Kaspersky Lab は、2010 年 7 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 | 
0
|
Net-Worm.Win32.Kido.ir | 261718 |
| 2 |
0
|
Virus.Win32.Sality.aa | 174504 |
| 3 |
0
|
Net-Worm.Win32.Kido.ih | 158735 |
| 4 |
0
|
Net-Worm.Win32.Kido.iq | 119114 |
| 5 |
0
|
Exploit.JS.Agent.bab | 108936 |
| 6 |
0
|
Trojan.JS.Agent.bhr | 104420 |
| 7 |
0
|
Worm.Win32.FlyStudio.cu | 80196 |
| 8 |
0
|
Virus.Win32.Virut.ce | 59988 |
| 9 | 
-1
|
Trojan-Downloader.Win32.VB.eql | 47798 |
| 10 |
-1
|
Worm.Win32.Mabezat.b | 40859 |
| 11 | 
1
|
Trojan-Dropper.Win32.Flystud.yo | 31707 |
| 12 | 
新規
|
Worm.Win32.Autoit.xl | 31215 |
| 13 |
新規
|
P2P-Worm.Win32.Palevo.aomy | 30775 |
| 14 |
-3
|
P2P-Worm.Win32.Palevo.fuc | 26027 |
| 15 |
新規
|
Exploit.JS.CVE-2010-0806.aa | 25928 |
| 16 |
新規
|
P2P-Worm.Win32.Palevo.aoom | 25300 |
| 17 |
新規
|
Hoax.Win32.ArchSMS.ih | 24578 |
| 18 |
2
|
Trojan.Win32.AutoRun.ke | 24185 |
| 19 |
新規
|
Packed.Win32.Katusha.n | 23030 |
| 20 |
-5
|
Trojan-Downloader.Win32.Geral.cnh | 22947 |
今月のランキングでは上位 10 位は先月から変化は見られず、Sality、Virut といったウイルスのほか、悪名高い Kido も順位をキープしています。ところが、11 位から 20 位までは 6 つのマルウェアが新たにランキングに入るなど意外な結果になっています。新たにランクインしたマルウェアを順番に見ていきましょう。
12 位にランクインした Worm.Win32.Autoit.xl は多様なペイロードを持つ AutoIt で、Windows のファイアウォールを無効にしたり、ソフトウェア制限のポリシーを実行したり、別のマルウェアをダウンロードしてインストールしたりします。興味深いのは、全体の 4 分の 1 がブラジル国内で検知され、ロシアとウクライナが全体の約半数を占めていることです。
13 位の P2P-Worm.Win32.Palevo.aomy と 16 位の P2P-Worm.Win32.Palevo.aoom はいずれも、6 月のランキングにも入っていた P2P-Worm Palevo ファミリーの新しい亜種です。
3 月に初めて検知された、脆弱性 CVE-2010-0806 を悪用するエクスプロイトの新しい亜種である Exploit.JS.CVE-2010-0806.aa が 15 位にランクインしています。サイバー犯罪者はスクリプトの難読化およびアンチエミュレーション技術を積極的に使用している結果、エクスプロイトの亜種が次々と出現しています。ランキングに入っている Exploit.JS.Agent.bab (5 位)、Trojan.JS.Agent.bhr (6 位) も同じく脆弱性 CVE-2010-0806 を悪用するもので、この 3 つのマルウェアは、2 つめのランキングであるインターネット上のマルウェアランキングにも入っています。
同じく新たにランクインしたのが 17 位の Hoax.Win32.ArchSMS.ih です。このプログラムは全く新しいタイプの詐欺の一部として使用され、主に正規のフリーソフトウェアを装って拡散します。アプリケーションを開くとウィンドウが表示され、プログラムは圧縮されており、解凍用のパスワードを入手するために 1~3 つの SMS メッセージを送信する必要があるというメッセージが表示されます。SMS を 1 回送信するたびに 500 ルーブル (約 16 ドル) が課金され、ユーザにはマルウェアや Torrent サイトへのリンクが送付されるほか、エラーメッセージや空の圧縮ファイルが送付されたりします。このマルウェアが検知されたコンピュータの大部分はロシア語圏のユーザで、ロシアに続いてウクライナ、カザフスタン、べラルーシ、アゼルバイジャン、モルドバの順になっています。
19 位の Packed.Win32.Katusha.n は悪意あるパッカーで、アンチウイルスプログラムからマルウェアを保護する目的で使用されています。Katusha というパッカーで圧縮された偽のアンチウイルスプログラムも、この名前で検知されます。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
1
|
Exploit.JS.Agent.bab | 169086 |
| 2 |
新規
|
Trojan-Downloader.JS.Pegel.bp> | 123446 |
| 3 |
1
|
Exploit.Java.CVE-2010-0886.a | 65794 |
| 4 |
3
|
AdWare.Win32.FunWeb.q | 58848 |
| 5 |
新規
|
Trojan-Downloader.VBS.Agent.zs | 58591 |
| 6 |
-1
|
Trojan.JS.Agent.bhr | 57978 |
| 7 | 
リエントリ
|
Exploit.Java.Agent.f | 53677 |
| 8 |
新規
|
Trojan-Downloader.Java.Agent.fl | 53468 |
| 9 |
2
|
AdWare.Win32.FunWeb.ds | 45362 |
| 10 |
新規
|
Trojan.JS.Agent.bhl | 45139 |
| 11 |
3
|
AdWare.Win32.Shopper.l | 37790 |
| 12 |
新規
|
Exploit.HTML.CVE-2010-1885.a | 36485 |
| 13 |
新規
|
AdWare.Win32.Boran.z | 28852 |
| 14 |
新規
|
Exploit.Win32.IMG-TIF.b | 28238 |
| 15 |
新規
|
Exploit.JS.Pdfka.bys | 28084 |
| 16 |
新規
|
Trojan.JS.Agent.bmh | 27706 |
| 17 |
新規
|
Exploit.JS.CVE-2010-0806.aa | 26896 |
| 18 |
新規
|
Exploit.JS.Pdfka.cny | 26231 |
| 19 |
新規
|
AdWare.Win32.FunWeb.ci | 26014 |
| 20 |
新規
|
Trojan.JS.Redirector.cq | 26001 |
今月のランキングでは、12 種の新たなマルウェアがランクインしています。
2 位にランクインしたのは、最近 3ヶ月にわたって世間を騒がせたスクリプトダウンローダである Pegel の新しい亜種、Trojan-Downloader.JS.Pegel.bp です。
ランキングに入っているプログラムの半数はエクスプロイトで、そのうち 8 つは有名な脆弱性を悪用するものです。
脆弱性 CVE-2010-0806 を悪用する Exploit.JS.Agent.bab が先月に続いてランキングの首位になっています。Exploit.JS.Agent.bab 以外に脆弱性 CVE-2010-0806 を悪用するプログラムとしては、17 位の Exploit.JS.CVE-2010-0806.aa、6 位の Trojan.JS.Agent.bhr が挙げられます。このような状況から、脆弱性 CVE-2010-0806 をターゲットにした攻撃は予想に反して増加していることがわかります。
Java プラットフォームを狙ったエクスプロイトも活発な活動を続けています。Exploit.Java.Agent.f が 7 位にリエントリしているほか、Trojan-Downloader.Java.Agent.jl が 8 位に新たにランクインしています。この 2 つのプログラムは脆弱性 CVE-2010-3867 をターゲットとしたもので、16 位の Trojan.JS.Agent.bmh script によってダウンロードされます。
3 位に新たにランクインしている Exploit.HTML.CVE-2010-1885.a は脆弱性 CVE-2010-1885 を悪用するものです。当社はこの脆弱性が広く攻撃のターゲットとなる前に、ブログで紹介しています。(www.securelist.com/en)
悪意あるコードを含むファイルは HTML ページで、特別に組成されたアドレスを含む iframe が配置されています。
Exploit.HTML.CVE-2010-1885.a の一部
ファイルが起動されると、別のスクリプト (カスペルスキー製品で「Trojan-Downloader.JS.Psyme.aoy」として検知) がダウンロードされます。このスクリプトが今度は Trojan-GameThief.Win32.Magania ファミリーに属するマルウェアをダウンロードおよび起動して、オンラインゲームのパスワードを盗みます。この中間スクリプトは悪意あるリンクをカムフラージュする方法として、文字の配列を逆にするという興味深い方法をとっています (スクリーンショットをご参照ください)。
Exploit.HTML.CVE-2010-1885.a により使用される Trojan-Downloader.JS.Psyme.aoy スクリプトの一部
脆弱性 CVE-2010-0188 をターゲットとした Exploit.Win32.IMG-TIF.b については 3 月にブログでご紹介しましたが (www.securelist.com/en)、最近になってようやく本格的に拡散を始めました。サイバー犯罪者が、公開されてから 2、3ヶ月の間この脆弱性を利用しなかったのは興味深い事実です。
15 位の Exploit.JS.Pdfka.bys と 18 位の Exploit.JS.Pdfka.cny も Adobe 製品の脆弱性を悪用するスクリプトです。
今回のランキングで 5 つのポジションをアドウェアが占めています。具体的には、AdWare.Win32.FunWeb の亜種 (4 位、9 位、19 位)と、AdWare.Win32.Shopper.l (11 位) 、AdWare.Win32.Shopper.l (13 位) です。Boran.z は 2009 年 10 月に初めて検知された BHO モジュールで、自身を保護するドライバと一緒にダウンロードされます。
今回新たにランクインした Trojan.JS.Agent.bhl も、しつこい広告を表示させるプログラムです。このスクリプトは、ポップアップブロックを回避するさまざまな技術を使って不要なポップアップウィンドウを表示させます。以下のスクリーンショットは、Norton Internet Security のモジュールを回避するコメントおよびコードを含んだファイルの一部です。
その他のプログラムは、別のマルウェアを拡散することを目的として設計されたものです。
7 月の傾向
7 月の結果は、マルウェアを拡散させるために脆弱性を悪用するという最近の傾向を顕著に表しています。脆弱性を悪用したプログラムが、ユーザの PC 上で検知されたマルウェアランキングにも入っていることで、その数の多さが実証されています。
スクリプトダウンローダの Pegel と、Pegel が攻撃の対象としている脆弱性 (CVE-2010-0806、CVE-2010-3867 など) は、アンチウイルス業界や、パッチのリリースを迅速に行っているマイクロソフトおよび Adobe の努力をよそに、拡散の一途をたどっています。最近公開された脆弱性 CVE-2010-0188 および CVE-2010-1885 を悪用したエクスプロイトも 7 月に大量に検知されています。Stuxnet が急激に拡散している状況にも注意が必要です。Stuxnet はデジタル署名されたルートキットのようなドライバを所有しています。このワームは、まだパッチが公開されていない LNK ファイル (Microsoft Windows のショートカットファイル) の脆弱性を悪用しています。この脆弱性は、プログラムのショートカットアイコンが表示されている場合、ユーザに対して通知することなくランダムな DLL を起動させることを可能にしています。
Gumblar が拡散を止めたのはよいニュースではありますが、この状態がいつまで続くかは今後も監視が必要です。
