2011年01月11日掲載
株式会社Doctor Web Pacific
Windows boot blocker
11月にどこからともなくTrojan.MBRlock.1が現れると、ネット詐欺者達はすぐさまこれを使い始めました。この悪意のあるプログラムは、詐欺に使われている他のどのマルウェアとも異なっています。
Trojan.MBRlock.1はUACプロテクションメカニズムを介しているため、ユーザーはインストールに気づきません。ひとたびインストールされるとトロイの木馬はMBR、及び周辺のディスクセクターにそのコードを書き込みます。
MBRに書き込まれたコードは周辺のディスクセクターからの情報を含んでいます。その結果、システムを解除する為に100ドルの支払いを要求するメッセージがユーザーに送られます。
メッセージにはまた、全てのコンピューターディスクにあるファイルは暗号化されているという内容も含まれています。これは嘘なのです。
トロイの木馬に感染したシステムは起動することが出来ないため、内部から修復することが出来ません。
正しいパスワードを入力すればMBRは修復され、インストールされたOSは正常に起動します。
現在、Trojan.MBRlock.1のいくつかの改良は分かっていますが、Dr.Webは全てのマルウェアを検出することがでます。
システムを修復するにはekol、或いはjail解除コードを入力します。どちらも上手くいかない場合はネット詐欺被害者のための無料Doctor Webテクニカルサポートにお問い合わせください。
一部のTrojan.MBRlock.1の改良はDr.Web ウイルスデータベースに追加される前にDr.WebヒューリスティックアナライザーによってMULDROP.Trojanとして検出されています。Dr.Webのユーザーは、悪意のあるプログラムのウイルス定義が入手不可能な場合でもトロイの木馬から守られているのです。
新たなトロイの木馬エンコーダー
新たなトロイの木馬エンコーダーは11月に再び注目を集めました。今回、犯罪者達はヨーロッパのユーザーを狙いました。
Trojan.Encoder.88は一般的なフォーマットのドキュメントをAES-256暗号アルゴリズムを使って暗号化し、その解読を複雑化しています。単一コンピューター上のファイルを修復するための解読キーを検索するのに2^256オペレーションが必要になります。その結果にはゼロが77個以上も付いてしまいます。
独自の暗号化キーがそれぞれの感染したマシーンに作られます。これはRSAアルゴリズムを使って暗号化されており、テキストファイルとしてディスクに保存されます。
ウイルス源トラッキングテクノロジーにより、Dr.WebはTrojan.Encoder.88がデータベースに追加されるより前にTrojan.Encoder.originとして検出します。
11月の詐欺:winlock再び
11月、無料テクニカルサポートサービスはネット詐欺被害者から約4700件の問い合わせを受けました。これは問い合わせ件数全体の42%に当たります。1日の平均問い合わせは146件にのぼり、これは10月の件数をその1/3上回ります。
Trojan.Winlockは最もよく詐欺に使われる悪意のあるプログラムとなりました(問い合わせ全体の73%)。詐欺事件の大部分は一般的なウェブリソースへのアクセスをブロックするTrojan.Hostsに関するものです。
犯罪者達は利益を実際のお金に換えるようになってきました。11月には、悪意のあるプログラムがユーザーに支払い要求のメッセージを送ることはあまりありませんでした。問い合わせ件数は全体の31%しかありませんでした。一方で、ターミナルを介して犯罪者に支払いをするという手法がよく使われていました(問い合わせ全体の60%)。
バンキングを攻撃するトロイの木馬
11月にはオンラインバンキングシステムのユーザー(個人、及び法人)を狙った新しいトロイの木馬が現れました。
特に、いくつかのTrojan.PWS.Ibank.213の改良がDr.Webのウイルスデータベースに追加されました。
トロイの木馬の多様性が悪意のあるpayloadのコンテナとして働きます。その最も有害な特徴として、セキュリティーソフトウェアコンポーネントの機能を無効にしてしまうことが挙げられます。トロイの木馬は、それが安全に分析される仮想環境に導入されたかどうか探知することができます。システムの修復サービスを無効にしてしまうこともまた、その有害な働きの一つです。
バンクアカウントオンラインへのアクセスに必要な情報を入手するために、トロイの木馬はシステムルーティン、及びオンラインバンキングシステム機能に侵入し、ユーザーがキーボードで入力した情報を盗みます。Trojan.PWS.Ibank.213はリモートサーバーと通信でき、exeファイルをダウンロード、及び導入できるので、このプログラムに感染したシステムはボットネットのノードになってしまうと言えます。
2010年11月は、犯罪者達が様々な悪意のあるプログラムを使って幅広い犯罪を行えることを思い知らされる月でした。 それらを駆除するには、あらゆる種類のマルウェアからシステムを守り、修復できるアンチウイルスが最も効果的であると証明されました。しかし、コンピューター保護システムの中で最も弱い要素となっているのは未だにユーザーなのです。以下のセキュリティルール基本情報に従えば、システム感染の可能性を驚くほど減らせることをDoctor Webは今一度お伝えします。
11月にメールトラフィック内で検出されたウイルス
01.11.2010 00:00 - 01.12.2010 00:00 | ||
1 | Trojan.DownLoader.62844 | 887472 (16.61%) |
2 | Trojan.DownLoad1.58681 | 560304 (10.49%) |
3 | Trojan.Packed.20878 | 409498 (7.67%) |
4 | Win32.HLLW.Texmer.51 | 386408 (7.23%) |
5 | Win32.HLLM.Netsky.18401 | 317070 (5.93%) |
6 | Trojan.Oficla.zip | 296642 (5.55%) |
7 | Win32.HLLM.MyDoom.33808 | 270438 (5.06%) |
8 | Trojan.Packed.20312 | 246743 (4.62%) |
9 | Trojan.DownLoad.41551 | 231569 (4.33%) |
10 | Trojan.Oficla.38 | 139866 (2.62%) |
11 | Win32.HLLM.Netsky.35328 | 121814 (2.28%) |
12 | Trojan.AVKill.2788 | 103700 (1.94%) |
13 | Win32.HLLM.Beagle | 98470 (1.84%) |
14 | Trojan.PWS.Panda.114 | 90471 (1.69%) |
15 | W97M.Killer | 74444 (1.39%) |
16 | Trojan.DownLoader1.17157 | 65832 (1.23%) |
17 | Trojan.PWS.Panda.387 | 49461 (0.93%) |
18 | Trojan.Oficla.73 | 49351 (0.92%) |
19 | Trojan.Oficla.48 | 49342 (0.92%) |
20 | Trojan.Botnetlog.zip | 41304 (0.77%) |
総スキャン数: | 40,984,945,769 |
感染数: | 5,342,395 |
11月にユーザーのコンピューター上で検出されたウイルス
01.11.2010 00:00 - 01.12.2010 00:00 | ||
1 | Win32.HLLP.Neshta | 7665428 (24.91%) |
2 | Win32.HLLP.Whboy.45 | 6184396 (20.09%) |
3 | Trojan.DownLoader.42350 | 2364188 (7.68%) |
4 | Win32.HLLP.Novosel | 1644766 (5.34%) |
5 | Win32.HLLP.Rox | 1177270 (3.82%) |
6 | Trojan.Click.64310 | 727694 (2.36%) |
7 | ACAD.Pasdoc | 610404 (1.98%) |
8 | Win32.HLLM.Dref | 520690 (1.69%) |
9 | Exploit.Cpllnk | 413622 (1.34%) |
10 | VBS.Redlof | 320729 (1.04%) |
11 | Trojan.WinSpy.925 | 284258 (0.92%) |
12 | Win32.HLLW.Shadow.based | 278980 (0.91%) |
13 | Trojan.PWS.Ibank.238 | 252705 (0.82%) |
14 | HTTP.Content.Malformed | 244692 (0.80%) |
15 | Trojan.MulDrop1.48542 | 183156 (0.60%) |
16 | Trojan.Click1.6029 | 180330 (0.59%) |
17 | Win32.Sector.22 | 142436 (0.46%) |
18 | Win32.HLLW.Kati | 121106 (0.39%) |
19 | Trojan.DownLoad.32973 | 114280 (0.37%) |
20 | Win32.HLLW.Autoruner.5555 | 100817 (0.33%) |
総スキャン数: | 92,810,136,138 |
感染数: | 30,778,334 |
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments