Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2013年8月のウイルス脅威

2013年9月13日

株式会社Doctor Web Pacific


8月、Doctor Webのスペシャリストは新たに登場した多くのマルウェアの解析を行いました。同月の初めには、ポピュラーなCMSを使用したサイトを感染させる悪意のあるプログラムが、また月の後半にはLinuxシステムに深刻な危害を与えるトロイの木馬スパイウェアが発見されました。

ウイルス

Dr.Web CureIt!によって収集された統計によると、2013年8月に最も多く検出された脅威はTrojan.Loadmoney.1で、感染したシステム内でDNSサーバーIPアドレスを含むhostsファイルを改変するTrojan.Hosts.6815が2番目に多く検出されました。続いて3番目にはIRCボットであるBackDoor.IRC.Cirilico.119が、4番目には感染したコンピューターのリソースを利用してビットコインをマイニングするTrojan.BtcMine.142が多く検出されています。以下の表は、8月にDr.Web CureIt!によって最も多く検出された脅威です。

NameQuantity%
Trojan.LoadMoney.1325643.94
Trojan.Hosts.6815195532.37
BackDoor.IRC.Cirilico.119174532.11
Trojan.BtcMine.142172722.09
Trojan.Mods.2146181.77
Trojan.MayachokMEM.7134861.63
Trojan.DownLoad3.2600693451.13
BackDoor.IRC.NgrBot.4280180.97
Trojan.MayachokMEM.871930.87
Trojan.DownLoader9.1915769770.84
Trojan.Mods.168210.83
Trojan.Fraudster.52462300.75
Trojan.Hosts.683860980.74
BackDoor.Bulknet.96358150.70
Win32.HLLP.Neshta56730.69
Trojan.BtcMine.14654160.66
Trojan.Winlock.881154090.65
BackDoor.Maxplus.2453540.65
Win32.HLLW.Autoruner1.5106851840.63
Trojan.Inject2.2351600.62

ボットネット

ファイルインフェクターWin32.Rmnet.12によって構築されたボットネットは拡大を続けています。Doctor WebのアナリストによってC&Cサーバーをコントロールされている2つのサブネットのうち、1つ目のサブネットには1日におよそ1万2千台の感染したコンピューターが加わり、2つ目のサブネットでは1万500台となっています。以下のグラフは、2013年8月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

2013年8月のWin32.Rmnet.12ボットネット拡大推移(1つ目のサブネット)
screenshot

2013年8月のWin32.Rmnet.12ボットネット拡大推移(2つ目のサブネット)
screenshot

ファイルインフェクターWin32.Rmnet.16に感染したコンピューターから成るボットネットもまた拡大を続け、1日に1,500台余りの感染したコンピューターが追加されています。以下のグラフは、Win32.Rmnet.16ボットネットの拡大推移を表しています。

2013年8月のWin32.Rmnet.16ボットネット拡大推移
screenshot

Dr.WebアンチウイルスソフトウェアによってTrojan.Rmnet.19として検出される悪意のあるモジュールにも僅かな増加が見られました。8月には685件の新たな感染が認められましたが、8月28日の時点でのボットの合計数はこれまでとあまり変わらず5,014台となっています。 BackDoor.Bulknet.739ボットネットもまた少しずつ拡大を続けていますが、ネットワーク内のアクティブなボットの1日の平均数は先月とほとんど変わらず2,500台となっており、新たに加わるボットの数は1日500~600台でした。以下のグラフは、BackDoor.Bulknet.739ボットネットの拡大推移を表しています。

2013年8月のBackDoor.Bulknet.739ボットネット拡大推移
screenshot

BackDoor.Flashback.39に感染したMacの数にも大きな変化は見られず、8月末における合計数は3万8,822台でした。その国別内訳は、アメリカ2万20台、カナダ7,102台、イギリス5,200台、オーストラリア3,571台、フランス313台、メキシコ236台、スペイン218台、イタリア148台、ドイツ146台、ブラジル129台で、ロシアでは1台のみとなっています。以下の画像はBackDoor.Flashback.39の国別分布を表しています。

screenshot

今月の脅威:Linux.Hanthie

1年前にBackDoor.Flashback.39の大拡散が発生するまで、Mac OS Xは安全であると考えられてきました。そして現在でも、Linuxに対する脅威は存在しないと広く信じられています。ところが、2013年の8月、Doctor WebではLinux.Hanthieと名付けられたトロイの木馬が解析されました。

”Hand of Thief”としても知られる

Linux.HanthieはFormGrabberボットおよびLinux BackDoorを使用しています。このトロイの木馬はアンチウイルスによる検出を妨げるテクノロジーを搭載し、管理者権限を必要とせずユーザーに気づかれることなく起動し、コントロールパネルとの通信に強度の高い暗号化(256-bit)を使用します。また、ボットの設定ファイルには多くのパラメータが含まれ、その柔軟な設定を可能にしています。

このトロイの木馬は起動されると、アンチウイルスソフトウェアおよびそのアップデートをダウンロードするサイトへのアクセスをブロックします。さらに、アンチウイルススキャンを回避し、リモートや仮想での環境で動作することが可能です。

Linux.Hanthieの最新のバージョンは自身を複製する機能を持たないため、開発者は、ソーシャルエンジニアリングの手法を利用してそれらを拡散するよう犯罪者に対して推奨しています。このトロイの木馬はUbuntu、Fedora、Debianなど様々なLinuxディストリビューション上での動作、およびGNOMEやKDEなどの8種類のデスクトップ環境での動作が可能です。

Linux.Hanthieの主な目的は、webページ内でユーザーが入力したデータを犯罪者に送信することです。このトロイの木馬はMozilla Firefox、Google Chrome、Opera、Chromium、Ice Weasel内にグラバーを挿入し、またバックドアとしても機能することでC&Cサーバーとの通信を暗号化します。Linux.Hanthieについての詳細はこちらの記事をご覧ください。

8月のその他の脅威

2013年の8月は、バンキングセキュリティに関する問題が提起された月でもありました。8月19日、情報セキュリティエキスパートであるBrian Krebs氏は、Androidやコンピューターを介して行われる、銀行のカスタマーに対する攻撃についての記事を自身の運営するブログに掲載しました。Perkeleキットを使用して生成されたトロイの木馬は、多くの銀行で使用されている2要素認証をすり抜けることが可能です。ドイツでは、銀行のセキュリティ認証を装ったマルウェアが犯罪者によって送信され、多くのカスタマーがインストールしてしまうという被害が発生しました。以下の図はその手法を解説したものです。

screenshot

被害者が銀行のwebサイトを訪れると(図内矢印1)、トロイの木馬(Zeus、Citadelなど)が被害者のブラウザ内にコードを挿入し(図内矢印2)、ユーザーの携帯電話番号やOSの種類を入力するよう促します(図内9)。これらの情報が犯罪者のサーバーに送信され(図内矢印3)、このサーバーから被害者のブラウザに対して、QRコードを読み取るよう促すリクエストが送られます(図内矢印4)。追加のセキュリティモジュールをインストールするためという口実が使用されていますが、実際はこのモジュールが悪意のあるプログラムです。QRコードが読み込まれると、マルウェアがモバイルデバイス上にダウンロード、インストールされ、犯罪者はデバイスが受信するSMSを傍受することが可能になります。この時点でマルウェアは、被害者のアカウントからの金銭の送信を開始します(図内矢印5)。銀行からワンタイムコードを含んだSMSが送信されると(図内矢印6)、トロイの木馬がそれらを傍受し、犯罪者のサーバーへ送信します(図内矢印7)。デバイス上の悪意のあるスクリプトがコードを受け取ると(図内矢印8)、不正な金銭の送信が完了します。

金銭のほかにも、ソーシャルネットワーキングサイトでの「いいね!(Like!)」ポイントなどの仮想トークンを盗む詐欺手法が、サイバー犯罪者の間で人気を集めています。これらの仮想トークンに対して、進んで実際のお金を支払うユーザーも少なくありません。また、「いいね!」ポイントは企業が商品やサービスを宣伝する目的でも使用されています。「いいね!」を多く取得した製品ほど、買い手の目には魅力的に映ります。さらに、犯罪者はマルウェアTrojan.PWS.Pandaの特殊なバージョンを使用してTwitterやInstagramの偽アカウントを作成し、それらの販売も行っています。このマルウェアはDr.WebアンチウイルスソフトウェアによってTrojan.PWS.Panda.106として検出されます。

8月には、BackDoor.Maxplusの新たなバージョンも発見されました。このプログラムはキーロガーとして動作し、感染したコンピューターを犯罪者の設定したピアツーピアネットワークに接続させます。また、アンチウイルスソフトウェアによる検出を防ぐため、これまで見られなかった方法で自身をシステム内に隠ぺいします。感染したデバイス上で起動されると、アルファベットの規則を無視した2つのディレクトリ内に自動的に自身をコピーします。レジストリ内のBackDoor.Maxplus実行ファイルの名前は、ヘブライ語やアラビア語といったセム語で書かれたテキストと同様に右から左へと書かれています。このトロイの木馬のシグネチャは既にDr.Webデータベースに追加されています。

また8月には、ポピュラーなCMS(Content Management System:コンテンツマネジメントシステム)を使用して管理されるサイトを感染させる Trojan.WPCracker.1の発見もありました。

モバイルデバイスに対する脅威

2013年の8月は、モバイルデバイスを狙った脅威に関しては比較的穏やかな月となりました。しかし、Dr.Webウイルスデータベースには、勝手に高額な課金SMSを送信し様々な有料サービスに登録するAndroid.SmsSend トロイの木馬が複数追加されています。また、” 脱獄(jailbreak)”されているデバイスを狙ったスパイウェアも多く発見されました。これらのアプリケーションは、SMSメッセージ、通話ログ、GPS位置情報などの個人情報を犯罪者に送信するなど、ユーザーの活動を監視することが可能であることから危険な脅威となっています。これらの脅威に関する詳細についてはこちらの記事をご覧ください。

8月にメールトラフィック内で検出されたマルウェアTop20

 01.08.2013 00:00 - 31.08.2013 23:00 
1Trojan.Winlock.88111.11%
2Trojan.PWS.Panda.43791.00%
3Trojan.Packed.244650.86%
4Trojan.Inject2.230.64%
5Trojan.PWS.Stealer.32430.53%
6Trojan.PWS.Panda.6550.51%
7Trojan.PWS.Panda.5470.46%
8Win32.HLLM.MyDoom.338080.44%
9Trojan.Proxy.258490.35%
10Trojan.DownLoader4.562550.35%
11Win32.HLLW.Autoruner.250740.33%
12Trojan.Spambot.122880.33%
13Trojan.PWS.Panda.7860.29%
14Win32.HLLM.Beagle0.29%
15Trojan.PWS.Stealer.9460.26%
16Trojan.MulDrop4.358080.26%
17BackDoor.Comet.7000.26%
18Win32.HLLM.MyDoom.544640.26%
19Trojan.DownLoad3.281610.26%
20Trojan.DownLoader9.401930.26%

8月にユーザーのコンピューター上で検出されたマルウェアTop20

 01.08.2013 00:00 - 31.08.2013 23:00 
1Exploit.SWF.2541.28%
2SCRIPT.Virus1.11%
3Adware.Downware.9150.85%
4Trojan.Fraudster.5240.71%
5Trojan.LoadMoney.10.71%
6Adware.InstallCore.1220.68%
7Adware.Downware.1790.60%
8JS.IFrame.4820.57%
9Tool.Unwanted.JS.SMSFraud.260.51%
10Adware.Downware.13280.40%
11Adware.Downware.13170.38%
12Trojan.InstallMonster.280.38%
13Adware.InstallCore.1240.37%
14Tool.Skymonk.110.36%
15Adware.Toolbar.2020.35%
16Adware.InstallCore.1140.35%
17Tool.Unwanted.JS.SMSFraud.290.33%
18Trojan.Fraudster.3940.32%
19Trojan.LoadMoney.170.31%
20Tool.Unwanted.JS.SMSFraud.100.30%

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F