今月は、ユーザの PC 上で検知されたマルウェアランキング、インターネット上のマルウェアランキングともに新たにランクインしたプログラムは少なく、大きな変化は見られませんでした。ただし今月現れた新たなコンビネーションに注目する必要があります。
今月は、ユーザの PC 上で検知されたマルウェアランキング、インターネット上のマルウェアランキングともに新たにランクインしたプログラムは少なく、大きな変化は見られませんでした。ただし今月現れた新たなコンビネーションに注目する必要があります。それは、ドロッパーである Trojan-Dropper.Win32.Sality.cx が、感染したコンピュータに Virus.Win32.Sality.bh をインストールするというものです。このプロセスで、ドロッパーは WinLNK ファイル (Windows ショートカット) の脆弱性を利用して拡散しています。また、Windows のヘルプとサポートセンターの脆弱性 CVE-2010-1885 を悪用するエクスプロイトがかなり減っていることも注目されます。さらに今月の特徴として挙げられるのは、インターネット上のマルウェアランキングでアドウェアの数 (7 件) がエクスプロイトの数と同じになったことです。
当レポートではユーザの PC 上で検知されたマルウェアランキング、インターネット上のマルウェアランキングともに、ヒューリスティック検知のデータが含まれていません。現在この方法で検知されるプログラムが全体の 25-30% を占めることから、今後はランキングに反映させる予定です。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 | 
0
| Net-Worm.Win32.Kido.ir | 371564 |
| 2 |
0
| Virus.Win32.Sality.aa | 166100 |
| 3 |
0
| Net-Worm.Win32.Kido.ih | 150399 |
| 4 | 
1
| Trojan.JS.Agent.bhr | 95226 |
| 5 |
1
| Exploit.JS.Agent.bab | 81681 |
| 6 |
1
| Worm.Win32.FlyStudio.cu | 80829 |
| 7 |
1
| Virus.Win32.Virut.ce | 76155 |
| 8 | 
-4
| Net-Worm.Win32.Kido.iq | 65730 |
| 9 |
0
| Exploit.Win32.CVE-2010-2568.d | 59562 |
| 10 |
0
| Trojan-Downloader.Win32.VB.eql | 53782 |
| 11 | 
新規
| Virus.Win32.Sality.bh | 44614 |
| 12 |
0
| Exploit.Win32.CVE-2010-2568.b | 43665 |
| 13 | 
リエントリ
| Worm.Win32.Autoit.xl | 40065 |
| 14 |
-1
| Worm.Win32.Mabezat.b | 39239 |
| 15 |
新規
| Packed.Win32.Katusha.o | 39051 |
| 16 |
新規
| Trojan-Dropper.Win32.Sality.cx | 38150 |
| 17 |
-3
| Worm.Win32.VBNA.b | 37236 |
| 18 |
新規
| P2P-Worm.Win32.Palevo.avag | 36503 |
| 19 |
-4
| AdWare.WinLNK.Agent.a | 32935 |
| 20 |
リエントリ
| Trojan-Downloader.Win32.Geral.cnh | 31997 |
今月は 4 つのプログラムが新たにランクインしています。そのうちの 2 つは、過去ランキングに入っており、一旦ランキングから外れたのち今回リエントリしているものです。
ランキングの上位 10 位には大きな変化が見られなかったものの、ネットワークワームである Kido の亜種である Net-Worm.Win32.Kido.iq が 4 位から 8 位に順位を下げているのが注目されます。
9 位の Exploit.Win32.CVE-2010-2568.d と 12 位の Exploit.Win32.CVE-2010-2568.b は、Windows のショートカットファイルの脆弱性 CVE-2010-2568 を悪用するエクスプロイトで、今月も順位をキープしています。一方で、この脆弱性をターゲットにするマルウェアには変化が見られます。8 月にランクインしていた Trojan-Dropper.Win32.Sality.r にかわり、今月は同じファミリーに属する別の亜種、Trojan-Dropper.Win32.Sality.cx (16位) がランクインしています。この Sality.cx も Sality.r と構造は同じであるものの、Virus.Win32.Sality.ag ではなく Virus.Win32.Sality.bh (11位) を感染した PC にインストールしています。このように、脆弱性 CVE-2010-2568 を悪用するエクスプロイトを介して、ポリモーフィック型ウイルスである Sality の新しい亜種が拡散しています。Trojan-Dropper.Win32.Sality.cx にはロシア語の単語を意味する文字列を含んだ URL が含まれていることから、ロシア語圏のウイルス作者が作成した可能性があります。
リンクにロシア語の単語を意味する文字列を含んだ Trojan-Dropper.Win32.Sality.cx の一部
Sality.cx の地域的分布を見てみると、8 月の Trojan-Dropper.Win32.Sality.r とまったく同じであることがわかります。検知数が最も多かったのはインド、ベトナム、ロシアの順で、この亜種の拡散は、以下の分布図からわかるように CVE-2010-2568 を悪用するエクスプロイトの拡散状況とほぼ一致しています。
Trojan-Dropper.Win32.Sality.cx の地域分布図
悪意あるパッカーである Packed.Win32.Katusha.o が新たに 15 位にランクインしています。以前のランキングでもすでにこのファミリーの別の亜種が入っており、ウイルス作者はアンチウイルス製品の検知に対抗するために次々と新しい亜種を開発していることがうかがえます。別のパッカーである Worm.Win32.VBNA.b (17 位) は今回のランキングでわずかに順位を下げています。
5 月に始まり 4ヶ月の間、P2P-Worm.Win32.Palevo の新しい亜種が毎回ランキングに入っています。P2P-Worm.Win32.Palevo は P2P ネットワークを介して拡散するもので、今月のランキングでは Palevo.avag が 18 位に入っています。また、Worm.Win32.AutoIt.xl (13位) と Trojan-Downloader.Win32.Geral.cnh (20位) がランキングにリエントリしています。前回 Worm.Win32.AutoIt.xl は 7 月に、Trojan-Downloader.Win32.Geral.cnh は 5 月にランキングに入っていました。14 位の Worm.Win32.Mabezat.b と 19 位のAdWare.WinLNK.Agent.a も過去のランキングに入っていたプログラムですが、いずれも今回順位を下げています。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネット上の脅威の状況を反映しています。ランクインしているのは、Web ページで検知された、または Web ページから被害者のマシンにダウンロードされたマルウェアおよび潜在的に危険なプログラムです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
1
| Exploit.JS.Agent.bab | 127123 |
| 2 |
-1
| Trojan-Downloader.Java.Agent.ft | 122752 |
| 3 |
14
| Exploit.HTML.CVE-2010-1885.d | 75422 |
| 4 |
3
| AdWare.Win32.FunWeb.di | 61515 |
| 5 |
0
| AdWare.Win32.FunWeb.ds | 56754 |
| 6 |
-2
| Trojan.JS.Agent.bhr | 51398 |
| 7 |
新規
| Exploit.SWF.Agent.du | 43076 |
| 8 |
3
| Trojan-Downloader.VBS.Agent.zs | 42021 |
| 9 |
新規
| AdWare.Win32.FunWeb.ge | 41986 |
| 10 |
9
| AdWare.Win32.FunWeb.fb | 37992 |
| 11 |
-1
| Exploit.Java.CVE-2010-0886.a | 37707 |
| 12 |
新規
| Trojan-Downloader.Java.Agent.gr | 36726 |
| 13 |
-5
| AdWare.Win32.FunWeb.q | 31886 |
| 14 |
2
| Exploit.JS.Pdfka.cop | 29025 |
| 15 |
3
| Exploit.JS.CVE-2010-0806.b | 28366 |
| 16 |
-2
| AdWare.Win32.FunWeb.ci | 26254 |
| 17 |
新規
| Trojan-Downloader.Java.OpenStream.ap | 21592 |
| 18 |
リエントリ
| AdWare.Win32.Boran.z | 20639 |
| 19 |
新規
| Trojan-Clicker.HTML.IFrame.fh | 19799 |
| 20 |
新規
| Exploit.Win32.Pidief.ddd | 19167 |
9 月のインターネット上のマルウェアランキングはこれまでとは違った傾向を見せています。先月までとは異なり、新たにランクインしたプログラムは 6 つにとどまっています。
まず、ランキングに入っているエクスプロイトについて見てみましょう。Exploit.JS.Agent.bab (1 位)、Trojan.JS.Agent.bhr (6 位)、Exploit.JS.CVE-2010-0806.b (15 位) はともに脆弱性 CVE-2010-0806 を悪用するもので、すでに数ヶ月ランキングの上位に入っています。Internet Explorer の脆弱性の悪用は、サイバー犯罪者の間でしばらく流行しそうです。一方で、脆弱性 CVE-2010-1885 を悪用するエクスプロイトの数は、8 月には 5 つありましたが今回は 3 位の Exploit.HTML.CVE-2010-1885.d だけになっています。そのほかの 2 つのエクスプロイト (2 位の Trojan-Downloader.Java.Agent.ft および 12 位の Trojan-Downloader.Java.Agent.gr) は、getSoundBank() 関数の古い脆弱性である CVE-2009-3867 を悪用するものです。11 位の Exploit.Java.CVE-2010-0886.a は 5 月以来、毎月ランキングに入っています。
今月、初めてエクスプロイトの数がアドウェアの数と同じになりました。ランキングには AdWare.Win32 のファミリーに属するプログラムが 7 つ入っており、そのうち 9 位の FunWeb.ge だけが今月新たにランクインしています。その他は過去のランキングにも登場した FunWeb.di (4 位)、FunWeb.ds (5 位)、FunWeb.fb (10 位)、FunWeb.q (13 位)、FunWeb.ci (16 位) および 7 月のランキングに入った Boran.z (18 位) です。
新たにランクインしたプログラムについて見てみましょう。7 位にランクインしたExploit.SWF.Agent.du は興味深いプログラムです。今まで Flash 技術の脆弱性を悪用するケースはほとんど見られませんでした。17 位の Trojan-Downloader.Java.OpenStream.ap は新種のダウンローダ型トロイの木馬で、悪意あるオブジェクトのダウンロードに Java 言語の標準クラスが使用されています。このプログラムの作成には、以下のスクリーンショットが示すように、複雑化の技術が使われています。
Trojan-Downloader.Java.OpenStream.ap の一部
無意味に同じ記号が繰り返されていますが、これらはアンチウイルス製品による検知を避けるためのものです。
もう 1 つの新しいプログラムである 19 位の Trojan-Clicker.HTML.IFrame.fh は一般的なHTML ページですが、悪意ある Web ページへの誘導を目的としています。
ランキング 20 位の Exploit.Win32.Pidief.ddd も新しいタイプのエクスプロイトです。このエクスプロイトはスクリプトが埋め込まれた PDF ファイルで、スクリプトはコマンドプロンプトを起動して VB スクリプトをハードディスクドライブに書き込み、「This file is encrypted. If you want to decrypt and read this file press "Open"?(このファイルは暗号化されています。暗号を解除してファイルを開くには「開く」をクリックしてください)」というメッセージを表示させます。この VB スクリプトが起動されると、別の悪意あるスクリプトのダウンロードが始まります。以下のスクリーンショットは悪意ある PDF ファイルの一部で、スクリプトの一部と上記のメッセージを含みます。
Exploit.Win32.Pidief.ddd の一部
Stuxnet
今月の状況をまとめる上で、Stuxnet ワームについて言及する必要があります。Stuxnet ワームはターゲットが限定されているためにランキングには入っていないものの、影響力は非常に大きなものです。
Stuxnet ワームは 7 月始めに発見されたのち、9 月にマスコミで話題になりました。このワームは 4 つのゼロデイ脆弱性を悪用したほか、Realtek および Jmicron が発行する有効な証明書を悪用しました。Stuxnet がここまで騒がれた理由はそのターゲットにあります。Stuxnet の目的は、スパムの配信やユーザの個人情報の盗用ではなく、産業システムの掌握です。こうした、従来のプログラムとは根本的に異なる次世代のプログラムが登場した事実により、サイバーテロやサイバー戦争の可能性を示唆する声も上がっています。
Stuxnet ワームによる感染が深刻だったのはインド、インドネシアおよびイランです。9 月末時点での分布状況は以下の地域分布図をご参照下さい。
