マルウェアマンスリーレポート : 2010 年 8 月

8 月には脆弱性 CVE-2010-2568 を悪用するエクスプロイトが大幅に増加しました。7 月末に浮上し問題化した Worm.Win32.Stuxnet は、この脆弱性を標的とするものです。また、Sality ウイルスの最新の亜種 Virus.Win32.Sality.ag をインストールする Trojan-Dropper プログラムもこの脆弱性を悪用します。予想通り、Windows の最も一般的なバージョンに存在するこの新しい脆弱性を、サイバー犯罪者達は早速悪用し始めました。しかし、8 月 2 日に Microsoft はこの脆弱性に対するパッチ MS10-046 をリリースしました。この更新プログラムは、「緊急」の深刻度でリリースされ、この脆弱性を有する OS が動作するすべてのコンピュータに対して早急なインストールが求められました。

ユーザの PC 上で検知されたマルウェアランキング

1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。

順位	順位変動	マルウェア名	感染したPCの台数
1	0	Net-Worm.Win32.Kido.ir	280087
2	0	Virus.Win32.Sality.aa	172770
3	0	Net-Worm.Win32.Kido.ih	153825
4	0	Net-Worm.Win32.Kido.iq	107156
5	1	Trojan.JS.Agent.bhr	106796
6	-1	Exploit.JS.Agent.bab	90465
7	0	Worm.Win32.FlyStudio.cu	75394
8	0	Virus.Win32.Virut.ce	68010
9	新規	Exploit.Win32.CVE-2010-2568.d	52193
10	-1	Trojan-Downloader.Win32.VB.eql	48440
11	新規	P2P-Worm.Win32.Palevo.arxz	42145
12	新規	Exploit.Win32.CVE-2010-2568.b	40385
13	-3	Worm.Win32.Mabezat.b	38252
14	新規	Worm.Win32.VBNA.b	37461
15	新規	AdWare.WinLNK.Agent.a	37240
16	新規	Virus.Win32.Sality.ag	36144
17	新規	Trojan-Dropper.Win32.Sality.r	32352
18	新規	Trojan.Win32.Autoit.ci	31391
19	-8	Trojan-Dropper.Win32.Flystud.yo	29475
20	新規	Packed.Win32.Krap.ao	29309

上位 10 位は、多少の例外を除き 7 月のランキングからほぼ変化が見られませんでした。

Kido (別名 Conficker) が相変わらず 1 位、3 位、4 位を占めています。また、ファイル感染ウイルスである Virus.Win32.Virut.ce (8 位) および Virus.Win32.Sality.aa (2 位) もそれぞれの位置をキープしています。Trojan.JS.Agent.bhr (5 位) および Exploit.JS.Agent.bab (6 位) も順位が入れ替わっているものの、ほぼ変化ありません。

7 月のレポート で、Windows のショートカットファイルである LNK ファイルに存在する新しい脆弱性について述べましたが、これはその後 CVE-2010-2568 と命名されました。予想通り、サイバー犯罪者たちはこの脆弱性を積極的に悪用し始めました。8 月のランキングには、CVE-2010-2568 に関連するマルウェアが 3 種類含まれています。これらのうち Exploit.Win32.CVE-2010-2568.d (9 位) および Exploit.Win32.CVE-2010-2568.b (12 位) の 2 つは、脆弱性を突いて直接攻撃を行いますが、Trojan-Dropper.Win32.Sality.r (17 位) は脆弱性を増殖の手段として利用します。このウイルスは興味を引く名前を付けた LNK (ショートカット) ファイルを生成し、ローカルネットワークを越えて拡散させます。これらのショートカットを含むファイルをユーザが開くと、マルウェアが起動します。Trojan-Dropper.Win32.Sality.r の主な機能は、 Virus.Win32.Sality.ag (16 位) の最新の亜種をインストールすることです。

マルウェアが作成したショートカット名を含む Trojan-Dropper.Win32.Sality.r のコード

興味深いことに、ランキング内の CVE-2010-2568 を攻撃するエクスプロイトは、どちらもロシア、インド、ブラジルで多く検出されています。インドは Stuxnet ワーム (この脆弱性を標的とした最初のマルウェア) の主な発生源ですが、ロシアとの関連性はよくわかっていません。

Trojan-Dropper.Win32.Sality.r の地理的分布は、CVE-2010-2568 を狙ったエクスプロイトの分布と一致しています。

Exploit.Win32.CVE-2010-2568.d の地理的分布

今回新たにランクインしたアドウェアは AdWare.WinLNK.Agent.a (15 位) です。これはショートカットの形式であり、起動すると広告コンテンツを含む URL にユーザを誘導します。ショートカットは各種アドウェアプログラムによりインストールされます。

AutoIt スクリプトプログラム言語を使用したマルウェアファミリーの新たな代表 Trojan.Win32.Autoit.ci は 、今月 18 位としてランク内に初登場しました。Palevo P2P ワームの新しい亜種である P2P-Worm.Win32.Palevo.arxz (11 位) も初めてランクインしました。以前のレポートで触れたように、どちらのマルウェアファミリーも、オートランを実行したり、他の悪意あるプログラムをダウンロードして起動し、ローカルネットワークを越えて拡散するなど、多様な活動を行います。

この他には、2 種類の悪意あるパッカーがランクインしています。Packed.Win32.Krap.ao (20 位) は今回初登場、Worm.Win32.VBNA.b (14 位) は 6 月に既にランクインしていました。いずれのプログラムも、セキュリティソフトウェアによる検知からマルウェアを保護する目的で使用されます。偽のアンチウイルスソフトウェアから Backdoor.Win32.Blakken のような複雑なバックドアまで、あらゆる種類のマルウェアが圧縮可能です。

インターネット上のマルウェアランキング

2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネット上の脅威の状況を反映しています。ランクインしているのは、Web ページで検知された、または Web ページから被害者のマシンにダウンロードされたマルウェアおよび潜在的に危険なプログラムです。

順位	順位変動	マルウェア名	ダウンロード試行回数
1	新規	Trojan-Downloader.Java.Agent.ft	135755
2	-1	Exploit.JS.Agent.bab	127561
3	9	Exploit.HTML.CVE-2010-1885.a	85502
4	2	Trojan.JS.Agent.bhr	67061
5	4	AdWare.Win32.FunWeb.ds	60129
6	新規	Exploit.HTML.CVE-2010-1885.c	57988
7	新規	AdWare.Win32.FunWeb.di	50928
8	-4	AdWare.Win32.FunWeb.q	50504
9	新規	Exploit.HTML.HCP.b	46874
10	-6	Exploit.Java.CVE-2010-0886.a	45844
11	-5	Trojan-Downloader.VBS.Agent.zs	37578
12	8	Trojan.JS.Redirector.cq	37479
13	新規	Trojan-Clicker.JS.Iframe.fq	35181
14	5	AdWare.Win32.FunWeb.ci	33073
15	新規	Exploit.Java.CVE-2010-0094.a	30062
16	新規	Exploit.JS.Pdfka.cop	29588
17	新規	Exploit.HTML.CVE-2010-1885.d	28396
18	新規	Exploit.JS.CVE-2010-0806.b	26990
19	新規	AdWare.Win32.FunWeb.fb	26350
20	新規	Exploit.HTML.CVE-2010-1885.b	25820

最近の数ヶ月間と比較して、8 月のランキングでは、新規のマルウェアの数がそれほど多くありません (合計 10 種類) 。これらはすべて、既知の脆弱性を標的としたエクスプロイトの新しい亜種です。今月のランキングの全体を見ると、6 つの異なる脆弱性を標的とした 12 種類のエクスプロイトがランクインしていることがわかります。

8 月中は、サイバー犯罪者達は脆弱性 CVE-2010-1885 の悪用に注力していたようです。ランキング中、次の 5 種類のエクスプロイトがこの脆弱性を標的にしています－Exploit.HTML.CVE-2010-1885.a (3 位)、Exploit.HTML.CVE-2010-1885.c (6 位)、Exploit.HTML.HCP.b (9位)、Exploit.HTML.CVE-2010-1885.d (17 位)、Exploit.HTML.CVE-2010-1885.b (20 位)。一方、7 月のランキングでは、この脆弱性を狙ったエクスプロイトは 1 種類だけでした。CVE-2010-1885 は Windows のヘルプとサポートセンターにおけるエラーに関連した脆弱性であり、Windows XP および 2003 が動作するシステム上で悪性コードの実行を許してしまいます。これら 2 つの OS バージョンの人気がエクスプロイトの増加につながったと考えられます。

CVE-20100-1885 と同様に CVE-2010-0806 も 幅広く悪用されています。この脆弱性を標的とする 3 つのエクスプロイトがランクインしています。そのうち 2 つは前回のレポートでも言及した Exploit.JS.Agent.bab (2 位) と Trojan.JS.Agent.bhr (4 位) です。これらに新しく加わったのが Exploit.JS.CVE-2010-0806.b (18 位) です。

Java エンジンを使用したソフトウェアの脆弱性を標的とするエクスプロイトも 3 つランクインしています。第 1 位は脆弱性 CVE-2009-3867 を悪用する Trojan-Downloader.Java.Agent.ft です。この脆弱性は、かなり以前から存在し、5 月のレポートでも取り上げています。CVE-2010-0886 を標的とする Exploit.Java.CVE-2010-0886.a (10 位) は、先月と同ランクに留まっています。CVE-2010-0094 は、2010 年 4 月初めに検出された脆弱性ですが、興味深いことに、これを狙った最初のエクスプロイトは 8 月に出現しています。Exploit.Java.CVE-2010-0094.a (15 位) はさまざまな関数を次々に呼び出し、最終的には悪意あるコードを実行させます。

脆弱性を攻撃する Exploit.Java.CVE-2010-0094.a の一部

このエクスプロイトは、8 月になると米国、ドイツ、英国といった先進国でのみ使用されるようになりました。これは、これらの国で Java を用いたプログラムが多く利用されているためであると考えられます。

Exploit.Java.CVE-2010-0094.a の地理的分布

16 位の Exploit.JS.Pdfka.cop は、非常に一般的なエクスプロイトで、PDF ドキュメントの特性を利用して悪性コードを実行します。

新たにランクインした Trojan-Clicker.JS.Iframe.fq (13 位) は、HTML タグ「<iframe>」を使用して標的のブラウザを悪意のあるリンク先へリダイレクトするタイプの悪性スクリプトです。他の悪性スクリプトTrojan-Downloader.VBS.Agent.zs (11 位) および Trojan.JS.Redirector.cq (12 位) の 2 つは、前月のレポートでも触れています。

アドウェアは依然として活発化しています。AdWare.Win32.FunWeb は、7 月に競り合っていた Shopper.l および Boran.z を引き離しました。FunWeb ファミリーを代表する 5 つのアドウェアが 8 月にランクインしました。これらの亜種のうち 3 つ (「ds (5 位) 」、「ci (14 位) 」、「q (8 位) 」）は 7 月にもランクインしていましたが、「fb (19 位) 」と「di (7 位) 」は 8 月に初登場しました。