Kaspersky Lab は、2010 年 5 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 | 
0
| Net-Worm.Win32.Kido.ir | 339585 |
| 2 |
0
| Virus.Win32.Sality.aa | 210257 |
| 3 |
0
| Net-Worm.Win32.Kido.ih | 201746 |
| 4 |
0
| Net-Worm.Win32.Kido.iq | 169017 |
| 5 | 
9
| Trojan.JS.Agent.bhr | 161414 |
| 6 | 
-1
| Worm.Win32.FlyStudio.cu | 127835 |
| 7 |
-1
| Virus.Win32.Virut.ce | 70189 |
| 8 |
0
| Trojan-Downloader.Win32.VB.eql | 66486 |
| 9 |
0
| Worm.Win32.Mabezat.b | 54866 |
| 10 |
0
| Trojan-Dropper.Win32.Flystud.yo | 50490 |
| 11 |
0
| Worm.Win32.AutoIt.tc | 47044 |
| 12 |
1
| Packed.Win32.Krap.l | 44056 |
| 13 | 
新規
| Trojan.JS.Iframe.lq | 38658 |
| 14 |
新規
| Trojan.Win32.Agent2.cqzi | 35423 |
| 15 |
1
| Trojan.Win32.Autoit.ci | 34670 |
| 16 |
新規
| Trojan-GameThief.Win32.Magania.dbtv | 31066 |
| 17 |
新規
| Trojan-Downloader.Win32.Geral.cnh | 30225 |
| 18 |
新規
| Trojan.JS.Zapchast.dv | 29592 |
| 19 |
-2
| Virus.Win32.Induc.a | 28522 |
| 20 |
-8
| Exploit.JS.CVE-2010-0806.e | 27606 |
5 月のランキングでは、5 つのプログラムが新たにランクインしています。
まず、脆弱性 CVE-2010-0806 を悪用するエクスプロイトの亜種は、先月突然ランキングに現れたのち、素早く姿を消しています。ただし、サイバー犯罪者が CVE-2010-0806 の悪用をやめたわけではありません。5位の Trojan.JS.Agent.bhr も脆弱性 CVE-2010-0806 を悪用するエクスプロイトの亜種の 1 つで、今回 9 ランク順位を上げています。新たに 13 位にランクインした Trojan.JS.Iframe.lq はドライブバイ攻撃において使用されるプログラムで、感染したユーザの PC に Exploit.JS.CVE-2010-0806.i をダウンロードします。Trojan.JS.Zapchast.dv も同じく脆弱性 CVE-2010-0806 を狙ったもので、20 位の Exploit.JS.CVE-2010-0806.e の一部となるトロイの木馬です。
Trojan-GameThief.Win32.Magania.dbtv が 16 位にランクインしている事実は、このエクスプロイトに関する先月の予想を裏付けるものです。つまり、サイバー犯罪者は、利用者の多いオンラインゲームにアカウントを持つユーザの個人情報を盗むことを目的としてこのエクスプロイトを使用しています。具体的に被害が出ているのは、「CABALONLINE」、「Metin2」、「Mu Online」およびNexon 社のゲームのユーザです。
感染の経路は以下のとおりです。
- ユーザを Trojan.JS.Iframe.lq、Trojan.JS.Zapchast.dv、あるいは CVE-2010-0806 を悪用するエクスプロイトの 1 つが配置された Web ページに誘導します。
- エクスプロイトが Trojan-Downloader.Win32.Geral.cnh をダウンロードします。Trojan-Downloader.Win32.Geral.cnh は大量のペイロードをパックするトロイの木馬型ダウンローダです。このダウンローダに含まれている 2 つのルートキットは、ダウンローダをアンチウイルス製品で検知されないように隠蔽します。また、このダウンローダには Worm.Win32.Autorun も含まれています。このコンポーネントにより、外部接続デバイスを経由した拡散や、ダウンロードリストを使用するアルゴリズムの使用が可能となっています。
- ダウンローダの Geral は、被害者のコンピュータに Trojan-PSW.Win32.QQPass、Trojan-GameTheif.Win32.OnlineGames/WOW/Magania、Trojan-GameThief.Win32.Magania.dbtv の各亜種をダウンロードします。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
新規
| Trojan-Clicker.JS.Iframe.bb | 397667 |
| 2 |
新規
| Exploit.Java.CVE-2010-0886.a | 244126 |
| 3 |
新規
| Trojan.JS.Redirector.cq | 194285 |
| 4 |
新規
| Exploit.Java.Agent.f | 108869 |
| 5 |
新規
| Trojan.JS.Agent.bhr | 107202 |
| 6 |
新規
| Exploit.Java.CVE-2009-3867.d | 85120 |
| 7 |
-2
| not-a-virus:AdWare.Win32.FunWeb.q | 82309 |
| 8 |
-6
| Exploit.JS.CVE-2010-0806.i | 79192 |
| 9 |
-5
| Exploit.JS.CVE-2010-0806.b | 76093 |
| 10 |
新規
| Trojan.JS.Zapchast.dv | 73442 |
| 11 |
-2
| Trojan-Clicker.JS.Agent.ma | 68033 |
| 12 |
新規
| Trojan.JS.Iframe.lq | 59109 |
| 13 |
新規
| Trojan-Downloader.JS.Agent.fig | 56820 |
| 14 |
5
| not-a-virus:AdWare.Win32.Shopper.l | 50497 |
| 15 |
2
| Exploit.JS.CVE-2010-0806.e | 50442 |
| 16 |
-4
| Trojan.JS.Redirector.l | 50043 |
| 17 |
新規
| Trojan.JS.Redirector.cj | 47179 |
| 18 |
-2
| not-a-virus:AdWare.Win32.Boran.z | 43514 |
| 19 |
-6
| Trojan-Dropper.Win32.VB.amlh | 43366 |
| 20 |
新規
| Exploit.JS.Pdfka.chw | 42362 |
2 つめのランキングでは、マルウェアの順位がすべて変わっています。
1 位の Trojan-Clicker.JS.Iframe.bb に感染した Web ページは40 万に上ります。Trojan-Clicker.JS.Iframe.bb は、感染した Web ページに気付かぬまま誘導された被害者のクリックを使用して Web サイト訪問者数を水増しすることを目的とするトロイの木馬です。
また、3 位の Trojan.JS.Redirector.cq は、偽のアンチウイルスプログラムの配布元となっている Web ページにユーザを誘導するリダイレクタです。
ランキングに入っているマルウェアのうち 7 つがエクスプロイトです。今回新たにランクインした、Exploit.Java.CVE-2010-0886.a、Exploit.Java.Agent.f および Exploit.Java.CVE-2009-3867.d の 3 つのプログラムがいずれも Java プラットフォームを狙ったエクスプロイトであるのが注目されます。
そのうちの 1 つが、2 位の Exploit.Java.CVE-2010-0886.a です。このマルウェアは、Java スクリプトで書かれたダウンローダと Java アプレットで構成されています。ダウンローダは Java Development Kit の launch() メソッドを使用しています。この機能がパラメータとして使用する文字列は、複数のパラメータキーおよび悪意ある Java アプレットが配置された URL で構成されています。JavaScript コードは、ユーザが気付かないようにコンピュータ上で Java プログラムを実行します。Java プログラムは大抵の場合トロイの木馬型ダウンローダで、悪意ある実行ファイルをダウンロードして、ユーザのコンピュータ上で起動させます。脆弱性 CVE-2010-0886 がサイバー犯罪者の間でこれほど注目されたのは、ダウンローダ Pegel による攻撃に使用された結果だと言えるでしょう。Pegel に関しては、2 月のレポートをご参照ください。(kaspersky.co.jp/news).
同じく新たにランクインした Exploit.Java.CVE-2009-3867.d (6 位) は、getSoundBank 関数に存在するスタックバッファーオーバーフローの脆弱性を利用するエクスプロイトです。getSoundbank 関数は、メディアコンテンツのダウンロードに使用され、自身のパラメータとして soundbankオブジェクトの URL を取得します。この脆弱性を悪用すると、サイバー犯罪者は被害者のコンピュータ上で任意のコードを実行可能とするシェルコードを使うことができます。
上述のエクスプロイトはいずれも、リダイレクタおよび感染した正規の Web ページに関連するものです。その他、このような「付随の」マルウェアとしては、Trojan.JS.Agent.bhr (5 位)、Trojan.JS.Zapchast.dv (10 位)、 Trojan.JS.Iframe.lq (12 位) 、Trojan-Downloader.JS.Agent.fig (13 位)があります。
Web サイトを通じた感染の試みが最も多く観測された国
5 月の傾向
サイバー犯罪者はここ数ヶ月にわたって、ユーザの個人情報を取得する目的でエクスプロイトを積極的に使用しています。マルウェアの拡散技術および検知・分析を困難にする方法に変化が見られます。
5 月のインターネット上でも最も多く見られたマルウェアのうち 11 種が各種エクスプロイトやエクスプロイトに関連したトロイの木馬でした。これらのマルウェアはランキングで 2 位から 6 位までを連続して占めているほかは、2、3 種ごとにまとまった形で登場しています。
Java プラットフォームの脆弱性を悪用するエクスプロイトが拡散している状況で、サン・マイクロシステムズはユーザに対して、定期的な製品のアップデートを強く推奨しています。
