Kaspersky Lab は、2010 年 4 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染したPCの台数 |
| 1 | 
0
|
Net-Worm.Win32.Kido.ir | 330025 |
| 2 |
0
|
Virus.Win32.Sality.aa | 208219 |
| 3 |
0
|
Net-Worm.Win32.Kido.ih | 183527 |
| 4 |
0
|
Net-Worm.Win32.Kido.iq | 172517 |
| 5 |
0
|
Worm.Win32.FlyStudio.cu | 125714 |
| 6 | 
2
|
Virus.Win32.Virut.ce | 70307 |
| 7 | 
新規
|
Exploit.JS.CVE-2010-0806.i | 68172 |
| 8 | 
-2
|
Trojan-Downloader.Win32.VB.eql | 64753 |
| 9 |
2
|
Worm.Win32.Mabezat.b | 51863 |
| 10 |
5
|
Trojan-Dropper.Win32.Flystud.yo | 50847 |
| 11 |
-1
|
Worm.Win32.AutoIt.tc | 49622 |
| 12 |
新規
|
Exploit.JS.CVE-2010-0806.e | 45070 |
| 13 |
-4
|
Packed.Win32.Krap.l | 44942 |
| 14 |
新規
|
Trojan.JS.Agent.bhr | 36795 |
| 15 |
2
|
not-a-virus:AdWare.Win32.RK.aw | 36408 |
| 16 | 
リエントリ
|
Trojan.Win32.Autoit.ci | 35877 |
| 17 |
-1
|
Virus.Win32.Induc.a | 31846 |
| 18 |
新規
|
Trojan.JS.Zapchast.dj | 30167 |
| 19 |
リエントリ
|
Packed.Win32.Black.a | 29910 |
| 20 |
リエントリ
|
Worm.Win32.AutoRun.dui | 28343 |
4 月のランキングでも、上位は依然として Kido および Sality が占めており、状況は安定しています。
4 月に新たにランクインしたプログラムは 4 つです。そのうち 2 つ (7 位、12 位) は、先月のレポート (http://www.kaspersky.co.jp/news?id=207581601) でご紹介したエクスプロイト CVE-2010-0806 の亜種で、残りの 2 つ (14 位、18 位) は脆弱性 CVE-2010-0806 を悪用するトロイの木馬です。大抵これらのエクスプロイトは暗号化あるいは複雑化されているか、またはいくつかのパートに分割されています。ブラウザの画面で感染した Web ページを開くと、エクスプロイトのコンポーネントの各パートが決まった順序でダウンロードされます。最後にダウンロードされるのが、エクスプロイト自身を解凍・実行されるコードです。今回 14 位と 18 位にランクインしたトロイの木馬は、CVE-2010-0806 を悪用するエクスプロイトの亜種のコンポーネントとなっています。
CVE-2010-0806 は Internet Explorer の脆弱性です。3 月に発見された後、脆弱性の詳細な内容が公開されたために、サイバー犯罪者によって積極的に利用されていました。CVE-2010-0806 を悪用するエクスプロイトのユニークダウンロード数は、3 月の時点ですでに 20 万回に達していました。4 月には、このエクスプロイトの 2 つの亜種が、11 万台以上ものコンピュータで駆除されています。このエクスプロイトの急速な拡散については、後ほどさらに詳しく述べることにします。
Virut.ce がゆっくりながら確実にランキングのトップ 5 に接近しているのも注目に値します。最近 3ヶ月で 10 位から 6 位に順位を上げており、4 月中だけでも 7 万台以上のコンピュータ上で駆除されているなど、大幅な増加が見られます。
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア | ダウンロード試行回数 |
| 1 |
1
|
Exploit.JS.CVE-2010-0806.i | 201152 |
| 2 |
新規
|
Exploit.JS.Pdfka.cab | 117529 |
| 3 |
7
|
Exploit.JS.CVE-2010-0806.b | 110665 |
| 4 |
新規
|
not-a-virus:AdWare.Win32.FunWeb.q | 99628 |
| 5 |
新規
|
Trojan-Downloader.JS.Twetti.с | 89596 |
| 6 |
新規
|
Trojan-Downloader.JS.Iframe.bup> | 85973 |
| 7 |
新規
|
Trojan.JS.Agent.bhl | 76648 |
| 8 |
リエントリ
|
Trojan-Clicker.JS.Agent.ma | 76415 |
| 9 |
新規
|
Trojan-Clicker.JS.Iframe.ev | 74324 |
| 10 |
新規
|
Exploit.JS.Pdfka.byp> | 69606 |
| 11 |
-8
|
Trojan.JS.Redirector.l | 68361 |
| 12 |
新規
|
Trojan-Dropper.Win32.VB.amlh | 60318 |
| 13 |
新規
|
Exploit.JS.Pdfka.byq | 60184 |
| 14 |
-10
|
Trojan-Clicker.JS.Iframe.ea | 57922 |
| 15 |
-8
|
not-a-virus:AdWare.Win32.Boran.z | 56660 |
| 16 |
新規
|
Exploit.JS.CVE-2010-0806.e | 53989 |
| 17 |
-11
|
Trojan.JS.Agent.aui | 52703 |
| 18 |
0
|
not-a-virus:AdWare.Win32.Shopper.l | 50252 |
| 19 |
新規
|
Packed.Win32.Krap.gy | 46489 |
| 20 |
新規
|
Trojan.HTML.Fraud.am | 42592 |
2 つめのランキングは今月もまた大きな変動があります。
ここ 2ヶ月ランキングをリードしていた Gumblar.x の活動が突然弱まり、今回ランキングから外れています。Gumblar の前回の大発生と同じく、Gumblar.x も急速に拡散しました。2 月には Web サイトの感染数が 45 万を超えてピークに達し、その 2ヵ月後には一気に姿を消しています。気にかかるのは、このような動きが Gumblar に特有であり、2 月のレポートでご紹介した状況を想起させることです。Gumblar の次の大発生については、その可能性も時期もまだわかりませんが、しばらく状況を監視する必要があります。
ここで、1 つめのランキングでご説明した CVE-2010-0806 を悪用するエクスプロイトに話を戻しましょう。このエクスプロイトは今月急速に拡散した結果、2 つめのランキングで首位となっています。感染の方法としては、まず被害者のコンピュータに Trojan-Downloader.Win32.Small、Trojan-Dropper.Win32.Agent、Trojan.Win32.Inject、Trojan.Win32.Sasfis のようなファミリーに属する小さなダウンローダをダウンロードします。続いてこれらのトロイの木馬が別のマルウェアをダウンロードします。頻繁にダウンロードされるのは、Trojan-GameTheif.Win32.Magania、Trojan-GameTheif.Win32.WOW および Backdoor.Win32.Torr などの亜種です。サイバー犯罪者は、CVE-2010-0806 を悪用するエクスプロイトを 4 月中に利用して、人気のあるオンラインゲームにアカウントを持つユーザの個人情報を窃取しようとしていた模様です。ランキングの 1 位、3 位、16 位を占めたエクスプロイトの亜種の、ダウンロード試行回数の合計は 35 万回を超えています。
4 月に新たにランクインしたプログラムのなかには、Adobe Reader およびAdobe Acrobatの脆弱性を悪用するエクスプロイト 3 種 (2 位、10 位、13 位) も含まれています。これらの PDF エクスプロイトが悪用する脆弱性は 2009 年に発見されたものです。エクスプロイト自身は、Java スクリプトで書かれたシナリオを含む PDF 文書です。エクスプロイトによってダウンロードされたトロイの木馬型ダウンローダは別のマルウェアをダウンロードします。ランキングの 2 位である Pdfka.cab が感染させたコンピュータにダウンロードされたマルウェアには、PSWTool.Win32.MailPassView ファミリーの亜種も含まれていました。このファミリーに属するプログラムはいずれも、E メールアカウントの ID およびパスワードを盗用する目的で使用されます。
19 位の Packed.Win32.Krap.gy は、同じファミリーに属するほかのパッカーと同様に、偽のアンチウイルスプログラムを隠蔽しています。偽のアンチウイルスプログラムの発信元となっている HTML ページは、カスペルスキーの製品によって Trojan.HTML.Fraud.am (20 位) の名前で検知されます。
5 位の Twetti.c のダウンロード試行回数は 9 万回になりました。このトロイの木馬は機能の面で、多少複雑化されているほかは、12 月のレポートでご紹介した Twetti.a と相違がありません。
4 月の状況をまとめると、最近の傾向をそのまま踏襲していると言えます。つまり、サイバー犯罪者はソースコードが広く知られているエクスプロイトを積極的に利用しており、攻撃の目的はユーザの E メール、オンラインゲームおよび Web サイトのアカウントといった個人情報の盗用です。このような攻撃の件数は 4 月だけでも 10 万件に上ります。盗用された個人情報は、売却されるか、マルウェアの拡散のために使用されていると考えられます。または、その両方の場合もあるかも知れません。
Web サイトを通じた感染の試みが最も多く観測された国
