Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2015年5月のウイルスレビュー

2015年5月29日

株式会社Doctor Web Pacific


Doctor Webは2015年5月のウイルスレビューをここに報告します。春最後の月となる5月は、情報セキュリティ面で比較的落ち着いた月となりました。

2015年5月にはMac OS Xを標的とし、疑わしいプログラムをダウンロードするようユーザーを誘導するインストーラアプリケーションやアドウェアが複数発見されました。また、Linuxを標的とする新たなマルウェアがDr.Webウイルスデータベースに追加されたほか、Androidデバイスを狙った悪意のあるソフトウェアの拡散が続きました。


ウイルスレビュー

2015年5月には悪意のあるスパムの大量配信は見られず、ボットネットの目立った活動もありませんでした。

5月の主な傾向

  • Mac OS Xを標的としたアドウェアや望まないインストーラアプリケーションの検出数の増加
  • インターネットユーザーから金銭を騙し取る犯罪者の活動の活発化
  • Androidを標的とする新たな悪意のあるプログラム

5月の脅威

役に立たないアプリケーションや望まないアプリケーションのインストーラはWindows ユーザーにとって何ら新しいものではありませんが、一方で、Mac OS Xを狙ったものはこれまでほとんどみられませんでした。そのため、今回Adware.Mac.InstallCore.1という名前でDr.Web ウイルスデータベースに追加されたインストーラアプリケーションはセキュリティリサーチャーの関心を一手に集めることとなりました。

screen

Adware.Mac.InstallCore.1は複数のコンポーネントから成り、ユーザーのコンピューター上に望まないプログラムをインストールするだけでなく、ブラウザのホームページやデフォルトの検索エンジンを変更します。また、デバッグ機能も備え、起動されるとシステムをスキャンして仮想マシンやアンチウイルス、その他のアプリケーションの存在を確認します。これらが検出された場合はユーザーに対して追加のプログラムをインストールするよう勧めることはありません。以下のリストは、Adware.Mac.InstallCore.1がシステム上にインストールすることのできるプログラムやユーティリティの一部です:

  • Yahoo Search
  • MacKeeper (Program.Unwanted.MacKeeper)
  • ZipCloud
  • WalletBee
  • MacBooster 2
  • PremierOpinion (Mac.BackDoor.OpinionSpy)
  • RealCloud
  • MaxSecure
  • iBoostUp
  • ElmediaPlayer

この脅威に関する詳細はこちらの記事をご覧ください。

Mac OS X

2015年5月に発見されたMac OS X 向けのアドウェアにはAdware.Mac.InstallCore.1のほかに、Adware.Mac.DealPlyという名前でDr.Web ウイルスデータベースに追加されたアプリケーションWalletBeeがあります。このアプリケーションはChromeおよびSafariの様々な拡張機能をインストールします。

Mac OS X 向けのまた別のアドウェアであるアプリケーションWebToolsとShopMallはAdware.Mac.WebHelperとしてDr.Webウイルスデータベースに追加されました。この悪意のあるパッケージにはコマンドインタプリタsh向けのスクリプト、Pythonスクリプト、バイナリファイルが含まれています。

Adware.Mac.WebHelperはplistファイルを用いて自動で起動し、ChromeやFirefox、Safariのホームページを変更するほか、デフォルトの検索エンジンをmy-search-start.comに変更します。Adware.Mac.WebHelperには2つのAppleScript(ChromeおよびSafari向けの)を無限ループで実行するバイナリファイルが含まれており、これらのスクリプトはユーザーが開いたWebページ内にJavaScriptコードを埋め込みます。コードが実行されることによって、また別の4つのJavaScriptがダウンロードされ、それらのJavaScriptがブラウザウィンドウ内に広告を表示させます。

同様の機能を持った別のプログラムにMac.Trojan.Crossriderがあります。Crossriderファミリーに属するトロイの木馬はWindowsユーザーにはよく知られていますが、今回発見された亜種はMac OS Xを標的としていました。

screen

Mac.Trojan.Crossriderはインストールパッケージ(Safari Helper)を装って拡散されます。インストーラが起動されると、Safari、Chrome、およびFirefoxのFlashMall 拡張機能が密かにインストールされます。このマルウェアはWebSocketServerAppおよびSafari Securityアプリケーションをシステムのスタートアップリストに追加しますが、このWebSocketServerAppがC&Cサーバーとの通信を行い、Safari Securityがブラウザ拡張機能をインストールします。また、このマルウェアはブラウザ拡張機能がアップデートされていくようにスタートアップスクリプトを変更します。

Doctor Webセキュリティリサーチャーによって発見されたMac OS X向けのアドウェアや悪意のあるアプリケーションは全てDr.Web for Mac OS Xのウイルスデータベースに追加されています。

Mac OS Xを狙った悪意のあるプログラムについてもっと知る

Dr.Web CureIt!による統計

5月には84,063,249件の悪意のあるプログラムおよびリスクウェアが検出されました。

2015年4月2015年5月推移
73,149,43084,063,249+ 14.9%

screen

  • Trojan.MulDrop5.10078

    アドウェアやその他の望まないプログラムをインストールするトロイの木馬です。
  • Trojan.MulDrop5.10078

    感染させたコンピューター上に様々な望まないアプリケーションやアドウェアをインストールする悪意のあるプログラムです。
  • Trojan.BPlug

    Webページ上に迷惑な広告を表示させる、ポピュラーなブラウザのプラグインです。
  • Trojan.Siggen6.33552

    別のマルウェアをインストールするよう設計された悪意のあるプログラムです。
  • Trojan.Lyrics

    ユーザーの承諾なしに迷惑な広告を表示させ、問題のあるWebページを開くトロイの木馬です。
  • Trojan.Admess

    ユーザーが開いた様々なWebページ内で既存の広告を新しい広告と置き換え、望まない広告を表示させるトロイの木馬ファミリーです。
  • Trojan.Yontoo

    ユーザーが開いたWebページ上に広告を表示させる、ポピュラーなブラウザ向けのプラグインです。

Dr.Webの統計サーバーによる統計

screen

  • Trojan.InstallCube

    ユーザーのコンピューター上に望まないアプリケーションをインストールするよう設計されたダウンローダプログラムのファミリーです。
  • Trojan.Siggen6.33552

    別のマルウェアをインストールするよう設計された悪意のあるプログラムです。
  • Trojan.LoadMoney

    アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード、インストールします。

メールトラフィック内で検出された脅威の統計

screen

  • BackDoor.Siggen.58526

    感染させたコンピューター上に別の悪意のあるプログラムを密かにダウンロードして起動させ、犯罪者のコマンドを実行するトロイの木馬です。
  • Trojan.Oficla

    主にEメールを介して拡散されるトロイの木馬ファミリーです。システムを感染させると、密かに悪意のある活動を行います。Trojan.Oficlaはコンピューターをボットネットに接続することで、感染させたシステム上に犯罪者が別の悪意のあるソフトウェアをアップロードすることを可能にします。感染後、ユーザーのコンピューターはボットネットをコントロールする犯罪者によって乗っ取られる形となり、その結果、中でも特に、犯罪者はあらゆる悪意のあるソフトウェアをダウンロード、インストール、使用することができるようになります。
  • Trojan.Upatre

    感染させたコンピューター上に、また別の悪意のあるアプリケーションを密かにダウンロード、インストールするトロイの木馬ファミリーです。
  • BAT.Encoder.46

    GPGユーティリティとそのBATスクリプトを使用してファイルを暗号化する暗号化ランサムウェアの代表です。

ボットネット

Doctor Webでは、未だ活動を続ける複数のボットネットについて監視を続けています。以下のグラフは、ファイルインフェクターWin32.Rmnet.12を使用して構成されるボットネットの2つのサブネットにおける拡大推移を表しています:

screen

screen

Rmnetはユーザーの操作なしに拡散されるファイルインフェクターのファミリーです。ユーザーが開いたWebページ内にコンテンツを埋め込み(これにより犯罪者が被害者のバンクアカウント情報を得ることが理論上可能になります)、ポピュラーなFTPクライアントプログラムによって保存されたクッキーやパスワードを盗むほか、犯罪者から受け取ったコマンドを実行します。

ファイルインフェクターWin32.Sectorに感染したシステムで構成されるボットネットは現在も活動を続けています。このマルウェアは以下の動作を実行することができます:

  • P2Pネットワーク経由で様々な実行ファイルをダウンロードし、感染したシステム上で起動させる。
  • 実行中のプロセスに自身のコードを埋め込む
  • 特定のアンチウイルスの動作を停止させ、そのデベロッパーのサイトへのアクセスをブロックする。
  • ローカルディスクやリムーバブルメディア上(感染の過程でここにautorun.infファイルを作成)のファイルのほか、ネットワーク共有フォルダ内に保存されたファイルを感染させる。

screen

5月にはLinux.BackDoor.Gates.5によるインターネットリソースへの攻撃がさらに激化し、4月に比べて65.5%以上の増加となる5,498件のIPアドレスが攻撃されています。これまで同様、その多くが中国、次いで米国のアドレスとなっています。

screen

暗号化ランサムウェア

Doctor Webテクニカルサポートサービスに寄せられた復号化リクエストの数

2015年4月2015年5月推移
1,3591,200- 11.6%

2015年5月に最も多く検出されたランサムウェア

  • BAT.Encoder
  • Trojan.Encoder.858
  • Trojan.Encoder.567
  • Trojan.Encoder.263
  • Trojan.Encoder.741

Dr.Web Security Space 10.0 for Windows
は暗号化ランサムウェアからの保護を提供します。

この機能はDr.Web Anti-virus for Windowsには含まれていません。

予防的保護データ損失防止
Preventive ProtectionData Loss Prevention

Linux に対する脅威

2015年5月には、Linuxを搭載したコンピューターを感染させる悪意のあるプログラムが複数、Doctor Web セキュリティリサーチャーによって分析されています。そのうちの1つであるLinux.Kluh.1はChinaZ と呼ばれる中国のハッカーグループによって作成され、Linuxルーターを感染させるよう設計されていました。ChinaZ によって開発されたその他のプログラム同様、Linux.Kluh.1はHTTPフラッド攻撃(Linux.Kluh.1はC&Cサーバーから受け取ったコマンドに応じてBaiduのクローラを装うことが可能です)、スプーフィングSYNフラッド攻撃、SYNフラッド攻撃、およびDNSサーバーに大量のリクエストを送りつけるその他のDDoS攻撃を実行します。このトロイの木馬の特徴として、C&Cサーバーのアドレスをインターネットリソースから取得することができるという点が挙げられます。

screen

Linuxを標的とするまた別の危険なプログラムであるLinux.Iframe.4はApache Webサーバー向けの悪意のあるプラグインで、ユーザーの開いたWebページ内にIframeを挿入し、犯罪者のWebページへとリダレクトします。誤って動作を実行してしまうことを防ぐため、このトロイの木馬にはUserAgentパラメータを確認する機能が組み込まれています。この機能により、ブラウザのバージョンとユーザーのIPが特定されます。

Dr.Web for Linuxのウイルスデータベースには、5月に検出されたLinuxを標的とする全ての悪意のあるプログラムのシグネチャが追加されています。

危険なWebサイト

5月には、インターネットユーザーを騙して金銭を奪い取ろうとする犯罪者の活動が増加しました。犯罪者はユーザーの関心を引くため、キャンペーンで車が当たったと告げるテキストを含んだSMSメッセージを大量に配信しています。これらのSMSメッセージには、カーディーラーの公式ホームページを装い、キャンペーンについての詳細が記載されたWebページへのリンクが含まれています。

screen

偽のサイトを訪問したユーザーは、賞品を受け取るために車の価格の1%を決済端末経由で支払うか、またはMTPL保険に加入するよう促されます。

2015年5月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は221,346件となっています。

2015年4月2015年5月推移
+ 129,199+ 221,346+ 71.32%
非推奨サイトについてもっと知る

Androidを脅かす悪意のある、または望まないソフトウェア

5月を通して、Androidを狙った悪意のあるプログラムが新たに複数発見されました。中でも特に注目に値するものは以下のとおりです:

  • 様々なバンキングトロイの木馬を使用した攻撃
  • 新たなSMSトロイの木馬の検出
  • Androidランサムウェアの出現

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F