Kaspersky Lab は、2010 年 3 月のマルウェアマンスリーレポートを発表します。
ユーザのPC上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染した PC の台数 |
| 1 | 
0
|
Net-Worm.Win32.Kido.ir | 332833 |
| 2 |
0
|
Virus.Win32.Sality.aa | 211229 |
| 3 |
0
|
Net-Worm.Win32.Kido.ih | 186685 |
| 4 |
0
|
Net-Worm.Win32.Kido.iq | 181825 |
| 5 |
0
|
Worm.Win32.FlyStudio.cu | 121027 |
| 6 |
0
|
Trojan-Downloader.Win32.VB.eql | 68580 |
| 7 | 
新規
|
Trojan.Win32.AutoRun.abj | 66331 |
| 8 | 
1
|
Virus.Win32.Virut.ce | 61003 |
| 9 |
1
|
Packed.Win32.Krap.l | 55823 |
| 10 | 
-2
|
Worm.Win32.AutoIt.tc | 55065 |
| 11 |
4
|
Worm.Win32.Mabezat.b | 49521 |
| 12 |
-5
|
Exploit.JS.Aurora.a | 43776 |
| 13 |
新規
|
Packed.Win32.Krap.as | 40912 |
| 14 |
新規
|
Trojan.Win32.AutoRun.aay | 40754 |
| 15 |
3
|
Trojan-Dropper.Win32.Flystud.yo | 40190 |
| 16 |
-4
|
Virus.Win32.Induc.a | 38683 |
| 17 |
-4
|
not-a-virus:AdWare.Win32.RK.aw | 38547 |
| 18 |
新規
|
Trojan.Win32.AutoRun.abd | 37037 |
| 19 |
-5
|
not-a-virus:AdWare.Win32.Boran.z | 36996 |
| 20 |
0
|
not-a-virus:AdWare.Win32.FunWeb.q | 34177 |
3 月のランキングでは、大きな変化は見られませんでした。
注目すべき点を挙げるとすれば、Autorun 系トロイの木馬の亜種が 3 つランクインしていることです。これらは、2ヶ月前にご紹介したケースと同じく (www.kaspersky.co.jp)、悪名高い P2P ワームである Win32.Palevo および Trojan-GameThief.Win32.Magania をリムーバブルデバイス経由で拡散させる autorun.inf ファイルです。
今月もまた、悪意あるパッカーの新しい亜種である Packed.Win32.Krap.as が 13 位にランクインしているのが注目されます。Packed.Win32.Krap.as は、偽アンチウイルスプログラムを隠蔽する機能を持っています。ここ数ヶ月、実行ファイル圧縮用に作成されたパッカーを、サイバー犯罪者が好んで使用する傾向が見られます。Krap のような系統の新しい亜種が毎月ランキングに入っているのは、よく知られたマルウェアを圧縮し、その本来の機能を隠蔽する技術が革新され続けている証拠です。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
0
|
Trojan-Downloader.JS.Gumblar.x | 178965 |
| 2 |
新規
|
Exploit.JS.CVE-2010-0806.i | 148721 |
| 3 |
-1
|
Trojan.JS.Redirector.l | 126277 |
| 4 |
2
|
Trojan-Clicker.JS.Iframe.ea | 102226 |
| 5 |
4
|
Exploit.JS.Aurora.a | 88196 |
| 6 |
4
|
Trojan.JS.Agent.aui | 80654 |
| 7 |
-3
|
not-a-virus:AdWare.Win32.Boran.z | 75911 |
| 8 |
新規
|
Trojan.HTML.Fraud.aj | 68809 |
| 9 |
新規
|
Packed.Win32.Krap.as | 64329 |
| 10 |
新規
|
Exploit.JS.CVE-2010-0806.b | 50763 |
| 11 |
新規
|
Trojan.JS.FakeUpdate.ab | 49412 |
| 12 |
新規
|
Trojan.HTML.Fraud.aq | 48927 |
| 13 |
3
|
Packed.Win32.Krap.ai | 47601 |
| 14 | 
リエントリ
|
Trojan-Downloader.JS.Twetti.a | 46858 |
| 15 |
新規
|
Exploit.JS.Pdfka.bub | 45762 |
| 16 |
新規
|
Trojan-Downloader.JS.Iframe.byo | 44848 |
| 17 |
新規
|
Trojan.JS.FakeUpdate.aa | 42352 |
| 18 |
リエントリ
|
not-a-virus:AdWare.Win32.Shopper.l | 41888 |
| 19 |
新規
|
Trojan-Clicker.HTML.IFrame.fh | 38266 |
| 20 |
新規
|
Packed.Win32.Krap.ao | 36123 |
インターネット上のマルウェアの状況に関しては、注目すべき点が数多くあります。
まず、最近公開された Internet Explorer の脆弱性 CVE-2010-0806 から見てみましょう。ある問題に関してやや詳しすぎる説明が公開されたことで、この脆弱性の悪用が爆発的に広がる結果となりました (詳細: http://www.viruslist.com/en/weblog?weblogid=208188026)。今やサイバー犯罪者はこぞって CVE-2010-0806 を攻撃対象にしており、ランキングにも Exploit.JS.CVE-2010-0806.i (2位) および Exploit.JS.CVE-2010-0806.b (10位) という 2 つの亜種がランクインしています。
Gumblar は引き続き猛威を振るっています (http://www.kaspersky.co.jp/news?id=207578807)。古い亜種の Gumblar.x がランキングの首位を占めているだけでなく、HEUR:Trojan-Downloader.Script.Generic の名前で検知される新しい亜種もランクインしています。
先月のレポートでご紹介したエクスプロイト Aurora.a は (www.kaspersky.co.jp/news?id=207578807)、今月もサイバー犯罪者に頻繁に使用された結果、ランキングでの順位を先月の 9 位から 5 位に上げています。
一方で、12 月のレポート (www.kaspersky.co.jp/news?id=207578796) でご紹介した興味深いダウンローダである Twetti.a は、2ヶ月間のブランクのあと、今月またランキングに戻ってきています。Gumblar のケースと同様に、サイバー犯罪者は一時の小休止を経てからこのマルウェアを使用しはじめ、再び多数の Web サイトを感染させました。
Exploit.JS.Pdfka.bub が 15 位になっているのも偶然ではありません。この悪意ある PDF ファイルはドライブバイ攻撃を構成する要素のひとつであり、Twetti.a を入り口として利用します。
今回新たにランキングしたマルウェアのうち、Trojan.HTML.Fraud.aj、Trojan.JS.FakeUpdate.ab、Trojan.HTML.Fraud.aq および Trojan.JS.FakeUpdate.aa は、偽のアンチウイルスプログラムおよびランサムウェアを拡散させます。
Web サイトを通じた感染の試みが最も多く観測された国
3 月の状況を総括すると、今月も、先月までの傾向を踏襲していると言えます。攻撃のほとんどがインターネットを通じたものであり、メジャーな各種ソフトウェアのいずれかで発見される脆弱性を利用しています。これらの脆弱性に対してメーカーはすぐにパッチを配布するものの、パッチの適用が遅れるユーザが数多くいます。また、ユーザの信用につけ込むマルウェアが増えています。この種のマルウェアで 3 月に最も多く使用されたのは、偽アンチウイルスプログラムとランサムウェアでした。
