Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2014年1月のウイルス脅威

2014年2月24日

株式会社Doctor Web Pacific


2014年最初の月は、初のAndroidブートキットの発見を始めとする、セキュリティイベントの相次ぐ月となりました。1月の末には、このマルウェアを利用して構成されるボットネットには85万台の感染したデバイスが含まれており、Doctor Webのアナリストは現在もこのボットネットの監視を続けています。また、1月にはWindowsを狙った新たな悪意のあるプログラムもDr.Webウイルスデータベースに追加されました。

ウイルス

Dr.WebCureIt!によって収集された統計によると、2014年1月に最も多く検出された脅威はTrojan.Packed.24524でした。このトロイの木馬はアドウェアやその他の疑わしいアプリケーションをインストールし、合法ソフトウェアを装って拡散されます。次にTrojan.LoadMoney.1およびTrojan.InstallMonster.38が続き、BackDoor.Bulknet.1329や、BitcoinをマイニングするTrojan.BtcMine.221も多く検出されています。以下の表は、1月にDr.WebCureIt!によって最も多く検出された脅威です。

NameQuantity%
Trojan.Packed.24524509474.71
Trojan.LoadMoney.1357833.31
Trojan.InstallMonster.38195581.81
Trojan.Siggen5.64541173711.61
BackDoor.Bulknet.1329159291.47
Trojan.BtcMine.221141001.30
Trojan.Siggen6.685116731.08
Trojan.BPlug.10107610.99
BackDoor.Maxplus.24106220.98
BackDoor.IRC.NgrBot.42101680.94
Trojan.InstallMonster.28100390.93
Trojan.DownLoad.64782100080.93
Trojan.Fraudster.50298970.91
Trojan.Fraudster.52497390.90
Trojan.Hosts.681596920.90
Trojan.LoadMoney.7682370.76
Trojan.Packed.2481481890.76
Trojan.BPlug.474350.69
Trojan.DownLoader10.5682072200.67
Trojan.DownLoader10.2870969710.64

ボットネット

バックドア機能を備え、様々なアプリケーションからパスワードを盗むファイルインフェクターWin32.Rmnet.12を利用して構成されるボットネットは徐々に拡大を続けています。Doctor Webによってコントロールされる1つ目のサブネットには、1日に平均して約1万8000台の新たな感染したコンピューターが追加されています。以下のグラフは、2014年1月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

2014年1月のWin32.Rmnet.12ボットネット拡大推移
(1つ目のサブネット)

graph

2つ目のサブネットでも同様の拡大傾向が見られますが、1日に追加されるコンピューターの数は、1月初めの2万台から1月末の1万2000台へと次第に減少しています。以下のグラフは、2つ目のWin32.Rmnet.12サブネットの拡大推移を表しています。

2014年1月のWin32.Rmnet.12ボットネット拡大推移
(2つ目のサブネット)

graph

Trojan.Rmnet.19ボットネットに含まれる感染したコンピューターの数は、2013年12月末の2,607台から1月29日の2,633台と、ほとんど変化は見られませんでした。

BackDoor.Flashback.39ボットネットに含まれる感染したMac OS Xの台数は、2013年12月末の2万8829台から1月末の2万8160台へと僅かに減少しています。感染件数が最も多かった国はアメリカ(14,733件)、カナダ(5,564件)、イギリス(4,120件)、オーストラリア(1,582件)となっています。ロシアでは2台のMacが感染しています。

新たな広告トロイの木馬

1月、Doctor WebはFacebookを介して拡散される新たな広告トロイの木馬Trojan.Zipvideom.1について報告しました。このトロイの木馬は複数のコンポーネントから成り、そのうちの1つによってMozilla FirefoxおよびGoogle Chrome向けの悪意のあるプラグインがコンピューター上にダウンロード・インストールされます。

screenshot

screenshot

これらのプラグインは広告を表示させることでインターネットサーフィンを妨げ、その上、さらに別のマルウェアをコンピューター上にダウンロードすることもあります。また、ブラウザウィンドウでポピュラーなソーシャルネットワーキングサイト(Twitter、Facebook、Google、YouTube、VKontakte)を開いた際に疑わしいJavaスクリプトをダウンロードしていることも明らかになりました。

Androidに対する脅威

2014年1月には、Androidを狙った初のブートキットの出現がありました。Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬は、感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬を完全に削除することを困難にしています。Android.Oldboot.1は起動されると、そのコンポーネントの1つをシステムフォルダ内に置き、Androidアプリケーションとしてインストールさせます。Dr.Web for AndroidによってAndroid.Oldboot.2およびAndroid.Oldboot.1.originとして検出される、それらトロイの木馬コンポーネントは、リモートサーバーに接続し、受け取ったコマンドを実行(特定のアプリケーションをダウンロード・インストール・削除するなど)します。

screenshot

1月末にDoctor Webのウイルスアナリストによって収集された統計によると、Android.Oldboot.1は、ヨーロッパ、東南アジア、アメリカで82万6000台を超えるモバイルデバイスを感染させていますが、そのほとんどが中国のデバイスとなっています。Android.Oldbootが特に中国のAndroidデバイスを標的として作られたものであることが分かります。

感染したデバイスの国別分布
graph

graph

この脅威に関する詳細はこちらの記事をご覧ください。

1月に中国のデバイスを狙って拡散された悪意のあるもう1つのアプリケーションにAndroid.Spy.67.originがあります。このトロイの木馬はソフトウェアアップデートやポピュラーなアプリケーションを装って拡散され、モバイルデバイスのメイン画面にショートカットまで作成していました。

screenshot

screenshot

このトロイの木馬は起動されるとショートカットを削除し、SMSや通話の履歴、GPS位置情報を含む個人情報を収集します。また、モバイルデバイスのカメラやマイクを起動させることができ、さらに、画像のリストやサムネイルを作成することもあります。取得した情報は全て犯罪者の管理するサーバーに送信されます。ルートアクセスを取得した場合は、そのウイルスデータベースを削除することで中国のポピュラーなアンチウイルスの動作を妨げ、悪意のあるプログラムをインストールします。このプログラムが、他のアプリケーションを密かにインストールさせます。この悪意のあるプログラムはAndroid.RootInst.1.originとしてウイルスデータベースに追加されています。

1月には、Google Play上でも悪意のあるプログラムが発見されました。中でも特に、Android.Click.3.originと名付けられたトロイの木馬は、Real Basketballというゲームを装って拡散されていました。

screenshot

インストールされたこのトロイの木馬は、ゲームをインストールしたつもりのユーザーの期待を裏切り、予め用意されたリスト上にあるサイトを密かに開き、それらのサイト上でバナーをクリックすることで犯罪者に利益をもたらします。Android.Click.3.originのダウンロード件数は1万件を超えています。

screenshot screenshot

また、1月には韓国でもAndroid向けの悪意のあるアプリケーションの拡散が続きました。Doctor Webによって、2013年12月よりも僅かに少ない140件の感染が確認されています。最も多く拡散されたトロイの木馬はAndroid.Backdoor.31.origin(55%)、 Android.Spy.71(9%)、Android.Spy.45.origin(8%)、Android.Spy.47.origin(4%)、Android.Spy.74(3%)となっています。発見されたマルウェアには、既知のプログラムの新たなバージョンも多く含まれており、韓国のモバイル市場に対する犯罪者の関心の高さを物語っています。

1月にSMSスパムを介して韓国で拡散されたAndroid向けマルウェア
graph

1月にメールトラフィック内で検出されたマルウェアTop20

01.01.2014 00:00 - 31.01.2014 23:00
1Trojan.DownLoad3.281610.84%
2Trojan.DownLoader9.228510.78%
3Trojan.Inject2.230.68%
4Trojan.DownLoad3.315320.66%
5Trojan.DownLoader9.152910.64%
6Trojan.DownLoad3.314010.61%
7Trojan.DownLoad3.300750.59%
8Trojan.DownLoader9.149620.50%
9Trojan.Siggen6.17470.48%
10Trojan.DownLoad.648570.40%
11Trojan.DownLoad3.315410.38%
12Trojan.DownLoader9.152950.38%
13Trojan.Siggen6.53110.36%
14Trojan.DownLoad3.316170.36%
15Trojan.PWS.Panda.47950.35%
16Trojan.DownLoad3.315330.30%
17Trojan.DownLoad3.315340.30%
18Trojan.PWS.Panda.5470.30%
19Trojan.Packed.6660.30%
20Trojan.DownLoader9.135840.29%

1月にユーザーのコンピューター上で検出されたマルウェアTop20

01.01.2014 00:00 - 31.01.2014 23:00
1SCRIPT.Virus1.00%
2Adware.Downware.9150.63%
3Trojan.Fraudster.5240.58%
4Tool.Unwanted.JS.SMSFraud.260.57%
5Trojan.Packed.245240.55%
6Trojan.LoadMoney.10.55%
7Tool.Skymonk.140.53%
8Adware.NextLive.20.52%
9Adware.Downware.1790.48%
10Trojan.LoadMoney.150.45%
11Trojan.Fraudster.5020.41%
12JS.Redirector.2090.41%
13Trojan.InstallMonster.470.40%
14Tool.Skymonk.170.39%
15BackDoor.IRC.NgrBot.420.37%
16Trojan.Packed.248140.37%
17Adware.InstallCore.900.36%
18BackDoor.PHP.Shell.60.34%
19Adware.NextLive.10.31%
20Adware.Downware.16550.31%

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F