2017年1月10日
株式会社Doctor Web Pacific
Doctor Webは2016年12月のウイルスレビューをここに報告します。12月は危険なアプリケーションをインストールするトロイの木馬が登場し、それらアプリケーションの中には消すことのできない広告を表示する機能を備えたものが含まれていました。そのほか、Androidを標的とする新たなマルウェアも発見されました。
2016年最後の月には、デバイスのシステムライブラリを感染させるAndroid向けトロイの木馬がDoctor Webのスペシャリストによって発見されました。また、望まないアプリケーションをインストールするよう設計された、Windows向けトロイの木馬も発見されています。同月後半にはポピュラーな多くのモバイルデバイスのファームウェアに組み込まれたAndroid向けトロイの木馬が複数発見されました。
12月の主な傾向
- 望まないアプリケーションをインストールするトロイの木馬の拡散
- Androidデバイスのファームウェア内で多数のトロイの木馬を検出
- システムライブラリを感染させるAndroid向けトロイの木馬の出現
12月の脅威
現在のトロイの木馬は、その多くが、様々なアプリケーションをコンピューター上に密かにダウンロード・インストールする機能を備えています。ウイルス開発者たちはアフィリエイトプログラムを使用することで、ソフトウェアのダウンロードによって収益を得ています。多くの場合、これらトロイの木馬は非常にシンプルなものですが、 Trojan.Ticno.1537 は異なっていました。起動されると、 Trojan.Ticno.1537 は仮想環境とデバッグツールが存在するかどうかを確認し、何も問題が見つからなかった場合のみ動作を開始します。このトロイの木馬は1.zipと名付けられたファイルをディスク上に保存し、Microsoft Windowsの「保存」ウィンドウに似たダイアログボックスを開きます:
左下に「Additional settings(追加設定)」リンクがあり、これをクリックすると、 Trojan.Ticno.1537 がコンピューター上にインストールするプログラムのリストが表示されます。それらプログラムには、Amigoブラウザ、Mail.Ru によって開発されたHomeSearch@Mail.ruプログラム、そしてトロイの木馬である Trojan.ChromePatch.1、 Trojan.Ticno.1548、 Trojan.BPlug.1590、 Trojan.Triosir.718、 Trojan.Clickmein.1、 Adware.Plugin.1400があります。この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web CureIt!による統計
- Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。
- Trojan.BtcMine.793
感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬です。
- Trojan.LoadMoney
アフィリエイトプログラムLoadMoney のサーバー上で作成されるダウンロードプログラムです。感染させたシステム上に望まないソフトウェアをダウンロード・インストールします。
- Trojan.Triosir.687
ユーザーがWebページを閲覧する際に迷惑な広告を表示させる、Webブラウザのプラグインです。
Dr.Webの統計サーバーによる統計
- JS.DownLoader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- Trojan.InstallCore
悪意のある望まないアプリケーションをインストールするトロイの木馬ファミリーです。
- JS.Redirector
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ユーザーを別のWebページへ自動的にリダイレクトするよう設計されています。
- BackDoor.IRC.NgrBot.42
2011年から情報セキュリティリサーチャーに知られている、一般的なトロイの木馬です。このファミリーに属する悪意のあるプログラムは、IRC(Internet Relay Chat)テキストメッセージプロトコル経由でサイバー犯罪者によってコントロールされる感染したシステム上で、犯罪者から受け取ったコマンドを実行することができます。
メールトラフィック内で検出された脅威の統計
- JS.Downloader
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- W97M.DownLoader
主にMicrosoft Word 文書の添付されたEメールによって拡散される悪意のあるプログラムです。感染させたコンピューター上に別のマルウェアをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker.139.origin
Android向けのランサムウェア型トロイの木馬です。このトロイの木馬のまた別の亜種はデバイスをロックし、法律違反に関する警告を表示させます。ロックを解除するために、ユーザーは身代金の支払いを要求されます。
- Joke.Locker.1.origin
Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD(Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
- BackDoor.Bifrost.29284
サイバー犯罪者から受け取ったコマンドを実行するバックドア型トロイの木馬です。
- Trojan.PWS.Spy.11887
ユーザーのパスワードなどの個人情報を盗む、Windows向けトロイの木馬です。
- Android.HiddenAds.24
迷惑な広告を表示させるトロイの木馬です。
暗号化ランサムウェア
2016年12月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。
この機能はDr.Web Anti-virus for Windowsには含まれていません。
データ損失防止 |
| |
危険なWebサイト
2016年12月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は226,744件となっています。
2016年11月 | 2016年12月 | 推移 |
+254,736 | +226,744 | -10.98% |
非推奨サイト
12月、Androidシステムライブラリを感染させて自身をアプリケーションプロセス内に挿入し、他のプログラムを密かにインストールする Android.Loki.16.origin が、Doctor Web のセキュリティリサーチャーによって発見されました。また、Androidモバイルデバイス数十機種のファームウェア内にプリインストールされた Android.DownLoader.473 と Android.Sprovider.7 も登場しました。これらトロイの木馬もまた、望まないアプリケーションをダウンロード・インストールします。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- システムライブラリを感染させ、アプリケーションプロセス内に自身を挿入するAndroid アプリケーションの登場
- 多数のAndroidデバイスにプリインストールされたマルウェアプログラムの検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。