マルウェアマンスリーレポート : 2009 年 7 月

今月もカスペルスキーセキュリティネットワーク (KSN) の結果をもとに、最も蔓延しているマルウェアを 2 つのランキングにまとめました。

1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。オンアクセススキャンの統計を使用することで、ファイルの実行時、またはインターネットからユーザの PC へのダウンロード時にブロックされた、最新で、危険度が高く、かつ広く蔓延しているマルウェアを分析することができます。

順位	順位変動	ウイルス名	感染した PC の台数
1	0	Net-Worm.Win32.Kido.ih	51126
2	0	Virus.Win32.Sality.aa	24984
3	1	Trojan-Downloader.Win32.VB.eql	9472
4	2	Trojan.Win32.Autoit.ci	8250
5	0	Worm.Win32.AutoRun.dui	6514
6	1	Virus.Win32.Virut.ce	5667
7	3	Virus.Win32.Sality.z	5525
8	1	Net-Worm.Win32.Kido.jq	5496
9	-1	Worm.Win32.Mabezat.b	4675
10	4	Net-Worm.Win32.Kido.ix	4055
11	-8	Trojan-Dropper.Win32.Flystud.ko	3764
12	5	Packed.Win32.Klone.bj	3677
13	-1	Virus.Win32.Alman.b	3571
14	1	Worm.Win32.AutoIt.i	3524
15	-2	Packed.Win32.Black.a	3472
16	-5	Trojan-Downloader.JS.LuckySploit.q	3335
17	1	Email-Worm.Win32.Brontok.q	3007
18	2	not-a-virus:AdWare.Win32.Shopper.v	2841
19	0	Worm.Win32.AutoRun.rxx	2798
20	新規	IM-Worm.Win32.Sohanad.gen	2719

7 月のランキングでは、あまり大きな変化は見られませんでした。Kido および Sality が、他を大きく離して引き続き上位を占めています。

一方で、最も蔓延しているマルウェアに感染した PC の台数は若干減っています。これは、夏の休暇シーズンでユーザの PC 利用時間が減少したために、マルウェアの感染件数が減っている可能性があります。

順位	順位変動	ウイルス名	ダウンロード試行回数
1	0	Trojan-Downloader.JS.Gumblar.a	8538
2	2	Trojan-Clicker.HTML.IFrame.kr	7805
3	2	Trojan-Downloader.HTML.IFrame.sz	5213
4	-1	Trojan-Downloader.JS.LuckySploit.q	4719
5	新規	Trojan-Downloader.HTML.FraudLoad.a	4626
6	0	Trojan-Downloader.JS.Major.c	3778
7	新規	Trojan-GameThief.Win32.Magania.biht	2911
8	新規	Trojan-Downloader.JS.ShellCode.i	2652
9	-1	Trojan-Clicker.HTML.IFrame.mq	2576
10	新規	Exploit.JS.DirektShow.o	2476
11	-2	Trojan.JS.Agent.aat	2402
12	新規	Exploit.JS.DirektShow.j	2367
13	新規	Exploit.HTML.CodeBaseExec	2266
14	0	Exploit.JS.Pdfka.gu	2194
15	新規	Trojan-Downloader.VBS.Psyme.ga	2007
16	新規	Exploit.JS.DirektShow.a	1988
17	-10	Trojan-Downloader.Win32.Agent.cdam	1947
18	-5	Trojan-Downloader.JS.Agent.czm	1815
19	-17	Trojan-Downloader.JS.Iframe.ayt	1810
20	新規	Trojan-Downloader.JS.Iframe.bew	1766

2 つめのランキングは、より興味深い内容になっています。こちらのランキングは Web アンチウイルスの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのロードを試みたマルウェアです。したがって、このランキングから、Web ページがどのようなマルウェアに最も多く感染しているのか、どのようなマルウェアが、悪意ある Web ページまたは感染した Web ページから最もダウンロードされているのか (ユーザが意識的に行っているかどうかにかかわらず) という 2 つの疑問に対する解答を得ることができます。

まず気付くのは、DirektShow という名前のエクスプロイトスクリプトが 3 つランクインしていることです。このスクリプトが悪用する Internet Explorer の脆弱性については、7 月の始めにブログでご紹介したとおりです (http://www.viruslist.com/en/weblog?weblogid=208187760)。インターネットユーザの多くが Internet Explorer を利用していることを考えると、この脆弱性の悪用がサイバー犯罪者間で一気に広まったのは、不思議なことではありません。

最近、サイバー犯罪者が頻繁に使用するようになった手法として、スクリプトを複数のパートに分割するというものがあります。先に述べた DirektShow の場合は、「msvidctl.dll」の脆弱性を悪用する Web サイトのメインページに別のスクリプトへのリンクが含まれており、このスクリプトが悪意あるペイロードを含むシェルコードをダウンロードします。今回のランキングで第 8 位の Trojan-Downloader.JS.ShellCode.i は、この脆弱性を悪用する攻撃で最も頻繁に使われるシェルコードです。この手法は分かりやすいだけでなく、悪意ある Web サイトのメインページへのリンクを残したままシェルコードのスクリプトをいつでも変更できるため、サイバー犯罪者にとって都合の良い方法です。このような構造は分析や検知を困難にさせるばかりでなく、自動化されたシステムが利用されている場合には分析・検知が不可能となる可能性があります。

マルウェア (特にアンチウイルスソフトウェアを装ったランサムウェア) の拡散を容易なものにするため、同じ Web テンプレートが繰り返し使用されます。例としては、今月初めてランクインした Trojan-Downloader.HTML.FraudLoad.a が挙げられます。Trojan-Downloader.HTML.FraudLoad.a では実際に、こうした Web テンプレートの 1 つが見られました。サイバー犯罪者間では、この種のマルウェアが次第に広がりつつあります。その結果、「使用中の PC が感染している」という警告メッセージを表示したのち、やっかいなだけでなく場合によっては実際に脅威となるプログラムをダウンロードさせる Web サイトが急増しています。ランキング第 20 位の Trojan-Downloader.JS.Iframe.bew は、このようなサイトからマルウェアをダウンロードするのに利用されるスクリプトの 1 つです。

2 つめのランキングからは、インターネット上の脅威の現況および主な傾向を知ることができます。まず、サイバー犯罪者は、マルウェア (たいていは複数のマルウェア) をユーザの PC に感染させることを目的に、広く普及しているソフトウェアの新しい脆弱性を発見することに注力しています。また、自分の行為がユーザに全く気付かれないようにするため、または感染した PC にさほど影響が及んでいないように見せかけるために、サイバー犯罪者は自分の活動を隠す努力を払っています。

このような状況からみて、OS やアンチウイルスソフトウェアの更新を適用せずにインターネットを利用することは、インターネットに慣れたユーザにとっても、ピラニアが泳ぐプールに飛び込むようなものだと言えます。

Web サイトを通じて最も多く感染の試みが観測された国