マルウェアマンスリーレポート：2009 年 9 月

今月のランキングでは、先月に比べて検知されたマルウェアの数が少なくなっていますが、これはヨーロッパ地域を中心に Kaspersky Anti-Virus および Kaspersky Internet Security の新しいバージョンがリリースされ、多くのユーザが新バージョンに移行したことに起因しています。今回の統計には、このバージョン 2010 がインストールされた PC 上の数字が含まれていませんが、今後は追加される予定です。

感染した PC の台数別マルウェアランキング

順位	順位変動	ウイルス名	感染した PC の台数
1	0	Net-Worm.Win32.Kido.ih	41033
2	0	Virus.Win32.Sality.aa	18027
3	0	not-a-virus:AdWare.Win32.Boran.z	12470
4	新規	Net-Worm.Win32.Kido.ir	11384
5	-1	Trojan-Downloader.Win32.VB.eql	6433
6	-1	Trojan.Win32.Autoit.ci	6168
7	3	Virus.Win32.Induc.a	5947
8	-2	Virus.Win32.Virut.ce	5433
9	新規	P2P-Worm.Win32.Palevo.jdb	5169
10	-2	Net-Worm.Win32.Kido.jq	4288
11	新規	Worm.Win32.FlyStudio.cu	4104
12	-5	Worm.Win32.AutoRun.dui	4071
13	-4	Virus.Win32.Sality.z	4056
14	6	P2P-Worm.Win32.Palevo.jaj	3564
15	-4	Worm.Win32.Mabezat.b	2911
16	新規	Exploit.JS.Pdfka.ti	2823
17	新規	Trojan-Downloader.WMA.Wimad.y	2544
18	0	Trojan-Dropper.Win32.Flystud.yo	2513
19	新規	P2P-Worm.Win32.Palevo.jcn	2480
20	新規	Trojan.Win32.Refroso.bpk	2387

Kido は依然として活発な動きを見せています。今回も、最近数ヶ月にわたって首位を占めている Kido.ih がトップになっているほか、Kido.ir が新たにランキングに入っています。リムーバブルメディアを通じて拡散するこのワームが生成する autorun.inf ファイルは、すべて Kido.ir の名前で検知されています。

また、ワーム Palevo が急速に拡散しているのも気になるところです。今回のランキングでは、このワームの亜種である Palevo.jdb と Palevo.jcn が新たにランクインしています。先月ランクインした Palevo.jaj もポジションを 6 つ上げています。リムーバブルメディアを通じて拡散するこれらのワームが上位を占めていることから、この拡散方法が非常に効果の高いものであることがわかります。

さらに、中国を発生源とする FlyStudio.cu がランクインしていることからも、リムーバブルメディアを通じた感染が多いことがわかります。FlyStudio.cu も、バックドア機能を備えているという点で、多くのマルウェアと共通しています。

今月新たにランクインしたマルウェアの 1 つは、過去すでにランキングに入っていた Wimad マルチメディアダウンローダの亜種である Trojan-Downloader.WMA.Wimad.y です。この亜種は、基本的に従来の亜種と同じく、起動時に悪意あるファイルをダウンロードして実行します。今回のケースでは、not-a-virus:AdWare.Win32.PlayMP3z.a を実行しています。

同じく新たにランクインした Exploit.JS.Pdfka.ti に関しては、2 つ目のランキングでご紹介します。

1 つ目のランキングで最も特徴的だったのは、自己増殖型マルウェアが依然として目立っていることです。

感染したWebページからのダウンロード試行回数別マルウェアランキング

順位	順位変動	ウイルス名	ダウンロード試行回数
1	0	not-a-virus:AdWare.Win32.Boran.z	17624
2	1	Trojan.JS.Redirector.l	16831
3	-1	Trojan-Downloader.HTML.IFrame.sz	6586
4	新規	Exploit.JS.Pdfka.ti	3834
5	新規	Trojan-Clicker.HTML.Agent.aq	3424
6	4	Trojan-Downloader.JS.Major.c	2970
7	-3	Trojan-Downloader.JS.Gumblar.a	2583
8	新規	Exploit.JS.ActiveX.as	2434
9	-1	Trojan-Downloader.JS.LuckySploit.q	2224
10	-3	Trojan-GameThief.Win32.Magania.biht	1627
11	新規	Exploit.JS.Agent.ams	1502
12	4	Trojan-Downloader.JS.IstBar.bh	1476
13	新規	Trojan-Downloader.JS.Psyme.gh	1419
14	新規	Exploit.JS.Pdfka.vn	1396
15	リエントリ	Exploit.JS.DirektShow.a	1388
16	-10	Exploit.JS.DirektShow.k	1286
17	リエントリ	not-a-virus:AdWare.Win32.Shopper.l	1268
18	リエントリ	not-a-virus:AdWare.Win32.Shopper.v	1247
19	新規	Trojan-Clicker.JS.Agent.jb	1205
20	新規	Exploit.JS.Sheat.f	1193

2 つ目のランキングは、先月に引き続きかなりの変動が見られました。

ランキングには Exploit.JS.Pdfka の 2 つの亜種が入っています。これは PDF 形式のファイルに含まれる Java スクリプトファイルであり、各種 Adobe 製品 (今回は Adobe Reader) の脆弱性を悪用するのに使用されます。Pdfka.ti は、2 年ほど前に発見された Collab.collectEmailInfo 関数の脆弱性 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659) を利用し、Pdfka.vn は同じく Collab オブジェクトの getIcon 関数の脆弱性 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) を利用します。

Adobe 製品では、バージョンにかかわらず、ここ数年間で脆弱性が数多く発見されています。サイバー犯罪者は近年、Adobe 製品のありとあらゆる脆弱性を悪用することに力を注いでいます。したがって、セキュリティパッチの適用されていない PC にマルウェアがダウンロードされる確率が高まっています。広く普及している大手メーカー製ソフトウェア (今回のケースでは Adobe) を利用する際は、セキュリティパッチがリリースされたらすぐに適用する必要があります。

Internet Explorer の脆弱性を悪用する Exploit.JS.DirektShow および Exploit.JS.Sheat については先月のレポートでご紹介しましたが、依然として活発な動きを見せています。亜種である DirektShow.a がランキングにリエントリしたほか、Sheat.f が新たにランクインしています。 その他、新たにランクインしたマルウェアは、iframe クリッカーか、悪意あるスクリプトの一部です。スクリプトが複数のパートに分割される方法については、7 月のマルウェアマンスリーレポート (http://www.kaspersky.co.jp/news?id=207578777) をご参照ください。

全体の状況としては、ここ 2 ヵ月の傾向が続いています。広く普及しているソフトウェアの脆弱性を悪用する Web マルウェアパッケージは依然として増え続け、サイバー犯罪者に犯行のチャンスを与えています。こうしたマルウェアの拡散には、感染した正規サイトに仕掛けられた iframe クリッカーが一役買っています。また、機密情報を盗む機能を持つマルウェアを使用して前もってパスワードなどを入手してあるため、サイバー犯罪者はこうした正規サイトにアクセスして別のマルウェアを仕掛けることが可能です。このような手順で構成されるセキュリティ侵害と感染のサイクルは、際限なく繰り返される可能性があります。

Web サイトを通じて最も多く感染の試みが観測された国