Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

2017年10月のウイルスレビュー

2017年10月27日

株式会社Doctor Web Pacific


Doctor Webは2017年10月のウイルスレビューをここに報告します。10月に起こった最も注目すべき出来事は新たな暗号化ワームTrojan.BadRabbitによる攻撃であるということに、疑いの余地はありません。そのほか10月には、Linux搭載「スマート」デバイスを感染させる新たなトロイの木馬と、Pythonで書かれたバックドアについて、Doctor Webのウイルスアナリストによる調査が行われました。


2017年10月は、 Trojan.BadRabbit と名付けられた新たな暗号化ワームの出現によって、情報セキュリティスペシャリストのみでなく、すべてのインターネットユーザーにとって忘れられない月となるでしょう。このトロイの木馬の拡散は10月24日に始まり、主にロシアとウクライナのコンピューターが攻撃を受けました。

また、10月にはPythonで書かれたバックドアについて、Doctor Webのウイルスアナリストによる調査が行われました。この悪意のあるプログラムはポピュラーなブラウザから情報を盗み、キーストロークを記録し、感染したコンピューター上に様々なファイルをダウンロードして保存し、そしてその他の悪意のある機能を多数実行します。

そのほか、スペシャリストは様々な「スマート」デバイスを感染させるLinux向けトロイの木馬の新たなバージョンについても調査を行いました。

10月の主な傾向

  • 新たな暗号化ワームBadRabbitの拡散
  • Pythonで書かれた新たなバックドアの登場
  • IoTを標的とする新たなLinux向けトロイの木馬を検出

10月の脅威

これまでのものと同様、 Trojan.BadRabbit もまた、ユーザーの介入なしに自動的に拡散されるワームです。このワームは複数のコンポーネントで構成されています。ドロッパー、デコード機能も備えたエンコーダー、そして暗号化ワーム自体です。BadRabbit のコードの一部は、 NotPetya としても知られる Trojan.Encoder.12544 から引き継がれています。起動されると、このエンコーダーは C:\Windows\cscc.dat ファイルの存在を確認し、ファイルが見つかった場合は自身の動作を停止します(C:\Windowsフォルダ内での cscc.dat の作成が、トロイの木馬の起動による有害な影響を妨げることができるように)。

一部のリサーチャーによると、Trojan.BadRabitのソースは悪意のあるJavaScriptと一緒にHTMLコードが挿入されている感染した複数のWebサイトであるということです。エンコーダーは次の拡張子を持つファイルを暗号化します:

.3ds、 .7z、 .accdb、 .ai、 .asm、 .asp、 .aspx、 .avhd、 .back、 .bak、 .bmp、 .brw、 .c、 .cab、 .cc、 .cer、 .cfg、 .conf、 .cpp、 .crt、 .cs、 .ctl、 .cxx、 .dbf、 .der、 .dib、 .disk、 .djvu、 .doc、 .docx、 .dwg、 .eml、 .fdb、 .gz、 .h、 .hdd、 .hpp、 .hxx、 .iso、 .java、 .jfif、 .jpe、 .jpeg、 .jpg、 .js、 .kdbx、 .key、 .mail、 .mdb、 .msg、 .nrg、 .odc、 .odf、 .odg、 .odi、 .odm、 .odp、 .ods、 .odt、 .ora、 .ost、 .ova、 .ovf、 .p12、 .p7b、 .p7c、 .pdf、 .pem、 .pfx、 .php、 .pmf、 .png、 .ppt、 .pptx、 .ps1、 .pst、 .pvi、 .py、 .pyc、 .pyw、 .qcow、 .qcow2、 .rar、 .rb、 .rtf、 .scm、 .sln、 .sql、 .tar、 .tib、 .tif、 .tiff、 .vb、 .vbox、 .vbs、 .vcb、 .vdi、 .vfd、 .vhd、 .vhdx、 .vmc、 .vmdk、 .vmsd、 .vmtm、 .vmx、 .vsdx、 .vsv、 .work、 .xls、 .xlsx、 .xml、 .xvd、 .zip

データが暗号化されると、感染したコンピューターにはBitcoinでの身代金の支払いを要求するメッセージが表示されます。TOR上のサイバー犯罪者のサイトには、被害者は48時間以内に身代金を支払うよう記載されています。この時間を過ぎると要求される金額が上がります。

screenshot Trojan.BadRabbit #drweb

Trojan.BadRabbit についての調査は引き続き現在も行われています。Dr.Web Anti-virusはこの悪意のあるプログラムを検出・削除することができます。また、調査の結果、このトロイの木馬はシステム上にDr.WebとMcAfeeのアンチウイルスが存在するかどうかを確認するということが明らかになっています。Dr.Web製品が存在していた場合、 Trojan.BadRabbit はユーザーモードでの暗号化手順をスキップしますが、システムの再起動後にディスクの完全な暗号化を試みます。しかしながら、この動作はDr.Web Anti-virusによってブロックされます。したがって、Dr.Web Anti-virus 9.1以降およびDr.Web KATANAのユーザーは、予防的保護を無効にしていない限り、またはその設定を変更していない限り、 Trojan.BadRabbit の動作による被害を受けることはありません。

Dr.Web Anti-virusによる統計

According to Dr.Web Anti-virus statistics #drweb

Trojan.Exploit
ヒューリスティックによって検出された、正規のアプリケーションを侵害するために様々な脆弱性を悪用するエクスプロイトです。
Trojan.Inject
他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。

Doctor Web統計サーバーによる統計

According to Doctor Web’s statistics servers #drweb

JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
Trojan.Starter.7394
感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
JS.BtcMine.1
仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
BackDoor.Bebloh.184
バンキング型トロイの木馬ファミリーに属する悪意のあるプログラムです。ブラウザウィンドウ内のフォームを介して、または銀行のWebページ内に悪意のあるコードを埋め込むことで、ユーザーによって入力された機密情報を盗み取りサイバー犯罪者に提供する機能を備えていることから、オンラインバンキングサービス(RBS)を利用するユーザーにとって深刻な脅威となります。

メールトラフィック内で検出された脅威の統計

Statistics concerning malicious programs discovered in email traffic #drweb

JS.Inject.3
JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
VBS.DownLoader
悪意のあるJavaScriptのファミリーです。コンピューター上に悪意のあるソフトウェアをダウンロード・インストールします。
W97M.DownLoader
オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

Dr.Web Bot for Telegramによって収集された統計

According to Dr.Web Bot for Telegram data #drweb

Android.Locker
Androidを標的とするランサムウェア型トロイの木馬のファミリーです。これらトロイの木馬の様々な亜種はデバイスをロックし、ユーザーが違法行為を犯したとする警告を表示させます。ユーザーはデバイスのロックを解除するために身代金を支払うよう要求されます。
Android.Spy.337.origin
ユーザーのパスワードなど個人情報を盗むAndroid向けトロイの木馬です。
Android.Hidden
感染させたデバイスのアプリケーションリスト内で自身のショートカットを隠す機能を備えたAndroid向けトロイの木馬です。
Program.TrackerFree.2.origin
Mobile Tracker Freeと呼ばれる、子どもを追跡するアプリケーションです。

暗号化ランサムウェア

Encryption ransomware #drweb

2017年10月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:

危険なWEBサイト

2017年10月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は256,429件となっています。

2017年9月2017年10月推移
+ 298,324+ 256,429-14.0%

LINUXを標的とするマルウェア

10月、Linux搭載「スマート」デバイスを感染させるトロイの木馬について、Doctor Webウイルスアナリストによる調査が行われました。 Linux.IotReapper と名付けられたこの悪意のあるプログラムは、良く知られた Linux.Mirai のまた別の亜種です。 Linux.IotReapper はデバイスをハッキングするためにブルートフォース攻撃によってログインとパスワードを割り出すのではなく、エクスプロイトを起動させ、その結果を確認します。続けて、C&Cサーバーからのコマンドを待ちます。 Linux.IotReapper は感染させたデバイス上に様々なアプリケーションをダウンロードし、それらを実行します。また、2つのモジュール―Luaインタプリタと、8888番ポート上で動作し様々なコマンドを実行することもできるサーバー―を含んでいます。Dr.Web for Linuxは Linux.IotReapper を検出することができます。

その他の情報セキュリティイベント

10月の中旬、 Python.BackDoor.33 のシグネチャがDr.Webウイルスデータベースに追加されました。このトロイの木馬はPythonで書かれたバックドアです。この悪意のあるプログラムは自動的に拡散されます。 Python.BackDoor.33 がインストールされた後にコンピューターが再起動されると、このトロイの木馬はCからZまでの名前を持つすべてのドライブを感染させようとします。次に、トロイの木馬はpastebin.com、docs.google.com、notes.ioなどの複数のインターネットサーバーに対してリクエストを送信することで、IPアドレスとコントロールサーバーの使用可能なポートを検出しようと試みます。受信する値は以下のようになります:

screenshot Python.BackDoor.33 #drweb

特定の条件下で、Pythonで書かれたスクリプトをC&Cサーバーからダウンロードし、感染したコンピューター上で実行します。このスクリプトはパスワードを盗み(スティーラー)、キー入力を記録し(キーロガー)、リモートでコマンドを実行する(バックドア)機能を備えています。このスクリプトは感染したコンピューター上で以下の操作を実行することを可能にします:

Python.BackDoor.33 に関する詳細については、こちらの記事をご覧ください。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

10月には、Dr.Web によって Android.Banker.184.origin として検出される、Android向けの危険なランサムウェア型トロイの木馬の拡散についてメディアで報道されました。この悪意のあるプログラムは2017年8月よりDoctor Webセキュリティリサーチャーに存在を知られており、感染させたAndroidスマートフォンやタブレットの画面ロックのPINコードを変更し、ファイルを暗号化して、デバイスを元通り操作できるようにするために身代金を要求します。そのほか、10月にはGoogle Play上で Android.SockBot.5 が検出されています。このトロイの木馬は、感染させたモバイルデバイスをサイバー犯罪者がプロキシサーバーとして使用することを可能にします。

中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F