マルウェアマンスリーレポート : 2011 年 2 月

数字で見る 2 月

2 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです。

• ネットワーク攻撃が阻止された回数 : 228,649,852
• Web サイト経由での感染の試行回数 : 70,465,949
• ユーザーの PC 上で検知・駆除されたマルウェア数 : 252,187,961
• ヒューリスティック検知数 : 75,748,743

サイバー犯罪者、ドライブバイ攻撃をレベルアップ

2 月には、スクリプトダウンローダ用の部分的なデータを含む CSS (Cascading Style Sheets) の使用でかなりの進捗がみられました。マルウェアを拡散させる新しい方法は、多くのアンチウイルスソリューションによる悪意あるスクリプトの検知をより困難にしています。この方法は、現在多くのドライブバイダウンロード攻撃で使用されているもので、サイバー犯罪者はエクスプロイトを検知されることなくユーザーのマシンにダウンロードすることができます。

この方法を使用するドライブバイ攻撃では、通常は iFrame が使用され、ユーザーは感染した Web サイトから CSS データを含んだページにリダイレクトされます。このタイプの感染した Web ページのうち 3 つが 2 月のインターネット上で検知されたマルウェア TOP20 にランクインしています。Trojan-Downloader.HTML.Agent.sl は今回 1 位、Exploit.JS.StyleSheeter.bは 13 位、Trojan.JS.Agent.bte は 19 位となっています。

これらの感染した Web ページ上のスクリプトダウンローダーは 2 つのタイプのエクスプロイトをダウンロードします。1 つは脆弱性 CVE-2010-1885 を悪用するスクリプトダウンローダーで Exploit.HTML.CVE-2010-1885.ad の名前で検知され、今回 4 位にランクインしています。このエクスプロイトは 1 日あたり平均で 1 万人ものユーザーの PC 上で検知されました。

Exploit.HTML.CVE-2010-1885.ad ユニーク検知数 (2011年2月)

別のタイプのエクスプロイトは脆弱性 CVE-2010-0840 を悪用するもので、この種のマルウェア 3 つが今回のランキングで上位を占めています。(3 位の Trojan-Downloader.Java.OpenConnection.dd、7 位の Trojan.Java.Agent.ak、9 位の Trojan-Downloader.Java.OpenConnection.dc)

脆弱性 CVE-2010-1885 の悪用は以前にも見られましたが、CVE-2010-0840 が積極的に悪用されたのは今回が初めてです。

カスペルスキー製品のヒューリスティック検知モジュールが検知したマルウェアの統計からも、現在、CSS はドライブバイダウンロード攻撃においてエクスプロイトを保護する目的で最も広く使用されている方法であることがわかります。リダイレクトが行われたドメインの大部分は、カスペルスキー製品のアンチウイルス定義データベース上で「ブロック済み」として検知されています。

PDF の脆弱性、依然として脅威

カスペルスキー製品のヒューリスティックモジュールで生成されるデータ統計によると、PDF の脆弱性を悪用したエクスプロイトが検知された PC の台数（ユニーク数）は 5 万 8 千に及びます。PDF ファイルの脆弱性を悪用することは、現在、マルウェアをユーザーの PC にダウンロードさせる方法として最も広く使われています。

圧縮された Palevo

P2P ワームの Palevo を保護する悪意あるパッカーは、6 万 7 千台（ユニーク台数）もの PC上で検知されています。Palevo は Mariposa ボットネットの構築に使われていましたが、このボットネットは昨年スペイン公安当局によって閉鎖されました。最近このパッカーが再度拡散している事実は、サイバー犯罪者が新たなボットネットを構築するか、古いボットネットを復活させるかを試みていることによるものだと思われます。

このパッカーの興味深い点の 1 つは、圧縮されるファイルに大量のランダムなラインを追加することです。

圧縮された Palevo の一部

モバイル上の脅威

Android

2 月には Android プラットフォームを狙った新たなマルウェアがいくつも発見されました。そのうちの 1 つが Trojan-Spy.AndroidOS.Adrd.a で、バックドアの機能を持ちます。Trojan-Spy.AndroidOS.Adrd.a はリモートサーバーに接続し、感染した携帯電話の IMEI/IMSI 識別番号を送信します。それに対してコマンドセンターは、バックグラウンドモードの検索システムでクエリを起動するマルウェアが使用する情報を送信します。クエリは、特定のサイトの検索率を向上させる目的で使用されます。このマルウェアが中国のマルウェアサイトでのみ検知されている事実は、特筆すべきことではありません。

Android をターゲットとした 2 つめのマルウェアであるTrojan-Spy.AndroidOS.Geinimi.aは Adrd ファミリーの「改良された」亜種で、中国を始めとして米国、スペイン、ブラジルおよびロシアで検知されています。

J2ME 上のトロイの木馬型 SMS

J2ME プラットフォームを狙ったマルウェアも増加しています。たとえば Trojan-SMS.J2ME.Agent.cd は、インターネット上のマルウェアランキング TOP20 の 18 位にランクインしています。Trojan-SMS.J2ME.Agent.cd の主な機能はプレミアムレートの番号への SMS の送信で、主に ICQ を通じて送付されるスパムメッセージのリンクを介して拡散しています。拡散が最も顕著なのはロシアとスペインです。

インターネット上のマルウェアランキング

順位	順位変動	マルウェア名
1	新規	Trojan-Downloader.HTML.Agent.sl
2	18	Trojan-Downloader.Java.OpenConnection.cx
3	新規	Trojan-Downloader.Java.OpenConnection.dd
4	新規	Exploit.HTML.CVE-2010-1885.ad
5	-1	AdWare.Win32.FunWeb.gq
6	-5	AdWare.Win32.HotBar.dh
7	新規	Trojan.Java.Agent.ak
8	新規	Exploit.JS.Pdfka.ddt
9	新規	Trojan-Downloader.Java.OpenConnection.dc
10	新規	Trojan.JS.Iframe.rg
11	-2	Trojan-Downloader.Java.OpenConnection.cg
12	-7	Trojan.HTML.Iframe.dl
13	新規	Exploit.JS.StyleSheeter.b
14	-1	Trojan.JS.Fraud.ba
15	-8	Trojan-Clicker.JS.Agent.op
16	-8	Trojan.JS.Popupper.aw
17	-7	Trojan.JS.Agent.bhr
18	新規	Trojan-SMS.J2ME.Agent.cd
19	新規	Trojan.JS.Agent.bte
20	-6	Exploit.JS.Agent.bab

ユーザーの PC 上で検知されたマルウェアランキング

順位	順位変動	マルウェア名
1	0	Net-Worm.Win32.Kido.ir
2	0	Virus.Win32.Sality.aa
3	6	HackTool.Win32.Kiser.zv
4	-1	Net-Worm.Win32.Kido.ih
5	2	Virus.Win32.Sality.bh
6	-2	Hoax.Win32.Screensaver.b
7	-2	AdWare.Win32.HotBar.dh
8	0	Virus.Win32.Virut.ce
9	-3	Trojan.JS.Agent.bhr
10	1	HackTool.Win32.Kiser.il
11	-1	Packed.Win32.Katusha.o
12	0	Worm.Win32.FlyStudio.cu
13	2	Trojan-Downloader.Win32.VB.eql
14	2	Worm.Win32.Mabezat.b
15	3	Packed.Win32.Klone.bq
16	-2	Trojan-Downloader.Win32.Geral.cnh
17	新規	Trojan.Win32.Starter.yy
18	新規	AdWare.Win32.FunWeb.gq
19	リエントリ	Worm.Win32.Autoit.xl
20	新規	Trojan-Downloader.HTML.Agent.sl