.54%
- Trojan.Encoder.11432 — リクエストの4.10%
- Trojan.Encoder.10144 — リクエストの2.36%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年6月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は229,381件となっています。
| 2017年5月 | 2017年6月 | 推移 |
|---|---|---|
| + 1,129,277 | + 229,381 | - 79.68% |
LINUXを標的とするマルウェア
6月には2つのLinux向けトロイの木馬が発見されました。1つ目は小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラム Linux.MulDrop.14 です。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.ProxyM としてウイルスデータベースに追加された2つ目のトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です:
攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています:
この脅威に関する詳細についてはこちらの記事をご覧ください。
その他の情報セキュリティイベント
仮想通貨の登場後間もなくして、感染させたデバイスのコンピューティングリソースを使用してそれらの通貨をマイニングする悪意のあるプログラムが出現しました。そのようなトロイの木馬のファミリーである Trojan.BtcMine に属する最初のトロイの木馬が2011年にDr.Webウイルスデータベースに追加されています。そして2017年6月、このファミリーに属するまた別の亜種 Trojan.BtcMine.1259 が発見されました。このトロイの木馬は仮想通貨Monero (XMR)をマイニングするよう設計されています。 Trojan.BtcMine.1259 は Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。
悪意のある機能を実行するほか、 Trojan.BtcMine.1259 はオープンソースコードを持ったリモート管理システムの改変されたバージョンであるライブラリGh0st RAT (Dr.Web Anti-virusは BackDoor.Farfli.96 として検出します) を復号化してメモリ内にロードします。このライブラリを使用することで、サイバー犯罪者は感染させたコンピューターをコントロールし、コマンドを実行することが可能になります。 Monero(XMR) をマイニングするモジュールは、感染させたシステムのコンピューターリソースの80%まで使用することができます。 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
6月、イランのモバイルデバイスユーザーに対して攻撃を行う Android.Spy.377.origin が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗んでサイバー犯罪者に送信するほか、犯罪者から受け取ったコマンドを実行する機能も備えています。また、6月には、ウクライナでブロックされているソーシャルネットワークサイト「VK」や「Odnoklassniki」へのアクセスを可能にするリスクウェアがGoogle Play上で発見されました。 Program.PWS.1 としてDr.Webウイルスデータベースに追加されたこれらのアプリケーションは、サイトのブロックを回避するために匿名化サーバーを使用し、そのうえ、ログインやパスワード、その他のユーザーの個人情報を暗号化していませんでした。
6月には Android.SmsSend.1907.origin および Android.SmsSend.1908.origin もまた、Google Playから拡散されています。これらの悪意のあるアプリケーションは高額な番号に対してSMSメッセージを送信し、サービスプロバイダのカスタマーを有料サービスに登録します。そのほか、 Android.Dvmap ファミリーに属するトロイの木馬のシグネチャがウイルスベースに追加されています。これらの悪意のあるプログラムは、ルート権限の取得を試み、システムライブラリを感染させ、追加のコンポーネントをインストールします。さらに、サイバー犯罪者から受け取ったコマンドに従って、ユーザーに気付かれることなく別のアプリケーションをダウンロード・起動させることができます。
6月にはもう1つのAndroid向けトロイの木馬が発見され、 Android.Encoder.3.origin と名付けられました。このトロイの木馬は中国のAndroidユーザーを標的とし、SDカード上のファイルを暗号化して、復元するための身代金を要求します。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- イランのユーザーに対するスパイ行為を実行するAndroid向けトロイの木馬の発見
- Google Play上で複数の脅威を発見
- SDカード上のファイルを暗号化し、復元するための身代金を要求する暗号化トロイの木馬の拡散
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
2017年6月29日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 について調査を行ったセキュリティリサーチャーらは、このトロイの木馬の拡散にはウクライナで利用されている税務会計ソフト「MEDoc」のアップデートが悪用されていると報告しています。MEDocのディストリビューションキットに含まれている、主なアプリケーションのアップデートを実行するよう設計された EzVit.exe と呼ばれるツールが、 Trojan.Encoder.12544 の拡散開始時にCMDコマンドを実行していたと指摘しています。このコマンドは悪意のあるライブラリのダウンロードを実行していましたが、このライブラリ内には Trojan.Encoder.12544 の主要な機能が含まれています。この暗号化ランサムウェアはSMBプロトコルの脆弱性を利用してネットワーク経由で自動的に拡散され、Windowsユーザーのアカウントデータを盗むことから、拡散が広まるには1台が感染すれば十分であるといえます。
2012年、悪意のあるプログラム BackDoor.Dande を用いた、ロシアの薬局や製薬企業に対する攻撃がDoctor Webのセキュリティリサーチャーによって確認されました。このスパイウェア型トロイの木馬は製薬業界で使用されているプログラムから医薬品の受注に関する情報を盗むものでした。起動されると、 BackDoor.Dande はシステム内に該当するアプリケーションが存在するかどうかを確認し、存在しなかった場合は自身の動作を停止します。2800を超えるロシアの薬局や製薬企業が感染の被害に遭いました。このとこから、 BackDoor.Dande は産業スパイ目的で使用されたものと考えられます。
Doctor Webのスペシャリストによって4年間にも及ぶ調査が行われました。 BackDoor.Dande による被害を受けた企業から提供されたハードディスクを調査した結果、その他全てのバックドアコンポーネントを実行するドライバの作成日が特定されました。このドライバはWindowページングファイルおよび感染したコンピューター上にインストールされたAvastアンチウイルスのログ内に含まれていました。これらファイルの解析により、悪意のあるドライバは ePrica (D:\ePrica\App\PriceCompareLoader.dll) と呼ばれるアプリケーションの起動直後に作成されているということが明らかになりました。「Spargo Tekhnologii」という企業によって開発されたこのアプリケーションは、薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。ePricaによってライブラリがシステム内にロードされ、このライブラリが BackDoor.Dande を密かにダウンロード、復号化、起動させます。このトロイの木馬は http://ws.eprica.ru からダウンロードされますが、このサイトは「Spargo Tekhnologii」のもので、 ePrica をアップデートするよう設計されていました。さらに、悪意のあるプログラムを密かにロードするモジュールは有効な電子署名「Spargo」を持っていました。 BackDoor.Dande は盗んだデータをロシア国外にあるサーバーへ送信します。つまり、 Trojan.Encoder.12544 同様、このバックドアはプログラムのアップデートモジュール内に「隠れて」いたのです。
こられの事例の類似性から、ソフトウェア開発のインフラストラクチャには情報セキュリティに対する特別な注意が必要であるということが示されています。何よりもまず、商用ソフトウェアのアップデートプロセスはデベロッパー自身か、またはユーザーにより細心の注意を払って行われる必要があります。様々なプログラムのアップデートツールには、OS内で実行ファイルを実行する権限を持つものがあり、これが予期せぬ感染の原因となることがあります。MEDocの場合、感染はサイバー犯罪者によるハッキングと更新サーバーへの侵入によって引き起こされました。 BackDoor.Dande のケースでは、感染の拡大は内部の人間によって故意に引き起こされたものであると考えられています。この手法を用いることで、サイバー犯罪者はほとんどあらゆるソフトウェアのユーザーに対して効果的な攻撃を行うことができます。
28.06 Doctor Webによる、新たな世界的エンコーダーに関する調査報告
2017年6月28日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 は、Windows搭載コンピューターに対して深刻な脅威となっています。多くのメディアでは、このトロイの木馬を「Petya( Trojan.Ransom.369 )」の亜種であるとしていますが、 Trojan.Encoder.12544 とPetyaとの類似点はほんのわずかです。 Trojan.Encoder.12544 は政府機関、銀行、営利組織の情報システムを感染させているほか、いくつかの国でユーザーのコンピューターでも感染が確認されています。
現時点で、このトロイの木馬はWannaCryによる攻撃の際に使用されていたものと同じ脆弱性を悪用してコンピューターを感染させているということが明らかになっています。 Trojan.Encoder.12544 の拡散は6月27日に開始されました。コンピューター上で起動されると、 Trojan.Encoder.12544 は複数の手法を用いてローカルネットワーク上のコンピューターを探し、ポート445番および139番をスキャンします。ポートの開かれたシステムが見つかると、よく知られたSMBプロトコルの脆弱性(MS17-10)を利用してそれらを感染させます。
Trojan.Encoder.12544 は本体内に圧縮されたリソースを4つ含んでいます。それらのうち2つは、開かれたWindows セッションのパスワードを傍受するよう設計されたMimikatzツールの32ビット版と64ビット版です。OSのキャパシティに応じて、 Trojan.Encoder.12544 はMimikatzツールの適切なバージョンを解凍し、一時フォルダに保存して起動させます。 Trojan.Encoder.12544 はMimikatzとその他複数の手法を用いて、感染させたコンピューター上で認証されたローカルユーザーやドメインユーザーのリストを取得します。次に、書き込み可能なネットワークフォルダを探し、受け取ったデータを使用してそれらを開き、リストのコピーをそれらのフォルダ内に保存します。アクセスが可能となったコンピューターを感染させる際、 Trojan.Encoder.12544 はリモート管理ツールPsExecまたは標準的なコンソールツールを使用してWmic.exeオブジェクトを呼び出します。
Trojan.Encoder.12544 は "C:\Windows\" フォルダに保存したファイルを使用して2度目の起動をチェックします。ファイルの名前はトロイの木馬の名前から拡張子を除いたものとなっています。現在拡散されているワームのサンプル名は "perfc.dat" であるため、その起動を防ぐファイルは "C:\Windows\perfc" になります。ただし、トロイの木馬の名前がサイバー犯罪者によって変更された場合、 "C:\Windows\perfc" ファイルを作成すること(多くのアンチウイルスデベロッパーがアドバイスしているように)でコンピューターを感染から守ることはできなくなります。また、 Trojan.Encoder.12544 がファイルの存在を確認するのは、十分な権限を持っている場合のみとなっています。
起動されると、 Trojan.Encoder.12544 は権限を設定し、自身のコピーをメモリ内にロードし、コピーに対してコントロール権を付与します。次に、自身のファイルをトラッシュデータで上書きし、ファイルを削除します。まず初めに、 Trojan.Encoder.12544 はCドライブのVBR(ボリュームブートレコード)を破損させ、ドライブの最初のセクターにトラッシュデータを詰め込みます。続けて、XORアルゴリズムを使用して暗号化した元のWindowsブートレコードをドライブの別の部分にコピーし、その元のレコードをトロイの木馬のブートレコードで上書きします。その後、コンピューターを再起動させるタスクを作成し、次の拡張子を持つすべてのファイルの暗号化を開始します:
.3ds、 .7z、 .accdb、 .ai、 .asp、 .aspx、 .avhd、 .back、 .bak、 .c、 .cfg、 .conf、 .cpp、 .cs、 .ctl、 .dbf、 .disk、 .djvu、 .doc、 .docx、 .dwg、 .eml、 .fdb、 .gz、 .h、 .hdd、 .kdbx、 .mail、 .mdb、 .msg、 .nrg、 .ora、 .ost、 .ova、 .ovf、 .pdf、 .php、 .pmf、 .ppt、 .pptx、 .pst、 .pvi、 .py、 .pyc、 .rar、 .rtf、 .sln、 .sql、 .tar、 .vbox、 .vbs、 .vcb、 .vdi、 .vfd、 .vmc、 .vmdk、 .vmsd、 .vmx、 .vsdx、 .vsv、 .work、 .xls、 .xlsx、 .xvd、 .zip
Trojan.Encoder.12544 は固定ドライブ上のファイルのみを暗号化します。各ドライブ上のデータは別々のスレッドに暗号化されます。ファイルの暗号化にはAES-128-CBCアルゴリズムが用いられ、ドライブごとに個別のキーが生成されます(これまで他のスペシャリストによって言及されていない Trojan.Encoder.12544 の特徴です)。このキーはRSA-2048アルゴリズムを用いて暗号化され(800ビットキーが使用されるとするリサーチャーもいます)、システムドライブのルートフォルダ内にあるREADME.TXTという名前のファイルに保存されます。暗号化されたファイルには、追加の拡張子は付けられません。
作成されたタスクに応じてコンピューターが再移動された後、トロイの木馬のブートレコードに対してコントロール権が付与されます。感染したコンピューターの画面には、Windowsの標準搭載ツールCHDISKのものと類似したテキストが表示されます。
その間、 Trojan.Encoder.12544 はMFT(マスターファイルテーブル)を暗号化します。暗号化が完了すると、画面には身代金の要求が表示されます。
システム起動時にCHDISKのテキストが表示された場合は直ちにコンピューターの電源を切ってください。ブートレコードが破損しますが、Windowsリカバリーツールまたはディストリビューションディスクを使用してコンピューターを起動させる場合は回復コンソールを使用して修復することができます。Windows 7以降のOSでは、重要なデータのバックアップコピーを持った隠された部分がドライブ上に存在する場合、通常はブートレコードを復元することが可能です。また、Dr.Web LiveDiskを使用することもできます。ブートディスクまたはブートUSBを作成し、OSをブートリムーバブルメディアから起動させてください。次に、Dr.Web scannerを起動して感染したドライブをスキャンし、検出された脅威に対して「駆除」アクションを選択します。
一部のリソースによると、サイバー犯罪者が使用するメールアドレスをブロックしたため、攻撃者は被害者とやり取りを行うことができない(ファイルの復号化を提案するなど)ということです。
Trojan.Encoder.12544 による感染を防ぐため、Doctor Webでは、重要な全てのデータのバックアップコピーを個別のリムーバブルメディア上に作成し、Dr.Web Security Spaceのデータ損失防止機能を使用することを推奨しています。また、お使いのOSに対する全てのセキュリティアップデートをインストールすることも推奨されます。Doctor Webでは、スペシャリストによる Trojan.Encoder.12544 の調査を継続してまいります。
28.06 Trojan.Encoder.12544に感染してしまった場合の対処方法
2017年6月28日
株式会社Doctor Web Pacific
Trojan.Encoder.12544 は、SMB v1の脆弱性MS17-010 (CVE-2017-0144、 CVE-2017-0145、 CVE-2017-0146、 CVE-2017-0148)を悪用して拡散されています。この脆弱性は米国家安全保障局(NSA)が使用する攻撃コードの1つである「ETERNAL_BLUE」が悪用する脆弱性です。拡散にはTCPポート139番および445番が使用されています。この「リモートコード実行」脆弱性は、攻撃者がコンピューターをリモートで感染させることを可能にします。
-
Windowsへのアクセスを取り戻すために、MBRを復元する必要があります(「回復コンソール」内の標準的手順を使用し、 "bootrec.exe /FixMbr" を起動させます)。
Dr.Web LiveDiskを使用して復元することも可能です — ブータブルCDまたはUSBドライブを作成し、Dr.Web scannerを起動してください。攻撃されたハードドライブのスキャンを実行し、感染したファイルを全て「修復」してください。
-
お使いのコンピューターをネットワークから切断した後で起動させ、MS17-010パッチ(https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx)を適用してください。
- Windows XP SP3:
- download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- Windows Server 2003 x86:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
- Windows Server 2003 x64:
- download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- 次に、Dr.Webをインストールします。インターネットに接続してウイルスデータベースをアップデートし、システムのフルスキャンを実行してください。
Windows XP またはWindows 2003搭載のコンピューターでは、セキュリティアップデートを手動でインストールする必要があります。2017年6月28日時点では、以下のURLよりダウンロード可能です:
このトロイの木馬はMBR(マスターブートレコード)を置き換え、システムの再起動タスクを作成して実行します。マスターブートレコードが置き換えられているため、その後OSは起動しなくなります。システムの再起動タスクが作成されると、直ちにデータの暗号化が開始されます。ドライブごとに個別のAESキーが生成され、ディスクが完全に暗号化されるまでメモリ内に置かれます。このキーはパブリックRSAキーを使用して暗号化され、その後削除されます。MBRの置き換えに成功し、システムが再起動されるとMFTファイルもまた暗号化されます。このファイルにはNTFSドライブ上にある全てのファイルに関する情報が含まれています。これら全ての手順が完了すると、データはプライベートキーを使用する以外の方法で復元することができなくなります。したがって、キーがなければ、いずれのファイルも復元することはできません。
現時点では、復号化は不可能となっています。Doctor Webのアナリストによって、問題と解決策についての調査が行われています。詳細が確定次第お知らせいたします。
27.06 ロシアとウクライナの企業を攻撃する新たなランサムウェア
2017年6月27日
株式会社Doctor Web Pacific
Doctor Webの情報セキュリティスペシャリストによると、このトロイの木馬は悪名高いWannaCryと同様、自身を自動的に拡散させますが、同じ拡散方法を用いているかどうかについては明らかになっていません。現在、この新たなトロイの木馬についてDoctor Webのセキュリティリサーチャーによる調査が進められています。詳細については追ってご報告いたします。
一部のメディアでは、ランサムウェアの一見した動作の特徴から、これを「Petya(Dr.Webは Trojan.Ransom.369 として検出)」の亜種であるとしていますが、この新たな脅威の拡散方法はPetyaのものとは異なっています。
この暗号化ランサムウェアはモスクワ時間の6月27日午後4時30分に Trojan.Encoder.12544 としてDr.Webウイルスデータベースに追加されました。
ユーザーの皆様は、警戒を怠らず、疑わしいメールを開くことのないようご注意ください(ただし、これは「必要な対策」であり、「十分な対策」ではありません)。重要なデータのバックアップコピーを作成し、全てのソフトウェアについてセキュリティアップデートをインストールすることも推奨されます。また、アンチウイルスの使用が不可欠です。
19.06 Doctor Web:Telegram経由で管理されてイランのユーザーをスパイするAndroid向けトロイの木馬
2017年6月19日
株式会社Doctor Web Pacific
Android.Spy.377.origin と名付けられたこのトロイの木馬は、無害なアプリケーションを装って拡散されるリモート管理ツール(RAT)で、イランのユーザーに対して攻撃を行っていました。このユーティリティは「ینستا پلاس(Insta Plus)」、「پروفایل چکر(Profile Checker)」、「Cleaner Pro」と呼ばれるプログラムとしてスマートフォンやタブレット上にインストールされます。
起動されると、 Android.Spy.377.origin は感染させたモバイルデバイスのユーザーが他のユーザーの間でどれだけ人気があるかどうかをチェックするために個人のIDを提示するよう求めます。ユーザーが該当するフォームに情報を入力すると、 Android.Spy.377.origin はユーザーのプロファイルに対する「訪問者数」を表示させます。ところが、トロイの木馬は実際にチェックを行っているわけではなく、任意の数字を本当の結果であるかのように表示させているにすぎません。これは、プログラムが信頼できる無害なものであるという印象を与えるための機能です。起動後しばらくすると、 Android.Spy.377.origin は自身のショートカットをデバイスのホーム画面から削除し、ウィンドウを閉じることでシステム内での存在を隠そうとします。
Android.Spy.377.origin はサイバー犯罪者から受け取ったコマンドを実行することのできる典型的なスパイウェアプログラムですが、オンラインメッセンジャーTelegramのメッセージ交換用プロトコルを介してサイバー犯罪者によって管理されるという点で、他のAndroid向けトロイの木馬と性質を異にしています。 Android.Spy.377.origin はこのような機能を持った初のAndroid向けトロイの木馬です。
Android.Spy.377.origin はショートカットを削除した後、連絡先リスト、受信および送信SMSメッセージ、モバイルデバイス所有者のGoogleアカウントデータをコピーし、それらを作業ディレクトリ内のテキストファイルに保存します。また、フロントカメラでユーザーの顔写真を撮影し、その写真を盗んだデータと一緒にC&Cサーバーにロードします。その後、サイバー犯罪者のTelegramボットに対し、デバイスの感染に成功したことを知らせるシグナルを送信します。
以下は、 Android.Spy.377.origin からサイバー犯罪者に対して送信されたファイルの例です:
機密情報を盗むと、 Android.Spy.377.origin は再度ボットに接続し、コントロールコマンドを含んだメッセージがボットから送信されるのを待ちます。このトロイの木馬は以下のコマンドを受け取ることができます:
- call — 電話をかける
- sendmsg —SMSを送信する
- getapps — インストールされているアプリケーションに関する情報をサーバーに送信する
- getfiles — 入手可能な全てのファイルに関する情報をサーバーに送信する
- getloc — デバイスの位置情報をサーバーに送信する
- upload — コマンドで指示された、デバイス上に保存されているファイルをサーバーにアップロードする
- removeA — コマンドで指定されたファイルをデバイスから削除する
- removeB — ファイルのグループを削除する
- lstmsg — 送受信された全てのSMSに関する情報(送信者および受信者の電話番号、メッセージの内容を含む)を含んだファイルをサーバーに送信する
それぞれのコマンドが実行されると、 Android.Spy.377.origin はその情報をサイバー犯罪者のTelegramボットに送ります。
サイバー犯罪者のコマンドに応じて機密データを収集するほか、 Android.Spy.377.origin は全ての送受信SMSとデバイスの位置情報を独自にトラッキングします。新しいメッセージを受信・送信した場合や、感染したスマートフォンやタブレットの位置が変わった場合、 Android.Spy.377.origin はサイバー犯罪者のTelegramボットに対して警告を送信します。
多くの場合、サイバー犯罪者は無害なプログラムを装った形で悪意のあるアプリケーションを拡散させているという点に注意してください。お使いのデバイスをAndroid向けトロイの木馬から守るため、信用できるデベロッパーによって配信されているソフトウェアをインストールするようにしてください。また、それらをGoogle Playなどの信頼性の高いソースからダウンロードすることを推奨します。Android向けDr.Webアンチウイルス製品は Android.Spy.377.origin の既知の全てのバージョンを検出することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
15.06 Doctor Web、仮想通貨をマイニングするトロイの木馬について警告
2017年6月15日
株式会社Doctor Web Pacific
Trojan.BtcMine.1259 と名付けられたこの悪意のあるプログラムは、仮想通貨Monero (XMR)をマイニングするよう設計されていました。このマイナーは Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。
起動されると、 Trojan.BtcMine.1259 は感染させたコンピューター上で自身のコピーが動作していないかどうかを確認します。次に、プロセッサのコア数を確認し、その数がトロイの木馬の設定ファイル内で指定されたスレッド数よりも多いか、または同じであった場合は、自身の本体内に保存されたライブラリを復号化してメモリ上にロードします。このライブラリは、Gh0st RATとして知られる、オープンソースコードを持ったリモート管理システムの改変されたバージョンです(Dr.Web Anti-virusによって BackDoor.Farfli.96 として検出されます)。続けて Trojan.BtcMine.1259 は自身のコピーをディスク上に保存し、それをシステムサービスとして起動させます。正常に起動されると、設定ファイル内で指定されたアドレスのC&Cサーバーからアップデートをダウンロードしようと試みます。
仮想通貨Moneroをマイニングするよう設計されたメインのモジュールもまた、ライブラリとして実装されており、 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。このモジュールの設定ファイルでは、仮想通貨のマイニングに使用されるプロセッサのコア数とコンピューティングリソース量、マイナーが自動的に実行される間隔、およびその他のパラメータが指定されています。 Trojan.BtcMine.1259 は感染したコンピューター上で実行中のプロセスをトラッキングし、タスクマネージャーの起動が試みられると、自身の動作を終了させます。
マイニングトロイの木馬が初めて登場したのは6年以上も前のことになりますが(2011年にTrojan.BtcMine.1のシグネチャがDr.Webウイルスデータベースに追加されています)、サイバー犯罪者は依然として、ユーザーの許可なしにコンピューターリソースを使用する悪意のあるプログラムの拡散を続けています。コンピューターがこのようなプログラムに感染していることを示す兆候には、システムの処理速度低下やCPUの過熱が挙げられます。Dr.Web Anti-virusは Trojan.BtcMine.1259 とその全てのコンポーネントを削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
05.06 Doctor Web、2つのLinux向けトロイの木馬について調査
2017年6月5日
株式会社Doctor Web Pacific
Linux.MulDrop.14 という名前でDr.Webのウイルスデータベースに追加された最初の1つは小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラムで、5月の後半から拡散されています。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.MulDrop.14 は感染させたデバイス上でパスワードを変更し、マイナーを解凍して起動させます。続けて、開かれた22番ポートを持つネットワークノードを無限ループで検索し、SSHプロトコル経由で接続を確立した後、それらのコンピューター上で自身のコピーを起動させます。
Linux.ProxyM と名付けられたもう1つのトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です:
攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています:
このトロイの木馬は、ハニーポット(悪意のあるプログラムについて解析するために情報セキュリティスペシャリストによって用いられるおとりのサーバー)を見分ける特殊な手法を用います。起動されると、 Linux.ProxyM はC&Cサーバーに接続し、そこから承認を受け取った後、感染したデバイス上でSOCKSプロキシサーバーを起動させます。サイバー犯罪者はオンライン活動を匿名化する目的でこのトロイの木馬を使用することができます。
上記トロイの木馬はいずれもLinux向けDr.Web製品によって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
- Linux.MulDrop.14の技術的説明(英語)
- Linux.ProxyMの技術的説明(英語)
2017年5月31日
2017年5月には、Android向けの新たなトロイの木馬が複数Google Play上で発見されました。そのうちの1つはインターネットからアプリケーションをダウンロードし、機密情報を盗むよう設計されたトロイの木馬で、また別の1つは追加のプログラムモジュールをダウンロード・起動し、迷惑な広告を表示させるものでした。また、5月にはユーザーの口座から金銭を盗むバンキング型トロイの木馬も拡散されています。
5月の主な傾向
- Google Play上でトロイの木馬を発見
- Android向けバンキング型トロイの木馬の拡散
5月のモバイル脅威
5月の初め、オーディオプレイヤーに組み込まれた Android.RemoteCode.28 がGoogle Play上で発見されました。このトロイの木馬はインターネットから他のアプリケーションをダウンロードし、感染させたデバイスに関する情報やインストールされているソフトウェアに関するデータをC&Cサーバーに送信します。
Android.RemoteCode.28 は以下の特徴を備えています:
- Android.RemoteCode.28 のメインとなる悪意のある機能は暗号化された追加のモジュール内に組み込まれています。
- Android.RemoteCode.28 は起動から8時間後に初めて悪意のある動作を開始します。
- Android.RemoteCode.28 はエミュレータとデバッグツールの有無を確認し、それらを検出した場合は自身の動作を終了します。
Dr.Web for Androidによる統計
-
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
-
- Android.Sprovider.9
- ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
-
- Android.Triada.264.origin
- 様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。
-
- Adware.Jiubang.1
- Adware.Batmobi.2.origin
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Appsad.1
- Androidアプリケーション内に組み込まれた望まないプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させます。
Google Play上のトロイの木馬
5月中旬、トロイの木馬 Android.Spy.308.origin の組み込まれたアプリケーションがGoogle Play上で発見されました。このアプリケーションはSumifi Devというデベロッパーによって配信されているものです。Android向けの公式ソフトウェアカタログ内に悪意のあるプログラムが侵入した例はこれが初めてではありません。Doctor Webでは、2016年7月に同じような事例を紹介しています。 Android.Spy.308.origin が発見された後、感染したアプリケーションはデベロッパーによってアップデートされ、トロイの木馬のコンポーネントは削除されました。現在では当該アプリケーションは無害化されています。
Android.Spy.308.origin は迷惑な広告を表示させ、追加のモジュールを密かにダウンロード・起動させます。また、機密情報を盗み、それらをC&Cサーバーに送信します。
バンキング型トロイの木馬
5月、サイバー犯罪者はMMSメッセージを使用して Android.BankBot.186.origin などのバンキング型トロイの木馬を拡散していました。ユーザーは詐欺ページへのリンクを含んだSMSメッセージを受け取り、そのページから悪意のあるAPKファイルがモバイルデバイス上にダウンロードされます。
Android.BankBot.186.origin はシステムから削除されないよう管理者権限を要求します。また、標準のSMSアプリケーションに取って代わることで、Androidの新しいバージョンに搭載されたセキュリティシステムを回避し、メッセージの送信や横取りを可能にします。その後、 Android.BankBot.186.origin は銀行口座の残高を確認し、サイバー犯罪者へと密かに送金を行います。
Androidデバイスを狙った悪意のあるプログラムは依然として大きな脅威となっています。トロイの木馬は悪意のあるWebサイトからだけでなく、公式アプリケーション配信サイトであるGoogle Playからも拡散されることがあります。お使いのスマートフォンやタブレットを危険なソフトウェアや望まないソフトウェアから守るため、Dr.Web for Androidをインストールすることをお勧めします。
今すぐ、Dr.WebでAndroidデバイスを保護します
2017年5月31日
株式会社Doctor Web Pacific
2017年5月の最も注目すべきイベントは、Dr.Web Anti-virusによって Trojan.Encoder.11432 として検出される悪意のあるプログラムWannaCryの大量拡散です。このワームはユーザーの介入なしに拡散され、プロトコル「SMB」の脆弱性を悪用してネットワークノードを感染させます。その後、感染させたコンピューター上のファイルを暗号化し、それらを復元するために身代金を要求します。そのほか5月には、Linuxを標的とする、Luaで書かれた複雑なマルチコンポーネントトロイの木馬や、macOSを狙った新しいバックドアが発見されています。
5月の主な傾向
- 危険な暗号化ランサムウェアWannaCryの拡散
- macOS向けの新たなバックドアの発見
- Linux向けのマルチコンポーネントトロイの木馬が登場
5月の脅威
5月には、WannaCryとして知られる悪意のあるプログラムについて多くのメディアで取り上げられました。この危険なアプリケーションはMicrosoft Windowsコンピューターを感染させるネットワークワームで、その拡散は2017年5月12日の午前10時頃に開始されました。このワームはペイロードとして暗号化トロイの木馬を含んでいます。Dr.Web Anti-virusはワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。
起動されると、ワームは自身をシステムサービスとして登録し、ローカルネットワーク内およびランダムなIPアドレスを持ったインターネット上でネットワークノードを探します。接続の確立に成功するとそれらのコンピューターを感染させ、暗号化トロイの木馬を起動させますが、この暗号化トロイの木馬はランダムな鍵を使用してコンピューター上のファイルを暗号化させます。 Trojan.Encoder.11432 は動作の過程でシャドウコピーを削除し、システムの復元機能を無効にします。このトロイの木馬は、テストとして復号化するファイルのリストを作成します。テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。この脅威に関する詳細についてはこちらの記事を、ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
Dr.Web Anti-virusによる統計
- Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.Moneyinst.133
他のトロイの木馬を含む、様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Moneyinst.151
他のトロイの木馬を含む、様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。 - Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - Android.Androrat.1.origin
Androidデバイス向けのスパイウェアプログラムです。 - BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。
2017年5月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの14.39%
- Trojan.Encoder.11432 — リクエストの8.36%
- Trojan.Encoder.3953 — リクエストの7.41%
- Trojan.Encoder.761 — リクエストの2.62%
- Trojan.Encoder.10144 — リクエストの2.60%
- Trojan.Encoder.567 — リクエストの2.47%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
 |  |
2017年5月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は1,129,277件となっています。
| 2017年4月 | 2017年5月 | 推移 |
|---|---|---|
| + 568,903 | + 1,129,277 | + 98.5% |
その他の情報セキュリティイベント
5月の初め、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループページ内に投稿されたコメントに含まれるリンクからトロイの木馬が拡散されていることがDoctor Webセキュリティリサーチャーによって発見されました。サイバー犯罪者によって残されたこれらのメッセージは、ユーザーにDr.Webアンチウイルスの無料ライセンスキーのダウンロードを提供するものでした。しかしながら、リンクをたどってしまった被害者は、コンピューター上に Trojan.MulDrop7.26387 をダウンロードしてしまうことになります。
この悪意のあるプログラムはサイバー犯罪者から受け取った様々なコマンドを実行することができます。それらのコマンドには、Windowsデスクトップ壁紙を置き換える、光学ドライブを開くまたは閉じる、マウスキーの機能を入れ替える、音声シンセサイザーやスピーカーを使用して特定の言葉を再生するなどのほか、ユーザーを怯えさせる動画を再生するというものもあります。この脅威に関する詳細についてはこちらの記事をご覧ください。
Linuxを標的とするマルウェア
5月、Luaスクリプトで書かれた、Linux向けのマルチコンポーネントトロイの木馬がDoctor Webのスペシャリストによって発見されました。 Linux.LuaBot と名付けられたこのトロイの木馬は31のLuaスクリプトで構成され、コンピューターのみでなく、ネットワークストレージやルーター、セットアップボックス、IPカメラなど、その他の「スマート」デバイスを感染させることができます。このトロイの木馬は攻撃対象となるIPアドレスのリストを生成し、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出すことで、それらリスト上にあるリモートデバイスへの接続を試みます。接続に成功すると、感染させたコンピューター上に自身のコピーをダウンロードし、起動させます。
このトロイの木馬は実際にはバックドアであり、すなわちサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、Linux.LuaBotは感染させたデバイス上でWebサーバーを起動させ、このサーバーを使用することでサイバー犯罪者は様々なファイルをロードすることが可能になります。Doctor WebのスペシャリストはLinux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。
この脅威に関する詳細についてはこちらの記事を、技術的な説明(英語)についてはこちらをご確認ください。
macOSを標的とする悪意のあるプログラム
2017年春最後の月となる5月には、macOSを狙ったバックドアの拡散が発生しました。Mac.BackDoor.Systemd.1という名前でウイルスデータベースに追加されたこのトロイの木馬は以下のコマンドを実行することができます:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する(chmodコマンド)
- ファイルの所有者を変更する(chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
5月には、別のプログラムをダウンロードし、情報をC&Cサーバーに送信する Android.RemoteCode.28 がGoogle Play上で発見されました。Google Play上では、その他にも Android.Spy.308.origin の組み込まれたアプリケーションが発見されています。このトロイの木馬は追加のコンポーネントをダウンロード・起動し、広告を表示させます。また、5月には、ユーザーの銀行口座から金銭を盗むバンキング型トロイの木馬 Android.BankBot.186.origin がMMSメッセージを使用して拡散されました。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Google Play上でAndroid向けトロイの木馬を発見
- ユーザーから密かに金銭を盗み、それらをサイバー犯罪者に送金するバンキング型トロイの木馬の拡散
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
追加情報
25.05 Doctor Web、Linuxを標的としたマルチコンポーネントトロイの木馬を調査
2017年5月25日
株式会社Doctor Web Pacific
Linux.LuaBot ファミリーに属するこのトロイの木馬による最初の攻撃は、2016年12月にDoctor Webのセキュリティリサーチャーによって確認されています。このトロイの木馬は2016年11月から継続的に進化を続けており、 Linux.LuaBot の新しい亜種が定期的に登場していますが、全てのバージョンがLuaスクリプトで書かれています。 Linux.LuaBot は31のLuaスクリプトと2つの追加モジュールで構成され、それぞれが独自の機能を実行します。Intel x86(およびIntel x86_64)、 MIPS、 MIPSEL、 Power PC、 ARM、 SPARC、 SH4、 M68kのアーキテクチャを搭載するデバイスを感染させることができ、すなわち、コンピューターのみでなく、ルーターやセットアップボックス、ネットワークストレージ、IPカメラ、その他の「スマート」デバイスを幅広く感染させることができます。Doctor WebのスペシャリストはSPARCアーキテクチャ向けに設計されたトロイの木馬のサンプルを検出することはできませんでした。トロイの木馬はSPARCアーキテクチャを特定することはできますが、このアーキテクチャ向けの実際のモジュールは見つかっていません。
Linux.LuaBot に含まれるスクリプトは全て相互に依存しています。トロイの木馬は攻撃対象となるIPアドレスのリストを生成し、リスト上にあるリモートデバイスへの接続を試み、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出します。ネットワークノードをハッキングするために Linux.LuaBot によって使用されるスクリプトは、攻撃対象デバイスのアーキテクチャを特定することができるのみでなく、サイバー犯罪者を欺くためのおとりのサーバー「ハニーポット」を見分ける特殊なメカニズムを持っています。「ハニーポット」は、サイバー犯罪者の用いる攻撃の手法やテクニックについて解析するために情報セキュリティスペシャリストによって使用されるものです。また、攻撃はTelnetプロトコルとSSHプロトコル経由で実行され、これらプトロコルの動作にはそれぞれ異なるLuaスクリプトが対応しています。デバイスへのアクセスに成功すると、悪意のあるスクリプトが該当するアーキテクチャの Linux.LuaBot をデバイス上にインストールします。Telnet経由での攻撃では、まず初めにデバイス上に小さなモジュールがインストールされ、このモジュールが起動されると、トロイの木馬をダウンロードします。SSH経由での攻撃では、直ちにトロイの木馬がダウンロードされます。
Linux.LuaBot モジュールの1つは完全に機能するWebサーバーで、HTTPプロトコル経由で動作します。このサーバーは感染したデバイス上にアプリケーションを保存して起動し、要求に応じてそのディレクトリからファイルを送信し、トロイの木馬のバージョンに関する情報を共有します。この度登場した Linux.LuaBot の新しいバージョンでは、デバイスに関するデータを送信する機能が取り除かれていました。
Linux.LuaBot はHTTPプロトコル経由でC&Cサーバーと通信し、送信される全ての情報は暗号化されています。新しい設定ファイルやモジュールの検索には、通常のTorrentネットワークで使用されるものと同じBittorent DHTプロトコルに基づいた、P2Pネットワークが使用されます。この機能にはまた別のスクリプトが使われます。また、送受信するメッセージの真正性を検証するために電子署名が用いられます。P2Pネットワークを利用できない場合、別のスクリプトが感染した他のノードを使用し、特別なリクエストに応じてファイルを感染したデバイス上にダウンロードすることで Linux.LuaBot をアップデートします。このスクリプトが使用されていたのは Linux.LuaBot の初期のバージョンのみです。
Linux.LuaBot がLinuxデバイスのユーザーにとって危険である理由は、このトロイの木馬が実際はバックドアであるという点にあります。換言すればすなわち、 Linux.LuaBot はサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、このトロイの木馬の初期のバージョンは感染させたデバイス上でプロキシサーバーを起動させる機能を備えており、サイバー犯罪者はそのサーバーを使用してオンライン活動を匿名化していました。
Doctor Webのスペシャリストは Linux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。
Doctor Webでは、異なる機能やアーキテクチャ上の特徴を持った複数の Linux.LuaBot の亜種について把握しています。Dr.Web Anti-virusは現時点で存在する Linux.LuaBot の全てのバージョンを検出することができます。
17.05 Doctor Webによる「WannaCry」トロイの木馬についての追加報告
2017年5月17日
株式会社Doctor Web Pacific
「Wannacry」と呼ばれるこのマルウェアはユーザーの介入なしにMicrosoft Windowsコンピューターを感染させるネットワークワームです。Dr.Web Anti-virusはこのワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。2017年5月12日の午前10時より拡散され始めたこのワームは、ランダムなIPアドレスを持った、ローカルネットワーク内にある全てのコンピューターとリモートインターネットサーバーを攻撃し、445番ポートへの接続確立を試みます。1台のコンピューターを感染させると、他のコンピューターへと感染を広げようとします。このことが、今回の大規模な拡散に繋がっています。この悪意のあるプログラムは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。
ネットワークワーム
起動されると、ワームはトロイの木馬内で指定されているドメインを持つリモートサーバーに対してリクエストを送信し、応答を受け取ると動作を終了します。一部のメディアでは、このドメインを登録することでWannaCryの拡散を止めることに成功したと報道しています。トロイの木馬が拡散された時点で、このドメインはサイバー犯罪者の不注意によって未登録となっていました。しかしながら、今回の解析の結果からは、このトロイの木馬はローカルネットワークにアクセスしているがインターネットには接続されていないコンピューターを感染させ、それらのコンピューター上で動作することが可能であるということが示唆されています。拡散が終了したと考えるのは早計に過ぎるといえるでしょう。
このトロイの木馬は起動されると「mssecsvc2.0」という名のシステムサービスとして自身を登録します。また、コマンドラインパラメータに対して敏感に反応し、引数が指定されると、エラー発生に備えてサービスの自動起動を有効にしようと試みます。システムサービスとして起動されてから24時間以内にワームは自動的に動作を終了します。
感染させたコンピューター上で起動された後、ワームはそのコンピューターのローカルネットワーク内でアクセス可能なサーバーとインターネット上のランダムなIPアドレスを持ったコンピューターを探し、445番ポートへの接続を試みます。接続の確立に成功すると、SMBプロトコルの脆弱性を悪用してそれらのコンピューターを感染させます。
ドロッパー
ドロッパーは、OS内に悪意のある実行ファイルをインストールするよう設計されたコンポーネントです。WannaCryのドロッパーにはパスワード保護されたZIPアーカイブが含まれており、このアーカイブにトロイの木馬エンコーダーの暗号化されたファイル、サイバー犯罪者からの要求を含んだWindowsデスクトップの壁紙、onionサーバーのアドレスとビットコインの送金先となるウォレット名を含んだファイル、Torネットワーク内で動作するプログラムを含んだアーカイブが含まれています。ドロッパーはワームの本体から起動され、自身をシステム内にインストールし、そして自身のコピーをランダムな名前のシステムサービスとして起動させようと試みます。この試みに失敗した場合、コピーは普通のプログラムとして実行されます。ドロッパーの主な役割はアーカイブの中身をディスク上に保存し、エンクリプターを起動させることです。
トロイの木馬型ランサムウェア
Trojan.Encoder.11432 はランダムなキーでファイルを暗号化します。ファイルには暗号化キーの長さに関するデータ、暗号化キー自体、暗号化の種類とソースファイルのサイズに関する情報が含まれています。暗号化の過程でf.wnryという名前のファイルが作成され、そこにはトロイの木馬がテストとして復号化するファイルのリストが含まれています。
このトロイの木馬は、感染したコンピューター上のシャドウコピーを削除し、システムの復元機能を無効にする作成者のデコーダーを持っています。また、Windowsデスクトップの壁紙を以下のような画像ファイルに変更します:
次に、Torネットワークとの動作に使用するアプリケーションを展開(または、それらをインターネットからダウンロード)し、トロイの木馬の設定ファイル内で指定されたアドレスを持つonionサーバーに接続します。そのサーバーから、仮想通貨ビットコインを入金させるウォレット名を受け取り、設定ファイル内に書き込みます。 Trojan.Encoder.11432 はonionサーバーとのデータのやり取りに独自のプロトコルを使用しています。
デコーダーは、f.wnryファイル内のリストで指定されている複数のテストファイルを復号化することを可能にします。復号化に必要な秘密鍵は、悪意のあるプログラムのコンポーネントの1つに含まれています。そのため、トロイの木馬を使用することなくテストファイルを復号化することができます。ただし、テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。
残念ながら、現時点では Trojan.Encoder.11432 によって暗号化されたファイルを復元することはできません。
感染の兆候
WannaCryに感染したシステムには以下のサービスとファイルが存在します:
- 「mssecsvc2.0」システムサービス("Microsoft Security Center (2.0) Service"と表示)
- トロイの木馬のエンコーダーファイル「C:\WINDOWS\tasksche.exe」(悪意のあるプログラムの古いコピーは「C:\WINDOWS\qeriuwjhrf」内に保存されています)
感染した場合の対処
- さらなる感染拡大を防ぐため、感染したシステムやコンピューター(重要なデータを含むもの)をコンピューターネットワークから隔離する
- データのバックアップを、あらゆるコンピューターから切り離して外部ストレージ上に保存する
本ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
15.05 Doctor Webのユーザーはランサムウェア「WannaCry」から保護されています
2017年5月15日
株式会社Doctor Web Pacific
このトロイの木馬の最初の亜種 (Wanna Decryptor 1.0) は2017年3月27日午前07:20にDoctor Webのラボにて解析され、同日午前11:51にウイルスデータベースに追加されています。
「WannaCry」としても知られる Trojan.Encoder.11432 は金曜日の夜から拡散され、土曜日には世界中で大手企業のコンピューターを感染させています。
Doctor Webでは5月12日午前10:45にそのサンプルを入手し、Dr.Webウイルスデータベースに追加しました。
サンプルがデータベースに追加される以前より、Dr.Webは BACKDOOR.Trojan として既にこのトロイの木馬を検出していました。
Trojan.Encoder.11432 と名付けられたこのトロイの木馬はマルチコンポーネントなエンコーダーで、4つのコンポーネント(ネットワークワーム、エンコーダードロッパー、エンコーダー、作成者のデコーダー)を含んでいます。
Trojan.Encoder.11432 は感染させたコンピューター上にあるファイルを暗号化し、それらを復元するために、指定されたe-wallet(イーウォレット)にビットコインで身代金を支払うよう要求します。
このトロイの木馬の大規模拡散は、プロトコル「SMB」の脆弱性が要因となっています。Windows 10よりも古いバージョンの全てのWindows OSがこの脆弱性を持っています。Dr.Webユーザーは、 Trojan.Encoder.11432 の拡散が開始されて以降、何らの被害も受けていません。
Trojan.Encoder.11432 による感染からコンピューターを守るための推奨事項は以下のとおりです:
- お使いのOS向けのMS17-010アップデート(technet.microsoft.com/en-us/library/security/ms17-010.aspxで入手可能)と最新のセキュリティアップデートを全てインストールする。
- アンチウイルスをアップデートする。
- ファイアウォールを使用して、攻撃対象のネットワークポート(139、445)を閉じる。
- 攻撃されている、脆弱性を持ったOSのサービスを無効にする。
- 新しいソフトウェア(実行ファイル)のインストールと実行を禁止する。
- 不必要なユーザー権限を削除する(新しいソフトウェアを起動・インストールする権限)。
- システム内の必要のないサービスを削除する。
- Torネットワークへのアクセスを禁止する。
12.05 Doctor Web、Macを標的とする新たなバックドアを発見
2017年5月12日
株式会社Doctor Web Pacific
Mac.BackDoor.Systemd.1 としてDr.Webウイルスデータベースに追加されたこのバックドア型トロイの木馬は、起動されるとミススペリングを含んだメッセージ「This file is corrupted and connot be opened」をコンソールに表示させ、systemdと呼ばれるデーモンとして自身を再起動させます。また、 Mac.BackDoor.Systemd.1 は該当するフラグをセットすることで自身のファイルを隠そうと試みます。次に、SHコマンドを使用してplistファイルを作成し、自動起動するよう自身を登録します。
このトロイの木馬の本体には暗号化された設定情報が保存されています。その情報に応じて、 Mac.BackDoor.Systemd.1 はC&Cサーバーとの接続を自身で確立するか、または接続リクエストを受信するのを待ちます。接続されると、バックドアは受け取ったコマンドを実行し、サイバー犯罪者に対して以下の情報を定期的に送信します:
- OSの名前とバージョン
- ユーザー名
- ルート権限を取得可能かどうか
- 使用可能な全てのネットワークインターフェースのMACアドレス
- 使用可能な全てのネットワークインターフェースのIPアドレス
- 外部IPアドレス
- CPUの種類
- RAM容量
- マルウェアのバージョンと設定に関するデータ
Mac.BackDoor.Systemd.1 は独自のファイルマネージャーを持っており、サイバー犯罪者は感染したコンピューター上にあるファイルやフォルダに対して様々な操作を行うことが可能です。このバックドアは以下のコマンドを実行することができます:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する(chmodコマンド)
- ファイルの所有者を変更する(chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
Mac.BackDoor.Systemd.1 はMac向けのDr.Web製品によって検出・削除されるため、Dr.Webユーザーに危害が及ぶことはありません。
04.05 Doctor Webセキュリティリサーチャー、「VK」ソーシャルネットワーク上で 無料のライセンスキーとして拡散されていた新たなトロイの木馬を発見
2017年5月4日
株式会社Doctor Web Pacific
少し前に、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループ内に、Dr.Web Anti-virusの無料ライセンスキーのダウンロードを提供する匿名ユーザーからのメッセージが出現しました。多くの場合、このようなメッセージにはRGhostファイルホスティングへのリンクが含まれています。リンクをたどってしまった被害者は、26 KBのRARアーカイブをダウンロードするかどうかを尋ねられます。Doctor Webグループのモデレーターは、これらのメッセージを可能な限り速やかに削除するよう努めていますが、投稿された直後に削除することは時として困難な場合があります。
アーカイブにはシンプルテキストドキュメントのアイコンを持った小さな実行ファイルが含まれています。この悪意のあるプログラムは同じバックドアですが、シグネチャ検出を回避するために、オンライン上で公表される度に新たにパックされているということが、解析された全てのサンプルから明らかになっています。その結果、 Trojan.MulDrop7.26387 と名付けられたこのトロイの木馬は、Dr.Web Anti-virusによって直ちに検出されることがありません。新しいサンプルは、ウイルスデータベースが新たに更新された後でのみ検出することが可能になります。 Trojan.MulDrop7.26387 はアンチウイルスのライセンスキーを装って拡散されていることから、サイバー犯罪者は、アンチウイルスソフトウェアを使用していないか、または無償の保護プログラムを使用している不注意なユーザーを陥れようと企んでいたものと考えられます。
Trojan.MulDrop7.26387 は非常に興味深い昔ながらの機能を備えた多目的バックドアで、広く知られているRemote Administration Tool (RAT) Njrat 0.7 Golden By Hassan Amiriをベースに作成されています。このツールはDr.WebによってBackDoor.NJRat.1013として検出されます。
起動後、 Trojan.MulDrop7.26387 はC&Cサーバーに接続し、感染したコンピューターに関する情報(ハードドライブのシリアル番号、インストールされているOSのビット版、コンピューター名、メーカー名、インストールされている場合はアンチウイルスのバージョン、Webカメラが使用可能かどうか)を送信します。このトロイの木馬は以下のコマンドを実行することができます:
- Windowsデスクトップ壁紙を置き換える
- コンピューターの電源を切る、または再起動させる
- 規定されたテキストでのシステムメッセージをスクリーン上に出力する
- マウスキーの機能を入れ替える
- 音声シンセサイザーやスピーカーを使用して特定の言葉を再生する
- Windowsタスクバーを隠し、その後復元する
- 光学ドライブを開く、または閉じる
- ディスプレイをオンオフする
- 指定されたリンクをブラウザで開く
- システムレジストリの指定された値を読み込む、インストールする、または削除する
- スクリーンショットを作成し、C&Cサーバーに送信する
- 指定された実行ファイルをダウンロード・起動する
- トロイの木馬の実行ファイルをリフレッシュ、または削除する
Trojan.MulDrop7.26387 の最も危険な機能の1つは、キー入力を記録する、埋め込まれたキーロガーです。このデータはコマンドに応じてサイバー犯罪者のサーバー上にダウンロードされます。また、このトロイの木馬は恐ろしい画像の含まれたSWF動画を予期せぬタイミングで感染したコンピューター上に表示させることができます。
ユーザーを怯えさせたり混乱させたりすることを主な目的としたこのような悪意のあるプログラムは昨今では非常に珍しいものとなっています。多くのトロイの木馬は収益を得ることを目的としたものであり、ただ単に「楽しむ」ためにユーザーを怖がらせるようなウイルスを拡散させるというのは、まるで中学生のいたずらのようです。
「ただほど高いものはない」という諺が示すとおり、商用ソフトウェアのライセンスキーを無料で提供するあらゆるダウンロードリンクは結局のところ詐欺であると言えます。このような罠に陥らないよう十分に警戒するようにしてください。
2017年5月9日
株式会社Doctor Web Pacific
4月には、サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬が発見されました。また、機密情報やアカウントの金銭を盗むよう設計された新たなバンキング型トロイの木馬が複数Google Play上で確認されています。そのうちの1つは、インターネット上で動画を見るためのプログラムに、また別の1つはフラッシュライトプログラムに埋め込まれていました。
4月の主な傾向
- Android向けのスパイウェア型トロイの木馬を検出
- バンキング型トロイの木馬がGoogle Playに侵入
4月のモバイル脅威
4月には、サイバースパイ行為を行う目的で使用されるAndroid向けトロイの木馬 Android.Chrysaor.1.origin が発見されました。この悪意のあるプログラムはSkype、Viber、WhatsAppなどの多くのオンライン通信プログラムからやり取りを盗むほか、Webブラウザの履歴やSMSメッセージ、その他の機密データを盗みます。また、モバイルデバイス上でのキーボード操作をトラッキングすることで、入力された全ての情報を横取りし、スクリーンショットを作成し、サイバー犯罪者からの着信に密かに応答することで周りの音声を盗聴します。
Dr.Web for Androidによる統計
-
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.93
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Sprovider.9
- ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
-
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Patacore.2
- Adware.Appsad.3.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる望まないプログラムモジュールです。
バンキング型トロイの木馬
4月には、新たなAndroid向けバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin としてDr.Webウイルスデータベースに追加されたそのうちの1つは、面白い動画を紹介するFunny Videos 2017およびHappyTimeアプリケーション内に隠されていました。このトロイの木馬は、以前こちらの記事で紹介した別のAndroid向けバンキング型トロイの木馬の亜種で、サイバー犯罪者によって一般に公開されているソースコードを基に作成されています。
Android.BankBot.179.origin はバンキングプログラムやその他のソフトウェアプログラムのリストを含んだ設定ファイルをC&Cサーバーから受け取り、それらプログラムの動作をトラッキングします。リスト上にあるプログラムが起動されると、偽の認証ウィンドウを表示させてログインおよびパスワードを入力させます。ユーザーがGoogle Playを起動させた場合、 Android.BankBot.179.origin は偽の決済フォームを表示させ、クレジットカードの情報を入力するよう要求します。また、このトロイの木馬は受信SMSメッセージをトラッキングし、受信するクレジットカードの確認コードを横取りします。
Android.BankBot.179.originは以下の特徴を備えています:
- サイバー犯罪者によって公開されたバンキング型トロイの木馬のソースコードを基に作成されている
- Google Playから拡散されている
- 正常に機能する動画プレイヤーに埋め込まれている
- システムから簡単に削除されないようにするために、管理者権限を要求する
- 数百のバンキングプログラムやその他のポピュラーなソフトウェアを攻撃することができる(サイバー犯罪者は設定ファイルをアップデートするだけでよい)
4月に発見されたまた別のAndroid向けバンキング型トロイの木馬は Android.BankBot.180.origin と名付けられました。このトロイの木馬はフラッシュライトアプリケーションであるFlashlight LED Widget内に埋め込まれていました。起動されると、 Android.BankBot.180.origin はホーム画面から自身のアイコンを削除し、モバイルデバイス上の管理者権限を要求します。その後、フラッシュライトの動作は悪意のあるプログラムのウィジェットを介してコントロールされるようになります。
Android.BankBot.180.origin はバンキングプログラムの起動をトラッキングし、それらの前面に偽のウィンドウを表示させてログインとパスワードを入力させます。また、 Android.BankBot.179.origin と同様、Google Playが起動されると偽のフォームを表示させてユーザーのクレジットカード情報を盗もうと試みます。
Android向けバンキング型トロイの木馬はサイバー犯罪者がアカウントから金銭を盗むことを可能にすることから、最も危険な悪意のあるプログラムの1つであるとされています。そのバンキング型トロイの木馬がGoogle Playから拡散されると、その危険はいっそう大きなものになります。Google PlayはAndroidモバイルデバイス向けの最も信頼できるソフトウェア配信元と考えられているため、そこからアプリケーションをダウンロードするユーザーは警戒を怠りがちになるというのがその理由です。お使いのモバイルデバイスをバンキング型トロイの木馬やその他の悪意のあるプログラムから守るため、Dr.Web for Androidをインストールすることをお勧めします。
今すぐ、Dr.WebでAndroidデバイスを保護します
2017年5月11日
株式会社Doctor Web Pacific
4月は情報セキュリティに関して慌ただしい月となりました。月の始めには、マルチコンポーネントトロイの木馬を拡散するための悪意のあるメールが配信されました。このトロイの木馬は感染させたコンピューターから機密情報を盗むよう設計されていました。同月中旬にはユーザーを騙す悪意のあるプログラムを使用した詐欺手法についてDoctor Webのスペシャリストによる調査が行われ、下旬にはMicrosoft Officeの脆弱性が発見されました。この脆弱性は、感染させたコンピューターからパスワードを盗むトロイの木馬の拡散に利用されていました。
4月の主な傾向
- マルチコンポーネントトロイの木馬を含んだ悪意のあるメールの配信
- Microsoft Officeの脆弱性を発見
- Windows向けの新たなトロイの木馬の拡散
4月の脅威
4月には、 Trojan.MulDrop7.24844 と名付けられたマルチコンポーネントトロイの木馬が、メールに添付されたアーカイブとして拡散されていました。
このアーカイブには、プログラミング言語「AutoIt」の機能を使用して作られた、パックされたコンテナが含まれています。感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの1つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。このトロイの木馬はその他に2つのアプリケーションをディスク上に保存します。これらのプログラムはMimikatzツールの32ビット版および64ビット版で、開かれたWindowsのセッションでパスワードを横取りするよう設計されています。 Trojan.MulDrop7.24844 はユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時に指定されたパラメータに応じて、その他複数の機能を実行します。 Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスし、感染したコンピューターをコントロールすることを可能にします。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.SMSSend.7306
インストーラの組み込まれたアーカイブとして拡散される悪意のあるプログラムのファミリーに属します。高額なサービス番号にSMSを送信してインストールを継続するようユーザーを誘導することでアーカイブのコンテンツへのアクセスを獲得するか、または電話番号を指定して受信したメッセージに含まれるコードを入力するよう誘導することで有料サービスへの登録を確定させます。Trojan.SMSSendの主な目的は身代金を得ることです。 - Win32.Virut.5
実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - BackDoor.Comet.3269
感染したデバイス上でサイバー犯罪者から受け取ったコマンドを実行し、犯罪者による不正アクセスを可能にするマルウェアファミリーに属します。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。 - Android.SmsSend.15044
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
暗号化ランサムウェア
2017年4月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの33.57%
- Trojan.Encoder.3953 — リクエストの8.97%
- Trojan.Encoder.567 — リクエストの3.80%
- Trojan.Encoder.10144 — リクエストの3.59%
- Trojan.Encoder.761 — リクエストの2.58%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
| |
危険なWEBサイト
2017年4月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は568,903件となっています。
| 2017年3月 | 2017年4月 | 推移 |
| + 223,173 | + 568,903 | + 154.91% |
4月中旬、Doctor Webでは、サイバー犯罪者によって以前より使用されている詐欺手法である「八百長詐欺」についての記事を掲載しました。
多くの場合、サイバー犯罪者は「スポーツの試合結果について信頼性の高い情報」を売り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。最近では、この詐欺手法に変化が見られ、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。しかしながら、実際に被害者に対して送信されるのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。このプログラムは、WinRARで作成されたSFXアーカイブのインターフェースと動作を完全に模倣したものとなっています。この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。このプログラムは Trojan.Fraudster.2986 としてウイルスデータベースに追加され、拡散元となるWebサイトは非推奨サイトのリストに加えられています。
その他の情報セキュリティイベント
4月の末には、 Trojan.DownLoader23.60762 と名付けられた悪意のあるプログラムが拡散されました。このトロイの木馬は主要なブラウザからログインとパスワードを盗み、ユーザーの許可なしに危険なファイルをダウンロードするよう設計されています。また、感染させたコンピューター上でブラウザのプロセス内に埋め込まれ、ネットワークとの動作を司る関数を横取りします。 Trojan.DownLoader23.60762 は以下のコマンドを実行することができます:
- 感染させたコンピューターのディスク上にある一時フォルダからファイルを起動させる
- 実行中のプロセス内に自身を埋め込む
- 指定されたファイルを削除する
- 指定された実行ファイルを起動させる
- Google Chromeによって使用されるSQLiteデータベースを保存し、サイバー犯罪者に送信する
- C&Cサーバーを指定されたものに変更する
- cookieを削除する
- OSを再起動させる
- コンピューターの電源を切る
この脅威に関する詳細についてはこちらの記事をご覧ください。
その他、4月にはMicrosoft Office Wordで脆弱性が発見され、それに対するエクスプロイト Exploit.Ole2link.1 がサイバー犯罪者によって開発されています。このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。この脅威に関する詳細についてはこちらの記事をご覧ください。
LINUXを標的としたマルウェア
4月を通して、様々なLinuxデバイスに対する1,317,388件の攻撃がDoctor Webのスペシャリストによって確認されています。そのうち、SSHプロトコルを介したものが147,401件、Telnetプロトコルを介したものが1,169,987件となっています。以下の円グラフは最も多く検出されたLinux向けトロイの木馬の内訳を表しています:
- Linux.Mirai
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬です。コンピューターを再起動することができなくなるよう、システムのハングアップを防止するウォッチドッグタイマーを無効にします。 - Linux.DownLoader
感染したコンピューター上に他のマルウェアをダウンロード・インストールするよう設計された、Linux向けの悪意のあるプログラムやスクリプトのファミリーです。 - Linux.BackDoor.Remaiten
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬のファミリーです。Telnet プロトコルを使用してデバイスをハッキングし、ブルートフォースアタックによってパスワードを取得することができます。成功すると、アセンブラ言語で書かれたローダーをコンピューター上に保存し、このローダーによって他のトロイの木馬がダウンロード・インストールされます。 - Linux.Mrblack
ARMプロセッサを搭載したLinuxディストリビューション上で動作し、DDoS攻撃を実行するよう設計されたトロイの木馬です。C&Cサーバーから受け取った指示を実行するためのコマンドハンドラが埋め込まれています。 - Linux.DDoS
DDoS攻撃を実行するよう設計された、Linux向けトロイの木馬ファミリーです。 - Linux.PNScan
Linuxルーターを感染させるよう設計されたネットワークワームです。このワームは自身でデバイスを感染させ、ポート9000と1337を開放し、これらのポート経由で受け取ったリクエストを処理し、C&Cサーバーに接続します。
4月、Doctor Webのスペシャリストは Linux.UbntFM ファミリーに属する悪意のあるプログラムのアップデートされたバージョンについて解析を行いました。 Linux.UbntFM.2 と名付けられたこのトロイの木馬はLinuxOSを標的としており、その中にはUbiquiti Networksによって作成され、同社のデバイス上にインストールされるAir OSが含まれています。 Linux.UbntFM.2 はtgz.アーカイブに含まれて拡散され、bashスクリプトで書かれています。
Linux.UbntFM.2 は感染させたデバイス上で新しいアカウントを作成し、任意のファイルを起動させます。また、Air OSのWebインターフェースに存在する脆弱性を悪用して、リモートデバイスを攻撃することができます。この脆弱性は、任意のパスを経由して任意のファイルを不正にダウンロードすることを可能にするものです。プロトコルを特定できない場合(または感染させたデバイスにAir OSがインストールされていない場合)、 Linux.UbntFM.2 は特殊な辞書、「root」・「admin」・「ubnt」のログイン、そしてファイル内に保存されたパスワードを使用してSSH接続のアカウント情報を割り出そうと試みます。このプログラムの動作に関する情報は技術的情報(英語)をご確認ください。
また、4月にはFgtトロイの木馬ファミリーに属する新たな亜種 Linux.BackDoor.Fgt.645 が登場しました。この亜種は限られた機能しか備えていない(リモートネットワークサーバーをハッキングするためのパスワードを割り出すモジュールとドロッパーのみ)という点でこれまでのバージョンと異なっています。その他、 Linux.BackDoor.Fgt.645 は.shスクリプトをダウンロード・実行するためのリクエストを送信することができます。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
4月には、スパイ行為を行うよう設計された新たなAndroid向けトロイの木馬 Trojan Android.Chrysaor.1.origin がDr.Webウイルスデータベースに追加されました。この悪意のあるプログラムはAndroidデバイスユーザーから機密情報を盗むための標的型攻撃に使用されています。また、新たなバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin と名付けられたそのうちの1つは、オンライン動画を提供するプログラムを装って拡散され、実際に動画プレイヤーとしても機能するものでした。Android.BankBot.180.originと名付けられたまた別のバンキング型トロイの木馬は、フラッシュライトプログラムを装っていました。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬の発見
- Androidユーザーの機密情報や金銭を盗むバンキング型トロイの木馬をGoogle Play上で発見
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
