Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2016年10月のウイルスレビュー

2016年11月1日

株式会社Doctor Web Pacific


Doctor Webは2016年10月のウイルスレビューをここに報告します。10月の初め、Go言語で書かれたランサムウェア型トロイの木馬がDoctor Webのスペシャリストによって発見されました。同月半ばにはLinux向けの新たなバックドアが発見され、月全体を通してAndroidを標的としたマルウェアの拡散が続きました。


2016年10月、Doctor WebのスペシャリストはGo言語で書かれた初のランサムウェア型トロイの木馬について解析を行い、このトロイの木馬によって暗号化されてしまったファイルを復元する方法を開発しました。その後間もなくして、サイバー犯罪者から受け取ったコマンドを実行する機能を備えたLinux向けバックドアが発見され、10月全体を通してAndroidを標的としたトロイの木馬が拡散されました。

10月の主な傾向

  • Go言語で書かれたランサムウェア型トロイの木馬の登場
  • Linuxを標的とした新たなトロイの木馬
  • Androidを標的とした新たなトロイの木馬

10月の脅威

ランサムウェア型トロイの木馬は最も危険な悪意のあるプログラムであると考えられています。これらプログラムの新しいバージョンは毎月のように登場していますが、この度、Go言語で書かれたものが初めて発見され、 Trojan.Encoder.6491 という名前でDr.Webウイルスデータベースに追加されました。

このトロイの木馬はAES暗号アルゴリズムを使用して140種類のファイルを暗号化します。その際、ファイル名をBase64でエンコードし、「.enc」拡張子を付けます。例えば、「Test_file.avi」というファイル名は「VGVzdF9maWxlLmF2aQ==.enc」に変換されます。次に、仮想通貨Bitcoinによる身代金の支払いを要求する「Instructions.html」ファイルをブラウザウィンドウ内に開きます:

Trojan.Encoder.6491 #drweb

Trojan.Encoder.6491 は身代金の支払先となるBitcoinウォレットを定期的にチェックし、入金が確認されると組み込まれた機能を使用して自動的にファイルを復号化します。Doctor Webではこのマルウェアによって暗号化されたファイルを復号化する新たな手法を開発しました。 この脅威と復号化手法に関する詳細についてはこちらの記事をご覧ください。

Dr.Web CureIt!による統計

According to statistics collected by Dr.Web CureIt! 10.2016 #drweb

  • Trojan.Zadved
    ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
  • Trojan.BtcMine.793
    感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬です。
  • Trojan.LoadMoney
    アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。
  • Trojan.DownLoader
    感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
  • Trojan.InstallCore.1903
    望まない悪意のあるアプリケーションをインストールするトロイの木馬です。

Dr.Webの統計サーバーによる統計

According to Doctor Web’s statistics servers 10.2016 #drweb

  • JS.Downloader
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
  • JS.Redirector
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ユーザーを別のWebページへ自動的にリダイレクトするよう設計されています。
  • Trojan.Zadved
    ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
  • W97M.DownLoader
    オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

メールトラフィック内で検出された脅威の統計

Statistics concerning malicious programs discovered in email traffic 10.2016 #drweb

  • JS.Downloader
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
  • JS.Redirector
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ユーザーを別のWebページへ自動的にリダイレクトするよう設計されています。

Dr.Web Bot for Telegramによって収集された統計

According to statistics collected by Dr.Web Bot for Telegram 10.2016 #drweb

  • Joke.Locker.1.origin
    Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
  • Trojan.PWS.Spy.11887
    ユーザーのパスワードなどの個人情報を盗む、Windows向けトロイの木馬です。
  • Android.Spy
    Androidを標的とする多機能なトロイの木馬ファミリーです。SMSを送受信する、GPS位置情報を取得する、ブラウザ内のブックマークを読み込み保存する、デバイスのIMEIおよび電話番号を取得することができます。
  • Trojan.PWS.Siggen1.1167
    ユーザーのパスワードを盗む、Windows向けトロイの木馬です。
  • Android.Locker.139.origin
    Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。

暗号化ランサムウェア

Encryption ransomware 10.2016 #drweb

2016年10月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:

  • Trojan.Encoder.858 — リクエストの26.85%
  • Trojan.Encoder.761 — リクエストの21.01%
  • Trojan.Encoder.3953 — リクエストの5.25%
  • Trojan.Encoder.567 — リクエストの4.61%
  • Trojan.Encoder.3976 — リクエストの2.92%

Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。

この機能はDr.Web Anti-virus for Windowsには含まれていません。

データ損失防止
Preventive ProtectionData Loss Prevention

危険なWebサイト

2016年10月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は338,670件となっています。

2016年9月2016年10月推移
+298,985+338,670+13.27%

これら非推奨サイトには詐欺サイトが含まれています。犯罪者はインターネットユーザーを騙すための新しい方法を次々と編み出し続けています。

詐欺サイト「Detector Millionaire」の制作者は、スパム配信によって被害者を増やしています。同サイトを訪問したユーザーは「Detector Millionaire」プログラムを試すよう誘導され、これによりプログラムの制作者は既に数百万ドルの利益を得ていると推定されています。このプログラムを使用するために、被害者は一定の金額を犯罪者のアカウントに入金するよう要求されますが、手付金として預けたお金は一切戻ってきません。また、ドメイン登録データベースで簡単な検索を行った結果、「detektor-millionera.com」は他にも多くの疑わしいWebリソースを所有しているBob Douglasという人物によって管理されているということが明らかになりました。

Linuxを標的とするトロイの木馬

10月初頭より、Doctor WebではLinux向けトロイの木馬による攻撃が40,756件確認されており、そのうち35,423件がSSHプロトコル経由、5,333件がTelnetプロトコル経由によるものとなっています。以下の円グラフは最も多く検出されたLinux向けトロイの木馬の割合を示しています:

The most frequently detected Trojans for Linux 10.2016 #drweb

  • Linux.Downloader
    感染したコンピューター上に他のマルウェアをダウンロード・インストールするよう設計された、Linux向けの悪意のあるプログラムやスクリプトのファミリーです。
  • Linux.BackDoor.Fgt
    DDoS攻撃を実行するよう設計されたトロイの木馬のファミリーです。MIPSやSPARCアーキテクチャ向けのバージョンなど、異なるLinuxディストリビューションを対象とした多数の亜種が存在します。
  • Linux.DDoS.Xor
    様々なネットワークノードに対してDDoS攻撃を実行するよう設計された、Linux向けトロイの木馬ファミリーです。

以下の図は、Linuxデバイス上にマルウェアプログラムをインストールする際に使用されていたIPアドレスの地理的分布を表しています:

Spread of the IP addresses for Linux 10.2016 #drweb

10月の末には、Linuxを標的としたバックドア型トロイの木馬 Linux.BackDoor.FakeFile.1 がPDFファイルやMicrosoft Officeファイル、Open Officeファイルとして拡散されていました。このトロイの木馬は以下のコマンドを実行することができます:

  • 現在のセッション中に送信されたメッセージ数をC&Cサーバーに送信する
  • 指定されたフォルダの内容一覧を送信する
  • 指定されたファイルまたはフォルダとその全ての内容をC&Cサーバーへ送信する
  • ディレクトリを削除する
  • ファイルを削除する
  • フォルダの名前を変更する
  • 自身を削除する
  • プロセスの新しいコピーを実行する
  • 現在のセッションを閉じる
  • コネクトバック通信を確立しshを実行する
  • コネクトバック通信を終了する
  • 書き込みのためにプロセスの実行ファイルを開く
  • プロセスファイルを閉じる
  • ファイルまたはフォルダを作成する
  • 送信された値をファイルに書き込む
  • 指定されたディレクトリ内にあるファイルの名前、パーミッション、サイズ、作成日を取得する
  • 指定されたファイルに権限777を与える
  • バックドアの動作を終了する

この脅威に関する詳細についてはこちらの記事をご覧ください。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

10月はGoogle Play上での Android.SockBot.1 の発見で幕を開けました。このトロイの木馬は感染させたモバイルデバイスをプロキシサーバーとして動作させ、インターネットトラフィックをリダイレクトすることができます。

中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:

  • モバイルデバイスをプロキシサーバーとして動作させる機能を備えた新たなトロイの木馬 Android.SockBot.1 をGoogle Play上で発見

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F