Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2010年11月のウイルス脅威

2011年01月11日掲載

株式会社Doctor Web Pacific


11月、ネット犯罪者達はこれまでにない独創性を見せ、その結果、ベンダー、及びユーザーはブートキットテクノロジーを始めとする新手の詐欺に立ち向かうこととなりました。新しく改良されたトロイの木馬エンコーダーはヨーロッパのユーザーを狙い、犯罪者達はオンラインバンキングシステムを襲って儲けようとしています。

Windows boot blocker

11月にどこからともなくTrojan.MBRlock.1が現れると、ネット詐欺者達はすぐさまこれを使い始めました。この悪意のあるプログラムは、詐欺に使われている他のどのマルウェアとも異なっています。

Trojan.MBRlock.1はUACプロテクションメカニズムを介しているため、ユーザーはインストールに気づきません。ひとたびインストールされるとトロイの木馬はMBR、及び周辺のディスクセクターにそのコードを書き込みます。

MBRに書き込まれたコードは周辺のディスクセクターからの情報を含んでいます。その結果、システムを解除する為に100ドルの支払いを要求するメッセージがユーザーに送られます。

メッセージにはまた、全てのコンピューターディスクにあるファイルは暗号化されているという内容も含まれています。これは嘘なのです。

トロイの木馬に感染したシステムは起動することが出来ないため、内部から修復することが出来ません。

正しいパスワードを入力すればMBRは修復され、インストールされたOSは正常に起動します。

現在、Trojan.MBRlock.1のいくつかの改良は分かっていますが、Dr.Webは全てのマルウェアを検出することがでます。

システムを修復するにはekol、或いはjail解除コードを入力します。どちらも上手くいかない場合はネット詐欺被害者のための無料Doctor Webテクニカルサポートにお問い合わせください。

一部のTrojan.MBRlock.1の改良はDr.Web ウイルスデータベースに追加される前にDr.WebヒューリスティックアナライザーによってMULDROP.Trojanとして検出されています。Dr.Webのユーザーは、悪意のあるプログラムのウイルス定義が入手不可能な場合でもトロイの木馬から守られているのです。

新たなトロイの木馬エンコーダー

新たなトロイの木馬エンコーダーは11月に再び注目を集めました。今回、犯罪者達はヨーロッパのユーザーを狙いました。

Trojan.Encoder.88は一般的なフォーマットのドキュメントをAES-256暗号アルゴリズムを使って暗号化し、その解読を複雑化しています。単一コンピューター上のファイルを修復するための解読キーを検索するのに2^256オペレーションが必要になります。その結果にはゼロが77個以上も付いてしまいます。

独自の暗号化キーがそれぞれの感染したマシーンに作られます。これはRSAアルゴリズムを使って暗号化されており、テキストファイルとしてディスクに保存されます。

ウイルス源トラッキングテクノロジーにより、Dr.WebはTrojan.Encoder.88がデータベースに追加されるより前にTrojan.Encoder.originとして検出します。

11月の詐欺:winlock再び

11月、無料テクニカルサポートサービスはネット詐欺被害者から約4700件の問い合わせを受けました。これは問い合わせ件数全体の42%に当たります。1日の平均問い合わせは146件にのぼり、これは10月の件数をその1/3上回ります。

Trojan.Winlockは最もよく詐欺に使われる悪意のあるプログラムとなりました(問い合わせ全体の73%)。詐欺事件の大部分は一般的なウェブリソースへのアクセスをブロックするTrojan.Hostsに関するものです。

犯罪者達は利益を実際のお金に換えるようになってきました。11月には、悪意のあるプログラムがユーザーに支払い要求のメッセージを送ることはあまりありませんでした。問い合わせ件数は全体の31%しかありませんでした。一方で、ターミナルを介して犯罪者に支払いをするという手法がよく使われていました(問い合わせ全体の60%)。

バンキングを攻撃するトロイの木馬

11月にはオンラインバンキングシステムのユーザー(個人、及び法人)を狙った新しいトロイの木馬が現れました。

特に、いくつかのTrojan.PWS.Ibank.213の改良がDr.Webのウイルスデータベースに追加されました。

トロイの木馬の多様性が悪意のあるpayloadのコンテナとして働きます。その最も有害な特徴として、セキュリティーソフトウェアコンポーネントの機能を無効にしてしまうことが挙げられます。トロイの木馬は、それが安全に分析される仮想環境に導入されたかどうか探知することができます。システムの修復サービスを無効にしてしまうこともまた、その有害な働きの一つです。

バンクアカウントオンラインへのアクセスに必要な情報を入手するために、トロイの木馬はシステムルーティン、及びオンラインバンキングシステム機能に侵入し、ユーザーがキーボードで入力した情報を盗みます。Trojan.PWS.Ibank.213はリモートサーバーと通信でき、exeファイルをダウンロード、及び導入できるので、このプログラムに感染したシステムはボットネットのノードになってしまうと言えます。

2010年11月は、犯罪者達が様々な悪意のあるプログラムを使って幅広い犯罪を行えることを思い知らされる月でした。 それらを駆除するには、あらゆる種類のマルウェアからシステムを守り、修復できるアンチウイルスが最も効果的であると証明されました。しかし、コンピューター保護システムの中で最も弱い要素となっているのは未だにユーザーなのです。以下のセキュリティルール基本情報に従えば、システム感染の可能性を驚くほど減らせることをDoctor Webは今一度お伝えします。

11月にメールトラフィック内で検出されたウイルス

 01.11.2010 00:00 - 01.12.2010 00:00 
1Trojan.DownLoader.62844887472 (16.61%)
2Trojan.DownLoad1.58681560304 (10.49%)
3Trojan.Packed.20878409498 (7.67%)
4Win32.HLLW.Texmer.51386408 (7.23%)
5Win32.HLLM.Netsky.18401317070 (5.93%)
6Trojan.Oficla.zip296642 (5.55%)
7Win32.HLLM.MyDoom.33808270438 (5.06%)
8Trojan.Packed.20312246743 (4.62%)
9Trojan.DownLoad.41551231569 (4.33%)
10Trojan.Oficla.38139866 (2.62%)
11Win32.HLLM.Netsky.35328121814 (2.28%)
12Trojan.AVKill.2788103700 (1.94%)
13Win32.HLLM.Beagle98470 (1.84%)
14Trojan.PWS.Panda.11490471 (1.69%)
15W97M.Killer74444 (1.39%)
16Trojan.DownLoader1.1715765832 (1.23%)
17Trojan.PWS.Panda.38749461 (0.93%)
18Trojan.Oficla.7349351 (0.92%)
19Trojan.Oficla.4849342 (0.92%)
20Trojan.Botnetlog.zip41304 (0.77%)

総スキャン数: 40,984,945,769
感染数: 5,342,395

11月にユーザーのコンピューター上で検出されたウイルス

 01.11.2010 00:00 - 01.12.2010 00:00 
1Win32.HLLP.Neshta 7665428 (24.91%)
2Win32.HLLP.Whboy.45 6184396 (20.09%)
3Trojan.DownLoader.423502364188 (7.68%)
4Win32.HLLP.Novosel1644766 (5.34%)
5Win32.HLLP.Rox1177270 (3.82%)
6Trojan.Click.64310727694 (2.36%)
7ACAD.Pasdoc610404 (1.98%)
8Win32.HLLM.Dref520690 (1.69%)
9Exploit.Cpllnk413622 (1.34%)
10VBS.Redlof320729 (1.04%)
11Trojan.WinSpy.925284258 (0.92%)
12Win32.HLLW.Shadow.based278980 (0.91%)
13Trojan.PWS.Ibank.238252705 (0.82%)
14HTTP.Content.Malformed244692 (0.80%)
15Trojan.MulDrop1.48542183156 (0.60%)
16Trojan.Click1.6029180330 (0.59%)
17Win32.Sector.22142436 (0.46%)
18Win32.HLLW.Kati121106 (0.39%)
19Trojan.DownLoad.32973114280 (0.37%)
20Win32.HLLW.Autoruner.5555100817 (0.33%)

総スキャン数: 92,810,136,138
感染数: 30,778,334

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2020

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F