2016年4月29日

株式会社Doctor Web Pacific

Doctor Webは2016年4月のウイルスレビューをここに報告します。4月には、P2Pボットネットを構築することのできるトロイの木馬Goziの新たな亜種が登場したほか、Linux向けの新たなバックドアが発見され、オンラインショッピング詐欺の件数が著しく増加しました。 2016年4月はトロイの木馬Goziの新たな亜種の出現によって幕を開けました。この新たな亜種はP2Pボットネットを構築することができます。同月後半にはハッキングユーティリティを介してLinux向けのバックドアが拡散されたほか、偽のオンラインストアを作成することでこれまでに多くのユーザーを欺いてきたインターネット詐欺師の活動が活発化しました。

4月の脅威

全く新しいバンキングトロイの木馬が出現することはあまり多くなく、通常は既知のトロイの木馬を改良したものが拡散されています。Trojan.Goziはそのような亜種の1つで、Webフォーム内にユーザーが入力した情報を盗み、Webインジェクションを実行し、キーロギングを実行するなど、広範な悪意のある動作を実行することができます。また、Virtual Network Computing（VNC：バーチャル・ネットワーク・コンピューティング）を用いて犯罪者がユーザーのコンピューターにリモートアクセスすることを可能にするほか、受け取ったコマンドに従ってSOCKSプロキシサーバーを動作させ、様々なプラグインをダウンロード・インストールします。

これまでの同種のマルウェアと異なり、 Trojan.Gozi はP2Pボットネットを構築することができます。これにより、トロイの木馬は暗号化された情報を感染したコンピューターに直接送信することが可能です。この脅威に関する詳細についてはこちらの記事をご覧ください。

Dr.Web CureIt!による統計

• Trojan.InstallCore.1903

  望まない悪意のあるアプリケーションをインストールするトロイの木馬です。

• Trojan.StartPage

  ブラウザ設定内でホームページを変更するマルウェアファミリーです。

• Trojan.Zadved

  ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。

• Trojan.DownLoader

  感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。

Dr.Webの統計サーバーによる統計

• Trojan.InstallCore.1903

  望まない悪意のあるアプリケーションをインストールするトロイの木馬です。

• BackDoor.IRC.NgrBot.42

  2011年から情報セキュリティリサーチャーに知られている、一般的なトロイの木馬です。このファミリーに属する悪意のあるプログラムは、IRC（Internet Relay Chat）テキストメッセージプロトコル経由でサイバー犯罪者によってコントロールされる感染したシステム上で、犯罪者から受け取ったコマンドを実行することができます。

• JS.Redirector

  JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ユーザーを異なるWebページ（悪意のあるサイトや偽のサイトを含む）へリダイレクトするよう設計されています。

• JS.Downloader

  JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

• Trojan.Zadved

  ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。

メールトラフィック内で検出された脅威の統計

• JS.Downloader

  JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

• Trojan.InstallCore.1903

  望まない悪意のあるアプリケーションをインストールするトロイの木馬です。

• Trojan.PWS.Stealer

  感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

暗号化ランサムウェア

危険なWebサイト

2016年4月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は749,173件となっています。

4月には、多くのインターネットユーザーがインターネット詐欺による被害を受けました。偽のサイトは本物のオンラインショップとほとんど同じ機能を備えていましたが、そのデザインはすべて同じテンプレートを使用したものとなっています。

その他の脅威

コンピューターシステムやリモートネットワークへの侵入を果たすために、犯罪者はしばしばソフトウェアの脆弱性を悪用します。一方で、サーバーアプリケーションおよびその他のプログラムにおける誤った設定もまた、より深刻なリスクをもたらす可能性があります。4月、Doctor Webスペシャリストは、DNSおよびWebホスティングサービスを提供する大手企業の所有するハードウェアが誤って設定されているということを発見しました。その結果、同企業のクライアントは登録したサブドメイン、中でも特に社内用のサブドメインを全世界に公開してしまうことになりました。これらのドメインは非公開サーバーやバージョン管理システム（VCS）、バグトラッカー、Wikiリソースなどの構築に利用される可能性があります。また、ドメインリストを取得することで、犯罪者は容易にネットワークを調査し、脆弱性を見つけることができます。この脅威に関する詳細についてはこちらの記事をご覧ください。

さらに、Linuxを狙う新たなバックドアLinux.BackDoor.Xudp.1がDoctor Webセキュリティリサーチャーによって発見されました。その主な特徴は、特定のアドレスに対してUDPパケットを送信するために設計されたハッキングユーティリティ経由でシステム内に侵入するという点にあります。すなわち、サーバーに対して攻撃を試みたLinuxユーザーがトロイの木馬の被害者となります。

Linux.BackDoor.Xudp.1 は指定されたリモートサーバーに対して様々なリクエストを継続的に送信する、DDoS攻撃を実行する、そして任意のコマンドを実行する機能を備えているということがセキュリティリサーチャーによって明らかになっています。また、指定されたIPアドレスの範囲内でポートをスキャン、特定のファイルを実行、あらゆるファイルをサイバー犯罪者に送信するほか、その他様々な機能を実行することができます。この脅威に関する詳細についてはこちらの記事をご覧ください。

4月の終わりには、Google Chrome向けプラグインを装いFacebookユーザーに対してスパムメッセージを送信するマルウェアTrojan.BPlug.1074が発見されました。このトロイの木馬は他の危険なChrome向け拡張機能を拡散するために使用されていました。2016年4月29日時点で、既に12,000を超えるFacebookユーザーがTrojan.BPlug.1074による被害を受けています。この脅威に関する詳細についてはこちらの記事をご覧ください。

モバイルデバイスを脅かす悪意のある、または望まないソフトウェア

Dr.Web for Androidによって収集された統計によると、4月に最も多く検出された悪意のある・望まないプログラムは、しつこく広告を表示させるモジュールとなっています。多くの場合、このようなモジュールは迷惑な広告を表示させるだけでなく、個人情報を盗み、様々なソフトウェアをダウンロード・インストールすることでサイバー犯罪者が収益を得るように設計されています。また、4月にはAndroid.GPLoader.1.originと名付けられた新たなトロイの木馬も発見されました。このトロイの木馬は密かに別のアプリケーションをインストールします。

中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです：

• しつこく広告を表示させるAndroid向けモジュールの拡散が増加
• 様々なソフトウェアを密かにインストールする新たなトロイの木馬が出現