Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2014年4月のウイルス脅威

2014年5月16日

株式会社Doctor Web Pacific


2014年4月には新たな脅威の出現が相次ぎました。中でも特に、Windowsを狙った新たなマルチコンポーネントバックドアがDoctor Webセキュリティリサーチャーによって発見され、Mac OS Xユーザーのwebブラウザ上に迷惑な広告を表示させる悪意のあるプラグインの拡散がみられました。また、Androidを狙ったマルウェアのシグネチャも多数ウイルスデータベースに追加されました。.

ウイルス

Dr.WebCureIt!によって収集された統計によると、2014年4月にコンピューター上で最も多く検出された脅威は、前月と同様、感染させたシステム上にアドウェアやリスクウェアをインストールするTrojan.Packed.24524で、Trojan.BPlugファミリーが続いています。これらのトロイの木馬は、webページ内に疑わしいサイトの広告を表示させるブラウザプラグインです。以下の表は、4月にDr.WebCureIt!によって最も多く検出された脅威です。

NameQuantity%
Trojan.Packed.24524828896.18
Trojan.BPlug.35401833.00
Trojan.BPlug.28367992.74
Trojan.InstallMonster.51355362.65
Trojan.BPlug.17236641.77
Trojan.InstallMonster.61191831.43
Trojan.LoadMoney.1136361.02
Trojan.LoadMoney.15129750.97
Trojan.Triosir.1125960.94
Trojan.Siggen5.64541124520.93
Trojan.DownLoader11.3101121040.90
Trojan.Wprot.3102280.76
Trojan.BPlug.4888070.66
Trojan.Packed.2526686940.65
Trojan.Ormes.283460.62
Trojan.BPlug.3381390.61
BackDoor.IRC.NgrBot.4280400.60
BackDoor.Maxplus.2472760.54
Trojan.BPlug.4771930.54
Trojan.Packed.2481470980.53

ボットネット

Doctor Webでは、ファイルインフェクターWin32.Rmnet.12に感染したWindowsコンピューターによって構成されるボットネットの監視を続けています。このボットネットは現在も活動を続けており、1つ目のサブネットに含まれるボット数の4月の平均は16万5500台で、1日におよそ1万3000台の感染したコンピューターが追加されています。以下のグラフは、2014年4月における1つ目のWin32.Rmnet.12サブネットの拡大推移を表しています。

2014年4月のWin32.Rmnet.12ボットネット拡大推移
(1つ目のサブネット)

screenshot

2つ目のWin32.Rmnet.12サブネットに含まれるボット数の4月の平均は27万台、1日に追加される感染したコンピューターはおよそ1万2000台となっています。以下のグラフは、2つ目のWin32.Rmnet.12サブネットの拡大推移を表しています。

2014年4月のWin32.Rmnet.12ボットネット拡大推移
(2つ目のサブネット)

screenshot

Trojan.Rmnet.19ボットネットに含まれる感染したコンピューターの数は3月末の2,066台から4月末の1,866台へと僅かに減少しています。

screenshot

BackDoor.Flashback.39に感染したMac OS Xの台数もまた次第に減少を続けており、3月末の2万5912台から1万8305台へと、4月の間に30%少なくなっています。

その他の4月の脅威

4月の初めには、BackDoor.Gootkit.112としてDr.Webウイルスデータベースに加えられたマルチコンポーネントバックドアブートキットが発見されました。BackDoor.Gootkit.112にはTrojan.Mayachokファミリーで使用されていたブートキット機能(トロイの木馬ダウンローダー)が搭載されていますが、ソースコードには大幅な変更が加えられています。

screen

感染したシステム内で自身の権限を高めるために、BackDoor.Gootkit.112はshim(Microsoft Windows Application Compatibility Infrastructure)を利用してUACをすり抜けます。その方法は次のようになっています。

  1. トロイの木馬がデータベース(shim)を作成し、インストールします。
  2. 次に、高めた権限でcliconfg.exeを実行します。
  3. Shimがオリジナルのプロセスを停止させ、RedirectEXEを使用してトロイの木馬を起動させます。

このトロイの木馬は次のコマンドを実行します。

  • httpトラフィックを傍受
  • 他のプロセスにコードを挿入(webインジェクション)
  • 特定のURLをブロック
  • スクリーンショットをとる
  • 実行中のプロセスのリストを取得
  • ローカルユーザーおよびグループのリストを取得
  • 指定されたプロセスを終了させる
  • shellコマンドを実行
  • 実行ファイルを起動
  • トロイの木馬を自動でアップデート

4月の後半には、ポピュラーなブラウザのウィンドウ上に表示される迷惑な広告に関する多くの苦情がMac OS Xユーザーから寄せられました。この問題は、正規のアプリケーションと一緒にシステム上にインストールされるプラグインが原因であることが判明しました。

screen

そのようなプログラムの1つであるDownliteはポピュラーなtorrentトラッカーサイトから拡散されています。「Download」をクリックしたユーザーはDownliteインストーラー(Dr.WebアンチウイルスによってTrojan.Downlite.1として検出されます)をダウンロードするためのサイトへとリダレクトされます。このインストーラーによって、DlLite.appと一緒に複数のブラウザプラグインがインストールされます。さらに、Mozilla Firefox、Google Chrome、Safariをコントロールするよう設計されたアプリケーションdev.Jack(Dr.WebアンチウイルスによってTrojan.Downlite.2として検出されます)も同時にインストールされます。これらのプラグインはDownlite.appのほかにも、MacVideoTunes、MediaCenter_XBMC、Popcorn、VideoPlayer_MPlayerXなどのアプリケーションと一緒に拡散されています。ブラウザウィンドウ上に表示される迷惑な広告には次のようなものがあります。

  • 下線の引かれたキーワード。それらの文字にカーソルを置くとポップアップ広告が表示されます。
  • 左下隅に表示される、「Hide Ad」ボタンの付いた小さなウィンドウ
  • 検索エンジンの結果ページやポピュラーなサイト上に表示されるバナー

詳細についてはこちらの記事をご覧ください。

モバイル脅威

4月には、Androidを狙った複数の脅威が出現しました。中でも特に、2014年1月に発見されたAndroid.Oldbootの新たな亜種の発見が挙げられます。アップデートされたこのトロイの木馬の主な機能は以前のものと変わらず、他のアプリケーションを密かにダウンロード・インストールするというものですが、新たな機能も複数追加されています。いくつかのコンポーネントは起動後にオリジナルファイルを削除し、RAM内で動作を続けることで、この脅威の検出と削除を困難なものにしています。さらに、モジュールの一部ではコードが難読化され、アンチウイルスソフトウェアを削除する機能も追加されています。

犯罪者はGoogle Playも忘れていません。Bitcoinをマイニングするよう設計されたトロイの木馬が複数発見され、Android.CoinMine.1としてDr.Webウイルスデータベースに追加されました。このトロイの木馬は壁紙内に潜み、モバイルデバイスが使用されていない状態が一定の期間続くと動作を開始します。

screenscreen

3月に発見された同種のマルウェア同様、このトロイの木馬も金銭的被害をもたらす(インターネットトラフィックを増大させることで)だけでなく、モバイルデバイスの動作にも影響を与えます。

また4月には、韓国のAndroidユーザーを標的とする、マルウェアのダウンロードリンクを含んだ望まないSMSを使用した攻撃が発生しました。Doctor Webでは232件のスパム攻撃が確認されています。最も多く検出されたトロイの木馬はAndroid.Spy.64.originAndroid.SmsBot.75.originAndroid.Spy.40.originAndroid.SmsSpy.78.originAndroid.BankBot.6.originAndroid.SmsSend.685となっています。

screen

Android.SmsBot.75.originは、荷物を配送できなかった旨をユーザーに対して通知する40のスパムによって拡散されていました。SMSに含まれているリンクをクリックしてしまったユーザーは偽のブログページへとリダレクトされ、アプリケーションをダウンロードするよう促されます。このアプリケーションが、個人情報を盗み犯罪者から送られたコマンドを実行するトロイの木馬です。

screen

SMSスパムを使用したマルウェアの拡散はロシアでも多く確認されています。4月にはAndroid.SmsSpy.88.originのダウンロードリンクを含んだSMSが発見されました。

screen

インストールされ起動されると、このマルウェアはデバイスの情報を犯罪者に送信し、次に犯罪者からのコマンドを待ちます。コマンドには、受信メッセージの傍受、SMSの送信、着信通話の転送などの実行が含まれています。このように、Android.SmsSpy.88.originはSMSスパムを送信するだけでなくスパイウェアとしても動作します。

さらに4月には、脱獄(jailbreak)したAppleデバイスを狙った新たなトロイの木馬の出現がありました。中国で発見されたIPhoneOS.PWS.Stealer.1は、App Store、i CloudなどのAppleサービスへのアクセスを可能にするApple IDを盗むことで、ユーザーに被害を及ぼします。

4月にメールトラフィック内で検出されたマルウェアTop20

 01.04.2014 00:00 - 30.04.2014 14:00 
1Trojan.DownLoad3.281610.95%
2Trojan.Fraudster.7780.76%
3Trojan.PWS.Panda.56760.74%
4Trojan.DownLoad3.327840.68%
5Trojan.Oficla.zip0.67%
6Trojan.DownLoader9.619370.65%
7Trojan.Winlock.88110.57%
8Trojan.VbCrypt.1500.50%
9Trojan.DownLoad3.300750.47%
10Win32.HLLM.MyDoom.544640.42%
11Trojan.PWS.Panda.5470.41%
12Trojan.Siggen6.142010.39%
13Java.Siggen.900.38%
14Win32.HLLM.MyDoom.338080.36%
15Trojan.PWS.Panda.69710.36%
16Trojan.PWS.Panda.47950.35%
17Trojan.Packed.263850.32%
18Trojan.PWS.Panda.24010.32%
19BackDoor.Comet.8840.29%
20Trojan.Fraudster.5170.29%

4月にユーザーのコンピューター上で検出されたマルウェアTop20

 01.04.2014 00:00 - 30.04.2014 14:00 
1SCRIPT.Virus1.25%
2Trojan.InstallMonster.510.66%
3Trojan.Packed.245240.65%
4Tool.Unwanted.JS.SMSFraud.260.46%
5JS.Redirector.2280.44%
6Adware.Downware.20950.42%
7Adware.Downware.1790.38%
8Adware.Toolbar.2400.37%
9Adware.NextLive.20.37%
10Adware.OpenCandy.30.35%
11Adware.OpenCandy.40.35%
12Tool.Skymonk.140.33%
13JS.IFrame.5660.33%
14Adware.Webalta.130.33%
15BackDoor.PHP.Shell.60.32%
16Adware.InstallCore.900.31%
17BackDoor.IRC.NgrBot.420.30%
18Adware.Conduit.330.30%
19Adware.Bandoo.130.30%
20Trojan.LoadMoney.2570.29%

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F