2011年03月15日掲載
株式会社Doctor Web Pacific
Windowsブロッカー
Windowsのアクセスをブロックし、脅迫するトロイの木馬は長期に渡って使われています。 ウイルス作成者はこのウイルスを進化させていく過程で、送金オプションや、マスターブートレコードからのWindowsのロードをブロックするという予想だにしなかった手法をも含むソリューションテクノロジーを試みました。
2011年2月に、異なるブロックスクリーンのデザインを備えたTrojan.Winlockがいくつか発見されました。新しい見た目に加え、このブロッカーには分析をより困難にする新たな手法が取り入れられ、exeファイルを装うためのより複雑な暗号が使われています。それらの中でTrojan.Winlockの作成者に人気のある暗号は、exeファイル内に特定のアイコンを加えるので、簡単に見分けることが出来ます。
この手法は非常に簡単で効果的なので、ブロッカーは減少するどころか、近い将来には更に高度なバリエーションを持ったランサムウエアが発見されることでしょう。
エンコーダー
2月に注目を浴びた他のランサムウエアはエンコーダーです。Trojan.Encoderの作成者は暗号化アルゴリズムを何度か変えましたが、発見されたトロイの木馬の亜種の数は変わりませんでした。ユーザーがTrojan.Encoderに感染したファイルへ再びアクセス出来るよう、Doctor Webは解読ユーティリティーを開発・メンテナンスしています。
バンキングアカウントの窃盗
2011年悪意のある「トップ10」には、Zeusとしても知られる悪名高いTrojan.PWS.Pandaのような、アカウントからお金を盗むプログラムが入りました。このトロイの木馬は、ロシア、イタリア、アメリカ、ドイツのシステムを含むオンラインバンキングシステムのアドレスのリストを利用しています。
- libertyreserve.com
- perfectmoney.com
- laiki.com
- bankofcyprus.com
- commbank.com.au
- suncorpbank.com.au
- stgeorge.com.au
- online.westpac.com.au
- anz.com
- sparkasse.de
- commerzbanking.de
- finanzportal.fiducia.de
- deutsche-bank.de
- targobank.de
- postbank.de
- csebo.it
- poste.it
- gruppocarige.it
- cedacri.it
- payment.ru
- ibank.alfabank.ru
- chase.com
- capitalone.com
このタイプのトロイの木馬のいくつかはDr.WebによりTrojan.DownLoader2として検出されました。それらの追加的なペイロードには、偽のアンチウイルスのダウンロード(Trojan.FakeAlert)やバックドアが含まれています。
モバイルプラットフォーム
1月に比べ、2月にはAndroidへのトロイの木馬の数が著しく増加しました。Android.SmsSend はJavaで書かれ、その唯―の機能はユーザーがお金を払ったショートメッセージを6008のような短いコードで送ることです。
1月には1つしか検出されなかったこのトロイの木馬は、2月には6つに増えました。このことは、このプラットフォームを狙ったさらに危険で複雑なトロイの木馬が現れるのも時間の問題だということを示しています。
その他の脅威
その他の注目すべき驚異は、Win32.Virutの亜種、以前からメールトラフィック内で多数発見されているメールワームのバリエーションWin32.HLLM.NetSky、及びWin32.HLLM.MyDoomです。
Trojan.WinSpyボットネットの開発者は2月にボットソフトウェアのコンポーネントを2回アップデートしました。主な変更箇所はsfcfiles.dllファイルの暗号化ルーチンに関するものでした。
ウイルス分析家はまた、取り外し可能な記憶装置に広がるワームの活動の減少を認めました(Win32.HLLW.Autorunner)。
2月にメールトラフィック内で検出されたウイルス
31.01.2011 00:00 - 28.02.2011 17:00 | ||
1 | Trojan.DownLoad2.20306 | 1059280 (9.63%) |
2 | Trojan.DownLoader2.265 | 1016989 (9.24%) |
3 | Win32.HLLM.MyDoom.33808 | 953395 (8.66%) |
4 | Win32.HLLM.Netsky.18401 | 678289 (6.16%) |
5 | Trojan.DownLoader2.1901 | 644263 (5.85%) |
6 | Trojan.DownLoader2.2035 | 573250 (5.21%) |
7 | Trojan.DownLoad1.58681 | 525054 (4.77%) |
8 | Trojan.DownLoader2.2977 | 494250 (4.49%) |
9 | Trojan.Packed.20878 | 378395 (3.44%) |
10 | Win32.HLLW.Texmer.51 | 362861 (3.30%) |
11 | Trojan.MulDrop.64589 | 339687 (3.09%) |
12 | Trojan.DownLoad.41551 | 314629 (2.86%) |
13 | Win32.HLLM.Netsky.35328 | 298101 (2.71%) |
14 | Trojan.Oficla.zip | 278088 (2.53%) |
15 | Trojan.DownLoader2.10188 | 232049 (2.11%) |
16 | Trojan.Packed.20312 | 231918 (2.11%) |
17 | Trojan.DownLoader2.4077 | 159628 (1.45%) |
18 | Trojan.PWS.Siggen.12160 | 146696 (1.33%) |
19 | Trojan.Oficla.38 | 131266 (1.19%) |
20 | Win32.HLLM.Beagle | 127493 (1.16%) |
総スキャン数: | 59,150,116,249 |
感染数: | 11,084,834 (0.02%) |
2月にユーザーのコンピューター上で検出されたウイルス
31.01.2011 00:00 - 28.02.2011 17:00 | ||
1 | Win32.HLLP.Whboy.45 | 12975162 (27.37%) |
2 | Win32.HLLP.Neshta | 10063066 (21.23%) |
3 | Win32.HLLP.Novosel | 6035651 (12.73%) |
4 | Trojan.Click.64310 | 5389563 (11.37%) |
5 | Win32.Siggen.8 | 1751123 (3.69%) |
6 | HTTP.Content.Malformed | 1123179 (2.37%) |
7 | Win32.HLLP.Rox | 1084446 (2.29%) |
8 | Win32.HLLP.Liagand.1 | 722176 (1.52%) |
9 | Win32.HLLP.Whboy | 608324 (1.28%) |
10 | Win32.Sector.22 | 584357 (1.23%) |
11 | Win32.Virut | 574516 (1.21%) |
12 | Trojan.MulDrop1.48542 | 533769 (1.13%) |
13 | Win32.Sector.20480 | 380038 (0.80%) |
14 | Win32.HLLW.Shadow.based | 261680 (0.55%) |
15 | Win32.Antidot.1 | 246844 (0.52%) |
16 | Exploit.Cpllnk | 233278 (0.49%) |
17 | Win32.Virut.56 | 214383 (0.45%) |
18 | Win32.HLLW.Autoruner.18959 | 151085 (0.32%) |
19 | Trojan.DownLoad.32973 | 144293 (0.30%) |
20 | Win32.HLLW.Autoruner.11962 | 132218 (0.28%) |
総スキャン数: | 128,616,744,271 |
感染数: | 47,509,667 (0.04%) |
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments