ウイルスデータベース
15.06 Doctor Web、仮想通貨をマイニングするトロイの木馬について警告
2017年6月15日
株式会社Doctor Web Pacific
Trojan.BtcMine.1259 と名付けられたこの悪意のあるプログラムは、仮想通貨Monero (XMR)をマイニングするよう設計されていました。このマイナーは Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。
起動されると、 Trojan.BtcMine.1259 は感染させたコンピューター上で自身のコピーが動作していないかどうかを確認します。次に、プロセッサのコア数を確認し、その数がトロイの木馬の設定ファイル内で指定されたスレッド数よりも多いか、または同じであった場合は、自身の本体内に保存されたライブラリを復号化してメモリ上にロードします。このライブラリは、Gh0st RATとして知られる、オープンソースコードを持ったリモート管理システムの改変されたバージョンです(Dr.Web Anti-virusによって BackDoor.Farfli.96 として検出されます)。続けて Trojan.BtcMine.1259 は自身のコピーをディスク上に保存し、それをシステムサービスとして起動させます。正常に起動されると、設定ファイル内で指定されたアドレスのC&Cサーバーからアップデートをダウンロードしようと試みます。
仮想通貨Moneroをマイニングするよう設計されたメインのモジュールもまた、ライブラリとして実装されており、 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。このモジュールの設定ファイルでは、仮想通貨のマイニングに使用されるプロセッサのコア数とコンピューティングリソース量、マイナーが自動的に実行される間隔、およびその他のパラメータが指定されています。 Trojan.BtcMine.1259 は感染したコンピューター上で実行中のプロセスをトラッキングし、タスクマネージャーの起動が試みられると、自身の動作を終了させます。
マイニングトロイの木馬が初めて登場したのは6年以上も前のことになりますが(2011年にTrojan.BtcMine.1のシグネチャがDr.Webウイルスデータベースに追加されています)、サイバー犯罪者は依然として、ユーザーの許可なしにコンピューターリソースを使用する悪意のあるプログラムの拡散を続けています。コンピューターがこのようなプログラムに感染していることを示す兆候には、システムの処理速度低下やCPUの過熱が挙げられます。Dr.Web Anti-virusは Trojan.BtcMine.1259 とその全てのコンポーネントを削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
05.06 Doctor Web、2つのLinux向けトロイの木馬について調査
2017年6月5日
株式会社Doctor Web Pacific
Linux.MulDrop.14 という名前でDr.Webのウイルスデータベースに追加された最初の1つは小型コンピューターRaspberry Piのみを攻撃する悪意のあるプログラムで、5月の後半から拡散されています。このトロイの木馬は仮想通貨をマイニングするよう設計されたアプリケーションを圧縮・暗号化された形で含むスクリプトです。 Linux.MulDrop.14 は感染させたデバイス上でパスワードを変更し、マイナーを解凍して起動させます。続けて、開かれた22番ポートを持つネットワークノードを無限ループで検索し、SSHプロトコル経由で接続を確立した後、それらのコンピューター上で自身のコピーを起動させます。
Linux.ProxyM と名付けられたもう1つのトロイの木馬は2017年2月に登場しましたが、その攻撃は5月下旬以降に活発化しました。以下のグラフはDoctor Webスペシャリストによって確認された Linux.ProxyM による攻撃数です:
攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。以下のグラフは Linux.ProxyM による攻撃元の地理的分布を表しています:
このトロイの木馬は、ハニーポット(悪意のあるプログラムについて解析するために情報セキュリティスペシャリストによって用いられるおとりのサーバー)を見分ける特殊な手法を用います。起動されると、 Linux.ProxyM はC&Cサーバーに接続し、そこから承認を受け取った後、感染したデバイス上でSOCKSプロキシサーバーを起動させます。サイバー犯罪者はオンライン活動を匿名化する目的でこのトロイの木馬を使用することができます。
上記トロイの木馬はいずれもLinux向けDr.Web製品によって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
- Linux.MulDrop.14の技術的説明(英語)
- Linux.ProxyMの技術的説明(英語)
2017年5月31日
2017年5月には、Android向けの新たなトロイの木馬が複数Google Play上で発見されました。そのうちの1つはインターネットからアプリケーションをダウンロードし、機密情報を盗むよう設計されたトロイの木馬で、また別の1つは追加のプログラムモジュールをダウンロード・起動し、迷惑な広告を表示させるものでした。また、5月にはユーザーの口座から金銭を盗むバンキング型トロイの木馬も拡散されています。
5月の主な傾向
- Google Play上でトロイの木馬を発見
- Android向けバンキング型トロイの木馬の拡散
5月のモバイル脅威
5月の初め、オーディオプレイヤーに組み込まれた Android.RemoteCode.28 がGoogle Play上で発見されました。このトロイの木馬はインターネットから他のアプリケーションをダウンロードし、感染させたデバイスに関する情報やインストールされているソフトウェアに関するデータをC&Cサーバーに送信します。
Android.RemoteCode.28 は以下の特徴を備えています:
- Android.RemoteCode.28 のメインとなる悪意のある機能は暗号化された追加のモジュール内に組み込まれています。
- Android.RemoteCode.28 は起動から8時間後に初めて悪意のある動作を開始します。
- Android.RemoteCode.28 はエミュレータとデバッグツールの有無を確認し、それらを検出した場合は自身の動作を終了します。
Dr.Web for Androidによる統計
-
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
-
- Android.Sprovider.9
- ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
-
- Android.Triada.264.origin
- 様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。
-
- Adware.Jiubang.1
- Adware.Batmobi.2.origin
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Appsad.1
- Androidアプリケーション内に組み込まれた望まないプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させます。
Google Play上のトロイの木馬
5月中旬、トロイの木馬 Android.Spy.308.origin の組み込まれたアプリケーションがGoogle Play上で発見されました。このアプリケーションはSumifi Devというデベロッパーによって配信されているものです。Android向けの公式ソフトウェアカタログ内に悪意のあるプログラムが侵入した例はこれが初めてではありません。Doctor Webでは、2016年7月に同じような事例を紹介しています。 Android.Spy.308.origin が発見された後、感染したアプリケーションはデベロッパーによってアップデートされ、トロイの木馬のコンポーネントは削除されました。現在では当該アプリケーションは無害化されています。
Android.Spy.308.origin は迷惑な広告を表示させ、追加のモジュールを密かにダウンロード・起動させます。また、機密情報を盗み、それらをC&Cサーバーに送信します。
バンキング型トロイの木馬
5月、サイバー犯罪者はMMSメッセージを使用して Android.BankBot.186.origin などのバンキング型トロイの木馬を拡散していました。ユーザーは詐欺ページへのリンクを含んだSMSメッセージを受け取り、そのページから悪意のあるAPKファイルがモバイルデバイス上にダウンロードされます。
Android.BankBot.186.origin はシステムから削除されないよう管理者権限を要求します。また、標準のSMSアプリケーションに取って代わることで、Androidの新しいバージョンに搭載されたセキュリティシステムを回避し、メッセージの送信や横取りを可能にします。その後、 Android.BankBot.186.origin は銀行口座の残高を確認し、サイバー犯罪者へと密かに送金を行います。
Androidデバイスを狙った悪意のあるプログラムは依然として大きな脅威となっています。トロイの木馬は悪意のあるWebサイトからだけでなく、公式アプリケーション配信サイトであるGoogle Playからも拡散されることがあります。お使いのスマートフォンやタブレットを危険なソフトウェアや望まないソフトウェアから守るため、Dr.Web for Androidをインストールすることをお勧めします。
今すぐ、Dr.WebでAndroidデバイスを保護します
2017年5月31日
株式会社Doctor Web Pacific
2017年5月の最も注目すべきイベントは、Dr.Web Anti-virusによって Trojan.Encoder.11432 として検出される悪意のあるプログラムWannaCryの大量拡散です。このワームはユーザーの介入なしに拡散され、プロトコル「SMB」の脆弱性を悪用してネットワークノードを感染させます。その後、感染させたコンピューター上のファイルを暗号化し、それらを復元するために身代金を要求します。そのほか5月には、Linuxを標的とする、Luaで書かれた複雑なマルチコンポーネントトロイの木馬や、macOSを狙った新しいバックドアが発見されています。
5月の主な傾向
- 危険な暗号化ランサムウェアWannaCryの拡散
- macOS向けの新たなバックドアの発見
- Linux向けのマルチコンポーネントトロイの木馬が登場
5月の脅威
5月には、WannaCryとして知られる悪意のあるプログラムについて多くのメディアで取り上げられました。この危険なアプリケーションはMicrosoft Windowsコンピューターを感染させるネットワークワームで、その拡散は2017年5月12日の午前10時頃に開始されました。このワームはペイロードとして暗号化トロイの木馬を含んでいます。Dr.Web Anti-virusはワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。
起動されると、ワームは自身をシステムサービスとして登録し、ローカルネットワーク内およびランダムなIPアドレスを持ったインターネット上でネットワークノードを探します。接続の確立に成功するとそれらのコンピューターを感染させ、暗号化トロイの木馬を起動させますが、この暗号化トロイの木馬はランダムな鍵を使用してコンピューター上のファイルを暗号化させます。 Trojan.Encoder.11432 は動作の過程でシャドウコピーを削除し、システムの復元機能を無効にします。このトロイの木馬は、テストとして復号化するファイルのリストを作成します。テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。この脅威に関する詳細についてはこちらの記事を、ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
Dr.Web Anti-virusによる統計
- Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.Moneyinst.133
他のトロイの木馬を含む、様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.Moneyinst.151
他のトロイの木馬を含む、様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Trojan.Encoder.11432
被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。WannaCryとしても知られています。 - Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - Android.Androrat.1.origin
Androidデバイス向けのスパイウェアプログラムです。 - BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。
2017年5月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの14.39%
- Trojan.Encoder.11432 — リクエストの8.36%
- Trojan.Encoder.3953 — リクエストの7.41%
- Trojan.Encoder.761 — リクエストの2.62%
- Trojan.Encoder.10144 — リクエストの2.60%
- Trojan.Encoder.567 — リクエストの2.47%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
 |  |
2017年5月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は1,129,277件となっています。
| 2017年4月 | 2017年5月 | 推移 |
|---|---|---|
| + 568,903 | + 1,129,277 | + 98.5% |
その他の情報セキュリティイベント
5月の初め、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループページ内に投稿されたコメントに含まれるリンクからトロイの木馬が拡散されていることがDoctor Webセキュリティリサーチャーによって発見されました。サイバー犯罪者によって残されたこれらのメッセージは、ユーザーにDr.Webアンチウイルスの無料ライセンスキーのダウンロードを提供するものでした。しかしながら、リンクをたどってしまった被害者は、コンピューター上に Trojan.MulDrop7.26387 をダウンロードしてしまうことになります。
この悪意のあるプログラムはサイバー犯罪者から受け取った様々なコマンドを実行することができます。それらのコマンドには、Windowsデスクトップ壁紙を置き換える、光学ドライブを開くまたは閉じる、マウスキーの機能を入れ替える、音声シンセサイザーやスピーカーを使用して特定の言葉を再生するなどのほか、ユーザーを怯えさせる動画を再生するというものもあります。この脅威に関する詳細についてはこちらの記事をご覧ください。
Linuxを標的とするマルウェア
5月、Luaスクリプトで書かれた、Linux向けのマルチコンポーネントトロイの木馬がDoctor Webのスペシャリストによって発見されました。 Linux.LuaBot と名付けられたこのトロイの木馬は31のLuaスクリプトで構成され、コンピューターのみでなく、ネットワークストレージやルーター、セットアップボックス、IPカメラなど、その他の「スマート」デバイスを感染させることができます。このトロイの木馬は攻撃対象となるIPアドレスのリストを生成し、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出すことで、それらリスト上にあるリモートデバイスへの接続を試みます。接続に成功すると、感染させたコンピューター上に自身のコピーをダウンロードし、起動させます。
このトロイの木馬は実際にはバックドアであり、すなわちサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、Linux.LuaBotは感染させたデバイス上でWebサーバーを起動させ、このサーバーを使用することでサイバー犯罪者は様々なファイルをロードすることが可能になります。Doctor WebのスペシャリストはLinux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。
この脅威に関する詳細についてはこちらの記事を、技術的な説明(英語)についてはこちらをご確認ください。
macOSを標的とする悪意のあるプログラム
2017年春最後の月となる5月には、macOSを狙ったバックドアの拡散が発生しました。Mac.BackDoor.Systemd.1という名前でウイルスデータベースに追加されたこのトロイの木馬は以下のコマンドを実行することができます:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する(chmodコマンド)
- ファイルの所有者を変更する(chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
この脅威に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
5月には、別のプログラムをダウンロードし、情報をC&Cサーバーに送信する Android.RemoteCode.28 がGoogle Play上で発見されました。Google Play上では、その他にも Android.Spy.308.origin の組み込まれたアプリケーションが発見されています。このトロイの木馬は追加のコンポーネントをダウンロード・起動し、広告を表示させます。また、5月には、ユーザーの銀行口座から金銭を盗むバンキング型トロイの木馬 Android.BankBot.186.origin がMMSメッセージを使用して拡散されました。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Google Play上でAndroid向けトロイの木馬を発見
- ユーザーから密かに金銭を盗み、それらをサイバー犯罪者に送金するバンキング型トロイの木馬の拡散
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
追加情報
25.05 Doctor Web、Linuxを標的としたマルチコンポーネントトロイの木馬を調査
2017年5月25日
株式会社Doctor Web Pacific
Linux.LuaBot ファミリーに属するこのトロイの木馬による最初の攻撃は、2016年12月にDoctor Webのセキュリティリサーチャーによって確認されています。このトロイの木馬は2016年11月から継続的に進化を続けており、 Linux.LuaBot の新しい亜種が定期的に登場していますが、全てのバージョンがLuaスクリプトで書かれています。 Linux.LuaBot は31のLuaスクリプトと2つの追加モジュールで構成され、それぞれが独自の機能を実行します。Intel x86(およびIntel x86_64)、 MIPS、 MIPSEL、 Power PC、 ARM、 SPARC、 SH4、 M68kのアーキテクチャを搭載するデバイスを感染させることができ、すなわち、コンピューターのみでなく、ルーターやセットアップボックス、ネットワークストレージ、IPカメラ、その他の「スマート」デバイスを幅広く感染させることができます。Doctor WebのスペシャリストはSPARCアーキテクチャ向けに設計されたトロイの木馬のサンプルを検出することはできませんでした。トロイの木馬はSPARCアーキテクチャを特定することはできますが、このアーキテクチャ向けの実際のモジュールは見つかっていません。
Linux.LuaBot に含まれるスクリプトは全て相互に依存しています。トロイの木馬は攻撃対象となるIPアドレスのリストを生成し、リスト上にあるリモートデバイスへの接続を試み、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出します。ネットワークノードをハッキングするために Linux.LuaBot によって使用されるスクリプトは、攻撃対象デバイスのアーキテクチャを特定することができるのみでなく、サイバー犯罪者を欺くためのおとりのサーバー「ハニーポット」を見分ける特殊なメカニズムを持っています。「ハニーポット」は、サイバー犯罪者の用いる攻撃の手法やテクニックについて解析するために情報セキュリティスペシャリストによって使用されるものです。また、攻撃はTelnetプロトコルとSSHプロトコル経由で実行され、これらプトロコルの動作にはそれぞれ異なるLuaスクリプトが対応しています。デバイスへのアクセスに成功すると、悪意のあるスクリプトが該当するアーキテクチャの Linux.LuaBot をデバイス上にインストールします。Telnet経由での攻撃では、まず初めにデバイス上に小さなモジュールがインストールされ、このモジュールが起動されると、トロイの木馬をダウンロードします。SSH経由での攻撃では、直ちにトロイの木馬がダウンロードされます。
Linux.LuaBot モジュールの1つは完全に機能するWebサーバーで、HTTPプロトコル経由で動作します。このサーバーは感染したデバイス上にアプリケーションを保存して起動し、要求に応じてそのディレクトリからファイルを送信し、トロイの木馬のバージョンに関する情報を共有します。この度登場した Linux.LuaBot の新しいバージョンでは、デバイスに関するデータを送信する機能が取り除かれていました。
Linux.LuaBot はHTTPプロトコル経由でC&Cサーバーと通信し、送信される全ての情報は暗号化されています。新しい設定ファイルやモジュールの検索には、通常のTorrentネットワークで使用されるものと同じBittorent DHTプロトコルに基づいた、P2Pネットワークが使用されます。この機能にはまた別のスクリプトが使われます。また、送受信するメッセージの真正性を検証するために電子署名が用いられます。P2Pネットワークを利用できない場合、別のスクリプトが感染した他のノードを使用し、特別なリクエストに応じてファイルを感染したデバイス上にダウンロードすることで Linux.LuaBot をアップデートします。このスクリプトが使用されていたのは Linux.LuaBot の初期のバージョンのみです。
Linux.LuaBot がLinuxデバイスのユーザーにとって危険である理由は、このトロイの木馬が実際はバックドアであるという点にあります。換言すればすなわち、 Linux.LuaBot はサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、このトロイの木馬の初期のバージョンは感染させたデバイス上でプロキシサーバーを起動させる機能を備えており、サイバー犯罪者はそのサーバーを使用してオンライン活動を匿名化していました。
Doctor Webのスペシャリストは Linux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。
Doctor Webでは、異なる機能やアーキテクチャ上の特徴を持った複数の Linux.LuaBot の亜種について把握しています。Dr.Web Anti-virusは現時点で存在する Linux.LuaBot の全てのバージョンを検出することができます。
17.05 Doctor Webによる「WannaCry」トロイの木馬についての追加報告
2017年5月17日
株式会社Doctor Web Pacific
「Wannacry」と呼ばれるこのマルウェアはユーザーの介入なしにMicrosoft Windowsコンピューターを感染させるネットワークワームです。Dr.Web Anti-virusはこのワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。2017年5月12日の午前10時より拡散され始めたこのワームは、ランダムなIPアドレスを持った、ローカルネットワーク内にある全てのコンピューターとリモートインターネットサーバーを攻撃し、445番ポートへの接続確立を試みます。1台のコンピューターを感染させると、他のコンピューターへと感染を広げようとします。このことが、今回の大規模な拡散に繋がっています。この悪意のあるプログラムは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。
ネットワークワーム
起動されると、ワームはトロイの木馬内で指定されているドメインを持つリモートサーバーに対してリクエストを送信し、応答を受け取ると動作を終了します。一部のメディアでは、このドメインを登録することでWannaCryの拡散を止めることに成功したと報道しています。トロイの木馬が拡散された時点で、このドメインはサイバー犯罪者の不注意によって未登録となっていました。しかしながら、今回の解析の結果からは、このトロイの木馬はローカルネットワークにアクセスしているがインターネットには接続されていないコンピューターを感染させ、それらのコンピューター上で動作することが可能であるということが示唆されています。拡散が終了したと考えるのは早計に過ぎるといえるでしょう。
このトロイの木馬は起動されると「mssecsvc2.0」という名のシステムサービスとして自身を登録します。また、コマンドラインパラメータに対して敏感に反応し、引数が指定されると、エラー発生に備えてサービスの自動起動を有効にしようと試みます。システムサービスとして起動されてから24時間以内にワームは自動的に動作を終了します。
感染させたコンピューター上で起動された後、ワームはそのコンピューターのローカルネットワーク内でアクセス可能なサーバーとインターネット上のランダムなIPアドレスを持ったコンピューターを探し、445番ポートへの接続を試みます。接続の確立に成功すると、SMBプロトコルの脆弱性を悪用してそれらのコンピューターを感染させます。
ドロッパー
ドロッパーは、OS内に悪意のある実行ファイルをインストールするよう設計されたコンポーネントです。WannaCryのドロッパーにはパスワード保護されたZIPアーカイブが含まれており、このアーカイブにトロイの木馬エンコーダーの暗号化されたファイル、サイバー犯罪者からの要求を含んだWindowsデスクトップの壁紙、onionサーバーのアドレスとビットコインの送金先となるウォレット名を含んだファイル、Torネットワーク内で動作するプログラムを含んだアーカイブが含まれています。ドロッパーはワームの本体から起動され、自身をシステム内にインストールし、そして自身のコピーをランダムな名前のシステムサービスとして起動させようと試みます。この試みに失敗した場合、コピーは普通のプログラムとして実行されます。ドロッパーの主な役割はアーカイブの中身をディスク上に保存し、エンクリプターを起動させることです。
トロイの木馬型ランサムウェア
Trojan.Encoder.11432 はランダムなキーでファイルを暗号化します。ファイルには暗号化キーの長さに関するデータ、暗号化キー自体、暗号化の種類とソースファイルのサイズに関する情報が含まれています。暗号化の過程でf.wnryという名前のファイルが作成され、そこにはトロイの木馬がテストとして復号化するファイルのリストが含まれています。
このトロイの木馬は、感染したコンピューター上のシャドウコピーを削除し、システムの復元機能を無効にする作成者のデコーダーを持っています。また、Windowsデスクトップの壁紙を以下のような画像ファイルに変更します:
次に、Torネットワークとの動作に使用するアプリケーションを展開(または、それらをインターネットからダウンロード)し、トロイの木馬の設定ファイル内で指定されたアドレスを持つonionサーバーに接続します。そのサーバーから、仮想通貨ビットコインを入金させるウォレット名を受け取り、設定ファイル内に書き込みます。 Trojan.Encoder.11432 はonionサーバーとのデータのやり取りに独自のプロトコルを使用しています。
デコーダーは、f.wnryファイル内のリストで指定されている複数のテストファイルを復号化することを可能にします。復号化に必要な秘密鍵は、悪意のあるプログラムのコンポーネントの1つに含まれています。そのため、トロイの木馬を使用することなくテストファイルを復号化することができます。ただし、テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。
残念ながら、現時点では Trojan.Encoder.11432 によって暗号化されたファイルを復元することはできません。
感染の兆候
WannaCryに感染したシステムには以下のサービスとファイルが存在します:
- 「mssecsvc2.0」システムサービス("Microsoft Security Center (2.0) Service"と表示)
- トロイの木馬のエンコーダーファイル「C:\WINDOWS\tasksche.exe」(悪意のあるプログラムの古いコピーは「C:\WINDOWS\qeriuwjhrf」内に保存されています)
感染した場合の対処
- さらなる感染拡大を防ぐため、感染したシステムやコンピューター(重要なデータを含むもの)をコンピューターネットワークから隔離する
- データのバックアップを、あらゆるコンピューターから切り離して外部ストレージ上に保存する
本ワームに関する技術的な説明(英語)についてはこちらをご確認ください。
15.05 Doctor Webのユーザーはランサムウェア「WannaCry」から保護されています
2017年5月15日
株式会社Doctor Web Pacific
このトロイの木馬の最初の亜種 (Wanna Decryptor 1.0) は2017年3月27日午前07:20にDoctor Webのラボにて解析され、同日午前11:51にウイルスデータベースに追加されています。
「WannaCry」としても知られる Trojan.Encoder.11432 は金曜日の夜から拡散され、土曜日には世界中で大手企業のコンピューターを感染させています。
Doctor Webでは5月12日午前10:45にそのサンプルを入手し、Dr.Webウイルスデータベースに追加しました。
サンプルがデータベースに追加される以前より、Dr.Webは BACKDOOR.Trojan として既にこのトロイの木馬を検出していました。
Trojan.Encoder.11432 と名付けられたこのトロイの木馬はマルチコンポーネントなエンコーダーで、4つのコンポーネント(ネットワークワーム、エンコーダードロッパー、エンコーダー、作成者のデコーダー)を含んでいます。
Trojan.Encoder.11432 は感染させたコンピューター上にあるファイルを暗号化し、それらを復元するために、指定されたe-wallet(イーウォレット)にビットコインで身代金を支払うよう要求します。
このトロイの木馬の大規模拡散は、プロトコル「SMB」の脆弱性が要因となっています。Windows 10よりも古いバージョンの全てのWindows OSがこの脆弱性を持っています。Dr.Webユーザーは、 Trojan.Encoder.11432 の拡散が開始されて以降、何らの被害も受けていません。
Trojan.Encoder.11432 による感染からコンピューターを守るための推奨事項は以下のとおりです:
- お使いのOS向けのMS17-010アップデート(technet.microsoft.com/en-us/library/security/ms17-010.aspxで入手可能)と最新のセキュリティアップデートを全てインストールする。
- アンチウイルスをアップデートする。
- ファイアウォールを使用して、攻撃対象のネットワークポート(139、445)を閉じる。
- 攻撃されている、脆弱性を持ったOSのサービスを無効にする。
- 新しいソフトウェア(実行ファイル)のインストールと実行を禁止する。
- 不必要なユーザー権限を削除する(新しいソフトウェアを起動・インストールする権限)。
- システム内の必要のないサービスを削除する。
- Torネットワークへのアクセスを禁止する。
12.05 Doctor Web、Macを標的とする新たなバックドアを発見
2017年5月12日
株式会社Doctor Web Pacific
Mac.BackDoor.Systemd.1 としてDr.Webウイルスデータベースに追加されたこのバックドア型トロイの木馬は、起動されるとミススペリングを含んだメッセージ「This file is corrupted and connot be opened」をコンソールに表示させ、systemdと呼ばれるデーモンとして自身を再起動させます。また、 Mac.BackDoor.Systemd.1 は該当するフラグをセットすることで自身のファイルを隠そうと試みます。次に、SHコマンドを使用してplistファイルを作成し、自動起動するよう自身を登録します。
このトロイの木馬の本体には暗号化された設定情報が保存されています。その情報に応じて、 Mac.BackDoor.Systemd.1 はC&Cサーバーとの接続を自身で確立するか、または接続リクエストを受信するのを待ちます。接続されると、バックドアは受け取ったコマンドを実行し、サイバー犯罪者に対して以下の情報を定期的に送信します:
- OSの名前とバージョン
- ユーザー名
- ルート権限を取得可能かどうか
- 使用可能な全てのネットワークインターフェースのMACアドレス
- 使用可能な全てのネットワークインターフェースのIPアドレス
- 外部IPアドレス
- CPUの種類
- RAM容量
- マルウェアのバージョンと設定に関するデータ
Mac.BackDoor.Systemd.1 は独自のファイルマネージャーを持っており、サイバー犯罪者は感染したコンピューター上にあるファイルやフォルダに対して様々な操作を行うことが可能です。このバックドアは以下のコマンドを実行することができます:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する(chmodコマンド)
- ファイルの所有者を変更する(chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
Mac.BackDoor.Systemd.1 はMac向けのDr.Web製品によって検出・削除されるため、Dr.Webユーザーに危害が及ぶことはありません。
04.05 Doctor Webセキュリティリサーチャー、「VK」ソーシャルネットワーク上で 無料のライセンスキーとして拡散されていた新たなトロイの木馬を発見
2017年5月4日
株式会社Doctor Web Pacific
少し前に、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループ内に、Dr.Web Anti-virusの無料ライセンスキーのダウンロードを提供する匿名ユーザーからのメッセージが出現しました。多くの場合、このようなメッセージにはRGhostファイルホスティングへのリンクが含まれています。リンクをたどってしまった被害者は、26 KBのRARアーカイブをダウンロードするかどうかを尋ねられます。Doctor Webグループのモデレーターは、これらのメッセージを可能な限り速やかに削除するよう努めていますが、投稿された直後に削除することは時として困難な場合があります。
アーカイブにはシンプルテキストドキュメントのアイコンを持った小さな実行ファイルが含まれています。この悪意のあるプログラムは同じバックドアですが、シグネチャ検出を回避するために、オンライン上で公表される度に新たにパックされているということが、解析された全てのサンプルから明らかになっています。その結果、 Trojan.MulDrop7.26387 と名付けられたこのトロイの木馬は、Dr.Web Anti-virusによって直ちに検出されることがありません。新しいサンプルは、ウイルスデータベースが新たに更新された後でのみ検出することが可能になります。 Trojan.MulDrop7.26387 はアンチウイルスのライセンスキーを装って拡散されていることから、サイバー犯罪者は、アンチウイルスソフトウェアを使用していないか、または無償の保護プログラムを使用している不注意なユーザーを陥れようと企んでいたものと考えられます。
Trojan.MulDrop7.26387 は非常に興味深い昔ながらの機能を備えた多目的バックドアで、広く知られているRemote Administration Tool (RAT) Njrat 0.7 Golden By Hassan Amiriをベースに作成されています。このツールはDr.WebによってBackDoor.NJRat.1013として検出されます。
起動後、 Trojan.MulDrop7.26387 はC&Cサーバーに接続し、感染したコンピューターに関する情報(ハードドライブのシリアル番号、インストールされているOSのビット版、コンピューター名、メーカー名、インストールされている場合はアンチウイルスのバージョン、Webカメラが使用可能かどうか)を送信します。このトロイの木馬は以下のコマンドを実行することができます:
- Windowsデスクトップ壁紙を置き換える
- コンピューターの電源を切る、または再起動させる
- 規定されたテキストでのシステムメッセージをスクリーン上に出力する
- マウスキーの機能を入れ替える
- 音声シンセサイザーやスピーカーを使用して特定の言葉を再生する
- Windowsタスクバーを隠し、その後復元する
- 光学ドライブを開く、または閉じる
- ディスプレイをオンオフする
- 指定されたリンクをブラウザで開く
- システムレジストリの指定された値を読み込む、インストールする、または削除する
- スクリーンショットを作成し、C&Cサーバーに送信する
- 指定された実行ファイルをダウンロード・起動する
- トロイの木馬の実行ファイルをリフレッシュ、または削除する
Trojan.MulDrop7.26387 の最も危険な機能の1つは、キー入力を記録する、埋め込まれたキーロガーです。このデータはコマンドに応じてサイバー犯罪者のサーバー上にダウンロードされます。また、このトロイの木馬は恐ろしい画像の含まれたSWF動画を予期せぬタイミングで感染したコンピューター上に表示させることができます。
ユーザーを怯えさせたり混乱させたりすることを主な目的としたこのような悪意のあるプログラムは昨今では非常に珍しいものとなっています。多くのトロイの木馬は収益を得ることを目的としたものであり、ただ単に「楽しむ」ためにユーザーを怖がらせるようなウイルスを拡散させるというのは、まるで中学生のいたずらのようです。
「ただほど高いものはない」という諺が示すとおり、商用ソフトウェアのライセンスキーを無料で提供するあらゆるダウンロードリンクは結局のところ詐欺であると言えます。このような罠に陥らないよう十分に警戒するようにしてください。
2017年5月9日
株式会社Doctor Web Pacific
4月には、サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬が発見されました。また、機密情報やアカウントの金銭を盗むよう設計された新たなバンキング型トロイの木馬が複数Google Play上で確認されています。そのうちの1つは、インターネット上で動画を見るためのプログラムに、また別の1つはフラッシュライトプログラムに埋め込まれていました。
4月の主な傾向
- Android向けのスパイウェア型トロイの木馬を検出
- バンキング型トロイの木馬がGoogle Playに侵入
4月のモバイル脅威
4月には、サイバースパイ行為を行う目的で使用されるAndroid向けトロイの木馬 Android.Chrysaor.1.origin が発見されました。この悪意のあるプログラムはSkype、Viber、WhatsAppなどの多くのオンライン通信プログラムからやり取りを盗むほか、Webブラウザの履歴やSMSメッセージ、その他の機密データを盗みます。また、モバイルデバイス上でのキーボード操作をトラッキングすることで、入力された全ての情報を横取りし、スクリーンショットを作成し、サイバー犯罪者からの着信に密かに応答することで周りの音声を盗聴します。
Dr.Web for Androidによる統計
-
- Android.HiddenAds.83.origin
- Android.HiddenAds.76.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.93
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Sprovider.9
- ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
-
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Patacore.2
- Adware.Appsad.3.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる望まないプログラムモジュールです。
バンキング型トロイの木馬
4月には、新たなAndroid向けバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin としてDr.Webウイルスデータベースに追加されたそのうちの1つは、面白い動画を紹介するFunny Videos 2017およびHappyTimeアプリケーション内に隠されていました。このトロイの木馬は、以前こちらの記事で紹介した別のAndroid向けバンキング型トロイの木馬の亜種で、サイバー犯罪者によって一般に公開されているソースコードを基に作成されています。
Android.BankBot.179.origin はバンキングプログラムやその他のソフトウェアプログラムのリストを含んだ設定ファイルをC&Cサーバーから受け取り、それらプログラムの動作をトラッキングします。リスト上にあるプログラムが起動されると、偽の認証ウィンドウを表示させてログインおよびパスワードを入力させます。ユーザーがGoogle Playを起動させた場合、 Android.BankBot.179.origin は偽の決済フォームを表示させ、クレジットカードの情報を入力するよう要求します。また、このトロイの木馬は受信SMSメッセージをトラッキングし、受信するクレジットカードの確認コードを横取りします。
Android.BankBot.179.originは以下の特徴を備えています:
- サイバー犯罪者によって公開されたバンキング型トロイの木馬のソースコードを基に作成されている
- Google Playから拡散されている
- 正常に機能する動画プレイヤーに埋め込まれている
- システムから簡単に削除されないようにするために、管理者権限を要求する
- 数百のバンキングプログラムやその他のポピュラーなソフトウェアを攻撃することができる(サイバー犯罪者は設定ファイルをアップデートするだけでよい)
4月に発見されたまた別のAndroid向けバンキング型トロイの木馬は Android.BankBot.180.origin と名付けられました。このトロイの木馬はフラッシュライトアプリケーションであるFlashlight LED Widget内に埋め込まれていました。起動されると、 Android.BankBot.180.origin はホーム画面から自身のアイコンを削除し、モバイルデバイス上の管理者権限を要求します。その後、フラッシュライトの動作は悪意のあるプログラムのウィジェットを介してコントロールされるようになります。
Android.BankBot.180.origin はバンキングプログラムの起動をトラッキングし、それらの前面に偽のウィンドウを表示させてログインとパスワードを入力させます。また、 Android.BankBot.179.origin と同様、Google Playが起動されると偽のフォームを表示させてユーザーのクレジットカード情報を盗もうと試みます。
Android向けバンキング型トロイの木馬はサイバー犯罪者がアカウントから金銭を盗むことを可能にすることから、最も危険な悪意のあるプログラムの1つであるとされています。そのバンキング型トロイの木馬がGoogle Playから拡散されると、その危険はいっそう大きなものになります。Google PlayはAndroidモバイルデバイス向けの最も信頼できるソフトウェア配信元と考えられているため、そこからアプリケーションをダウンロードするユーザーは警戒を怠りがちになるというのがその理由です。お使いのモバイルデバイスをバンキング型トロイの木馬やその他の悪意のあるプログラムから守るため、Dr.Web for Androidをインストールすることをお勧めします。
今すぐ、Dr.WebでAndroidデバイスを保護します
2017年5月11日
株式会社Doctor Web Pacific
4月は情報セキュリティに関して慌ただしい月となりました。月の始めには、マルチコンポーネントトロイの木馬を拡散するための悪意のあるメールが配信されました。このトロイの木馬は感染させたコンピューターから機密情報を盗むよう設計されていました。同月中旬にはユーザーを騙す悪意のあるプログラムを使用した詐欺手法についてDoctor Webのスペシャリストによる調査が行われ、下旬にはMicrosoft Officeの脆弱性が発見されました。この脆弱性は、感染させたコンピューターからパスワードを盗むトロイの木馬の拡散に利用されていました。
4月の主な傾向
- マルチコンポーネントトロイの木馬を含んだ悪意のあるメールの配信
- Microsoft Officeの脆弱性を発見
- Windows向けの新たなトロイの木馬の拡散
4月の脅威
4月には、 Trojan.MulDrop7.24844 と名付けられたマルチコンポーネントトロイの木馬が、メールに添付されたアーカイブとして拡散されていました。
このアーカイブには、プログラミング言語「AutoIt」の機能を使用して作られた、パックされたコンテナが含まれています。感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの1つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。このトロイの木馬はその他に2つのアプリケーションをディスク上に保存します。これらのプログラムはMimikatzツールの32ビット版および64ビット版で、開かれたWindowsのセッションでパスワードを横取りするよう設計されています。 Trojan.MulDrop7.24844 はユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時に指定されたパラメータに応じて、その他複数の機能を実行します。 Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスし、感染したコンピューターをコントロールすることを可能にします。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.SMSSend.7306
インストーラの組み込まれたアーカイブとして拡散される悪意のあるプログラムのファミリーに属します。高額なサービス番号にSMSを送信してインストールを継続するようユーザーを誘導することでアーカイブのコンテンツへのアクセスを獲得するか、または電話番号を指定して受信したメッセージに含まれるコードを入力するよう誘導することで有料サービスへの登録を確定させます。Trojan.SMSSendの主な目的は身代金を得ることです。 - Win32.Virut.5
実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。
Doctor Web統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。 - BackDoor.Comet.3269
感染したデバイス上でサイバー犯罪者から受け取ったコマンドを実行し、犯罪者による不正アクセスを可能にするマルウェアファミリーに属します。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。 - Android.SmsSend.15044
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
暗号化ランサムウェア
2017年4月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの33.57%
- Trojan.Encoder.3953 — リクエストの8.97%
- Trojan.Encoder.567 — リクエストの3.80%
- Trojan.Encoder.10144 — リクエストの3.59%
- Trojan.Encoder.761 — リクエストの2.58%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
| |
危険なWEBサイト
2017年4月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は568,903件となっています。
| 2017年3月 | 2017年4月 | 推移 |
| + 223,173 | + 568,903 | + 154.91% |
4月中旬、Doctor Webでは、サイバー犯罪者によって以前より使用されている詐欺手法である「八百長詐欺」についての記事を掲載しました。
多くの場合、サイバー犯罪者は「スポーツの試合結果について信頼性の高い情報」を売り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。最近では、この詐欺手法に変化が見られ、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。しかしながら、実際に被害者に対して送信されるのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。このプログラムは、WinRARで作成されたSFXアーカイブのインターフェースと動作を完全に模倣したものとなっています。この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。このプログラムは Trojan.Fraudster.2986 としてウイルスデータベースに追加され、拡散元となるWebサイトは非推奨サイトのリストに加えられています。
その他の情報セキュリティイベント
4月の末には、 Trojan.DownLoader23.60762 と名付けられた悪意のあるプログラムが拡散されました。このトロイの木馬は主要なブラウザからログインとパスワードを盗み、ユーザーの許可なしに危険なファイルをダウンロードするよう設計されています。また、感染させたコンピューター上でブラウザのプロセス内に埋め込まれ、ネットワークとの動作を司る関数を横取りします。 Trojan.DownLoader23.60762 は以下のコマンドを実行することができます:
- 感染させたコンピューターのディスク上にある一時フォルダからファイルを起動させる
- 実行中のプロセス内に自身を埋め込む
- 指定されたファイルを削除する
- 指定された実行ファイルを起動させる
- Google Chromeによって使用されるSQLiteデータベースを保存し、サイバー犯罪者に送信する
- C&Cサーバーを指定されたものに変更する
- cookieを削除する
- OSを再起動させる
- コンピューターの電源を切る
この脅威に関する詳細についてはこちらの記事をご覧ください。
その他、4月にはMicrosoft Office Wordで脆弱性が発見され、それに対するエクスプロイト Exploit.Ole2link.1 がサイバー犯罪者によって開発されています。このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。この脅威に関する詳細についてはこちらの記事をご覧ください。
LINUXを標的としたマルウェア
4月を通して、様々なLinuxデバイスに対する1,317,388件の攻撃がDoctor Webのスペシャリストによって確認されています。そのうち、SSHプロトコルを介したものが147,401件、Telnetプロトコルを介したものが1,169,987件となっています。以下の円グラフは最も多く検出されたLinux向けトロイの木馬の内訳を表しています:
- Linux.Mirai
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬です。コンピューターを再起動することができなくなるよう、システムのハングアップを防止するウォッチドッグタイマーを無効にします。 - Linux.DownLoader
感染したコンピューター上に他のマルウェアをダウンロード・インストールするよう設計された、Linux向けの悪意のあるプログラムやスクリプトのファミリーです。 - Linux.BackDoor.Remaiten
DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬のファミリーです。Telnet プロトコルを使用してデバイスをハッキングし、ブルートフォースアタックによってパスワードを取得することができます。成功すると、アセンブラ言語で書かれたローダーをコンピューター上に保存し、このローダーによって他のトロイの木馬がダウンロード・インストールされます。 - Linux.Mrblack
ARMプロセッサを搭載したLinuxディストリビューション上で動作し、DDoS攻撃を実行するよう設計されたトロイの木馬です。C&Cサーバーから受け取った指示を実行するためのコマンドハンドラが埋め込まれています。 - Linux.DDoS
DDoS攻撃を実行するよう設計された、Linux向けトロイの木馬ファミリーです。 - Linux.PNScan
Linuxルーターを感染させるよう設計されたネットワークワームです。このワームは自身でデバイスを感染させ、ポート9000と1337を開放し、これらのポート経由で受け取ったリクエストを処理し、C&Cサーバーに接続します。
4月、Doctor Webのスペシャリストは Linux.UbntFM ファミリーに属する悪意のあるプログラムのアップデートされたバージョンについて解析を行いました。 Linux.UbntFM.2 と名付けられたこのトロイの木馬はLinuxOSを標的としており、その中にはUbiquiti Networksによって作成され、同社のデバイス上にインストールされるAir OSが含まれています。 Linux.UbntFM.2 はtgz.アーカイブに含まれて拡散され、bashスクリプトで書かれています。
Linux.UbntFM.2 は感染させたデバイス上で新しいアカウントを作成し、任意のファイルを起動させます。また、Air OSのWebインターフェースに存在する脆弱性を悪用して、リモートデバイスを攻撃することができます。この脆弱性は、任意のパスを経由して任意のファイルを不正にダウンロードすることを可能にするものです。プロトコルを特定できない場合(または感染させたデバイスにAir OSがインストールされていない場合)、 Linux.UbntFM.2 は特殊な辞書、「root」・「admin」・「ubnt」のログイン、そしてファイル内に保存されたパスワードを使用してSSH接続のアカウント情報を割り出そうと試みます。このプログラムの動作に関する情報は技術的情報(英語)をご確認ください。
また、4月にはFgtトロイの木馬ファミリーに属する新たな亜種 Linux.BackDoor.Fgt.645 が登場しました。この亜種は限られた機能しか備えていない(リモートネットワークサーバーをハッキングするためのパスワードを割り出すモジュールとドロッパーのみ)という点でこれまでのバージョンと異なっています。その他、 Linux.BackDoor.Fgt.645 は.shスクリプトをダウンロード・実行するためのリクエストを送信することができます。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
4月には、スパイ行為を行うよう設計された新たなAndroid向けトロイの木馬 Trojan Android.Chrysaor.1.origin がDr.Webウイルスデータベースに追加されました。この悪意のあるプログラムはAndroidデバイスユーザーから機密情報を盗むための標的型攻撃に使用されています。また、新たなバンキング型トロイの木馬が複数Google Play上で発見されています。 Android.BankBot.179.origin と名付けられたそのうちの1つは、オンライン動画を提供するプログラムを装って拡散され、実際に動画プレイヤーとしても機能するものでした。Android.BankBot.180.originと名付けられたまた別のバンキング型トロイの木馬は、フラッシュライトプログラムを装っていました。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- サイバースパイ行為を行うよう設計されたAndroid向けトロイの木馬の発見
- Androidユーザーの機密情報や金銭を盗むバンキング型トロイの木馬をGoogle Play上で発見
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
追加情報
20.04 Doctor Web、Microsoft Officeを狙う新たなエクスプロイトについて調査
2017年4月20日
株式会社Doctor Web Pacific
この脆弱性はMicrosoft Word内で発見され、それに対するエクスプロイトがサイバー犯罪者によって開発されています。これまではMicrosoft Officeの脆弱性を悪用する際にOLEオブジェクトが使用されていたのに対し、この度 Exploit.Ole2link.1 としてDr.Webウイルスデータベースに追加されたこのエクスプロイトは、XMLテクノロジーを使用しています。
このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。
現時点で、サイバー犯罪者はこのメカニズムを使用して被害者のコンピューター上にTrojan.DownLoader24.49614をインストールしています。このトロイの木馬は感染させたシステム上で別の悪意のあるソフトウェアをダウンロード・起動します。
Dr.Webのアンチウイルス製品は Exploit.Ole2link.1 を含んだファイルを検出・削除することができます。 したがって、Dr.Webユーザーに危害が及ぶことはありません。
20.04 Doctor Web、パスワードを盗むトロイの木馬について調査
2017年4月20日
株式会社Doctor Web Pacific
新しいトロイの木馬には1つの機能のみを実行するものが多く、同時に複数の機能を実行するものでも主要な機能は1つであることがほとんどです。しかしながら、 Trojan.DownLoader23.60762 は非常に珍しい多機能な悪意のあるプログラムでした。このマルウェアはWindowsデバイスを攻撃の対象としたもので、感染させたシステム上に他のアプリケーションをダウンロードし、ブラウザからログインとパスワードを盗み、そして様々なWebサイト上で入力されたデータを横取りします。
コンピューター上で起動されると、 Trojan.DownLoader23.60762 は本体を解凍し、自身のプロセスのメモリ内で悪意のあるコードの断片を探して実行します。このトロイの木馬は、実行ファイルのコピーを感染させたデバイスのディスク上にある一時フォルダ内に保存し、そのファイルへのパスをアプリケーションの自動起動を管理するシステムレジストリキーに記録します。その結果、 Trojan.DownLoader23.60762 はOSと同時に起動するようになります。
機密情報を盗むため、 Trojan.DownLoader23.60762 はWindowsブラウザのプロセスのほか、Microsoft Internet Explorer、Mozilla Firefox、Google Chromeのプロセス内に埋め込まれ、ブラウザ内でネットワークとの動作を司る関数を横取りします。これにより、ブラウザからログインとパスワードを抜き取り、Webページ上でユーザーが入力したデータを盗むことが可能になります。
Trojan.DownLoader23.60762 はC&Cサーバーに接続して以下のようなコマンドを受け取ります:
- 感染させたコンピューターのディスク上にある一時フォルダからファイルを起動させる
- 実行中のプロセス内に自身を埋め込む
- 指定されたファイルを削除する
- 指定された実行ファイルを起動させる
- Google Chromeによって使用されるSQLiteデータベースを保存し、サイバー犯罪者に送信する
- C&Cサーバーを指定されたものに変更する
- cookieを削除する
- OSを再起動させる
- コンピューターの電源を切る
Trojan.DownLoader23.60762 のシグネチャは既にDr.Webデータベースに追加されているため、Dr.Webユーザーに危害が及ぶことはありません。
17.04 Doctor Web、広く使用される詐欺手法を発見
2017年4月17日
株式会社Doctor Web Pacific
いわゆる八百長詐欺を行うサイバー犯罪者の従来の手口はとてもシンプルなものです。「スポーツの試合結果について信頼性の高い検証された情報」を売るための特別なWebサイトを作り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。そのようなサイトの制作者は自らを引退したコーチやスポーツアナリストであると名乗っています。実際は、ある買い手が受け取る情報と、また別の買い手が受け取る情報は真逆のものとなっており、被害者から苦情があった場合は損失を補償するために次の予測を無料で提供するとしています。
最近では、この詐欺手法に変化が見られます。買い手を惹きつけるために、依然としてWebサイトやソーシャルネットワークのパブリックページは作成されていますが、サービス品質向上のためと称して、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。
実際に被害者に対して送信されるのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。 Trojan.Fraudster.2986 としてDr.Webのウイルスデータベースに追加されたこのプログラムは、WinRARで作成されたSFXアーカイブのインターフェースと動作を完全に模倣したものとなっています。このプログラムは一般的なRAR SFXアーカイブと見分けがつかないだけでなく、ユーザーが誤ったパスワードを入力した場合や、その他の操作を実行した場合にもアーカイブと同様の動作をします。
この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。サイバー犯罪者は試合終了後に被害者に対して適切なパスワードを送信するだけでよいのです。該当する結果のテキストファイルが「アーカイブ」から「抽出され」ます(実際はテンプレートをベースにトロイの木馬によって生成されます)。
この詐欺手法には、パスワード保護されたMicrosoft Excelファイルを被害者に送信するという別のバージョンもあります。ファイルには特別なマクロが含まれており、このマクロは入力されたパスワードに応じて該当する結果を挿入するという同様の方法を使用しています。
試合結果について犯罪者が提供する様々な予測は全て、いつだれが遭遇してもおかしくない詐欺手法です。インサイダー情報を用いて賭けを行うことで大金を手に入れるチャンスを提供するWebサイトは、それらがどんなに説得力のあるものであっても信用しないようにしてください。
13.04 Doctor Web、悪意のあるメールの配信について警告
2017年4月13日
株式会社Doctor Web Pacific
悪意のある添付ファイルを含んだメールの大量配信は最も広く使用されているトロイの木馬の拡散方法の一つです。サイバー犯罪者は、コンピューターを感染させる添付ファイルを受信者に開かせるよう、メッセージの内容に工夫をこらしています。
ここ数日にわたり、「Made the payment(支払いが完了しました)」という件名の付いたメールがLLC Globalniye Sistemy (Global Systems)の代理という形で配信されています。メールには「4月6日に支払いをしましたが、まだそちらからお返事をいただいておりません」という内容の以下のテキストが含まれています(構文やスペリングは原文のまま):
Good day!
We made the payment on April, 6, but for some reason we haven’t received an answer from you.
We hereby request to process the payment as soon as possible and provide the services because time is an issue for us.
The copy of the billing statement and other documents are in the attached archive.
Please, check the details of the billing statement. Perhaps there has been a mistake that caused the failure in delivery of our payment. It could be the reason for the delay.
Yours faithfully,
LLC Globalniye Sistemy
メールには「Billing from LLC Globalniye Sistemy April 6 2017.JPG.zip」という名前の4MBを超えるアーカイブが添付されています。アーカイブに含まれていた「.JPG[数十のスペース].exe」拡張子の付いた実行ファイルが、 Trojan.MulDrop7.24844 という名前でDr.Webウイルスデータベースに追加されました。ユーザーがこの「画像」を開くと、プログラムが起動します。
アプリケーションはパックされたコンテナで、プログラミング言語「AutoIt」の機能を使用して作られています。起動されると、プログラムは自身が単独のコピーとして実行されているのかどうかを確認し、32ビット版および64ビット版Windows上でユーザーアカウント制御(UAC:User Account Control)を回避するためにライブラリをディスク上に保存するほか、その他いくつかのファイルも保存します。次に、 Trojan.MulDrop7.24844 は自身を自動起動プログラムとして登録します(Windows XPではシステムレジスタを改変することで、それよりも新しいバージョンのWindowsではタスクスケジューラを使用して)。また、Google ChromeとMozilla Firefoxのパスワードを抜き出し、テキストファイルに保存しようと試みます。
感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの一つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。
Trojan.MulDrop7.24844 のまた別のコンポーネントであるxservice.binは暗号化されたAutoitコンテナで、2つの実行ファイルをディスク上に抽出します。これらのプログラムは、開かれたWindowsのセッションでパスワードを横取りするよう設計されたMimikatzツールの32ビット版および64ビット版です。xservice.binは様々なキーで起動することができ、どのキーで起動されたかによって感染したコンピューター上で実行する動作が異なります。
| キー | 説明 |
|---|---|
| -help | 使用可能なキーを表示する(未知のエンコーディングでサポート情報を表示させる) |
| -screen | スクリーンショットを作成し、Screen(<時間>_<分>).jpg (<時間>_<分>は現在の時間)という名前のファイルに保存してファイルに「hidden」および「system」属性を付与する |
| -wallpaper <path> | 壁紙を<path>パラメータで指定されているものに変える |
| -opencd | CDドライブを開く |
| -closecd | CDドライブを閉める |
| -offdesktop | 次のテキストをコンソールに表示:"Not working =(" |
| -ondesktop | 次のテキストをコンソールに表示:"Not working =(" |
| -rdp | RDPを起動させる(下記参照) |
| -getip | 次のWebサイトを使用して、感染したコンピューターのIPアドレスを取得する:http://ident.me/ |
| -msg <type> <title> <msg> | 指定されたヘッダとテキストを持った、特定の種類(err、notice、qst、inf)のダイアログを作成する |
| -banurl <url> | %windir%\System32\drivers\etc\hostsファイルに次の文字列を追加する:"127.0.0.1 <url>"(<url>はコマンド引数で指定されたもの) |
また、このアプリケーションはユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時にスクリーンショットを作成します。
Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスすることを可能にしますが、そのために、Rdpwrapと呼ばれるプログラムをGithubサーバーからダウンロードし、それを隠しモードで実行するためのパラメータと一緒にインストールします。このプログラムはProgram.RdpwrapとしてDr.Web Anti-virusに検出されます。次に、 Trojan.MulDrop7.24844 はディスク上に保存しておいたMimikatzツールの力を借りて、現在のユーザーアカウントのパスワードを取得しようと試みます。このパスワードはシステムレジストリ内に保存され、感染したコンピューターとの通信に使用されます。この不正な接続の結果、サイバー犯罪者はコンピューターの完全なコントロールを掌握します。
Trojan.MulDrop7.24844 のシグネチャは既にDr.Webデータベースに追加されているため、このトロイの木馬はDoctor Web Anti-virus製品によって検出・削除されます。Windows ユーザーの方は警戒を怠らず、メールに添付された疑わしいファイルを開かないようにすることが推奨されます。
17.03 Doctor Web:Trojan.Encoder.10465によって暗号化されたファイルの復号化が可 能になりました
2017年3月17日
株式会社Doctor Web Pacific
Trojan.Encoder.10465 はWindowsコンピューターを標的とするトロイの木馬で、Delphiで書かれています。感染させたファイルに「.crptxxx」という拡張子を付け、「HOW_TO_DECRYPT.txt」という名前のテキストファイルをディスクに保存します。このファイルには以下の内容が含まれています:
Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions:
Download tor browser
Run tor and go to: http://vejtqvliimdv66dh.onion
Or you can use tor2web services
http://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0
idパラメータは異なるコンピューター上で異なる値をとることができます。
Trojan.Encoder.10465 によってファイルを暗号化されてしまった場合、以下の推奨事項に従ってください:
- コンピューターからファイルを削除したり、OSを再インストールしたりしないでください。また、Doctor Webのテクニカルサポートから詳細な指示を受け取るまで、感染したコンピューターを使用しないようにすることが推奨されます。
- アンチウイルススキャンを行った場合、検出された脅威に対し修復または削除を行わないようにしてください。Doctor Webのテクニカルサポートが復号化キーを見つける際に必要となる場合があります。
- 感染がおこった際の状況についてできるだけ詳しく覚えておくようにしてください(疑わしいメールを受け取った、ウェブからプログラムをダウンロードした、ウェブサイトを訪問したなど)。
- 添付ファイルを開いた後にコンピューターが感染してしまい、その添付ファイルを含んだメールを保存してある場合は、それを削除しないようにしてください。Doctor Webのテクニカルサポートがトロイの木馬のバージョンを特定するために必要となる場合があります。
Trojan.Encoder.10465 によって暗号化されてしまったファイルを復号化するには、Doctor Webのこちらのサービスページをご利用ください。
無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。
03.03 Doctor Web:50,000,000人を超えるユーザーが迷惑な広告を表示させるGoogle Playアプリケーションをダウンロード
2017年3月3日
株式会社Doctor Web Pacific
この度Doctor Webのスペシャリストによって解析されたアプリケーションは、モバイルデバイスのユーザーが標準的なキーボードの代わりに使用することのできるTouchPalと呼ばれるスクリーンキーボードアプリです。TouchPalはキーボードアプリとして問題なく動作しますが、望まない広告モジュールを含んでいます。Dr.Webの分類システムに従って、このモジュールは Adware.Cootek.1.origin と名付けられました。
このプラグインはいくつかの種類の広告を表示させることができます。例として、ユーザーがクリックしない限り削除することのできないウィジェットをホーム画面上に作成します。ウィジェットがクリックされると、 Adware.Cootek.1.origin はインタラクティブウィンドウで短いゲームを表示させます。ゲームでは常にユーザーが勝ち、「賞金」の広告が表示されるようになっています。そのほか、 Adware.Cootek.1.origin はウィンドウ内にバナーを伴ったニュースを表示させることができます。
また、 Adware.Cootek.1.origin はロック画面に広告を埋め込み、モバイルデバイスのロックが解除されると直ちにバナーを表示させます。
TouchPal自体は悪意のあるプログラムではありませんが、そこに含まれるモジュール Adware.Cootek.1.origin によって継続的に表示されるポップアップ通知や削除できないウィジェットが、モバイルデバイスの使用を困難にします。このプラグインはTouchPalソフトウェア内に直接組み込まれていることから、削除するにはTouchPalをアンインストールする必要があります。 Adware.Cootek.1.origin のシグネチャはDr.Webのウイルスデータベースに追加されているため、Dr.Web for Androidによって確実に検出されます。
2017年3月10日
株式会社Doctor Web Pacific
冬最後の月となる2月には、広く拡散されているバンキング型トロイの木馬ファミリーZeus (Trojan.PWS.Panda)からソースコードの一部を受け継いだ新たなバンキング型トロイの木馬が登場しました。このマルウェアはユーザーが開いたウェブページに任意のコンテンツを挿入し、感染したコンピューター上でVNCサーバーを起動させます。また、新たなLinux向けトロイの木馬が発見されたほか、Android向けのDr.Webウイルスデータベースにも新しい脅威が追加されました。
2月の主な傾向
- 新たなバンキング型トロイの木馬の拡散
- Linuxを標的とする新たな悪意のあるプログラムの検出
- Androidを標的とする新たなマルウェアの登場
2月の脅威
バンキング型トロイの木馬は様々な金融機関の口座から直接金銭を盗むことができるため、最も危険なマルウェアプログラムの1つであると考えられています。2月には Trojan.PWS.Sphinx.2 と名付けられた新たなバンキング型トロイの木馬がDoctor Web のセキュリティリサーチャーによって発見されました。このトロイの木馬はウェブインジェクションを実行、すなわち、ユーザーが閲覧した全てのウェブページ上に任意のコンテンツを挿入します。それにより、オンラインバンキングサービスにアクセスするためのユーザーのログイン情報などをサイバー犯罪者に送信することができます。ユーザーはトロイの木馬によって作成された偽のフォームにこれらのデータを入力してしまいます。以下の画像は Trojan.PWS.Sphinx.2 によってbankofamerica.com内に挿入されたコードの例です:
また、 Trojan.PWS.Sphinx.2 は感染させたコンピューター上でVNC サーバーを起動させることができます。サイバー犯罪者はこれを使用して感染したコンピューターに接続し、MITM(man-in-the-middle)攻撃(中間者攻撃)を実行するためのデジタル証明書をインストールします。さらに、このトロイの木馬には、ユーザーが様々なフォームに入力したデータを横取りし、それらをリモートサーバーへ送信するモジュールであるグラバーが備わっています。また、 Trojan.PWS.Sphinx.2 の自動起動は特別なPHPスクリプト経由で実行されるという点も特徴的です。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web CureIt!による統計
- Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Win32.Virut.5
実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。
- Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - BackDoor.IRC.NgrBot.42
2011年から情報セキュリティリサーチャーに知られている、一般的なトロイの木馬です。このファミリーに属する悪意のあるプログラムは、IRC(Internet Relay Chat)テキストメッセージプロトコル経由でサイバー犯罪者によってコントロールされる感染したシステム上で、犯罪者から受け取ったコマンドを実行することができます。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - Android.SmsSend.15044
有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツ配信サービスに登録するよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。 - BackDoor.Comet.2020
感染させたデバイス上でサイバー犯罪者から受け取ったコマンドを実行し、不正アクセスを可能にするマルウェアファミリーに属します。
暗号化ランサムウェア
2017年2月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの31.16%
- Trojan.Encoder.567 — リクエストの6.70%
- Trojan.Encoder.3953 — リクエストの4.70%
- Trojan.Encoder.761 — リクエストの3.31%
- Trojan.Encoder.3976 — リクエストの1.91%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
| |
2017年2月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は134,063件となっています。
| 2017年1月 | 2017年2月 | 推移 |
|---|---|---|
| + 223,127 | + 134,063 | -39.9% |
Linuxを標的としたマルウェア
Linuxデバイスを感染させるトロイの木馬は今や珍しいものではなくなりました。しかしながら、2月には一風変わった悪意のあるプログラムがDoctor Webのセキュリティリサーチャーによって発見されています。このプログラムはMicrosoft Windowsを搭載したコンピューター上で起動されると、Linuxデバイスを探して感染させようと試みます。
Trojan.Mirai.1 と名付けられたこの新たなトロイの木馬は、C&CサーバーからIP アドレスのリストをダウンロードした後、感染させたコンピューター上でスキャナーを起動させます。スキャナーは、それらのアドレスを持ったネットワークノードを探し、設定ファイル内で指定されたログインとパスワードの組み合わせを使用してログインを試みます。Telnetプロトコル経由でLinuxデバイスに接続した場合、 Trojan.Mirai.1 は感染したデバイス上にバイナリファイルをダウンロードし、続けてこのファイルが Linux.Mirai をダウンロードし、起動させます。また、 Trojan.Mirai.1 はサイバー犯罪者から受け取ったコマンドを実行し、その他の悪意のある動作を実行することができます。この脅威に関する詳細についてはこちらの記事をご覧ください。
そのほか2月には、Go言語で書かれたTrojan Linux.Aliande.4 が発見されています。このトロイの木馬は辞書攻撃(ブルートフォース攻撃)を用いてリモートネットワークサーバーのログインシステムに侵入するよう設計されています。その動作にはC&Cサーバーから取得したIPアドレスのリストが使用され、リモートデバイスへのアクセスにはSSHプロトコルが使用されます。Trojan Linux.Aliande.4 は侵入に成功したログインとパスワードの組み合わせのリストをサイバー犯罪者に送信します。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
2月にはGoogle Playから拡散されていたAndroid.Click.132.originが発見されました。このトロイの木馬は密かにウェブサイトを開き、広告をタップすることでサイバー犯罪者に収益をもたらします。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- 密かに広告サイトを開いて広告をタップする、Android向けトロイの木馬を検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
追加情報
13.02 Doctor Web、新たなバンキング型トロイの木馬を発見
2017年2月13日
株式会社Doctor Web Pacific
Trojan.PWS.Sphinx.2 と名付けられたこのトロイの木馬は、また別のバンキング型トロイの木馬であるZeus( Trojan.PWS.Panda )のソースコードを基に作成されています。その主な目的はウェブインジェクションで、ユーザーが閲覧した全てのウェブページ上に任意のコンテンツを挿入します。その例として、ユーザーにログインとパスワードを入力させた後、それらの情報をサイバー犯罪者に送信する偽の入力フォームが挙げられます。インターネットリソースのURL やデザインは本物と同じものを使用し、偽のフォームやテキストは感染したコンピューター上で開かれたウェブページ内に直接追加されるため、多くの場合ユーザーは置き換えに気が付きません。バンキング型トロイの木馬はウェブインジェクションを実行するための情報をC&Cサーバーから直接取得するため、多くのクレジットカード会社の利用者に被害を与えることが可能です。 Trojan.PWS.Sphinx.2 の設定ファイル内に既に追加されているアドレスを持ったウェブサイトにユーザーがログインすると、サイバー犯罪者によって用意されたコンテンツが挿入されます。以下の画像は Trojan.PWS.Sphinx.2 によってbankofamerica.com内に挿入されたコードの例です。
起動されると、 Trojan.PWS.Sphinx.2 はExplorer(explorer.exe)の動作中のプロセス内に自身を挿入し、ローダーの本体と、C&Cサーバーのアドレスおよび暗号化キーが隠された設定ファイルを復号化します。 Trojan.PWS.Sphinx.2 はモジュラー構造を持っています。すなわち、サイバー犯罪者のサーバーに対して追加のプラグインを要求します。モジュールのうち2つは32ビット版および64ビット版のWindows上でウェブインジェクションを実行するよう設計され、その他2つのモジュールは感染したコンピューターに接続するためにサイバー犯罪者が使用するVNCサーバーを起動させるよう設計されています。また、 Trojan.PWS.Sphinx.2 は感染させたコンピューター上に、ルート証明書をインストールするための一連のユーティリティをダウンロード・保存します。これを使用することで、サイバー犯罪者はMITM(man-in-the-middle)攻撃(中間者攻撃)を実行することが可能になります。さらに、このトロイの木馬には、ユーザーが様々なフォームに入力したデータを横取りし、それらをサイバー犯罪者へ送信するモジュールであるグラバーが備わっています。
そのほか、感染したコンピューター上で Trojan.PWS.Sphinx.2 が自身を自動的に起動させるユニークな方法にも注目する必要があります。このトロイの木馬はPHPスクリプトとPHPインタプリタを使用します。ショートカット経由でスクリプトが実行され、トロイの木馬によって自動実行フォルダ内に置かれます。トロイの木馬の動作に必要な全ての情報は暗号化され、Windowsシステムレジストリ内に保存されています。モジュールはランダムな拡張子を付けて個別のファイルに保存され、それらもまた暗号化されています。
Dr.Webのアンチウイルスは Trojan.PWS.Sphinx.2 を検出・削除することができます。 したがって、Dr.Webユーザーに危害が及ぶことはありません。
06.02 Doctor Web、Linuxデバイスを感染させるWindows向けトロイの木馬を発見
2017年2月6日
株式会社Doctor Web Pacific
Trojan.Mirai.1 と名付けられたこの新たなトロイの木馬は、起動されるとC&Cサーバーに接続して設定ファイルをダウンロードし、IPアドレスのリストを抽出します。次に、設定ファイル内にあるアドレスを持ったネットワークノードを探すためにスキャナーを起動させ、同じく設定ファイル内で指定されたログインとパスワードの組み合わせを使用してログインを試みます。 Trojan.Mirai.1 のスキャナーは複数のTCPポートを同時にスキャンすることが可能です。
いずれかのプロトコルを経由してノードへの接続を果たすと、 Trojan.Mirai.1 は設定ファイル内で指定された一連のコマンドを実行します。ただし、RDPプロトコル経由で接続した場合は例外となり、いずれのコマンドも実行されません。また、Telnetプロトコル経由でLinuxデバイスに接続した場合は、感染したデバイス上にバイナリファイルをダウンロードし、続けてこのファイルが Linux.Mirai をダウンロードし、起動させます。
そのほか、 Trojan.Mirai.1 はインタープロセス通信(IPC)テクノロジーを使用したコマンドをリモートコンピューター上で実行することができます。また、新しいプロセスを実行し、様々なファイル(コマンドのセットを含んだWindowsパッケージファイルなど)を作成する機能も備えています。攻撃の対象となったリモートコンピューター上でリレーショナルデータベース管理システムであるMicrosoft SQL Serverが動作していた場合、 Trojan.Mirai.1 はsysadmin権限を付与したユーザー「Mssqla」を作成し、パスワードを「Bus3456#qwein」とします。SQL Serverのイベントサービスを利用し、このユーザー名でトロイの木馬は様々な悪意のあるタスクを実行します。それらタスクの例として、管理者権限で実行ファイルを起動させる、ファイルを削除する、自動起動用のシステムフォルダにアイコンを移す(またはWindowsレジストリ内に該当するログを作成する)などが挙げられます。リモートMySQLサーバーに接続すると、 Trojan.Mirai.1 は同様の目的で、ログインを「phpminds」、パスワードを「phpgod」としてユーザー「MySQL」を作成します。
Trojan.Mirai.1 は既にDr.Webウイルスデータベースに追加されています。したがって、Dr.Webユーザーに危害が及ぶことはありません。
2017年2月6日
株式会社Doctor Web Pacific
2017年最初の月には、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードするAndroid向けトロイの木馬がDoctor Webのセキュリティリサーチャーによって発見されました。続けて、Android向けバンキング型トロイの木馬のソースコードがオンライン上で一般に公開されていることが明らかになり、また別のAndroid向けバンキング型トロイの木馬も発見されています。このトロイの木馬は、現時点で未だAndroid版の発売されていないゲーム『Super Mario Run(スーパーマリオラン)』として拡散されています。そのほか、Androidスマートフォンやタブレットをロックする新たなランサムウェア型トロイの木馬がGoogle Play上で発見されました。
1月の主な傾向
- Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードするAndroid向けトロイの木馬の発見
- バンキング型トロイの木馬の拡散
- Google Play上に新たなランサムウェア型トロイの木馬が出現
1月のモバイル脅威
1月の初め、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードすることで、そのインストール数を密かに増やす機能を備えたトロイの木馬 Android.Skyfin.1.origin がDoctor Webのセキュリティリサーチャーによって発見されました。このトロイの木馬は次のような特徴を備えています:
- ルートアクセスの取得を試み、トロイの木馬をシステムディレクトリ内に密かにインストールする機能を持った他の悪意のあるプログラムによって拡散されている
- Play Storeの動作を模倣することで、その認証情報や機密データを盗み、ユーザーの許可なしにGoogle Playからアプリケーションをダウンロードする
- アプリケーションがダウンロードされた後、それらをインストールせずにSDカード上に保存することでユーザーに疑いを抱かせないようにする
- サイバー犯罪者によって指定されたアプリケーションについての偽のレビューをGoogle Play上に残す
この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Loki.34
別のトロイの木馬をダウンロードするよう設計された悪意のあるプログラムです。 - Android.Xiny.26.origin
様々なアプリケーションをダウンロード・インストールし、迷惑な広告を表示させるトロイの木馬です。 - Android.DownLoader.337.origin
モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。 - Android.Triada.161.origin
様々な悪意のある機能を実行するマルチコンポーネントトロイの木馬です。 - Android.Mobifun.7
別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Adware.Adpush.7
- Adware.Airpush.31.origin
- Adware.Leadbolt.12.origin
- Adware.WalkFree.2.origin
- Adware.Appsad.3.origin
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる望まないプログラムモジュールです。
Android向けバンキング型トロイの木馬
1月には、バンキング型トロイの木馬 Android.BankBot.140.origin が発見されました。このトロイの木馬は『Super Mario Run(スーパーマリオラン)』として拡散されています。このゲームは現在のところiOSデバイス版しか発売されていません。そこに目を付けたサイバー犯罪者は、この手法を用いることで『Super Mario Run(スーパーマリオラン)』に興味のあるAndroidユーザーがマルウェアをインストールするよう仕向けています。
Android.BankBot.140.origin はバンキングアプリケーションの起動を検知し、ユーザーのアカウントにアクセスするためのログインとパスワードを入力させる偽の入力フォームをその前面に表示させます。それだけでなく、Play Storeが起動された場合には、Google Playの決済サービスを模倣した偽のダイアログを表示させることでクレジットカード情報を盗もうと試みます。
1月中旬には、そのソースコードがサイバー犯罪者によって一般に公開されていたバンキング型トロイの木馬 Android.BankBot.149.origin がDoctor Webのセキュリティリサーチャーによって発見されました。このトロイの木馬はオンラインバンキングアプリケーションや決済システムソフトウェアの起動を検知し、偽の入力フォームをその前面に表示させることで、銀行口座にアクセスするためのログインとパスワードをユーザーに入力させます。また、Play Storeの前面に偽のダイアログを表示させ、クレジットカードの情報を盗もうと試みます。
このトロイの木馬は受信するSMSを横取りし、それらを隠そうと試みます。そのほか、感染したデバイスのGPS位置情報を取得し、連絡先リストの情報を盗み、そのリスト上にある全ての番号に対してメッセージを送信することができます。この脅威に関する詳細についてはこちらの記事をご覧ください。
Google Play上のトロイの木馬
1月、ランサムウェア型トロイの木馬 Android.Locker.387.origin がGoogle Play上で発見されました。このトロイの木馬には、検出をより困難なものにするための特殊なパッカーが使用されています。Dr.Web for Androidはそのパッカーを Android.Packed.15893 として検出することに成功しています。 Android.Locker.387.origin はバッテリーのパフォーマンスを最適化するプログラムEnergy Rescueとして拡散されていました。起動されると、このトロイの木馬はモバイルデバイスの管理者権限を要求し、感染させたスマートフォンやタブレットをロックして解除するための身代金を請求します。ただし、ロシア、ウクライナ、ベラルーシのユーザーは、このランサムウェアによる攻撃を受けていません。
Androidデバイスをロックするほか、 Android.Locker.387.origin は連絡先リストの情報と全てのSMSメッセージを盗みます。
サイバー犯罪者のAndroidデバイスに対する関心は依然として高いものとなっており、悪意のあるプログラムが多数作成されています。お使いのスマートフォンやタブレットを保護するため、Android向けトロイの木馬やその他のマルウェアを確実に検出することのできるDr.Web for Androidを使用することをお薦めします。
2017年2月8日
株式会社Doctor Web Pacific
2017年最初の月、Doctor Webのセキュリティリサーチャーはアーカイブを感染させ他の悪意のあるアプリケーションを削除する機能を備えたワームを発見しました。また、数千台のLinuxデバイスが新たなトロイの木馬に感染しています。そのほか、Android向けの新たな悪意のあるプログラムが多数、Dr.Webウイルスデータベースに追加されています。そのうちの1つは、様々なアプリケーションをGoogle Playからダウンロードする機能を備えたモジュールをPlay Store上に侵入させるトロイの木馬でした。また別の1つは、バンキング型トロイの木馬ファミリーに属するもので、そのソースコードがサイバー犯罪者によって一般に公開されていました。Doctor Webのセキュリティリサーチャーは、それらの情報を使用して作成されたバンキング型トロイの木馬の大規模な拡散が起こることを懸念しています。
1月の主な傾向
- アーカイブを感染させ他の悪意のあるアプリケーションを削除する機能を備えたワームの拡散
- 感染した数千台のLinuxデバイスを発見
- Play Store内にモジュールを埋め込むAndroid向けトロイの木馬の出現
- 一般に公開された、新しい危険なAndroid向けバンキング型トロイの木馬の拡散
1月の脅威
ユーザーの介入なしに自身を拡散する機能を持ち、実行ファイルを感染させることのできないトロイの木馬を通常ワームと呼びます。1月には、新たなワームである BackDoor.Ragebot.45 がDoctor Webのセキュリティリサーチャーによって発見されました。このワームはIRC(インターネット・リレー・チャット)プロトコル経由でコマンドを受け取り、コンピューターを感染させるとFTPサーバーを起動させます。次に、そのサーバーを使用して自身のコピーをコンピューター上にダウンロードします。
BackDoor.Ragebot.45 は辞書内でパスワードを検索し、仮想ネットワークコンピューティング(VNC)へのリモートアクセスシステムを使用して他のネットワークコンピューターへのアクセスを試みます。ハッキングに成功すると、ワームはリモートコンピューターとのVNC接続を確立してキーストロークのシグナルを送信します。それらを使用してCMDコマンドインタプリタを起動させ、FTPプロトコル経由で自身のコピーを起動させるためのコードを実行します。こうしてワームは自身を複製します。
BackDoor.Ragebot.45 の持つもう1つの機能に、リムーバブルメディア上のRARアーカイブを検索して感染させるというものがあります。アーカイブを検出すると、 BackDoor.Ragebot.45 はそこに自身のコピーを保存します。しかしながら、このワームの主な機能は、サイバー犯罪者から受け取ったコマンドに応じて、システム内で別のトロイの木馬の存在を確認し、見つかった場合はそのプロセスを停止して実行ファイルを削除するというものです。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web CureIt!による統計
- Trojan.InstallCore
望まないアプリケーションや悪意のあるアプリケーションのインストーラです。 - Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。 - Trojan.Moneyinst.31
他のトロイの木馬を含む様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - Trojan.BtcMine.793
感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬です。
Dr.Webの統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。 - Trojan.Moneyinst.31
他のトロイの木馬を含む様々なソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。 - BackDoor.IRC.NgrBot.42
2011年から情報セキュリティリサーチャーに知られている、一般的なトロイの木馬です。このファミリーに属する悪意のあるプログラムは、IRC(Internet Relay Chat)テキストメッセージプロトコル経由でサイバー犯罪者によってコントロールされる感染したシステム上で、犯罪者から受け取ったコマンドを実行することができます。
メールトラフィック内で検出された脅威の統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。 - Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。 - Trojan.Zadved
ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。 - Trojan.PWS.Stealer
感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。 - W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。 - Joke.Locker.1.origin
ndroidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。 - Android.HiddenAds.24
モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。 - Android.Spy.178.origin
ユーザーのパスワードなど個人情報を盗むWindows向けトロイの木馬です。 - Trojan.DownLoader
感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2017年1月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの36.71%
- Trojan.Encoder.3953 — リクエストの5.00%
- Trojan.Encoder.567 — リクエストの3.97%
- Trojan.Encoder.761 — リクエストの3.33%
- Trojan.Encoder.3976 — リクエストの2.88%
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
| データ損失防止 | |
|---|---|
| |
2017年1月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は223,127件となっています。
| 2016年12月 | 2017年1月 | 推移 |
|---|---|---|
| + 226,744 | + 223,127 | -1.59% |
Linuxを標的としたマルウェア
2017年1月には、滅多に起こることのないLinux向けマルウェアの大規模な拡散がDoctor Webのセキュリティリサーチャーによって確認されました。拡散されていたのは、感染したデバイス上でSOCKS5プロキシサーバーを動作させるよう設計されたトロイの木馬 Linux.Proxy.10 です。サイバー犯罪者はオンライン上での匿名性を確保するためにこのトロイの木馬を用いています。Doctor Webでは Linux.Proxy.10 に感染したデバイスの数を割り出すことに成功し、2017年1月24日の時点で、その数は数千台となっています。
Linux.Proxy.10 は、予め設定されたログインとパスワードの組み合わせを持った脆弱なデバイス上にログインすることで拡散され、多くの場合、これらのデータは別のLinux向けトロイの木馬によって作成されているか、またはデフォルトでデバイス上にインストールされています。つまり、 Linux.Proxy.10 は主に、既に別のLinux向けマルウェアに感染しているコンピューターやデバイス上に侵入します。この脅威に関する詳細についてはこちらの記事をご覧ください。
そのほか、 Linux.Lady の新たな亜種 Linux.Lady.4 が発見されています。この新たなバージョンでは、仮想通貨をマイニングするアプリケーションをダウンロード・実行する機能が取り除かれ、Redisネットワークストレージを攻撃する機能が追加されていました。また、RPC(Remote Procedure Call:リモートプロシージャコール)を使用してリモートサーバーに接続し、感染させたシステムに関するデータを送信、シェルコマンドを実行する機能を備えたモジュールが追加されています。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
2017年最初の月には、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードすることで、そのインストール数を密かに増やす機能を備えたトロイの木馬 Android.Skyfin.1.origin がDoctor Webのセキュリティリサーチャーによって発見されました。続けて、Android向けバンキング型トロイの木馬 Android.BankBot.149.origin のソースコードがオンライン上で一般に公開されていることが明らかになりました。1月にはまた別のAndroid向けバンキング型トロイの木馬 Android.BankBot.140.origin も発見されています。このトロイの木馬は、現時点で未だAndroid版の発売されていないゲーム『Super Mario Run(スーパーマリオラン)』として拡散されています。また、Google Play上で新たなランサムウェア型トロイの木馬が発見され、 Android.Locker.387.origin と名付けられました。このトロイの木馬はAndroidスマートフォンやタブレットをロックします。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードするAndroid向けトロイの木馬の発見
- バンキング型トロイの木馬の拡散
- Google Play上に新たなランサムウェア型トロイの木馬が出現
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
24.01 Doctor Web、感染した数千台のLinuxデバイスを発見
2017年1月24日
株式会社Doctor Web Pacific
多くのLinuxネットワークデバイスを感染させるためにサイバー犯罪者によって使用されていたトロイの木馬 Linux.Proxy.10 は、その名の示す通り、感染したデバイス上でフリーウェアSatanic Socks Server のソースコードに基づいてSOCKS5プロキシサーバーを動作させるよう設計されています。サイバー犯罪者はオンライン上での匿名性を確保するためにこのトロイの木馬を用いています。
Linux.Proxy.10 を拡散するため、サイバー犯罪者はSSHプロトコル経由で脆弱なデバイス上にログインし、デバイスとそのログインおよびパスワードのリストをサーバー上に保存します。リストは«IPアドレス:ログイン:パスワード»のようになります。多くの場合、これらのデータは別のLinux向けトロイの木馬によって作成されているという点に注意する必要があります。つまり、 Linux.Proxy.10 は標準設定で使用されているか、または既に別のLinux向けマルウェアに感染しているコンピューターやデバイス上に侵入します。
このリストを使用してスクリプトが生成されます。次に、そのスクリプトがsshpassを使用して実行され、システムを Linux.Proxy.10 に感染させます。
また、 Linux.Proxy.10 を拡散させているサイバー犯罪者の所有するサーバーには脆弱なデバイスのリストのみでなく、Spy-Agentのコントロールパネルと、既知のトロイの木馬スパイウェアファミリー BackDoor.TeamViewer に属するWindows向けマルウェアが含まれているということがDoctor Webセキュリティリサーチャーによって確認されています。
Linux.Proxy.10 を使用して起動されたプロキシサーバーに接続するために、サイバー犯罪者が必要とするものは、感染したデバイスのIPアドレスおよびコンパイル中にトロイの木馬の本体に保存されたポート番号の2つのみです。Doctor Webでは Linux.Proxy.10 に感染したデバイスの数を割り出すことに成功し、2017年1月24日の時点で、その数は数千台となっています。
お使いのデバイスを Linux.Proxy.10 から保護するため、感染が疑われる場合はDr.Web Anti-virus 11.0 for Linux を使用してSSHプロトコル経由でリモート・スキャンを実行することが推奨されます。
24.01 Doctor Web、感染した数千台のLinuxデバイスを発
2017年1月24日
株式会社Doctor Web Pacific
多くのLinuxネットワークデバイスを感染させるためにサイバー犯罪者によって使用されていたトロイの木馬 Linux.Proxy.10 は、その名の示す通り、感染したデバイス上でフリーウェアSatanic Socks Server のソースコードに基づいてSOCKS5プロキシサーバーを動作させるよう設計されています。サイバー犯罪者はオンライン上での匿名性を確保するためにこのトロイの木馬を用いています。
Linux.Proxy.10 を拡散するため、サイバー犯罪者はSSHプロトコル経由で脆弱なデバイス上にログインし、デバイスとそのログインおよびパスワードのリストをサーバー上に保存します。リストは«IPアドレス:ログイン:パスワード»のようになります。多くの場合、これらのデータは別のLinux向けトロイの木馬によって作成されているという点に注意する必要があります。つまり、 Linux.Proxy.10 は標準設定で使用されているか、または既に別のLinux向けマルウェアに感染しているコンピューターやデバイス上に侵入します。
このリストを使用してスクリプトが生成されます。次に、そのスクリプトがsshpassを使用して実行され、システムを Linux.Proxy.10 に感染させます。
また、 Linux.Proxy.10 を拡散させているサイバー犯罪者の所有するサーバーには脆弱なデバイスのリストのみでなく、Spy-Agentのコントロールパネルと、既知のトロイの木馬スパイウェアファミリー BackDoor.TeamViewer に属するWindows向けマルウェアが含まれているということがDoctor Webセキュリティリサーチャーによって確認されています。
Linux.Proxy.10 を使用して起動されたプロキシサーバーに接続するために、サイバー犯罪者が必要とするものは、感染したデバイスのIPアドレスおよびコンパイル中にトロイの木馬の本体に保存されたポート番号の2つのみです。Doctor Webでは Linux.Proxy.10 に感染したデバイスの数を割り出すことに成功し、2017年1月24日の時点で、その数は数千台となっています。
お使いのデバイスを Linux.Proxy.10 から保護するため、感染が疑われる場合はDr.Web Anti-virus 11.0 for Linux を使用してSSHプロトコル経由でリモート・スキャンを実行することが推奨されます。
20.01 Doctor Web、Androidユーザーに対するバンキング型トロイの木馬を用いた攻撃の増加を懸念
2017年1月20日
株式会社Doctor Web Pacific
この新しい悪意のあるアプリケーションのソースコードがウイルス開発者によって公開されたのはわずか1カ月前のことですが、公開されたそれらの情報を使用して作成されたAndroid向けバンキング型トロイの木馬がDoctor Webのセキュリティリサーチャーによって既に発見されています。 Android.BankBot.149.origin と名付けられたそのトロイの木馬は無害なプログラムを装って拡散されています。スマートフォンやタブレットのユーザーによってインストール・起動されると、 Android.BankBot.149.origin はシステムから削除されることを防ぐために管理者権限を要求します。その後、ホーム画面からショートカットを削除することでユーザーの目から自身を隠します。
次に、 Android.BankBot.149.origin はC&C サーバーに接続して指示を待ちます。このトロイの木馬は以下の動作を実行することができます:
- SMSメッセージを送信する
- SMSメッセージを横取りする
- 管理者権限を要求する
- USSDリクエストを送信する
- 全ての連絡先電話番号を取得する
- 連絡先リスト上の全ての番号に対して、コマンド内で指定されたテキストを含んだSMSメッセージを送信する
- GPS経由でデバイスの位置情報を追跡する
- Androidの最新バージョンを搭載したデバイス上で、SMSメッセージを送信し、通話を発信し、連絡先リストとGPSレシーバーにアクセスするための追加の許可を要求する
- 攻撃するバンキングアプリケーションのリストを含んだ実行ファイルを受け取る
- フィッシングダイアログを表示させる
他の多くのAndroid向けバンキング型トロイの木馬と同様、 Android.BankBot.149.origin はオンラインバンキングアプリケーションや決済システムソフトウェアの起動をトラッキングすることでユーザーの個人情報を盗みます。Doctor Webのセキュリティリサーチャーによって解析されたサンプルの1つは、30を超えるそのようなプログラムをコントロールしていました。それらプログラムのいずれかが起動されたことを検出すると、 Android.BankBot.149.origin は該当する偽の入力フォームをその前面に表示させ、銀行口座にアクセスするためのログインとパスワードをユーザーに入力させます。
このトロイの木馬はモバイルバンキングへのログイン認証のみでなく、キャッシュカードに関する情報も盗むことができます。その際、 Android.BankBot.149.origin はFacebookやViber、Youtube、WhatsApp、Uber、Snapchat、WeChat、imo、Instagram、Twitter、Play Storeなどの有名なアプリケーションの起動をトラッキングし、Google Playでの購入時に使用されるものを模倣した偽のダイアログを表示させます。
SMSメッセージを受信すると、トロイの木馬は全ての着信音とバイブレーション機能をオフにし、メッセージの内容をサイバー犯罪者に送信し、そして元のメッセージをSMS受信リストから削除しようと試みます。その結果、ユーザーは送金に関する銀行からの通知を見ることができないだけでなく、受信するその他のメッセージにも気づくことができません。
Android.BankBot.149.origin は盗んだ全てのデータをC&Cサーバーにアップロードし、それらは管理パネル上に表示されます。これにより、サイバー犯罪者は自分が関心のある情報を入手することができるだけでなく、悪意のあるアプリケーションをコントロールすることが可能です。
全体的に、このトロイの木馬の持つ機能は現代のAndroid向けバンキング型トロイの木馬として標準的なものであると言えます。しかしながら、その作成者であるサイバー犯罪者によって情報が公開されていることから、今後、同様のトロイの木馬が多数出現するであろうことが懸念されます。Android向けDr.Web製品は Android.BankBot.149.origin を検出するため、Dr.Webユーザーに危害が及ぶことはありません。
