Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2011年6月のウイルス脅威

2011年07月12日掲載

株式会社Doctor Web Pacific


2011年夏の最初の月は、情報セキュリティに対する新たな脅威に満ちていました。Doctor Webウイルスアナリストによって、Android OSに対する40を超える悪意のあるプログラムが発見されました(iOSに対するものは1つのみ)。このことは、ウイルス製作者達の間でこのプラットフォームに対する人気が着実に高まり続けていることを示しています。2011年の初めと比べると、Androidに対する脅威は10倍に増加しています。ウイルス製作者は"Windows"、及び"Mac"のどちらもターゲットにしています。

脅威にさらされるAndroid OS

Androidは、Linuxカーネルを備え、信頼性の高いセキュリティメカニズムを持っているという事実にも関わらず、このプラットフォームを狙った悪意のあるプログラムは日々増え続けています。その理由の1つには、OSの広い人気があげられます。

今やモバイルデバイスは、悪意のあるプログラムの開発者にとってご馳走のようなものです。それらを使用して密かにSMSを送信したり、高い料金のかかる番号に電話を掛けたり、アドレス帳を利用して広告メールの送信先リストを作成したり、コンテンツをダウンロードしたりすることが出来るからです。言い換えれば、このマーケットはお金を儲ける近道なのです。

Androidは、オープンソースOSであることから、脆弱性が狙われやすいという点もまた、増加する脅威の原因の1つであると考えられます。Androidのユーザーは様々なサイトからアプリケーションをダウンロードできるということが、感染のリスクを高めています(iPhoneやiPadのユーザーはApp Storeからのみです)。

6月9日にウイルスデータベースに加えられたAndroid.Planktonは、同月に出現したAndroid向けマルウェアの中でも最も知られるウイルスとなりました。この脅威はノースカロライナ州立大学のコンピューターサイエンス学部准教授Xuxian Jiang氏によって初めて発見され、感染したアプリケーションの検体がDoctor Webに提供されました。

このトロイの木馬の目立った特徴の1つは、広範囲に広がる可能性があるという点です。このマルウェアは「Angry Birds Rio Unlock」のアプリケーションに組み込まれ、様々なモバイルプラットフォーム向けの人気ゲームAngry Birdsの隠れた階層にアクセスしてしまうという点で、Androidを狙った他の悪意のあるプログラムと異なっています。感染したプログラムはAndroidマーケットだけでも150,000以上ダウンロードされ、他のリソース(特に、Android向けアプリケーションで有名なandroidzoom.com)ではその数は250,000にも及びます。


Android.Planktonがシステムを攻撃する手法は、感染したアプリケーションを起動した直後、トロイの木馬がバックグラウンドで自身のサービスをダウンロードし、それによって感染したデバイスの情報(デバイスのID、SDKバージョン、ファイルの権限に関する情報)を収集してリモートサーバーへ送信します。

2011年6月6日には、Androidを狙ったさらに別の脅威がDoctor Webのウイルスアナリストによって発見され、Android.Gongfuと名付けられました(現在、Dr.Webウイルスデータベースにはこのウイルスの5つの亜種が含まれています)。解析によって、Android.Gongfuは、Android.DreamExploidと同じ脆弱性を利用するが動作の方法は異なるということが明らかになりました。ひとたび起動すると、自身のパーミッションをルートアカウントの位まで上げ、バックグラウンドサービスとして追加された他のアプリケーションを感染したシステムにダウンロードします。OSのロードが完了すると、サービスはユーザーの干渉無しに自動で起動し、OSのバージョン、携帯電話の種類、モバイルオペレーター名、IMEI、及びユーザーの電話番号を含む、感染したデバイスに関する情報を収集します。収集された情報はリモートサーバー経由で犯人に送信されます。このトロイの木馬はバックドアとして動作し、リモートサーバーから受け取ったコマンドを実行することが出来ます。

2011年6月17日、SMSを送信するAndroid.Wukongの新しいバージョンが4つ、Dr.Webウイルスデータベースに追加されました。これらの悪意のあるプログラムは、SMSを送信させることによってAndroidを使用するユーザーのアカウントからお金を盗みます。このマルウェアはユーザーがダウンロードする感染したアプリケーション(多くのソフトウェアを提供するwww.nduoa.comを含む、いくつかの中国のウェブサイトで配給されています)一緒にモバイルデバイスに侵入し、バックグラウンドとして動作します。次にトロイの木馬が、サービスの番号をリモートサーバーから受け取り、"YZHC"で始まるショートメッセージを50分おきにその番号に送信します。さらに、この悪意のあるプログラムはその活動のトレースを隠し、送信したメッセージや支払い証明をデバイスのメモリから削除しようとします。

Doctor Webのウイルスアナリストの解析によると、Androidに対する悪意のあるプログラムの大半は、ソフトウェアやゲームを集めた有名なサイトが配給する合法的なアプリケーションに組み込まれています。犯罪者は攻撃を実行する為にOSの脆弱性だけでなく、インストールしたアプリケーションに高い権限を設定しているユーザーの不注意さも利用します。

下のグラフは、Androidに対する脅威が2011年の初めからどれだけ増加したかを、Doctor Webウイルスラボの統計情報に基づいて表したものです。6ヶ月でほぼ10倍になっており、このプラットフォームに対する悪意のあるプログラムは今後も増え続けると推測されます。

Androidデバイスの所有者には、インストールしようとしているアプリケーションの必要条件に、特に注意することを推奨します。例えばシングルユーザーゲームをインストールする場合にメッセージ機能やアドレス帳へのフルアクセスは必要ないでしょう。もちろん、そのデータベースに既知の脅威全てのシグネチャを含んだDr.Web for Android、及びDr.Web for Android Lightを使用してデバイスを保護することをお勧めします。

マスターブートレコードの改変

今度はデスクトップに対する脅威を見てみましょう。6月の最も「ファッショナブル」なトレンドは、システムを感染させる為にマスターブートレコードを改変する悪意のあるプログラムの大量出現でした。

Trojan.MBRlockはこのマルウェアの最も典型的な例です。これは、マスターブートレコードを改変してWindowsを動作させることが出来ないようにしてしまいます。現在までに、Dr.Webのウイルスデータベースではこのトロイの木馬の亜種を含めた約40のバージョンに対応してます。

Trojan.MBRlockはひとたび起動されるとマスターブートレコードを改変しますが、オリジナルのブートエントリーとパーティションテーブルは通常、無傷のままです。その後、ユーザーがコンピューターの電源を入れるたびにトロイの木馬がOSのロードをブロックし、自身のメインコードをハードディスクの隣接するセクタからメモリ内にロードし、犯人が設定した携帯電話アカウントのリフィルを要求する表示を出します。他のWindows lockersと同じくTrojan.MBRlockも、システムに出現してから数日後には活動を停止しするという点にご注意ください。

しかし、同じくMBRを改変する別の悪意のあるプログラムWin32.Rmnetは、ユーザーにとってもっと危険です。これは、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどの広く使われるFTPクライアントからパスワードを盗み、その情報が後にネットワーク攻撃を実行したり、リモートサーバーに様々な悪意のあるオブジェクトを配置したりするのに利用される可能性があります。さらにその情報によってウイルス製作者は、少なくとも、ユーザーのフォルダやファイルに保存されたデータにアクセスし、それらを消去または改変することが出来るようになります。その上、悪意のあるモジュールTrojan.Rmnetがネットワークトラフィックをモニターし、バックドアとして機能します。

Trojan.Rmnetは、感染したフラッシュドライバを介して、または感染した実行ファイルを起動することによってコンピューターに侵入します。ユーザーの干渉無しに自身をコピーすることが出来るので、一般的なウイルスと同じように拡散します。このトロイの木馬は.exe、.dll、.scr、.html、.htmファイルを、また時には.doc、及び.xlsファイルを感染させ、リムーバブル記憶装置上にautorun.infファイルを作成することが出来ます。起動された直後にマスターブートレコードを改変し、Microsoft Windows Serviceに自身を登録し、システム内でルートキットとして動作します。それ以外にも、RapportMgmtService.exeの削除を試み、システム内に悪意のあるモジュールをいくつか加えます(それらはWindowsのタスクマネージャーに、iexplore.exe.という名前の4つのエントリーとして表示されます。)

6月の後半、Doctor Webテクニカルサポートサービスへの、新しい悪意のあるプログラムTrojan.Mayachok.2に関する問い合わせが増加しました。このトロイの木馬の症状は非常に分かりやすく、コンピューター上にインストールされたブラウザ(Internet Explorer、Firefox、Opera、又はGoogle Chrome)の種類に関係なく、ユーザーがインターネットに接続しようとする度に、コンピューターがTrojan.Win32.Ddox.ciに感染しているのでブラウザをアップデートするように警告する偽のメッセージが表示されます。



ブラウザのアドレスバーには要求したサイトの実際のURLが含まれ、一方でブラウザウィンドウにはトロイの木馬によって改変されたWebページが表示されます。ユーザーがアップデートのインストールを許可すると、お金を支払い、指定された番号にショートメッセージを送信するように促されます。




脅威を分析した結果、Trojan.Mayachok.2が改変するのはマスターブートレコードやブートセクターでも、或いはntldrですらなく、MBRコードの後に実行されるコードを持つボリュームブートレコード(VBR)であることが判明しました。このトロイの木馬はマルウェアにはあまり見られない特異な感染方法を持っています。ひとたびシステム内に侵入すると、Trojan.Mayachok.2は感染したシステムの状態を検出する為に、システムボリュームのシリアル番号を使用してレジストリ内にパスを作成します。まず、トロイの木馬は自身の権限を高めようと試みます。Windows Vista、及びWindows 7上でその目的を達成する為に、単純に自身を繰り返し再起動させ、さらに高い権限を要求します。その後Trojan.Mayachok.2はそのローダー(Windowsの32ビット版と64ビット版で異なるバージョンを持っています)を配置し、VBRを感染させますが、それはアクティブパーティションのファイルシステムがNTFSの場合のみです。このマルウェアは、Windowsの起動中に自動的にメモリ内にロードされます。

悪意のあるオブジェクトがメモリ内にあるので、ブラウザを再インストール、システムを復元、またはWindowsをSafe Modeで動作させる方法すら効果はありません。

以上のことから、今後ウイルス製作者は悪意のあるプログラムにマスターブートレコードを改変する機能を導入してくる可能性が高く、このことは脅威との戦いを複雑にする一方で、面白くもするという事が言えるでしょう。

Mac OS Xの「バックドア」

Mac OS Xを狙う悪意のあるプログラムは、Windowsに対する脅威に比べるとごく僅かで、最近までBackDoor.DarkHoleが唯一のバックドアプログラムでした。この新たに出現したマルウェアは、BackDoor.Olyxと命名されました。Mac OS XとWindowsの両方に対するバージョンがあり、起動されるとハッカーが感染したコンピューターのブラウザからWebページを開き、リモートでコンピューターを再起動したり、ファイルを操作したり出来るようになります。現在ではBackDoor.DarkHoleとBackDoor.OlyxのどちらもDr.Webウイルスデータベースに含まれています。

BackDoor.OlyxはMac OS Xに対する2番目によく知られるバックドアとなりました(1番目はBackDoor.DarkHoleです)。このマルウェアにはMac OS X向けのバージョンとWindows向けのバージョンがあります。起動されるとハッカーは感染したコンピューター上のデフォルトブラウザ内にWebページを開き、コンピューターをリモートで再起動させ、ファイルの様々な動作を実行させることが出来ます。現在ではBackDoor.DarkHoleBackDoor.OlyxはDr.Webウイルスデータベースに含まれています。

このプログラムは、インテル互換アーキテクチャを搭載したMac OS X向けのアプリケーションとしてユーザーのコンピューターに侵入します。BackDoor.Olyxは感染したシステム内でバックドアとして動作し、/bin/bash等のシェル内の様々なコマンドを実行します。

6月にDoctor Webのウイルスアナリストが追加したMac OS Xに対する脅威の定義は5つのみで、そのうち4つがTrojan.Fakealertの亜種であったことから、このOSに対する新たなバックドアの出現は珍しいイベントであると言えるでしょう。Doctor Webのウイルスアナリストは、このマルウェアの新たな亜種が近いうちに現れると確信し、今後の進展を注意深く監視していきます。

6月にメールトラフィック内で検出されたウイルス

 01.06.2011 00:00 - 01.07.2011 00:00 
1Trojan.DownLoad2.2475836294 (19.08%)
2Trojan.Tenagour.324929 (13.11%)
3Win32.HLLM.MyDoom.5446422515 (11.84%)
4Win32.HLLM.MyDoom.3380816039 (8.43%)
5Win32.HLLM.Netsky.1840111150 (5.86%)
6Trojan.DownLoader3.311027211 (3.79%)
7Win32.HLLM.Netsky.353286816 (3.58%)
8Win32.HLLM.MyDoom.based6392 (3.36%)
9Win32.HLLM.Netsky5619 (2.95%)
10Trojan.MulDrop1.541603068 (1.61%)
11Trojan.DownLoader3.294802793 (1.47%)
12Trojan.PWS.Mailer.562564 (1.35%)
13Trojan.DownLoader3.449082351 (1.24%)
14Win32.HLLM.Beagle2005 (1.05%)
15Trojan.DownLoader3.432031903 (1.00%)
16Exploit.IframeBO1849 (0.97%)
17Trojan.AVKill.30971781 (0.94%)
18Win32.HLLM.Perf1489 (0.78%)
19Win32.HLLM.MyDoom.331425 (0.75%)
20BackDoor.IRC.Sdbot.45901418 (0.75%)

総スキャン数: 255,974,070

感染数: 190,176 (0.07%)

6月にユーザーのコンピューター上で検出されたウイルス

 01.06.2011 00:00 - 01.07.2011 00:00 
1JS.Click.21846639334 (39.52%)
2JS.IFrame.9518224496 (15.44%)
3Win32.Siggen.817706886 (15.00%)
4JS.IFrame.1125804669 (4.92%)
5Win32.HLLP.Neshta5706298 (4.84%)
6Win32.HLLP.Whboy.455383148 (4.56%)
7JS.Click.2222962341 (2.51%)
8Win32.HLLP.Whboy.1011953533 (1.66%)
9HLLP.Nazi.50451892928 (1.60%)
10Trojan.MulDrop1.48542996382 (0.84%)
11JS.IFrame.117969302 (0.82%)
12Exploit.Cpllnk713024 (0.60%)
13Win32.HLLW.Whboy670178 (0.57%)
14Win32.Antidot.1643526 (0.55%)
15Win32.HLLW.Gavir.54615365 (0.52%)
16HTTP.Content.Malformed515239 (0.44%)
17Trojan.DownLoader.42350422923 (0.36%)
18VBS.Starter.20411382 (0.35%)
19Trojan.Click.64310370556 (0.31%)
20Win32.HLLP.Rox284171 (0.24%)

総スキャン数: 283,468,709,281,080

感染数: 118,012,200 (0.00%)

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2021

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F