Kaspersky Lab は、2010 年 6 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 | 
0
| Net-Worm.Win32.Kido.ir | 304259 |
| 2 |
0
| Virus.Win32.Sality.aa | 193081 |
| 3 |
0
| Net-Worm.Win32.Kido.ih | 175811 |
| 4 |
0
| Net-Worm.Win32.Kido.iq | 141243 |
| 5 | 
新規
| Exploit.JS.Agent.bab | 134868 |
| 6 | 
-1
| Trojan.JS.Agent.bhr | 130424 |
| 7 |
-1
| Worm.Win32.FlyStudio.cu | 102143 |
| 8 |
-1
| Virus.Win32.Virut.ce | 69078 |
| 9 |
-1
| Trojan-Downloader.Win32.VB.eql | 57578 |
| 10 |
-1
| Worm.Win32.Mabezat.b | 47548 |
| 11 |
新規
| P2P-Worm.Win32.Palevo.fuc | 44130 |
| 12 |
-2
| Trojan-Dropper.Win32.Flystud.yo | 40081 |
| 13 |
新規
| Worm.Win32.VBNA.b | 33235 |
| 14 |
0
| Trojan.Win32.Autoit.ci | 32214 |
| 15 | 
2
| Trojan-Downloader.Win32.Geral.cnh | 31525 |
| 16 |
-5
| Worm.Win32.AutoIt.tc | 30585 |
| 17 |
-5
| Packed.Win32.Krap.l | 29149 |
| 18 |
新規
| Trojan.Win32.AutoRun.aje | 25890 |
| 19 | 
リエントリ
| Email-Worm.Win32.Brontok.q | 25183 |
| 20 |
新規
| Trojan.Win32.Autorun.ke | 24809 |
ランキングの上位 10 位は先月と比較して特に大きな変化が見られませんでした。今月もネットワークワームの Kido とウイルスの Sality が上位 4 位を占めています。5 位に Agent.bab がランクインした結果、Agent.bab に続く 6 つのマルウェアはいずれも順位を 1 ランクずつ下げています。Exploit.JS.Agent.bab については、以下で詳しく述べることにします。
有名なネットワークワームである P2P-Worm.Palevo の新しい亜種が今回 11 位になっています。Palevo.fuc はユーザがブラウザの画面で入力する個人情報を盗むプログラムです。BearShare、iMesh、Shareaza、eMule のようなプログラムを利用した P2P ファイル交換を介して拡散します。共有ファイル用のフォルダに自身を複数コピーしたのち、人目を引く名前を複製につけることで潜在的な被害者の注意を引くことを試みています。また、P2P-Worm.Win32.Palevo.fuc はネットワーク上のフォルダおよびリソースにコピーを繰り返すほか、インスタントメッセンジャーを介してリンクを送信したり、Trojan.Win32.Autorun を利用して接続されたリムーバブルデバイスを感染させながら拡散します。
18 位と 20 位にランクインしている Trojan.Win32.Autorun の新しい 2 つの亜種に感染したリムーバブルデバイスの数は、最低でも 5 万に及びます。いずれもファイル autorun.inf の形をとり、感染したデバイスがコンピュータに接続されると同時に同じデバイス上でワームを起動させます。
最後になりましたが、13 位の Worm.Win32.VBNA.b は Visual Basic で書かれており、悪意あるパッカーのカテゴリーに属します。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
0
| Trojan-Clicker.JS.Iframe.bb | 490331 |
| 2 |
新規
| Exploit.JS.Agent.bab | 341085 |
| 3 |
リエントリ
| Trojan-Downloader.JS.Pegel.b | 220359 |
| 4 |
-2
| Exploit.Java.CVE-2010-0886.a | 214968 |
| 5 |
0
| Trojan.JS.Agent.bhr | 77837 |
| 6 |
新規
| Exploit.JS.Pdfka.clk | 74592 |
| 7 |
0
| not-a-virus:AdWare.Win32.FunWeb.q | 65550 |
| 8 |
新規
| Exploit.JS.Pdfka.ckp | 59680 |
| 9 |
新規
| Worm.Win32.VBNA.b | 57442 |
| 10 |
1
| Trojan-Clicker.JS.Agent.ma | 54728 |
| 11 |
新規
| Hoax.HTML.FakeAntivirus.f | 50651 |
| 12 |
新規
| not-a-virus:AdWare.Win32.FunWeb.ds | 49720 |
| 13 |
-5
| Exploit.JS.CVE-2010-0806.i | 48089 |
| 14 |
新規
| Exploit.JS.Pdfka.clm | 45489 |
| 15 |
0
| not-a-virus:AdWare.Win32.Shopper.l | 44913 |
| 16 |
0
| Trojan.JS.Redirector.l | 43787 |
| 17 |
-8
| Exploit.JS.CVE-2010-0806.b | 39143 |
| 18 |
新規
| Trojan.JS.Agent.bky | 36481 |
| 19 |
新規
| Trojan.JS.Fraud.af | 35410 |
| 20 |
-17
| Trojan.JS.Redirector.cq | 35375 |
ランキングには大きな変化が見られたものの、1 位の Trojan-Clicker.JS.Iframe.bb も含めた 5 つのマルウェアがポジションを維持しています。
Trojan-Downloader.JS.Pegel.b が突然ランキングの 3 位に戻ってきたのは、4 月 のレポートでご紹介した Trojan-Downloader.JS.Gumblar.x と同じような状況だと言えます。Pegel が最近で最も活発な動きを見せたのは今年の 2 月で、亜種が Pegel.b を筆頭に 6 つもランキングに入りました。先月 のレポートでご紹介した PDF エクスプロイトや Java CVE-2010-0886 エクスプロイトも Pegel.b と合わせて使用されました。Pegel や Gumblar のほかにも、サイバー犯罪者が正規の Web サイトを感染させる目的で使用するスクリプトには、より単純で広く拡散しているものがあります。そのうちのひとつが 18 位にランクインしている Trojan.JS.Agent.bky で、ファイルのサイズは平均で 0x3B バイトあるいは 59 シンボルです。Trojan.JS.Agent.bky の唯一の機能は、固定の URL から悪質なコードをダウンロードすることです。
今回 2 位にランクインしている Exploit.JS.Agent.bab は、34 万回以上も検知されています。このエクスプロイトは、古い脆弱性 CVE-2010-0806 を利用して被害者のコンピュータにさまざまなマルウェアをダウンロードします。これは、Trojan-Downloader.Win32.Geral 、Rootkit.Win32.Agent、Backdoor.Win32.Hupigon がダウンロードされたのち Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW がダウンロードされるというシナリオを連想させます。
ランキングでは Exploit.JS.Pdfka の亜種がほかにも 3 つランクインしています (6 位、8 位、14 位)。どうやらこのマルウェアのファミリーはランキングから消えることはないようです。Adobe のアップデートがリリースされるたびに、このエクスプロイトの新しい亜種が出現しています。これらのエクスプロイトによってダウンロードされるマルウェアは多岐に及びます。
最近、使用中のコンピュータが多数のマルウェアに感染しているというメッセージが表示される Web サイトのページが多くみられます。ブラウザのダイアログ画面は「マイコンピュータ」の画面に似ており、ウイルススキャンの実行を勧められます。この「スキャン」が実行されると、ユーザは 1 回クリックするだけで(ウィンドウを閉じるためであっても)「アンチウイルス」がダウンロードされます。この「アンチウイルス」は多くの場合 Trojan-Ransom ファミリーの亜種であるか、あるいは Trojan.Win32.FraudPack です。このような Web ページは、カスペルスキー製品で Hoax.HTML.FakeAntivirus.f および Trojan.JS.Fraud.af の名前で検知されます。
12 位に AdWare.Win32.FunWeb.ds がランクインしているように、潜在的に危険なソフトウェアも依然としてランキングに入っています。このマルウェアの目的はユーザの検索情報の収集で、集められたデータの多くはネットサーフィンをしているときに時々現れるポップアップバナー表示システムに使用されています。
サイバー犯罪者の多くにとって、個人情報は大きな収益源となります。マルウェアのパックや拡散の技術改良を進めたり、新たな脆弱性を探し出したり、より巧妙にフィッシングおよびソーシャルエンジニアリングを使用することで、ウイルス作者は個人情報をより多く集めようとしています。アンチウイルス製品のベンダーがサイバー犯罪者の動きを常時監視してはいるものの、ユーザも十分に注意する必要があります。インターネットでの検索の方法や検索対象の情報から、自分が他人に開示しているつもりがない情報が露呈してしまう可能性があることを忘れないでください。
Web サイトを通じた感染の試みが最も多く観測された国
