2017年3月のウイルスレビュー

毎月ウィルスレビュー | 全てのニュース
[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Overview" }, { box => "Threat of the month" }, { box => "Statistics" }, { box => "Encryption ransomware" }, { box => "Dangerous websites" }, { box => "Mobile devices" } ] %] [% BLOCK global.tpl_blueprint.content %]

2017年4月6日

株式会社Doctor Web Pacific


Doctor Webは2017年3月のウイルスレビューをここに報告します。春最初の月はオンライン詐欺の増加が目立ちました。また、DDoS攻撃を実行するよう設計された、新たなLinux向けトロイの木馬がDoctor Webのセキュリティリサーチャーによって発見されています。

2017年の春は活発化するインターネット詐欺や悪意のあるソフトウェアの拡散で幕を開けました。また、DDoS攻撃を実行するよう設計されたLinux向けトロイの木馬が発見され、Androidデバイスの画面上に迷惑な広告を表示させるモジュールの組み込まれたプログラムがGoogle Play上に登場しました。既に5000万人以上のユーザーがこのアプリケーションをインストールしています。そのほか、潜在的に危険なインターネットリソースが多数Dr.Webの非推奨サイトデータベースに追加されています。

3月の主な傾向

  • 新たなLinux向けトロイの木馬の登場
  • 多数の詐欺サイトを発見
  • 迷惑な広告を表示させるモジュールおよびAndroid OSを標的とするトロイの木馬の拡散

3月の脅威

Linuxを標的とするマルウェアの多くは、感染させたデバイス上に他のトロイの木馬をダウンロード、プロキシサーバーを設置、またはDDoS攻撃を実行するよう設計されています。3月にDoctor Webのセキュリティリサーチャーによって発見され Linux.DDoS.117 と名付けられたトロイの木馬は、これらのうち最後の機能を実行するものでした。

この悪意のあるプログラムには、Intel x86、 M68K、 MIPS、 MIPSEL、 SPARC、 SH4、 Power PC、 ARMアーキテクチャ向けのバージョンがあります。起動された Linux.DDoS.117 はインターネット接続を待ち、接続が確立されると、感染したデバイスに関する情報を犯罪者に送信します。このトロイの木馬はコマンドインタープリタSHを使用して、受け取ったコマンドを実行します。サイバー犯罪者は特殊なコマンドを使用して攻撃対象ホストの名前とDDoS攻撃の時間に関するデータをトロイの木馬に送信します。 Linux.DDoS.117 に関する詳細については、こちらのテクニカル情報(英語)をご確認ください。

Dr.Web Anti-virusによる統計

According to Dr.Web Anti-virus statistics #drweb

  • Trojan.InstallCore
    望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。
  • Trojan.SMSSend.7306
    インストーラの組み込まれたアーカイブとして拡散される悪意のあるプログラムのファミリーに属します。高額なサービス番号にSMSを送信してインストールを継続するようユーザーを誘導することでアーカイブのコンテンツへのアクセスを獲得するか、または電話番号を指定して受信したメッセージに含まれるコードを入力するよう誘導することで有料サービスへの登録を確定させます。Trojan.SMSSendの主な目的は身代金を得ることです。
  • Trojan.LoadMoney
    アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。
  • Win32.Virut.5
    実行ファイルを感染させ、感染させたコンピューターをリモートで操る機能を備えた複雑なポリモーフィック型ウイルスです。

Doctor Web統計サーバーによる統計

According to Doctor Web statistics servers #drweb

  • JS.DownLoader
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
  • Trojan.InstallCore
    望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。
  • Trojan.Click2.9790
    様々なウェブサイトのトラフィックを増やすよう設計されたトロイの木馬ファミリーです。このようなトロイの木馬はブラウザをコントロールすることで、ユーザーのリクエストを該当するウェブページへリダイレクトさせます。
  • Win32.HLLW.Shadow
    リムーバブルメディアやネットワークドライブ経由で自信を複製するワームです。また、標準的なSMBプロトコルを使用してネットワーク経由で拡散されます。C&Cサーバーから実行ファイルをダウンロードし、実行するよう設計されています。

メールトラフィック内で検出された脅威の統計

Statistics on malicious programs discovered in email traffic #drweb

  • JS.DownLoader
    JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
  • Trojan.InstallCore
    望まない悪意のあるアプリケーションをインストールするインストーラのファミリーです。
  • Trojan.PWS.Stealer
    感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

Dr.Web Bot for Telegramによって収集された統計

According to statistics collected by Dr.Web Bot for Telegram #drweb

  • Android.Locker.139.origin
    Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。
  • Android.HiddenAds.24
    モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。
  • Android.SmsSend.15044
    有料番号に対してSMSメッセージを送信し、ユーザーを有料サービスや有料コンテンツを配信するサービスに登録するするよう設計された悪意のあるプログラムのファミリーに属するトロイの木馬です。
  • Joke.Locker.1.origin
    Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
  • Android.Spy.178.origin
    ユーザーのパスワードなど個人情報を盗むWindows向けトロイの木馬です。

暗号化ランサムウェア

Encryption ransomware #drweb

2017年3月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:

3月の初め、ランサムウェア型トロイの木馬Dharmaによって使用されているプライベートキーのリストへのリンクがbleepingcomputer.comフォーラムのユーザーによって公表されました。Doctor Webの分類に従って Trojan.Encoder.3953と名付けられたこのエンコーダーのプライベートキーがリークされたのはこれで2度目になります。このトロイの木馬によって暗号化されたファイルには、サイバー犯罪者のメールアドレスを含んだサフィックスと、 .xtbl、 .CrySiS、 .crypted、 .crypt、または.lockの拡張子が付けられます。キーがリークされたおかげで、Doctor Webでは早くも3月2日に、 Trojan.Encoder.3953によって暗号化されたファイルを復号化する方法を開発することに成功しています

また、3月には Trojan.Encoder.10465 によって暗号化されたファイルを復号化するアルゴリズムがDoctor Webのスペシャリストによって開発されました。このトロイの木馬はDelphiで書かれており、感染したファイルには「.crptxxx」という拡張子が付けられます。このエンコーダーに関する詳細と、感染してしまった場合の推奨される対処方法についてはこちらの記事をご覧ください。

Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。

この機能はDr.Web Anti-virus for Windowsには含まれていません。

データ損失防止
Preventive ProtectionData Loss Prevention

詳細はこちら

危険なウェブサイト

2017年3月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は223,173件となっています。

2017年2月2017年3月推移
+ 134,063+ 223,173+ 66.46%

3月、インターネットサイトのオーナーや管理者を標的とした500を超える詐欺サイトがDoctor Webのセキュリティリサーチャーによって発見されました。それらの多くは、インターネット検索結果でのサイトの表示順位の向上を提案する内容のメールをYandexからのものを装って送信していました。メールには、サービスに対する支払いのためのフォームが表示されるページへのリンクが含まれています。

screenshot #drweb

これは、支払いを済ませた被害者にサービスが提供されることはないという、一般的なよくある詐欺です。サイバー犯罪者はこのようなページを500以上も作成し、それらを複数のリース契約オンラインサイト上に置いています。

非推奨サイト

モバイルデバイスを脅かす悪意のある、または望まないプログラム

3月、Doctor Webのスペシャリストは新たな広告モジュールをGoogle Play上で発見し、 Adware.Cootek.1.origin と名付けました。このモジュールはTouchPalと呼ばれるスクリーンキーボードアプリに組み込まれていました。TouchPalがインストールされると、 Adware.Cootek.1.origin は削除することのできないウィジェットを作成し、ロック画面上にバナーを組み込むなど、様々な種類の迷惑な広告を表示させます。また、モバイルデバイスのロックが解除されると直ちにバナーを表示させる機能も備えています。

中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:

  • Google Play上で、組み込まれた攻撃的な広告モジュールを発見

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。

追加情報

ウィルス統計 Virus descriptions ウィルスレビュー

[% END %]
新着ニュース 全てのニュース