Kaspersky Lab は、2009 年 8 月のマルウェアマンスリーレポートを発表します。
Kaspersky Lab は、2009 年 8 月のマルウェアマンスリーレポートを発表します。
カスペルスキーセキュリティネットワーク (KSN) の 2009 年 8 月の結果をもとに、最も蔓延しているマルウェアを 2 つのランキングにまとめました。
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染した PC の台数 |
| 1 | 
0
|
Net-Worm.Win32.Kido.ih | 48281 |
| 2 |
0
|
Virus.Win32.Sality.aa | 23156 |
| 3 | 
新規
|
not-a-virus:AdWare.Win32.Boran.z | 16872 |
| 4 | 
-1
|
Trojan-Downloader.Win32.VB.eql | 8030 |
| 5 |
-1
|
Trojan.Win32.Autoit.ci | 7846 |
| 6 |
0
|
Virus.Win32.Virut.ce | 6248 |
| 7 |
-2
|
Worm.Win32.AutoRun.dui | 5516 |
| 8 |
0
|
Net-Worm.Win32.Kido.jq | 5446 |
| 9 |
-2
|
Virus.Win32.Sality.z | 5157 |
| 10 |
新規
|
Virus.Win32.Induc.a | 4476 |
| 11 |
-2
|
Worm.Win32.Mabezat.b | 3982 |
| 12 |
-2
|
Net-Worm.Win32.Kido.ix | 3579 |
| 13 |
-1
|
Packed.Win32.Klone.bj | 3579 |
| 14 |
新規
|
Trojan.Win32.Swizzor.b | 3327 |
| 15 |
新規
|
Packed.Win32.Katusha.b | 3139 |
| 16 |
-2
|
Worm.Win32.AutoIt.i | 3076 |
| 17 | 
1
|
not-a-virus:AdWare.Win32.Shopper.v | 2947 |
| 18 |
新規
|
Trojan-Dropper.Win32.Flystud.yo | 2745 |
| 19 |
-2
|
Email-Worm.Win32.Brontok.q | 2706 |
| 20 |
新規
|
P2P-Worm.Win32.Palevo.jaj | 2664 |
7 月に続き、8 月も Net-Worm.Win32.Kido.ih および Virus.Win32.Sality.aa が上位を占めています。
8 月に新たにランクインした 6 つのマルウェアのうち、注意が必要なものを以下でご紹介します。
今回最も注目されるのは Virus.Win32.Induc.a で、当社の Web サイトやブログでも何度か取り上げています (http://www.kaspersky.com/news?id=207575885 、http://www.viruslist.com/en/weblog?weblogid=208187832)。Virus.Win32.Induc.a は、Delphi ベースの複製メカニズムを使用して、実行ファイルを 2 段階で作成します。まず、アプリケーションのソースコードが DCU モジュールにコンパイルされ、Windows 上で実行可能なファイルにアセンブルされます。多くのアプリケーションがコンパイルの段階でこのウイルスに感染したことを考えると、検知されてまもなく第 10 位にランクインしたことも不思議ではありません。
一気に第 3 位にランクインした not-a-virus:AdWare.Win32.Boran.z は、中国で多く使われている Internet Explorer 用 Baidu Toolbar のコンポーネントです。not-a-virus:AdWare.Win32.Boran.z は、通常の方法でツールバーが削除されることがないように、さまざまなルートキット技術を搭載しています。
第 14 位および第 15 位にランクインした Trojan.Win32.Swizzor.b Packed.Win32.Katusha.b は、以前ランキングに入っていた同種のマルウェアの亜種です。いずれも、過去の亜種よりもはるかに複雑で革新的な難読化方法を利用しています。
5 月にランクインした P2P-Worm.Win32.Palevo.ddm に代わり、亜種の Palevo.jaj がランキングの最下位に入っていますが、これはかなり危険なマルウェアです。ファイル交換ネットワークを通じて拡散し、リムーバブルメディアに感染し、インスタントメッセージを介して広がります。加えて優れたバックドア機能を備えており、攻撃者は感染したコンピュータを自在にコントロール可能です。
8 月のハイライトは他でもなく、Virus.Win32.Induc の出現です。このマルウェアは、ユーザの PC に感染する全く新しい方法を打ち出しました。
上記以外、ランキングの内容にほとんど変化はありませんでした。一方で、2 つめのランキングでは顕著な変化が見られました。
2 つめのランキングは、Web アンチウイルスの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | 感染した Web ページの数 |
| 1 |
新規
|
not-a-virus:AdWare.Win32.Boran.z | 16760 |
| 2 |
1
|
Trojan-Downloader.HTML.IFrame.sz | 5228 |
| 3 |
新規
|
Trojan.JS.Redirector.l | 4693 |
| 4 |
-3
|
Trojan-Downloader.JS.Gumblar.a | 4608 |
| 5 |
新規
|
Trojan-Clicker.HTML.Agent.w | 4564 |
| 6 |
新規
|
Exploit.JS.DirektShow.k | 4475 |
| 7 |
0
|
Trojan-GameThief.Win32.Magania.biht | 4416 |
| 8 |
-4
|
Trojan-Downloader.JS.LuckySploit.q | 3416 |
| 9 |
-7
|
Trojan-Clicker.HTML.IFrame.kr | 3323 |
| 10 |
-4
|
Trojan-Downloader.JS.Major.c | 2688 |
| 11 |
新規
|
Exploit.JS.Sheat.c | 2684 |
| 12 |
新規
|
Trojan-Downloader.JS.FraudLoad.d | 2553 |
| 13 |
-4
|
Trojan-Clicker.HTML.IFrame.mq | 2367 |
| 14 |
-3
|
Trojan.JS.Agent.aat | 2246 |
| 15 |
-3
|
Exploit.JS.DirektShow.j | 2128 |
| 16 |
新規
|
Trojan-Downloader.JS.IstBar.bh | 1973 |
| 17 |
新規
|
Trojan-Downloader.JS.Iframe.bmu | 1933 |
| 18 |
新規
|
Exploit.JS.DirektShow.l | 1838 |
| 19 |
新規
|
Exploit.JS.DirektShow.q | 1753 |
| 20 |
新規
|
Trojan-Downloader.Win32.Agent.ckwd | 1504 |
今回のランキングは、半分以上が新規にランクインしたマルウェアで占められています。首位は、前述の AdWare.Win32.Boran.z でした。
先月のレポートでは、Internet Explorer の脆弱性 につきご紹介しました (http://www.kaspersky.co.jp/news?id=207578777)。この脆弱性を悪用するスクリプトは、カスペルスキーのアンチウイルス製品によって「Exploit.JS.DirektShow」という名前で検知されます。7 月のランキングでは、このエクスプロイトスクリプトの亜種である .a、 .j 、 .o の 3 つがランクインしていました。8 月には 4 つがランクインしていることから見て、この脆弱性の悪用がまだ流行っているのは明らかです。まだセキュリティパッチを適用していないユーザが大勢いるとサイバー犯罪者は考え、この抜け穴からシステムを攻撃しようと試みていると考えられます。
一方、Microsoft Office の脆弱性 に対する攻撃も、8 月には数多く観測されています。実際に、この脆弱性を悪用するエクスプロイトの亜種である Exploit.JS.Sheat が第 11 位にランクインしています。 インターネット上には、偽のアンチウイルスソフトウェアを配布する Web ページが数多く存在します。実際に配布を行うスクリプトである Trojan-Downloader.JS.FraudLoad.d が、今回第 12 位にランクインしています。このスクリプトに感染した Web サイトを訪問すると、PC が多数のマルウェアに感染していると警告され、駆除するかどうかの確認を求められます。駆除に同意すると、偽のアンチウイルスソフトウェアである FraudTool が PC にダウンロードされます。
インターネット上には、偽のアンチウイルスソフトウェアを配布する Web ページが数多く存在します。実際に配布を行うスクリプトである Trojan-Downloader.JS.FraudLoad.d が、今回第 12 位にランクインしています。このスクリプトに感染した Web サイトを訪問すると、PC が多数のマルウェアに感染していると警告され、駆除するかどうかの確認を求められます。駆除に同意すると、偽のアンチウイルスソフトウェアである FraudTool が PC にダウンロードされます。
Trojan.JS.Redirector.l は、ユーザの検索リクエストを特定のサーバにリダイレクトすることで、そのサーバのヒット数を上げます。Trojan-Downloader.JS.Iframe.bmu は、さまざまなタイプのエクスプロイト (この場合は Adobe 製品) を含むマルウェアの代表的な例です。
7 月に引き続き、サイバー犯罪者は、広く普及しているソフトウェアの脆弱性を積極的に悪用しています。偽のアンチウイルスソフトウェアや一般的な iframe クリッカーも、急速に普及しています。これらはサイバー犯罪者にとって確実な方法であるため、来月もこの傾向が続くと予想されます。
Web サイトを通じて最も多く感染の試みが観測された国
