|
|
|
| ウイルス百科事典 |  |
リスクウェア | 警告 | |
|
ニュース | |
用語集 | |
研究者日記(weblog) |
 |
|
||||||||||||||||||||||||||||||||||||||||||||
ホーム
/ 分析
マルウェアマンスリーレポート:2011 年 6 月
6 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです:
6 月の主な出来事幸運なことに、この夏の最初の月は、特に大きなサイバー犯罪もなく、比較的平穏無事に過ぎました。途上国では、IT セキュリティに関するユーザーの知識不足につけこんでマルウェアが拡大し、先進国では、ユーザーの個人データや金融情報を狙うマルウェアが流行しました。ブラジルでは、スパイウェア「banker」がいつものように蔓延し、ロシアでは、これまで同様、さまざまな詐欺の手口にマルウェアが使われました。 近頃では、様々な会社が提供するクラウドサービスが話題を呼んでいます。6 月には、Amazon のクラウドサービスが、ブラジルのユーザーを標的とするマルウェアのホストおよび配信に利用されました。 このマルウェアは、ブラジル国内の 9 つの銀行の顧客データを盗む目的で設計されたものです。 犯行の成功率を高めるために、このマルウェアは、アンチウイルスプログラムの通常の動作と、オンラインバンキングの安全性を保つ特別なプラグインの動作をブロックします。また、デジタル証明書と Windows Live メッセンジャーの認証情報を盗用する機能も備えています。 ありふれた偽のアーカイバーや、コンピューターのロック解除と引き換えに金銭を要求するトロイの木馬ブロッカーに加えて、ロシアのハッカー達は、今度は仮想通貨システムである BitCoin を利用した金儲けを企てました。彼らがやるべきことは、被害者のマシン上のリソースを、少しの間乗っ取るだけです。 Kaspersky Lab のエキスパート達は、標的のマシン上で BitCoin の正規のファイルである bcm.exe を起動し、サイバーマネーの生成を試みるマルウェアを検知しました。 このファイルは、マルウェアプログラム内に埋め込まれ、マルウェアの起動後にハードドライブにコピーされます。BitCoin のサイト管理者が、攻撃者のアカウントを速やかに遮断したため、犯罪者が大金を手にすることはありませんでした。 Mac OS X に対するハッカー達の興味は、まだ失せてはいないようです。このプラットフォーム向けの偽のアンチウイルスプログラムが 5 月に検知され、6 月にはバックドア Backdoor.OSX.Olyx.a が流通しました。このマルウェアは、感染マシンの遠隔操作を可能にし、他のマルウェアをダウンロードしてプログラムを起動させたり、インタープリターにコマンドを送信して実行させる目的で利用されます。 6 月には、各国当局の連携によるサイバー犯罪撲滅作戦が数度にわたって実行され、大きな成果をもたらしました。米国では、2 つの世界的な犯罪グループによる、偽のアンチウイルスプログラムを用いて金銭を詐取する犯罪活動を停止させました。概算では、これらのグループによる被害総額は 7 千 4 百万米ドルにものぼります。これらのグループを閉鎖に追い込んだこの活動には、米国当局に加え、ドイツ、フランス、オランダ、スウェーデン、英国、ルーマニア、カナダ、ウクライナ、リトアニア、ラトビア、キプロスが加わりました。東南アジアの数か国では、約 600 名がオンライン詐欺の容疑で逮捕されました。この作戦には、中国、台湾、カンボジア、インドネシア、マレーシア、およびタイの警察も協力しました。ロシアでは、ロシアの有名なオンライン決済サービスプロバイダー ChronoPay のオーナーである、Pavel Vrublevsky が、競合相手に DDoS 攻撃を仕掛けた罪で逮捕されました。もう 1 つ、サイバー犯罪との戦いにおいて、立法レベルで重要な進展があったことをお伝えしておきましょう。6 月、日本の国会で、現行の法律へのある改正法案が可決され、マルウェアを作成または拡散した者には懲役が科せられることになりました。 マルウェアランキング前月と同様に、6 月のインターネット上のマルウェア Top 20 には、新しいプログラムが多数含まれていました。一方、ユーザー PC 上で検知された脅威 Top 10 の顔ぶれには、ほぼ変化がありませんでした。 インターネット上のマルウェアこの月も、インターネット上のマルウェア Top 20 の大半(Top 20 の内の 14 ポジション)は、リダイレクター、スクリプトダウンローダー、エクスプロイトなどのドライブバイ攻撃を仕掛けるマルウェアで占められています。 リダイレクター Top 20 には、次の 4 種類のリダイレクターがランクインしています: Trojan-Downloader.JS.Agent.fzn(12 位)、Trojan-Downloader.JS.Agent.gay(13 位)、Trojan-Downloader.JS.IFrame.cfw(14 位)、Trojan.JS.IFrame.tm(15 位)。 14 位、15 位のリダイレクターは、<iframe>タグを使用して、ユーザーを悪質なサイトに誘導するだけの原始的なものですが、12 位、13 位のリダイレクターには高度な技術が用いられています。これらは、正当な「.js」ファイルに感染するだけでなく、別の JavaScript のダウンロードも行います。ただし、これはアクティブなウィンドウ内でカーソルが動いた時のみです。この技術は、一部のサンドボックスやエミュレーターを回避する目的で使用されているようです。
ダウンローダー ランキング内のスクリプトダウンローダーは 2 つのグループに分類できます。最初のグループは、Trojan.JS.Redirector.pz(5 位)、Trojan.JS.Redirector.qa(7 位)、Trojan.JS.Redirector.py(8 位)、Trojan.JS.Redirector.qb(9 位)。もう 1 つは Trojan-Downloader.JS.Agent.gbj(11 位)と Trojan-Downloader.JS.Agent.gaf (19 位)です。 上記すべてのダウンローダーのメインスクリプトデータは、HTML タグ内に格納されます。最初のグループのスクリプトでは、<img> タグの alt パラメーターが使用されています。一方、2 番目のグループでは、 タグが使用されます。この方法もまた、JavaScript や HTML に完全に対応していないエミュレーターやサンドボックスを回避する目的で使用されているようです。これらのダウンローダーは、
CVE-2010-4452
および CVE-2010-0886
といった脆弱性を悪用して、Java エクスプロイトを実行します。PDF ドキュメントおよび HTML ページを埋め込むために iframe が使用され、「.exe」ファイルは Microsoft ソフトウェアにかなり以前から存在しているセキュリティホール、Adodb.Stream および MDAC を利用してダウンロードおよび実行されます。どうやら、いまだにこのセキュリティホールにパッチを当てていないユーザーが大勢いるようです。
エクスプロイト 注目すべきは、SWF ファイル内に、エクスプロイト Trojan-Downloader.SWF.Small.dj(20 位)が発見されたことです。この機能は、同じサーバーのフォルダー内の、別の悪質な SWF ファイルを密かに実行します。 PDF ドキュメント内で検出されるの 2 種類のエクスプロイト Exploit.JS.Pdfka.dyi(16 位) および Exploit.JS.Pdfka.duj(17 位) は、TIFF における脆弱性(CVE-2010-1885 )を攻撃します。PDF ファイルの分析を困難にするために、サイバー犯罪者は、エクスプロイトコードを複数のオブジェクト内に分割しています。たとえば、あるオブジェクト内に JavaScript の最初の部分を挿入し、2 番目のオブジェクトには最後の部分、3 番目のオブジェクトにメインのデータをといった具合です。またコードは多少難読化されています。変数名はランダムに与えられ、オブジェクト名および関数名も適当に生成されています。
Top 20 内のもう 1 つの新しいエクスプロイトは Exploit.HTML.CVE-2010-4452.bc(10 位) でした。このエクスプロイトは、単純な脆弱性 (CVE-2010-4452) を悪用しJava エクスプロイトをダウンロードして起動させ、<param> タグ経由で Java アプレットに特定のパラメーターを渡します。 サイバー犯罪者は、Exploit.HTML.CVE-2010-4452.bc をマスクで隠すことにしました。 タグ内の記号は、「&#番号」の羅列で置き換えられ、大文字小文字は入れ替えられていました。
ユーザー PC 上のマルウェア前述したように、ユーザー PC 上のマルウェアランキング Top 20 には、わずかな変化しかありませんでした。しかし、この常連の中にも、あまりなじみのない顔が混じっていました。それがファイルウイルス Virus.Win32.Nimnul.a です。 ファイル感染型ウイルス Nimnulこのマルウェアが初めて Top 20 内に現れたのは 5 月でした。そして、2か月の間に、20 位から 11 位に上昇しました。ファイルウイルスが廃れてきていることを考えると、これは珍しい現象です。近頃のサイバー犯罪者達は、ポリモーフィックパッカーでマルウェアを保護することを好みます(圧縮したマルウェアがパターン化されないように)。開発と維持が難しいにもかかわらず、検知されやすいファイルウイルスを、わざわざ使う価値があるのでしょうか。 Nimnul.a ウイルスは、ファイルの末尾に「.text」セクションを付加し、エントリポイントを変更します。感染ファイルが起動すると、OS 上で一意のウイルス識別子(Mutex)の存在を探します。Mutex オブジェクトが存在すれば、そのシステム上で別の感染ファイルが起動されていることになります。その場合、このウイルスは、オリジナルアプリケーションのみを実行します。Mutex が見つからない場合は、それを作成し、メインの Nimnul コンポーネントをディスク上にドロップします。このコンポーネントが、また別の悪質なライブラリーをディスクに書き込みます。 このマルウェアは、一般的なブラウザー用の個人の設定ファイルを盗み、リモートサーバーに接続させ、Web ページのすり替えを可能にします。 このウイルスの拡大は、autorun.inf と自身が感染させたファイルを悪用し、リムーバブルメディアを介して行われます。興味深いことに、このウイルスは、インド、インドネシア、バングラデシュ、およびベトナムで発見されています。これらは、Kaspersky Security Network による調査において、マルウェア検知率が最も高かった国々でした:バングラデシュ(85.76%)、インド(65.27%)、インドネシア(59.51%)、ベトナム(54.16%)。これらの国のユーザーは、明らかに、IT セキュリティに対する認識が甘く、修正パッチを当てないまま Windows OS を使用していると思われます。Microsoft は、2011 年 2 月 8 日に、リムーバブルメディアからの自動実行を無効にする修正プログラムを
インターネット上のマルウェアランキング Top 20
ユーザーの PC 上で検知されたマルウェアランキング Top 20
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2 
-2 
新規 
0 
リエントリ
Copyright © 1996 - 2013
Kaspersky Labs Japan
All rights reserved
Email:
お問い合わせはこちら
新しいウイルスはこちら
