Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2010年12月のウイルス脅威

2011年01月26日掲載

株式会社Doctor Web Pacific


12月はウイルスライターにとって2010年を締めくくるグランドフィナーレとなりました。
この月には2010年の間に発達したあらゆるテクノロジーの特徴を備えた悪意のあるプログラムがばら撒かれました。
感染したシステムからアンチウイルスソフトウェアをアンインストールしてしまう新種の悪意のあるプログラムも使われました。追い打ちをかけるように、西ヨーロッパのユーザーはクリスマスの日(西ヨーロッパではクリスマス休暇があります)に偽のインターネット検索結果を出すマルウェアに襲われたのです。

休暇中はウイルス拡大の絶好のチャンス

なぜウイルス製作者達はその成果物を休暇中にばら撒くのか、その理由ははっきりとは分かりません。恐らく、アンチウイルスベンダーがタイムリーに対処できないあるいはユーザーに感染に対応する時間と労力が無いので成功率が高いはずだと思っているのでしょう。ほとんどのウイルス分析家達は24時間働いているのだという事実にも関わらずこのトレンドは続いています。

クリスマスの日、西ヨーロッパのユーザー達にTrojan.Hottrend.32がばら撒かれました。この悪意のあるプログラムは12月8日にDr.Webウイルスデータベースに追加されましたが、その攻撃は同月の24、25日にピークを迎えたのです。

多くのアンチウイルスはTrojan.Hottrend.32を完全に駆除することが出来ませんでした。その結果、修復されたはずのシステムは再起動後立ち上がらずにクラッシュしBSODが表示されます。

Trojan.Hottrend.32はマルチコンポーネントプログラムです。多くのアンチウイルスはWindowsシステムディレクトリ内の悪意のあるライブラリを検出し、それらを削除します。しかし、それぞれのプロセスに悪意のあるライブラリを使用するようにしてしまうTrojanのインストール中に感染したシステムファイルは修復されませんでした。それでもDr.Webユーザーはシステムクラッシュに対処する必要はなかったのです。Dr.Webのアンチウイルスは悪意のあるdllファイルを取り除き、感染したシステムファイルを元の状態に復元することによってシステムを感染から完璧に修復したからです。Trojanに感染したファイルはWin32.Dat.15.としてDr.Webに検出されました。

面白いことにTrojan.Hottrendは他の悪意のあるプログラムには一般的な特徴を少ししか持っていません。例えばTrojan.Hottrend.34のインストーラーは、以前BackDoor.Tdss(TDL4)が最新バージョのWindows上でその効力を増大させるために使っていた脆弱性を利用します。しかもそれはWindows Task Schedulerの脆弱性です。Trojan.Hottrendに組み込まれたこのTrojanコンポーネントはExploit.TaskScheduler.1としてDr.Webに検出されました。Trojan.Hottrend.34はまた、Windowsプリントサブシステムの脆弱性をも利用します。同じような手法は以前のTrojan.PWS.Ibank.279プログラムでも使われていました。

再び取り除かれるアンチウイルス

コンピューターから最新バージョンのアンチウイルスを削除してしまうマルチコンポーネントな悪意のあるプログラムThe Trojan.VKBase.1が12月に発見されました。このTrojanはインストールされたアンチウイルスを取り除くためにセーフモードでシステムを再起動させます。Dr.Webアンチウイルスのセルフプロテクションモジュールはセーフモードでも動作し続けるので、悪意のあるプログラムはDr.Web ソフトウェアの脆弱性を利用する追加のモジュールTrojan.AVKill.2942をダウンロードしました。脆弱性はタイムリーに閉じられ、Dr.Webユーザーはこの攻撃から守られた最初のユーザーとなったのです。

Trojan.VkBase.1の最終的な目的は、ありがちなものです。システムへのアクセスをブロックし、再びアクセスするためにユーザーにお金を要求するのです。しかし、システムへのアクセスが回復したと思っても、さらに別の事が被害者を驚かせます。アンチウイルスがアンインストールされているにも関わらず、ユーザーはまだそれが働いていると思っているのです。ウイルス製作者はTrojan.Fakealert.19448モジュールを使ってその幻想をユーザーに抱かせ続けます。

12月のインターネット詐欺

インターネット詐欺の犠牲となったユーザーからの1日の問い合わせ平均件数は少しだけ増え(5%)、1日164件になりました。

携帯の残高補充を要求するWindowsブロッカーの件数は、インターネット詐欺に関する悪意のあるプログラム全体の70%に増えました。ブロッカーを使う犯罪者の手口はショートメッセージによる支払から残高補充を使うものへと完全にシフトしたように見えますが、それでもショートメッセージや他の種類のマルウェアを使ったスタンダードな手口もまだ使われています。

12月にはユーザーが犯罪者の携帯アカウントにお金を送る様々な手口もよく使われるようになりました。ユーザーは支払いをするのに端末を探す必要さえありません。自分の携帯アカウントから犯罪者へ送金できるのです。アカウントからアカウントへの送金サービスは今ではほとんどの携帯会社が扱っています。この手口に関する問い合わせは11月には全く無かったのに対して12月には全体の件数の25%に達しています。

2010年12月のその他の脅威

12月中にDoctor Webが集めた統計によって、インストールされたアンチウイルスソフトウェアを取り除く悪意のあるプログラム(Trojan.Oficla)はもとよりボットネットクライアントマルウェア(Trojan.AVKill)がメール上に広がったことも分かりました。ユーザーのシステムからパスワードを盗むTrojan.PWS.Pandaも大量に発見されました。

ユーザーのマシン上で発見されたマルウェアの統計を見ると、2010年8月上旬にMicrosoftが脆弱性を閉じるパッチをリリースしたにも関わらず、Windowsショートカットの脆弱性を利用する悪意のあるプログラム(Exploit.Cpllnk)が、最も広く拡大したウイルス上位20位に未だに入っていることが分かります。このことは数か月前にリリースされた重要なシステム更新を多くのユーザーがまだインストールしていないということを示しています(情報セキュリティの基本的ルールに従わないことでシステムの感染リスクが増大します)。

12月にメールトラフィック内で検出されたウイルス

01.12.2010 00:00 - 01.01.2011 00:00 

1

Trojan.DownLoad1.58681

585624 (10.67%)

2

Trojan.Packed.20878

424313 (7.73%)

3

Trojan.Oficla.zip

310037 (5.65%)

4

Trojan.Packed.20312

258656 (4.71%)

5

Trojan.DownLoad.41551

241333 (4.40%)

6

Trojan.Oficla.38

146380 (2.67%)

7

Trojan.AVKill.2788

111996 (2.04%)

8

Win32.HLLM.Beagle

108907 (1.98%)

9

Trojan.PWS.Panda.114

94719 (1.73%)

10

W97M.Killer

86120 (1.57%)

11

Trojan.DownLoader1.17157

68893 (1.25%)

12

Win32.HLLW.Autoruner.35407

60270 (1.10%)

13

Trojan.MulDrop1.54160

52069 (0.95%)

14

Trojan.PWS.Panda.387

51701 (0.94%)

15

Trojan.Oficla.48

51661 (0.94%)

16

Trojan.Oficla.73

51660 (0.94%)

17

Trojan.Botnetlog.zip

43136 (0.79%)

18

Win32.HLLM.MyDoom.54464

36344 (0.66%)

19

Trojan.AVKill.3097

35781 (0.65%)

20

Trojan.Inject.12703

34457 (0.63%)

総スキャン数: 49,621,212,845

感染数: 5,489,646

12月にユーザーのコンピューター上で検出されたウイルス

01.12.2010 00:00 - 01.01.2011 00:00 

1

Win32.HLLP.Whboy.45

26157925 (35.09%)

2

Win32.HLLP.Neshta

19074952 (25.59%)

3

Win32.Siggen.8

9701550 (13.01%)

4

Win32.HLLP.Whboy.105

3029087 (4.06%)

5

Win32.HLLP.Rox

1778666 (2.39%)

6

Win32.HLLP.Novosel

1694940 (2.27%)

7

Win32.Antidot.1

1417299 (1.90%)

8

ACAD.Pasdoc

880117 (1.18%)

9

Win32.HLLP.Whboy

837595 (1.12%)

10

Trojan.MulDrop1.48542

813936 (1.09%)

11

JS.Nimda

649954 (0.87%)

12

HTTP.Content.Malformed

500629 (0.67%)

13

Trojan.DownLoad.32973

373241 (0.50%)

14

Win32.HLLW.Shadow.based

348344 (0.47%)

15

Exploit.Cpllnk

338660 (0.45%)

16

Win32.Sector.22

310594 (0.42%)

17

Win32.HLLW.Autoruner.5517

206193 (0.28%)

18

Win32.Sector.21

185741 (0.25%)

19

Trojan.MulDrop.54146

176975 (0.24%)

20

Trojan.DownLoader.42350

175097 (0.23%)

総スキャン数: 112,698,120,297

感染数: 74,550,079

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2020

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F