2008年12月ウイルスTOP20

2008 年 12 月のカスペルスキーセキュリティネットワーク (KSN) の結果をもとに、最も蔓延しているウイルスをふたつのランキングにまとめました。

1 つめのランキングは、カスペルスキーアンチウイルス製品バージョン 2009 がインストールされた環境で、KSN がユーザのコンピュータ上で検知した悪意あるプログラム、アドウェアおよび潜在的に危険なプログラムのデータに基づいて作成されています。

順位	順位変動	ウイルス名
1	0	Virus.Win32.Sality.aa
2	0	Packed.Win32.Krap.b
3	2	Trojan-Downloader.Win32.VB.eql
4	0	Worm.Win32.AutoRun.dui
5	新規	Trojan.HTML.Agent.ai
6	-3	Trojan-Downloader.WMA.GetCodec.c
7	10	Virus.Win32.Alman.b
8	12	Trojan.Win32.AutoIt.ci
9	-2	Packed.Win32.Black.a
10	新規	Worm.Win32.AutoIt.ar
11	3	Worm.Win32.Mabezat.b
12	3	Worm.Win32.AutoRun.eee
13	新規	Trojan-Downloader.JS.Agent.czm
14	リエントリ	Trojan.Win32.Obfuscated.gen
15	1	Email-Worm.Win32.Brontok.q
16	-3	Virus.Win32.VB.bu
17	-6	Trojan.Win32.Agent.abt
18	-8	Trojan-Downloader.JS.IstBar.cx
19	-1	Worm.VBS.Autorun.r
20	新規	Trojan-Downloader.WMA.GetCodec.r

11 月に上位を占めた Virus.Win32.Sality.aa と Packed.Win32.Krap.b は、今回もランキングの 1 位と 2 位に位置しています。全体的にランキングの構成はあまり変わっていませんが、いくつか注目したいポイントがあります。

先月新しくランキング入りした 2 つのワーム、Mabezat.b および AutoRun.eee は、12 月になって順位をそれぞれ 3 つ上げました。これは、これらのワームがネットワークリソースを介した従来の拡散方法だけでなく、ポータブルデバイスを通じて効率よく拡がっている事実を反映しています。Mabezat.b も、ファイル感染能力を持っています。Sality.aa ウイルスが似たような手段を使ってランキングのトップに上り詰めましたが、いまや Mabezat.b も同じやりかたを取っているのです。

Virus.Win32.Alman.b が今月になって順位を 10 個上げたのにも興味を引かれます。Alman の攻撃コードの一部は、さまざまなオンラインゲームのパスワードを盗み出します。ゲーマーの活動がピークに達するのは冬であることを考えると、このウイルスが急激に順位を上げたのは簡単に説明が付きます。今後、このマルウェアの動向が注目されます。

新しくエントリした Trojan.HTML.Agent.ai と Trojan-Downloader.JS.Agent.czm は、平凡なスクリプトダウンローダであり、とくに目を引くような機能は備えていません。

悪意あるプログラムの多くは、AutoIt スクリプト言語で記述されています。この言語は簡単にマスターでき、新しいプログラムを作成しやすいのがその理由です。Trojan.Win32.AutoIt.ci と 12 月に新しくランク入りした Worm.Win32.AutoIt.ar が急激に順位を上げたのも、この事実を反映しています。Mabezat.b や AutoRun.eee と同様に、Autolt.ar もポータブルデバイス経由で拡散します。

通常あまり見られないマルウェアファミリーを代表して 2 つの悪意あるプログラム (Trojan-Downloader.WMA.GetCodec) が TOP 20 入りしているのも、気になるところです。このうちのひとつ、Trojan-Downloader.WMA.GetCodec.c が TOP 20 入りしたのは先月のことです。12 月には順位を下げたものの、11 月はいきなり 3 位となりました。もう一方の Trojan-Downloader.WMA.GetCodec.r も、興味深いプログラムです。感染したマルチメディアファイルを再生すると実行ファイルがダウンロードされますが、このファイルは P2p-Worm.Win32.Nugg.w であり、通常はコーデックの形態を取っています。このファイルが実行されると、実行ファイルとマルチメディアファイルを含むアーカイブがインターネットからダウンロードされます。実行ファイルはいずれも P2P-Worm.Win32.Nugg の変種であり、マルチメディアファイルは Trojan-Downloader.WMA.Getcodec のさまざまな変種に感染しています。このワームは、これらファイルの名前を「keygen RELOADED.zip」「(hot remix).mp3」などユーザの気を引くような名前に置き換え、Gnutella のピアツーピアネットワークで入手可能な状態にします。ユーザがこれらのファイルをダウンロードすると、悪意あるコードが拡散していきます。したがって、通常のマルチメディアファイルであってももはや信頼することはできず、コーデックのダウンロードを促されたときには用心する必要があります。

今回のランキングに入っている悪意あるプログラム、アドウェアおよび潜在的に危険なプログラムは、大きく 3 つのカテゴリに分けることができます。それぞれが占めるパーセンテージは、11 月とほとんど変わっていません。自己増殖型の悪意あるプログラムは 45% をキープしており、こうしたプログラムがいっそう一般的なものとなるであろうという危惧を裏付ける形になっています。自己増殖型プログラムおよびトロイの木馬プログラムのパーセンテージはまったくの互角で、マルウェアの現況を正確に映し出しています。

12 月にユーザの PC 上で検知された悪意あるプログラム、アドウェアおよび潜在的に危険なプログラムの総数は 38,190 です。実環境での脅威数は何らかの理由で減少を見せ、11 月の総数 (45690) に比べ、検知数が 7,500 のマイナスとなっています。

2 つめの表は、検知された感染オブジェクト内で多く見られる悪意あるプログラムのランキングです。ランクインしているプログラムのほとんどは、ファイルに感染する機能を持ちます。

順位	順位変動	ウイルス名
1	1	Virus.Win32.Sality.aa
2	-1	Worm.Win32.Mabezat.b
3	1	Virus.Win32.Xorer.du
4	新規	Trojan-Downloader.HTML.Agent.ml
5	-2	Net-Worm.Win32.Nimda
6	1	Virus.Win32.Alman.b
7	-2	Virus.Win32.Parite.b
8	-2	Virus.Win32.Virut.n
9	-1	Virus.Win32.Sality.z
10	1	Virus.Win32.Virut.q
11	1	Virus.Win32.Parite.a
12	-2	Email-Worm.Win32.Runouce.b
13	1	Worm.Win32.Otwycal.g
14	2	P2P-Worm.Win32.Bacteraloh.h
15	3	Trojan.Win32.Obfuscated.gen
16	新規	Worm.Win32.Fujack.cf
17	0	Worm.VBS.Headtail.a
18	-3	Virus.Win32.Hidrag.a
19	-6	Worm.Win32.Fujack.k
20	-11	Virus.Win32.Small.l

こちらのランキングは、11 月と比較してほとんど変化がありません。

新規エントリした Agent.ml は、ダウンローダ型トロイの木馬です。このトロイの木馬には少量のコードが含まれていますが、これは悪意ある iframe ブロックであり、Web ページの終端に追加されます。メインページがロードされると、iframe で指定されたページも同様にロードされます。このページには、悪意ある JavaScript が含まれています。

もうひとつの新規エントリである Fujack.cf は、10 月に 19 位となり 11 月にはランキングから外れた Fujack.bd の変種です。