2012年4月13日掲載

株式会社Doctor Web Pacific

2012年の春最初の月は、Windowsおよびその他のプラットフォームに対する新たな脅威の出現が続き、常になく「ホット」なものになりました。中でも特に、犯罪者はMac OS Xを標的とするトロイの木馬の新たな拡散方法を編み出し、またAndroidに対する新たな悪意のあるアプリケーションも発見されました。さらに3月には、システムアクセスをブロックするために従来の物とは異なるテクニックを使用するWindowsブロッカーや、JavaScriptコードを使用する特別なwebページを介してBitcoin（電子通貨）をマイニングするトロイの木馬が発見されました。

Dr.Web CureIt!によって集められた統計によると、3月に最も多く検出されたウイルスは、感染したコンピューターからのインターネットアクセスをブロックするTrojan.Mayachok.1でした。オンラインバンキングのクライアントやトレーディングプラットフォームによって保存されたパスワードを盗む、Trojan.Carberpのようなバンキングトロイの木馬も多く検出されました。

Androidに対する新たな脅威

2012年3月6日、Google社はAndroid Marketの変更を公表しました。名称がGoogle Playに、アドレスがplay.google.comに変わっただけでなく、動画サービス、Android Market、Google Music、Google eBookstoreなどが統合されました。

犯罪者達はこの機会に乗じ、インターネット上にはGoogle Playのデザインを模倣したサイトが次から次へと出現しました。その内のいくつかでは、Android向けの悪意のあるソフトウェアが配信されています。Android.SmsSend トロイの木馬などの様々な悪意のあるアプリケーションを訪問者に対して拡散するための偽のwebサイト作成を可能にする特別なアフィリエイトプログラムも開発されています。

例えばあるアフィリエイトプログラムは、Webサイトのオーナーに対し、モバイルデバイスを使用する訪問者を「アフィリエイト」のリソースへリダレクトする特別なスクリプトをページ上に加えるオプションを提供しています。通常、そのようなスクリプトにはJavaScript、または.htaccess ファイルの特別なディレクティブが使用されます。

しかしながら、多くのAndroidユーザーはAndroid Marketがもはや存在しないということに気づいておらず、ソフトウェアはAndroid Marketからのみダウンロードするよう様々なエキスパート達がユーザーに呼びかける記事もインターネット上に多く出回っています。ユーザーが検索エンジンに該当するキーワードを入力すると、検索結果にはAndroid Marketのデザインを真似たWebサイトが表示されます。そのようなサイトの中には、安全なソフトウェアやゲームのダウンロードを提供するものもありますが、一方で悪意のあるソフトウェアを拡散するサイトも存在しています。

Mac OS Xを狙う新たなトロイの木馬

Mac OS X を標的とするトロイの木馬では、脆弱性Exploit.CVE2011-3544を悪用する BackDoor.Lamadai.1が発見されました。また、Microsoft Office for Macの脆弱性（Exploit.MS09-027.1）を利用するBackDoor.Lamadai.2および BackDoor.Macontrol.1も見つかっています。

Trojan.Winlock

従来の恐喝プログラムは特別なアプリケーションを使用してWindowsシェルまたはuserinit.exeを置き換え、システムへのアクセスをブロックして恐喝メッセージを表示させます。それと同時に、通常は、タスクウェア、コマンドプロンプト、レジストリエディタなどの様々なシステムユーティリティの起動をモニターし、ブロックします。しかしTrojan.Winlock.5729の開発者達は、それとは全く異なるよりシンプルな手法を取り入れました。

このトロイの木馬のコードは、コンピューターゲームの様々なパラメーターを調整するためのプログラムArtMoneyと一緒に拡散されます。インストーラーにはArtMoneyの他に3つのファイル－iogonui.exeという名前の、改変されたlogonui.exeファイル（Windows XPのログオン画面を表示する実行ファイル）が1つ、batファイルを含んだ自己展開型アーカイブが2つ－が含まれています。感染したインストーラーを起動すると、Windows VistaおよびWindows 7のC:\Users フォルダをハードドライブ上で検索するコマンドを含んだpassword_on.batファイルが実行されます。フォルダが見つかった場合には有害なコンポーネントは削除されますが、見つからなかった場合、Trojan.Winlock.5729はシステムがWindows XPであると判断し、システムレジストリを改変してlogonui.exeファイルをiogonui.exeファイルと置き換えます。そして現在のWindowsユーザー、およびadminやadministratorアカウントのパスワードを変更してしまいます。現在のユーザーアカウントが制限付きアカウントであった場合、トロイの木馬はそのプロセスを終了し、もう1つのbatファイルpassword_off.batがレジストリ内に元のUIHost値を設定します。

iogonui.exeファイルはWindows XPディストリビューションに含まれている正規のlogonui.exeですが、リソースエディタを使用して、Windows標準ウェルカムスクリーンの代わりに課金型SMSの送信を要求する画面を表示させます。

ひとたびシステムのログオフまたは再起動を行うと、全てのユーザーアカウントのパスワードが変更されているため、ユーザーは再びログインすることができなくなってしまいます。

2012年3月のその他の脅威

Doctor Webは、電子通貨Bitcoinをマイニングする新たなトロイの木馬の拡散を確認しました。感染したシステム内で起動されると、Trojan.IEMine.1は目に見えないウィンドウで開かれたInternet ExplorerのCOM オブジェクトを作成し、犯罪者によって作られたWebページを開くようブラウザに指示を与えます。このページには、Bitcoinのマイニングを実行するための、JavaScriptで記述されたスクリプトが含まれています。ターゲットとなるWebページ上で実行される計算はコンピューターのハードウェアリソースを大量に消費するため、低スペックのコンピューターではシステムパフォーマンスの大幅な低下を引き起こします。

さらに、GoldSourceゲームサーバーのオーナー間における熾烈な上位争いが、競争相手に対するフロッダープログラムを用いた攻撃という結果を引き起こしました。このようなプログラムは、一方で犯罪者自身のシステムに対してもダメージを及ぼすことがあります。2月、GoldSourceサーバーを動作不能にさせるアプリケーションがいくつかパブリックドメインに出現しました。Flooder.HLDSという名前でDr.Webウイルスデータベースに加えられたそのうちの1つは、グラフィカルインターフェースを持ち、ゲームサーバーへの大量のアクセスを模倣してフリーズやエラーを引き起こします。

もう1つの悪意のあるプログラムFlooder.HLDS.2は、クラッシュの原因となるデータパケットをサーバーに送信するもので、サーバーとのやり取りに複数の方法を使用します。いずれのアプリケーションもゲームフォーラムを介して広く拡散されており、それらを使用した、ゲームサーバーに対する同時攻撃の件数はこの1カ月の間に著しく増加しました。

Doctor Webのウイルスアナリストは、ゲームフォーラムからFlooder.HLDS.2のコピーを入手しました。このプログラムは起動されると、システムをBackDoor.DarkNess.47バックドアおよびTrojan.Wmchange.14に感染させます。前者はバックドアおよびDDoSボットとして機能し、一方トロイの木馬はユーザーのアカウントからお金を盗み出すために、感染したコンピューターのメモリ内にあるWebMoneyのIDを変更します。こうして、犯罪を企んだ者自身もまたウイルス攻撃の被害者となり、コンピューターを感染の危機にさらすことになります。

3月にメールトラフィック内で検出されたマルウェアTop20

3月にユーザーのコンピューター上で検出されたマルウェアTop20