Kaspersky Lab は、2009 年 12 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 |  0 | Net-Worm.Win32.Kido.ir | 265622 |
| 2 | 0 | Net-Worm.Win32.Kido.iq | 211101 |
| 3 | 0 | Net-Worm.Win32.Kido.ih | 145364 |
| 4 | 0 | Virus.Win32.Sality.aa | 143166 |
| 5 | 0 | Worm.Win32.FlyStudio.cu | 101743 |
| 6 |  新規 | not-a-virus:AdWare.Win32.GamezTar.a | 63898 |
| 7 |  -1 | not-a-virus:AdWare.Win32.Boran.z | 61156 |
| 8 | -1 | Trojan-Downloader.Win32.VB.eql | 61022 |
| 9 | -1 | Trojan-Downloader.WMA.GetCodec.s | 56364 |
| 10 | 新規 | Trojan.Win32.Swizzor.c | 54811 |
| 11 | 新規 | Trojan-GameThief.Win32.Magania.cpct | 42676 |
| 12 | -3 | Virus.Win32.Virut.ce | 45127 |
| 13 | -3 | Virus.Win32.Induc.a | 37132 |
| 14 | 0 | Trojan-Dropper.Win32.Flystud.yo | 33614 |
| 15 |  3 | Packed.Win32.Krap.ag | 31544 |
| 16 | -3 | Packed.Win32.Black.a | 31340 |
| 17 | 0 | Worm.Win32.Mabezat.b | 31020 |
| 18 | -2 | Packed.Win32.Klone.bj | 28814 |
| 19 | -7 | Packed.Win32.Black.d | 28560 |
| 20 | -5 | Worm.Win32.AutoRun.dui | 28551 |
1 つめのランキングは比較的状況が安定しており、12 月も例外ではありませんでした。
今月のランキングでは第 6 位、第 10 位、第 11 位に新しいプログラムがランクインしたことで他のプログラムは順位を下げていますが、Packed.Win32.Krap.ag は例外です。11 月に初めてランクインしたのち、今回 3 ランク順位を上げています。Krap.ag も Packed ファミリーに属する他のプログラムと同じく、マルウェア (この場合は偽のアンチウイルスプログラム) を圧縮するパッカーとして検知されます。Krap.ag の数字が若干増えていることから、サイバー犯罪者が利益を得る目的で引き続き積極的にこのプログラムを使用していることがわかります。
新たに第 6 位にランクインした GamezTar.a は注目すべきプログラムです。GamezTar.a は人気のオンラインゲームにクイックアクセスできるツールバーに見せかけてユーザにインストールさせるほか、煩わしい広告も表示します。さらに、ツールバーとは別に動作する数々のアプリケーション (検索やコンテンツ表示など) をインストールします。これらの機能はすべて EULA に記載されていますが、ユーザの注意は通常「無料ゲームはこちら」のようなポップアップ広告に向けられるため、スクリーン下に小さく表示されている「サービス規約」には気付きません。ソフトウェアをダウンロードする際には EULA の規約 (掲載されている場合) に目を通すことを強くお勧めします。
第 10 位にランクインした Trojan.Win32.Swizzor.cは、8 月にランクインした Swizzor.b (http://www.kaspersky.co.jp/news?id=207578781 ) および 5 月にランキングに入った Swizzor.a (http://www.kaspersky.co.jp/news?id=207578770 ) の亜種です。難読化されたコードを使うサイバー犯罪者は、これまでの成果に満足することなく、新種の開発を続けている模様です。このトロイの木馬の機能はいたって簡単なもので、インターネットから他のマルウェアをダウンロードします。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 | 0 | Trojan-Downloader.JS.Gumblar.x | 445881 |
| 2 | 3 | Trojan.JS.Redirector.l | 178902 |
| 3 | 新規 | not-a-virus:AdWare.Win32.GamezTar.a | 165678 |
| 4 | -2 | Trojan-Downloader.HTML.IFrame.sz | 134215 |
| 5 | 新規 | Trojan-Clicker.JS.Iframe.db | 128093 |
| 6 | -2 | not-a-virus:AdWare.Win32.Boran.z | 109256 |
| 7 | 新規 | Trojan.JS.Iframe.ez | 91737 |
| 8 | 新規 | Trojan.JS.Zapchast.bn | 64756 |
| 9 | 新規 | Packed.JS.Agent.bn | 60361 |
| 10 | 新規 | Packed.Win32.Krap.ai | 43042 |
| 11 | 8 | Packed.Win32.Krap.ag | 41731 |
| 12 | 新規 | Exploit.JS.Pdfka.asd | 36044 |
| 13 | 新規 | Trojan.JS.Agent.axe | 35309 |
| 14 | 新規 | Trojan-Downloader.JS.Shadraem.a | 35187 |
| 15 |  リエントリ | Trojan.JS.Popupper.f | 33745 |
| 16 | 新規 | not-a-virus:AdWare.Win32.GamezTar.b | 33266 |
| 17 | 新規 | Trojan-Downloader.JS.Twetti.a | 30368 |
| 18 | 新規 | Trojan-Downloader.Win32.Lipler.iml | 28634 |
| 19 | 新規 | Trojan-Downloader.JS.Kazmet.d | 28374 |
| 20 | 新規 | Trojan.JS.Agent.axc | 26198 |
1 つめのランキングと比較すると、2 つめのランキングでははるかに顕著な変化が見られました。先月ランキングに入っていたプログラムのうち今月も残ったのは全体のわずか 4 分の 1 で、再度ランクインしたプログラムが 1 つあるほかは、ランキング全体の内容が一変しています。
首位は依然として Gumblar.x ですが、このマルウェアに感染した Web サイトの感染駆除もしだいに進んでいます。その結果、12 月のダウンロード試行回数は 11 月の 4 分の 1 まで減っています。
同じく 1 つめのランキングにも入っている Krap.ag は、今回 2 つめのランキングで 8 ランク順位を上げています。このプログラムによるダウンロード試行回数は先月比で 50% 増となっています。Krap.ag より 1 つ順位が上の Krap.ai も、偽のアンチウイルスプログラムを圧縮するパッカーとして検知されます。
GamezTar.a は 2 つめのランキングにも登場していますが、これは、プログラムがオンラインゲームに関連するものであることを考えると不思議なことではありません。さらに、別の亜種である GamezTar.b も第 16 位にランクインしています。
第 5 位の Trojan-Clicker.JS.Iframe.db は、単純な方法で難読化された、典型的な iframe ダウンローダです。
Trojan.JS.Iframe.ez、Trojan.JS.Zapchast.bn、Packed.JS.Agent.bn、Trojan.JS.Agent.axe、Trojan-Downloader.JS.Shadraem.a および Trojan-Downloader.JS.Kazmet.d はいずれも Adobe やマイクロソフト製品の脆弱性を悪用する目的で開発されました。これらのプログラムでは、複雑化および難読化のレベルがそれぞれ異なります。
第 17 位にランクインした Trojan-Downloader.JS.Twetti.a は、サイバー犯罪者の創作物としてかなり興味深いものだと言えます。合法な Web サイトの多くがこのマルウェアに感染しているので、その機能をさらに詳しく見てみましょう。このマルウェアを復号化すると、メインの実行ファイルへのリンクはもとより、エクスプロイトやエクスプロイトへのリンクもないことがわかりました。分析した結果、スクリプトはサイバー犯罪者および Twitter の双方によく使用されているAPI (application programming interface) を使用していることがわかりました。
Trojan-Downloader.JS.Twetti.a は次のような動作をします。まず API へのリクエストが作成されたのち、Twitter 上で最も頻繁にやりとりされている話題など、いわゆる「トレンド」に関するデータが送られてきます。返送されたデータは、サイバー犯罪者が同様の方法で事前に登録した任意のドメイン名およびドメインへのリダイレクトの作成に使用されます。マルウェア本体は PDF エクスプロイトまたは実行ファイルの形態で、上記のドメイン上に配置されます。つまり、マルウェアへのリンクやリダイレクトは、Twitter のような媒体を介して即時で作成されています。
Packed.JS.Agent.bn および Trojan-Downloader.JS.Twetti.a は、感染を目的とした PDF ファイルを使ってユーザの PC を感染させます。このファイルは Exploit.JS.Pdfka.asd の名前で検知され、今回第 12 位にランクインしています。この事実から、12 月のランキングの少なくても 3 つは同一のサイバー犯罪組織により作成されたものだと推測できます。同じく気がかりな事実は、現在最も危険なプログラムに数えられる TDSS、Sinowal および Zbot ファミリーに属するプログラムが、ドライブバイダウンロードの過程で被害者の PC にダウンロードされる実行ファイル中に検出されていることです。
全体的に見て、12 月も先月までの傾向を踏襲しています。攻撃の手法はますます複雑化され、分析が困難になっています。サイバー犯罪者の目的は、金銭の獲得であることがほとんどです。オンライン上の脅威による被害はオンラインにとどまらず、現実にも被害を及ぼすようになっています。したがって、コンピュータおよびデータの保護に注意を払うことがますます重要になっています。
