2018年3月のウイルスレビュー
2018年4月3日
株式会社Doctor Web Pacific
3月には、Doctor Webのスペシャリストによって新たな悪意のあるプログラムが多数発見されました。3月の初めには、Mail.Ruからのものを装った大量のフィッシングメールが検出され、 Trojan.LoadMoney ファミリーに属する新たなトロイの木馬が複数発見されています。3月中旬には、 Trojan.PWS.Stealer.23012 と呼ばれる危険なトロイの木馬が検出されました。このトロイの木馬は感染したデバイスからファイルやその他の機密情報を盗みます。そのほか、3月にはGoogle Androidを標的とした幅広い悪意のあるプログラムが検出されています。
3月の主な傾向
- フィッシングメールの大量配信
- Trojan.LoadMoney ファミリーの新たな亜種の拡散
- 機密情報を盗む危険なトロイの木馬の出現
3月の脅威
2018年3月11日、サイバー犯罪者が悪意のあるプログラムへのリンクをYouTube動画のコメント内で公開し、 Trojan.PWS.Stealer.23012 の拡散が始まりました。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に関するものです。サイバー犯罪者はトロイの木馬をそのようなアプリケーションやその他の便利なユーティリティとして拡散させようとしています。
このトロイの木馬は感染したコンピューター上のCookieファイルのほか、一般的な複数のブラウザからログイン認証情報を盗み、また、スクリーンショットを作成し、Windowsデスクトップからファイルをコピーします。収集された情報は、感染したデバイスの位置情報に関するデータと一緒にサイバー犯罪者のサーバーに送信されます。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
- Trojan.Zadved
- ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
- Trojan.Moneyinst.520
- 他のトロイの木馬を含むさまざまなソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。
- Trojan.Encoder.11432
- 被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。 WannaCryとしても知られています。
Doctor Web統計サーバーによる統計
- BackDoor.Meterpreter.56
- サイバー犯罪者が感染したコンピューターを遠隔操作し、様々なコマンドを送信することを可能にするマルウェアファミリーに属する亜種です。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- BackDoor.IRC.Bot.4771
- サイバー犯罪者が感染したコンピューターを遠隔操作し、様々なコマンドを送信することを可能にするマルウェアファミリーに属する亜種です。このトロイの木馬は IRC(Internet Relay Chat) テキストメッセージプロトコル経由でコントロールされます。
- Trojan.Encoder.11432
- 被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。 WannaCryとしても知られています。
- JS.DownLoader
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
メールトラフィック内で検出された脅威の統計
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Encoder.24788
- ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。
- Java.Jrat.58
- リモートでコンピューターをコントロールするマルウェア(リモートアクセスツール、RAT)です。この悪意のあるプログラムはJavaで書かれています。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2018年3月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。
- Trojan.Encoder.858 — リクエストの15.38%
- Trojan.Encoder.11464 — リクエストの7.26%
- Trojan.Encoder.11539 — リクエストの6.62%
- Trojan.Encoder.24249 — リクエストの5.77%
- Trojan.Encoder.567 — リクエストの3.63%
- Trojan.Encoder.2667 — リクエストの2.35%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
3月初旬、Mail.Ruからのものを装ったフィッシングメールの大量配信が確認されました。これらのメールの内容は、Mail.Ruサーバー上でアカウントがブロックされているとユーザーに警告し、再度承認を行うよう提案するものでした。メールに記載されたリンクは偽のMail.Ruサイトにつながるもので、ユーザーが入力した情報は即座にサイバー犯罪者へ送信されるようになっています。
偽サイトのアドレスはDr.Web OfficeおよびParental Controlのデータベースに追加されました。
2018年3月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は624,474件となっています。
2018年2月 | 2018年3月 | 推移 |
---|---|---|
+ 1,174,380 | + 624,474 | - 46.8% |
情報セキュリティに関するその他のイベント
感染させたコンピューター上に他の危険なアプリケーションをダウンロードする Trojan.LoadMoney トロイの木馬ファミリーは2013年より知られています。3月、Doctor Webのウイルスアナリストは、この Trojan.LoadMoney ファミリーの新たな複数の亜種について調査を行いました。ウイルス開発者は悪意のあるコードに視覚的な特徴を与えていないため、これらトロイの木馬はいずれも感染したシステム内で姿を現しません。そのため、その悪意のある活動を検出することは困難です。この脅威に関する詳細については、こちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
3月、Doctor Webのスペシャリストは、40を超えるモデルのAndroidスマートフォンでファームウェア内に埋め込まれていた Android.Triada.231 に関する調査の結果を公表しました。 Android.Triada.231 はあらゆるアプリケーションのプロセスを感染させ、悪意のある様々な動作を密かに実行します。3月には、新たなトロイの木馬が多数Google Play上で検出されました。それらの中には、あらゆるWebページを読み込み、表示することのできる Android.Click ファミリーに属する亜種が含まれています。そのほか、 Android.BankBot.344.origin も検出されています。また、 Android.BankBot.149.origin のソースコードを基に作成された新たなバンキング型トロイの木馬も発見され、そのうちの1つは Android.BankBot.325.origin と名付けられました。このトロイの木馬はフィッシングウィンドウを表示させ、サイバースパイ行為を実行し、サイバー犯罪者が感染したデバイスにリモートでアクセスすることを可能にします。
3月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。
- Androidスマートフォンの数十のモデルでトロイの木馬を検出
- 新たなバンキング型トロイの木馬の登場
- Google Play上で悪意のあるプログラムを検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。