マルウェアマンスリーレポート：2009年11月

ユーザの PC 上で検知されたマルウェアランキング

1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。

順位	順位変動	マルウェア名	感染したPCの台数
1	0	Net-Worm.Win32.Kido.ir	330305
2	新規	Net-Worm.Win32.Kido.iq	174351
3	-1	Net-Worm.Win32.Kido.ih	145332
4	0	Virus.Win32.Sality.aa	128737
5	0	Worm.Win32.FlyStudio.cu	93848
6	-3	not-a-virus:AdWare.Win32.Boran.z	84825
7	-1	Trojan-Downloader.Win32.VB.eql	63287
8	9	Trojan-Downloader.WMA.GetCodec.s	48426
9	1	Virus.Win32.Virut.ce	47812
10	-3	Virus.Win32.Induc.a	46252
11	-2	Worm.Win32.AutoRun.awkp	36453
12	-4	Packed.Win32.Black.d	36422
13	-2	Packed.Win32.Black.a	35094
14	-1	Trojan-Dropper.Win32.Flystud.yo	34638
15	-3	Worm.Win32.AutoRun.dui	32493
16	-1	Packed.Win32.Klone.bj	31963
17	1	Worm.Win32.Mabezat.b	29804
18	新規	Packed.Win32.Krap.ag	26041
19	新規	Trojan-GameThief.Win32.Magania.ckqi	25529
20	新規	Trojan.Win32.Genome.bjgu	24730

全体的に、11 月のランキングでは大きな変化は見られませんが、注目すべき点がいくつかあります。

まず、Kido.iq が一気に第 2 位にランクインしている事実です。このマルウェアの機能は、9月に初めてランクインしたのち数ヶ月首位を保っている Kido.ir と非常によく似ています。

次に、GetCodec.s の順位が一気に 9 ランクアップしていることが注目されます。GetCodec が検知された PC の台数は、先月と比較して 2 倍以上になっています。GetCodec.s は、昨年 12 月のレポート でご紹介した GetCodec.r の亜種であり、P2P-Worm.Win32.Nugg を通じて拡散する点もよく似ています。サイバー犯罪者は、ファイル交換ネットワークの Gnutella (P2P プログラムは LimeWire がよく使用される) を通じて P2P-Worm.Win32.Nugg の拡散を試行している模様です。このワームは他のマルウェアのダウンローダとしても機能しているため、ユーザにとってはより危険であると言えます。

新たにランクインした Packed.Win32.Krap.ag も注目されます。Packed ファミリーのほかのプログラムと同様に、この亜種もマルウェアのパッカーとして検知されます。このマルウェアは偽のアンチウイルスソフトウェア ( 「Rogue antivirus: a growing problem」) の形態をとり、毎回新しい亜種が発生するパッカーにより巧みに隠蔽されています。この手法が功を奏し、今回第 18 位にランクインしています。

オンラインゲームを狙ったトロイの木馬である Magania はランキングでのポジションを堅守しています。今回のランキングでは新しい亜種である Magania.ckqi がMagania.cbrt に代わって第19位にランクインしています。

インターネット上のマルウェアランキング

2 つめのランキングは、Web アンチウイルスの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのロードを試みたマルウェアです。

順位	順位変動	マルウェア名	ダウンロード試行回数
1	0	Trojan-Downloader.JS.Gumblar.x	1714509
2	1	Trojan-Downloader.HTML.IFrame.sz	189881
3	新規	Trojan-Clicker.JS.Iframe.be	170319
4	0	not-a-virus:AdWare.Win32.Boran.z	136748
5	0	Trojan.JS.Redirector.l	130271
6	新規	Trojan.JS.Ramif.a	115163
7	1	Trojan.JS.Agent.aat	55291
8	-2	Trojan-Clicker.HTML.Agent.aq	47873
9	新規	Trojan.HTML.Fraud.r	47473
10	-8	Trojan-Downloader.JS.Gumblar.w	41977
11	新規	Trojan.JS.Iframe.dy	35152
12	-5	Trojan-Downloader.JS.Zapchast.m	31161
13	新規	Trojan-Downloader.JS.IstBar.cy	30806
14	新規	Trojan-Clicker.JS.Iframe.u	30553
15	リエントリ	Trojan-Downloader.JS.Psyme.gh	30078
16	新規	Trojan-Downloader.HTML.FraudLoad.b	29466
17	新規	Trojan-Clicker.HTML.IFrame.ajn	29455
18	新規	Trojan.JS.PrygSkok.a	27804
19	新規	Packed.Win32.Krap.ag	26770
20	-5	Trojan-Downloader.JS.LuckySploit.q	26175

2 つめのランキングは、Web アンチウイルスの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのロードを試みたマルウェアです。

先月のレポートでご紹介した Gumblar の亜種による攻撃 は、11 月も継続されています。ただし、半年前の攻撃 (http://www.kaspersky.co.jp/news?id=207578773) と違い、今回はすべてのコンポーネント (ダウンローダ、エクスプロイトおよび実行ファイル本体) がかなりの頻度で更新されていることが特徴的です。

偽のアンチウイルスソフトウェアも、2 つ目のランキングで目立っています。偽のアンチウイルスの拡散方法の１つは、ユーザの PC へのダウンロードに Web サイトを使用するというものです。この Web サイトは同一のテンプレートを使って作成されており、関係しているサイバー犯罪者のグループ、パートナー、および使用されているプログラムも同一と考えられます。偽のアンチウイルスソフトウェアのダウンロード元となった Web ページのうち、ダウンロード試行回数が最も多かったページは Trojan.HTML.Fraud.r および Trojan-Downloader.HTML.FraudLoad.b として検知されています。これらのページから上記の Packed.Win32.Krap.ag もダウンロードされており、結果としてランキングに入っています。

新たにランクインしたほかのプログラムは、巧妙化および難読化のレベルこそ違いますが、これまでの傾向を踏襲したスクリプトダウンローダです。

11月の傾向

全体的に見て、11 月も先月までの傾向を踏襲していると言えます。サイバー犯罪者が最も頻繁に使用するマルウェアの拡散方法は、悪意あるスクリプト、エクスプロイトおよび実行ファイルを組み合わせる方法です。特に、ユーザの個人情報および資金の盗用を目的として使用されています。このようなマルウェアの代表的なものとしては、Trojan-PSW.Win32.Kates (Gumblar による攻撃は当初このマルウェアのダウンロードを目的として計画された)、スクリプトダウンローダやメール大量送信を使用して拡散する Trojan-Spy.Win32.Zbot、および偽のアンチウイルスソフトウェアが挙げられます。

また、テンプレートを使用して制作された Web サイトを利用して偽のアンチウイルスソフトウェアを拡散させる傾向も引き続き見られます。

また、サイバー犯罪者の間でパッカー (たいていはポリモーフィック型) が頻繁に使用されています。これは、マルウェア本体を大幅に改善することなく、アンチウイルスソフトウェア マルウェアによる検知を回避する目的で使われています。

さらに、昨年 12 月に検知された、マルチメディアダウンローダを使用して P2P ネットワーク経由でマルウェアを拡散させる方法も観測されています。

Web サイトを通じて最も多く感染の試みが観測された国