Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2013年12月のウイルス脅威

2014年1月21日

株式会社Doctor Web Pacific


2013年12月は、BitcoinおよびLitecoinをマイニングするマルウェアの大拡散があった月としてITセキュリティエキスパートの記憶に残るでしょう。また、悪意のあるwebサイトやアフィリエイトプログラムを介して拡散される「広告トロイの木馬」が発見され、Androidを狙った新たな脅威も依然として大量に確認されています。

ウイルス

Dr.WebCureIt!によって収集された統計によると、2013年12月に最も多く検出された脅威はTrojan.InstallMonster.38およびTrojan.LoadMoney.1の「広告トロイの木馬」でした。ブラウザのルーチンを傍受するよう設計されたダイナミックライブラリであるマルウェアTrojan.Packed.24524およびTrojan.Siggen5.64541も多数検出されています。以下の表は、12月にDr.WebCureIt!によって最も多く検出された脅威です。

Name Quantity%
Trojan.InstallMonster.38268862.85
Trojan.LoadMoney.1242272.57
Trojan.Packed.24524238672.53
Trojan.Siggen5.64541121301.29
BackDoor.IRC.NgrBot.42120041.27
Trojan.Hosts.6815110921.18
Trojan.LoadMoney.7696701.03
Trojan.InstallMonster.2896521.02
Trojan.LoadMoney.22596011.02
Trojan.Fraudster.50291780.97
BackDoor.Maxplus.2489100.95
Trojan.Fraudster.52482490.88
Trojan.DownLoader10.5682080890.86
Trojan.BtcMine.22179650.84
Trojan.StartPage.5673473220.78
Trojan.Siggen5.6398065870.70
Trojan.BPlug.163850.68
Trojan.BPlug.461110.65
Win32.HLLP.Neshta57050.61
BackDoor.Andromeda.17847120.46

ボットネット

12月には、ファイルインフェクターWin32.Rmnet.12に感染したコンピューターから成るボットネットの拡大が見られ、1つ目のサブネットに1日に追加される新たなボットの数は、11月に比べて5000台多い約2万台となっています。以下のグラフは、2013年12月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

2013年12月のWin32.Rmnet.12ボットネット拡大推移(1つ目のサブネット)
screenshot

2つ目のサブネットに追加されるボット数は11月と変わらず1日平均1万2000台となっています。

2013年12月のWin32.Rmnet.12ボットネット拡大推移(2つ目のサブネット)
screenshot

Trojan.Rmnet.19に感染したコンピューターの数は11月末の3,345台から12月最後の週の2,607台へと大幅に減少しています。11月末には1,270台のボットを含んでいたBackDoor.Bulknet.739ボットネットは、12月23日には僅か121台のボットを含むのみとなり、事実上活動を停止しました。一方、BackDoor.Flashback.39に感染したMacの台数は、11月よりも4,110台少ない2万8829台と、徐々に減少を続けています。

今月の脅威

12月には、11月の初めにウイルスデータベースに追加されたマルウェアTrojan.Zadved.1の解析が、Doctor Webのアナリストによって行われました。このトロイの木馬は安全なインターネットサーフィンを提供するブラウザ拡張機能を装っていますが、実際に実行する動作はそれとは正反対のものです。

このマルウェアはインストールされるとブラウザ拡張のリスト上に表示され、悪意のあるタスクを実行するための複数のスクリプトをリモートサーバーからダウンロードします。そのようなスクリプトの1つが、第三者のサイトへのリンクを含んだ偽の検索結果を表示させます。

screenshot

また別のスクリプトは、vk.comからのメッセージを装った偽のポップアップを表示させます。その信憑性を高めるため、これらのメッセージはユーザーがブラウザ上でvk.comのページを開いている場合にのみ表示されるようになっています。また、このトロイの木馬はvk.comの広告を偽の広告に置き換えます。さらに別のスクリプトが「広告クリック」を利用し、ユーザーがwebページ上のいずれかの場所をクリックした際に新しいブラウザウィンドウを開き、広告されている犯罪者のwebページを表示させます。

マイニングの月

12月は、BitcoinおよびLitecoinをマイニングする悪意のあるプログラムの拡散が目立った月となりました。同月初旬、オンラインショッピングのブラウザ拡張を装って複数の悪意のあるサイトから拡散されていたTrojan.BtcMine.221のシグネチャがDr.Webウイルスデータベースに追加されました。Shopping Suggestionと名付けられたこのプログラムは、ユーザーがブラウザ上で閲覧している商品に関する情報を自動的に取得し、より安値で売られている同じ商品をインターネット上で検索するサービスを提供すると謳っています。さらに、このトロイの木馬はVLC Media Playerや、匿名でのネットサーフィンを可能にするソフトウェアなどを装っていることもあります。Trojan.BtcMine.221はユーザーに気づかれることなくコンピューターのハードウェアリソースを使用し、Litecoin(Bitcoinに次ぐ仮想通貨)をマイニングします。このトロイの木馬が発見された時点で、インストール数は既に31万1477件にも上っていました。以下の図はTrojan.BtcMine.221に感染したコンピューターの国別分布を表しています。この脅威に関する詳細はこちらの記事をご覧ください。

screenshot

12月には、また別のマイニングトロイの木馬Trojan.BtcMine.218がDr.Webウイルスデータベースに追加されています。興味深いことに、このトロイの木馬の開発者はデバッグデータ内に「シグネチャ」を残しています。のインストーラはAutoItで書かれ、そのコードには以下のストリングが含まれています。

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe") FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

また、コードは以下のラインで終わっています。

c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb

12月の末には、Trojan.Modsファミリーの新たな亜種が発見され、Trojan.Mods.10と名付けられました。このトロイの木馬は従来のTrojan.Modsファミリーと異なり、Bitcoinをマイニングする機能を備えています。Trojan.Mods.10の主な目的は、DNS名をIPアドレスに変換するシステム機能を傍受することで、ユーザーの訪問したサイトを悪意のあるサイトに置き換えることです。この脅威に関する詳細はこちらの記事をご覧ください。

マイニングトロイの木馬の急激な増加は決して偶然ではなく、これらのトロイの木馬が犯罪者にもたらす利益が非常に大きなものであるという理由によるものです。Doctor Web アナリストの集計した統計によると、Trojan.BtcMine.221によって犯罪者が1日に得る収益は平均145万4350ドル(米ドル)となっています。

Androidに対する脅威

2013年12月には、Androidを狙った新たなトロイの木馬スパイウェアや、その他のマルウェアが数多く発見されました。

中でも特に、Android.SmsSpyおよびAndroid.Spyファミリーに属する悪意のあるアプリケーションが、Dr.Webウイルスデータベースに多数追加されました。それらの多くは、トロイの木馬のダウンロードリンクを含んだ望まないSMSを介して韓国で拡散されており、そのスパム配信数は11月に比べて18%増加し、感染数は132件に達しています。韓国で最も多く拡散されている、両ファミリーに属する脅威の内訳は、Android.Spy.45.origin(51%)、Android.SmsSpy.51.origin(19%)、Android.SmsSpy.53.origin(9%)、Android.Spy.67(9%)となっています。全ての内訳は以下の円グラフを参照してください。

12月にSMSスパムを介して韓国で拡散されたAndroidマルウェア
screenshot

また、Google Play 上で発見されたWhatsAppCopyトロイの木馬がAndroid.WhatsappSpy.1.originとしてDr.Webウイルスデータベースに追加されています。このプログラムは、Android向けのポピュラーなメッセンジャーサービスであるWhatsAppのメッセージ履歴を含んだデータベースを、ユーザーのアカウントに関する画像や電話番号と共に犯罪者のサーバーへ密かに送信します。

screenshot screenshot

その後、犯罪者のサイトで該当する電話番号を入力するだけで、サーバーへ送られたメッセージの履歴を第三者が閲覧することが可能になります。このアプリケーションはWhatsAppCopyの無害なバックアップツールとして提供されていましたが、収集されたデータが悪用される危険性があることから、Google社によってGoogle Play上から削除されました。しかしながら、現在でも開発者のサイトからはダウンロードが可能であり、多くのユーザーが被害に遭う危険性が残っています。

Google Play上では他にも、デバイスのSMS経由でプログラムが広告メッセージおよび通知を送信することを許可することで、ユーザーが利益を得ることのできるアプリケーションBazucの出現が話題になりました。開発者によると、このプログラムはSMSを無制限に送信することのできるパッケージ料金プランに加入しているユーザーのみを対象にしているということですが、実際にはアプリケーションによるプランの確認は行われていません。Bazucは1日に何千通ものSMSを送信することが可能であるため、パッケージプランに加入していないユーザーは多額の請求を受ける危険性や、キャリアのネットワークに接続できなくなってしまう可能性があります。さらに、SMSの受信者側にはユーザーの電話番号が表示されるため、不快に思った受信者との間にトラブルが発生するといった可能性も考えられます。

screenshot

screenshot

このプログラムもまた、Google Play上からは削除されていますが、開発者のサイトからはダウンロードが可能な状態となっています。Doctor WebではこのアプリケーションをProgram.Bazuc.1.originとしてウイルスデータベースに追加しました。

12月にメールトラフィック内で検出されたマルウェアTop20

1Trojan.Packed.251011.34%
2Trojan.DownLoader9.228511.01%
3Trojan.DownLoad3.300750.92%
4Trojan.DownLoad3.281610.75%
5Trojan.DownLoad3.307030.74%
6Trojan.Inject2.230.69%
7Trojan.DownLoader9.40340.65%
8BackDoor.Comet.1520.60%
9Trojan.PWS.Panda.5470.54%
10Trojan.DownLoad.647460.54%
11Trojan.PWS.Panda.47950.50%
12BackDoor.Kuluoz.40.44%
13Trojan.Fraudster.5170.44%
14Trojan.DownLoader9.39750.44%
15Win32.HLLM.MyDoom.338080.42%
16Trojan.PWS.Panda.24010.42%
17BackDoor.Maxplus.130260.37%
18Tool.MailPassView.2250.30%
19Trojan.PWS.Panda.56600.25%
20Trojan.DownLoader10.620840.23%

12月にユーザーのコンピューター上で検出されたマルウェアTop20

1Trojan.InstallMonster.380.75%
2Trojan.Fraudster.5240.73%
3Trojan.DownLoader10.568200.69%
4Trojan.LoadMoney.10.64%
5Trojan.Fraudster.5020.55%
6BackDoor.IRC.NgrBot.420.46%
7BackDoor.PHP.Shell.60.40%
8Trojan.Packed.245240.37%
9Win32.HLLW.Shadow0.33%
10Trojan.StartPage.574590.32%
11Trojan.Fraudster.5890.31%
12Win32.HLLW.Autoruner.598340.30%
13Trojan.MulDrop4.253430.27%
14Trojan.Packed.27820.26%
15Trojan.SMSSend.41960.25%
16Trojan.Hosts.68380.24%
17Trojan.Fraudster.4300.24%
18Trojan.Packed.248140.23%
19Trojan.DownLoader10.579200.22%
20Trojan.LoadMoney.2250.22%

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F