RSS | ディスカッション | アンケート  




全ての脅威

ウイルス

ハッカー

スパムメール

サイト全体    ウイルスについて
   
ウイルス百科事典
リスクウェア 警告
分析
最新ニュース
用語集
研究者日記(weblog)


有害プログラムの環境
有害プログラムのトレンド

 
**** ウイルス検索 ****

 

  ホーム / ウイルス / ウイルス百科事典 / 有害プログラムのトレンド

有害プログラムのトレンド

ワーム − 2003年の傾向

我々が今日ウイルス感染の傾向を観察するところでは、2003年下半期に彼等は主要なルートを確立しました。インターネットワーム Lovesan, Sobig, Swen, Sober は、全世界へ感染を引き起こしただけで無く、おおいに有害プログラムにも変遷をもたらしました。これらの悪意があるプログラム各々は、ウイルス著者へ新しいスタンダードをもたらしました。

一度、犠牲コンピュータを繁殖するかまたは感染させるために新しい技術を使う有害プログラムが現れれば、ウイルス著者は、すばやく新しいアプローチを採用します。今日の新しい脅威全ては、Lovesan, Sobig, Swen, Sober の特徴を組み入れました。それ故に、ウイルス著者は、現在何をしようとしているかを理解するために、将来もたらすかも知れないことを予測して、我々は注意深くワームの特徴を調べる必要があります。

Lovesan

Lovesan は、2003年8月に現れて数日で何百万もの世界中のコンピュータを感染させました。このインターネット、ワームは、MS Windows のクリティカルな脆弱性を搾取して繁殖しました。Lovesan は、IRC、P2P、Eメールのような方法を無視して、直接インターネット経由でコンピュータからコンピュータへ移動して広がりました。最初のモリスワームは、1988年にこの繁殖方法を使いました。しかし、ウイルス著者は、15年もの間この特殊の技術を利用することを考えつきませんでした。

ある程度は、Lovesan は Slammer's の足跡に続いて MS Windows の脆弱性を利用する模倣ワームでした。しかし、Slammer は2003年1月に不意を襲い約50万台のコンピュータを感染させたにも拘わらず、それは Lovesan と同じ伝染率を成し遂げませんでした。

Slammer は、最初のクラッシックなファイル無しワームでした。確かに、コーダーの様に正道をはずれた方法で実用的なファイル無しのワームを書くためには並外れたプログラミングスキルが要求されます。実際のところ、2004年3月に機知に富んで Slammer が現れて以来適度に成功をおさめたファイル無しワームは存在します。

Lovesan は、法人のサイトの一部を DoS 攻撃してワームの感染被害を及ぼす別の傾向を示しました。Lovesan は、マイクロソフトを攻撃しその攻撃が成功すると、何百万もの世界中のユーザがワームから彼等のコンピュータを防御するためのパッチをダウンロードすることが出来なかったでしょう。幸運にも、DoS 攻撃は失敗しましたがマイクロソフトはその要求に応えてウェブサーバを再構築しました。

要約 : Lovesan は、下記の傾向を示しました。

  • MS Windows のクリティカルな脆弱性を搾取する。
  • 犠牲となるコンピュータに直接接続してインターネット経由で波及する。
  • キーとなるウェブサイトに組織的な DoS 攻撃や DDos 攻撃をする。

Sobig.f

Sobig.f は、2003年8月に Lovesan のすぐ後を追って、21世紀最初の重大な電子メールワーム勃発となりました。Sobig.f によって10通の電子メールに一通の割合で感染させられました。電子メールのトラフィックは、アンチウイルスプログラムが発見し有害なプログラムとして削除し発信人への何百万もの通知メッセージを送信して増大しました。

Sobig.f は、いかなる脆弱性も搾取しませんでした。メッセージの属性(メッセージの件名など)も並外れたものではありませんでした。しかし、Sobig.f は、アンチウイルスプログラムから隠れて8月22日(全ての Sobig がゾンビをコントロールして秘密のコマンドを受け取る予定日)まで息を殺して待つ様なバックドア機能を含んでいました。運よく、コマンドが送り出されるはずだったサーバは、時間通りにシャットダウンしました。しかし、Sobig.f は、世界中の最も一般的なウイルスの1つとして生き残って、インターネットコミュニティにはびこり続けます。

大規模の感染は、わずかのコンピュータから乱暴に送り出されたクラシックなワームによっては引き起こされません。これらのクラシックなワームは、しばしば週あるいは月ごとに活動がピークに達します。Sobig.f は、このルールに従いませんでした。 それは、以前に前のバージョンによって感染させられたコンピュータを搾取します。Sobig.a は、2003年1月に現れ幾つかの修正を続け、ネットワークで次々と感染コンピュータを構築しました。かつて、臨界質量は、Sobig.f の攻撃によって達成させられました。

Sobig.f は、2004年に見られた大規模な電子メールワーム勃発を引き起こしました。そして、ある新しい技術が発明されるときまでこの傾向は続くでしょう。Sobig.f は、有害プログラムの世界に二つの革新的な技術をもたらしました。

  • 伝染性のプラットフォームとしての感染させられたコンピュータネットワークの構築。
  • スパム技術を使用しての有害プログラムのマスメーリング。

Swen

2003年9月18日にタイムスリップしましょう。朝早く、Kaspersky Lab は、ニュージーランドからサンプルを受け取りました。ワームは興味深く見えました、しかし、誰も伝染を予感しませんでした。しかし、6時間後に、世界中の感染させられたユーザからの助けを叫ぶ声は、新しく、危険なウイルスが騒々しい争いに加わったことを証明しました。

一見して、Swen は、標準的な波及方法(Eメール、IRC、P2P ネットワーク)を利用したもう一つのワームであるようでした。しかし、Swen は、そのびっくりするほど成功なソーシャルエンジニアリングのために群衆から目立ちました。ワームは、おそらく全てのセキュリティの脆弱性を確保するマイクロソフトのパッチを偽装して届きました。メッセージにはマイクロソフトのロゴ(あたかもマイクロソフトが発信源で、非常に説得のあるテキストと思わせるリンク)が含まれていました。Lovesan や Sobig の勃発に関して知れ渡ったことでおびえた受取人は、パッチが必須との教訓によって従順にリンクをクリックしました。Eメールは、多くの経験があるユーザでさえ、知識がないユーザの群れに加わってワームが送り出されるとは気がつかない程説得力のあるものでした。

結果として起きた勃発は、Lovesan や Sobig によって引き起こされたものより重大ではありませんでした。(たった350台のサーバを使って、Swen は広がりました。)しかし、Swen は、適切に実行された場合に、ソーシャルエンジニアリングの働きは、とても調子が良いことを証明しました。

Sober

Sober は、2003年からの興味深いワームのリストへの最終の参加者です。Sober は、Sobig のまねをしましたが多くの革新的な特徴を持っています。感染されたメッセージは、受取人の IP アドレスによって決められた多くの言語で届きました。Sober は、Sobig の削除ツールのふりをするソーシャルエンジニアリング技術を搾取しました。

2004年

2004年は、我々に多くの新しいオリジナルの悪意があるプログラムをもたらしました。これらの多くは、昨年開発され組み入れられました。多くの新しい特徴と概念ウイルスは、まだコンピュータがアンダーグラウンドで引き続き進化発展を遂げていることの証明です。

2004年1月

新しい不正中継 Mitglieder は、新しい年の最初の週に現れました。数千の ICQ ユーザは、それらに指定されたサイトを訪れるように勧めるメッセージを受けました。リンクをクリックしたユーザは、その時、救助のためにアンチウイルスベンダーを頼りにしました。サイトには、ユーザが気がつかないうちに犠牲PCでプロキシサーバをインストールして実行する MS IE の脆弱性を使うトロイの木馬が含まれていました。不正中継は、リモートのユーザが感染されたPCを使用してEメールを送受信することを可能にするためにポートをオープンしました。犠牲PCは、外へスパムを吐き出すゾンビに変形させられました。ウイルスの著者は、素早くMitglieder で紹介された2つの新しい技術を採用しました。

  • Eメールや ICQ 経由での感染させられたサイトへのリンクの大量メール発信。
  • 不正中継は、スパマーへ悪意のある閉ざされたリンクをもたらします。

最後に、Mitglieder は、また、ゾンビマシンのネットワークを作り出しました。しかし、世界中の人々は、Bagle が攻撃を加えた時にこれに関して知りました。

Bagle は、Mitglieder を書いた同じグループによって書かれたようです。Bagle は、不正中継サーバをインストールするか、インターネットからそれをダウンロードしました。とにかく、ワームは、Eメールによって繁殖する能力を持つ Mitglieder の改良型でした。おまけに、Bagle は、Mitglieder によって感染させられたPCから送られました。

そして最後に、現在までコンピュータ史上伝染性の最も重大なウイルスは、Mydoom.a ワームです。それは、( Sobig のような )あらかじめ感染させられたゾンビPCのネットワークを使い、( Swen のような )器用なソーシャルエンジニアリングを使って繁殖させ、( Lovesan のような )効果的なバックドア機能を組み込んで公共のサイトを DoS 攻撃を行いました。

この三つの特徴をコピーした連結ワームは、全ての記録を破りました。Mydoom.a は、最近のリーダー Sobig.f よりもより多くのEメールトラフィックを作り出し、外部アクセスのためにポートをオープンしスコットランドのウェブサイトを破壊し、何百万もの世界中のPCを感染させました。

Mydoom.a は、現在までその前任者の成功以上に、コンピュータ・ウイルス学で最も厳しい感染を作り出すことに努力しました。ワームは、同様に新しい技術を紹介しました。Mydoom によってインストールされたバックドアは、他の悪意のある著者にによって開発されました。新しいウイルスは、直ちに現れて Mydoom のバックドアコンポーネントを捜します。これらの新顔の多くは、バックドアによって Mydoom を削除して、 Mydoom の場所にそれらをインストールしてPCに侵入しました。これらの模倣者の多くは、ローカルな勃発を引き起こし、模倣ウイルス著者によって Mydoom ゾンビネットワークのローカルセグメントを占拠しました。

このように、我々は、もう一つの人気を得た技術を見ました。

  • その他のウイルスによって作り出された弱点やホールを使用して。

2004年2月

NetSky.b

このEメールワームは、感染されたPCのネットワークを使用して、Backdoor.Agobot を広げました。NetSky.b は、多くのワーム(Mydoom, Bagle, Mimail)を削除して前述した大部分の技術を証明しました。いわゆる「アンチウイルス」ウイルスのアイデアは、新しくありません。このおそらく役に立つ種類の最初の意義深い例、Welchia が2003年に現れました。Welchia は、Lovesan によって感染させられたPCをクリーンにするためにコンピュータに侵入しただけでは無く、Lovesan によって搾取された弱点を閉じるために、最初の場所へウインドウズのパッチをダウロードするよう試みました。

NetSky は、競争相手のウイルスを削除しただけでは無く、ウイルスの本体を暗号化してそれらの作者を不明にしました。 Mydoom の著者は、この挑戦を採用しませんでした。しかし、Bagle の作者は、こてを取り上げてウイルス戦争が始まりました。活動のピークで、1日の間にそれぞれのワームの3つのバージョンが現れました。

舌戦の問題を脇に置いて、Bagle と NetSky の作者は、いくつかの革新を紹介しました。

  • 競争相手ウイルスの活動的な削除。
  • アーカイブされたファイルの繁殖。(Bagle と NetSky の亜種)
  • パスワード保護された圧縮されたファイルの繁殖:パスワードは、テキスト文字列かグラフィックのどちらか。(Bagle)
  • Eメールによる繁殖を放棄して、代わりに、悪意があるプログラムは、感染させられたPCをワームの本体がダウンロードされたサイトにに接続するか、依然に感染されたPCからワームの本体をダウンロードすることによって広がりました。(NetSky)

前述された事件は、アーキテクチャーの発展と現代のアンチウイルスの機能で、ウイルス著者に重大な影響を与えました。

ワームの本体が勝手にEメールを勝手に送ることは、特に重要です。NetSky の亜種(NetSky.q)は、以前に感染させられたマシンにリンクをもつEメールを送ることによって広がりました。Bizex が、これに続きました。Bizex は、最初の ICQ ワームでした。それは、ICQ 経由でPCを貫通して、新しく感染されたPCを見つけて全ての ICQ に接続してワームの本体が置かれたサイトにリンクします。ユーザがリンクをクリックしたら、ワームの本体は、感染されたウェブサイトからダウンロードされ、サイクルが再び開始されます。Bizex は、Mitglieder (ICQ 経由で繁殖) と NetSky (感染されたウェブサイトへのリンクを送る) の特徴を結語することに成功しました。

2004年3月−5月

Sasser

2004年の最終の草分けウイルスは、現在まで4月遅くに現れた Sasser でした。このインターネットワームは、MS Windows のクリティカルな脆弱性を搾取して、Lovesan と同様なインターネット経由で犠牲PCに直接接続する方法で広がりました。Sasser は、ヨーロッパで重大な勃発を引き起こして、ただちに FTP サーバの脆弱性を取り上げました。Sasser の十代の作者(Sven Jaschan)が逮捕された時に、彼は、また NetSky ファミリーの作者であることを認めました。

新しい悪意があるプログラムのリリースの後、すぐにウイルス著者の逮捕が報じられました。

Sasser は、ウイルス著者がリサイクルと盗用に成功した技術を証明しました。Jaschan は、Lovesan によって開発された技術を使用し、その他のウイルス著者は、ただちに彼のアイデアを採用しました。

Plexus

Plexus は、全て繁殖可能な技術(インターネット、Eメール、P2P ネットワーク、LAN を使う Nimbda (2001年) 以来の最初のワームとして歴史に残りました。いくらかのウイルス著者が同時に多くのリソースを使いこなして以来3年が過ぎました。

Plexus は、潜在的に極めて危ない Mydoom のソースコードに基づくワームでした。ウイルス著者は、Sober の作者の足跡を追いました。Sober の部品は、いくらかの悪意があるプログラム「ドナー」よりも成功していた結果の盗用でした。

ワームのかなたへ

前述したワームは、最近のITの歴史で最も公にされた勃発を引き起こしました。しかし、悪意がある他の型は、コンピュータ、及びデータの安全保護に真剣な脅威を投げかけることが出来ます。それ故、ウインドウズ環境を含んで全体像を把握することは重要です。

その他の環境

Linux

現在まで、Linux ベースのプラットフォームは、主として rootkit 攻撃、及びシンプルなファイルウイルスの犠牲者です。しかし、Linux へ移行するユーザの増大に伴い公にされた脆弱性も増大していますが、まだ、新しい有害プログラムが作られていないのが現状です。

ハンドヘルド

PDA は、今では殆ど家庭用品です。最初の Palm OS のトロイの木馬は、200年9月に現れました。最初のポケットPCのコンセプトウイルス Duts が現れるのは遅くて2004年7月でした。これまでのところは、ハンドヘルドの世界では、重大なウイルス勃発はありません。しかし、それは、単に時間の問題です。ウイルス著者が、ハンドヘルドに保存された情報へアクセスする価値があることを見いだしたら、これらのデバイスのための有害プログラムは、疑いなく急速に進化することでしょう。

モバイルフォン

>モバイルフォンは、複雑にしてかつ広く使われています。これらの要因は、とくにディスプレイホンの出現で、ウイルス著者が有効にコンピュータ機能を持っていることに着目するでしょう。Symbian os が稼働するスマートフォンのコンセプトウイルスは、2004年6月に現れました。もし、ウイルス著者が携帯電話を開発することによって金持ちになる方法を識別すれば、ウイルスは不可避的に現れるでしょう。

 

Copyright © 1996 - 2014
Kaspersky Labs Japan
All rights reserved

Email:
  お問い合わせはこちら
  新しいウイルスはこちら