2009年 8月のウイルス・スパムレビュー

　8月は Delphi 統合開発環境(IDE)に感染する Win32.Induc が話題を集めました。このウイルスはシステムに何ら被害を及ぼさないものでしたが、マルウェアとしての潜在的な能力を過小評価すべきではなく、Dr.Web では他のウイルスと同様に、これを検出・駆除するべきだと考えています。これ以外にも SNS の Web サイトや様々な社会工学的手法を用いてマルウェアがばら撒かれています。サイバー犯罪者はウイルスおよび迷惑メールをばら撒くための新たなテクニックを採用していますが、特にマルウェアに感染した PC のユーザに様々な Web サイトのアカウント作成時に要求される CAPTCHA テストを強制的に肩代わりさせる手法は注目に値します。Skype などの VoIP サービスも人気が高まることで、そのユーザがサイバー犯罪者に狙われ始めています。

　Delphi IDE のバージョン 4 から 7 に感染するウイルス Win32.Induc がインターネット上で発見されたのは数ヶ月前のことです。このマルウェアは Delphi プロジェクトのコンパイル時に使用されるライブラリファイルに感染するため、感染した IDE 上でコンパイルされたあらゆるプログラムが感染しました。

　Win32.Induc は感染活動以外には何もしないものの、その感染拡大テクニックが他のウイルス作者に採用されるのはそれほど先の話ではないでしょう。Dr.Web アンチウイルスソリューションではこれを検出し、ユーザに駆除するよう勧めています。一見害が無いように見えても、危険であることには違いないからです。

　各アンチウイルスベンダーが自社製品にシグネチャを登録した結果、それらのアンチウイルス製品がプログラムへのアクセスをブロックしたために Delphi IDE を使っている開発者とその開発者の作ったプログラムを使っているユーザは困った状況に陥りました。Dr.Web では Win32.Induc に感染したシステムを修復するためのエントリをウイルス定義データベースに追加し、これにより感染数を顕著に減少させました。以下のグラフは 8月後半の Win32.Induc の感染検出数です。

　Win32.Induc とは異なり、8月に見つかった ACAD.Siggen は Autodesk の AutoCAD の Visual Lisp IDE のモジュールとして感染を広げました。AutoCAD ファイルは AutoCAD が起動すると同時に開かれるため、感染したシステムで開かれた全ての AutoCAD ファイルが感染してしまいました。

　Twitter や Facebook の人気は高まるばかりであり、犯罪者もマルウェアの配布スキームの一つとして更に利用を加速させています。残念ながら多くのユーザは騙されやすく、偽サイトへの誘導を目的とした様々な誘惑に引っかかってしまっています。

　8月には、以前から知られているウイルス Win32.HLLW.Facebook が非常に独特な方法でウイルス作者のためにユーザに仕事をさせていることが分かりました。

　以前のバージョンと同様に、このウイルスは SNS の Web サイトにメッセージを投稿し、ユーザを正規のサイトを模倣した偽の Web サイトにアクセスさせ、動画コーデックに見せかけたマルウェアをダウンロードさせます。このファイルをユーザが実行するとマルウェアがシステムに感染しますが、ここで最も興味深いのはサイバー犯罪者が採用した新たな攻撃方法です。多くの Web サービスは迷惑メール送信者に悪用されないように、機械的な登録処理を拒否する目的で新規の登録処理の度に異なるチャレンジレスポンステストを用います。最も一般的なテストは CAPTCHA です。CAPTCHA では、ユーザは画像として表示されているランダムに生成された文字列を入力することで人間であることを示すよう求められます。

　Win32.HLLW.Facebook の最新バージョンの一つである Win32.HLLW.Facebook.194 はウイルス作者が登録を試みているサイトの CAPTCHA テストを感染したユーザに肩代わりさせます。このウイルスに感染したシステムがサーバから CAPTCHA テストのタスクを受信すると、入力欄のあるダイアログをポップアップし、画面上の他の全てのプログラムへのアクセスをブロックします。正しいテキストを入力しなければシステムが強制終了されるためにユーザはその指示に従うしかありませんが、入力した値はサイバー犯罪者のサーバに送信されるようになっています。犠牲者を使って取得された多数のこのようなアカウントは、後に迷惑メールの配信に使われました。

　SNS の Web サイトを悪用した別の事例は、ある Twitter アカウントがポストしたメッセージをコマンドとして解釈・実行するボットネットです。エンコードされたメッセージが Twitter のあるアカウントに投稿されると、感染したシステム上のボットプログラムはそれを RSS 経由で受信します。Trojan.PWS.Finanz.410 は Twitter 経由でコマンドを受信するマルウェアの一つです。

　Google の SNS およびマイクロブログサービスである Jaiku も RSS を介してボットネットへコマンドを送信するために使われました。

　このようなボットネット管理のアプローチは、ボットと管理サーバとの通信トラフィックを隠蔽し、発見される可能性を低減できるメリットがあります。Twitter がメッセージを限定したアカウントのみに参照できる機能を追加したため、このようなアカウントが不正行為に利用されるとそれを発見するのは非常に困難です。

　偽サイトからばら撒かれたマルウェアには Adware.FF.1 もあります。このマルウェアはオープンソースの Web ブラウザ Firefox のユーザにトラブルを引き起こしました。

　サイバー犯罪者たちが人気ソフトウェアの脆弱性を狙っている昨今、ソフトウェアの開発者およびベンダーは定期的にセキュリティ・パッチをリリースし、ユーザがそれをダウンロードして適応するように促さなくてはなりません。一般的なユーザは既に OS、アンチウイルス、ブラウザなどは勿論、テキストエディタが毎日アップデートされることに慣れていますが、サイバー犯罪者たちは Adobe から頻繁にアップデートがリリースされているのを悪用し、Adobe Flash Player のアップデートに見せかけて Adware.FF.1 をばら撒きました。偽の”アップデート”をばら撒くために使用された偽の Web サイトは一部のリンクが正規サイトのコンテンツを指すなど Adobe Systems の正規サイトとそっくりに作られており、その URL も一見すると Adobe の Web サイトと間違えるようなものでした。不注意なユーザがダウンロードした偽のアップデートファイルを実行すると、Google 検索結果に表示される広告を差し替える機能を持った Mozilla Firefox のプラグインがインストールされました。

Adware.FF.1 の亜種である Adware.FF.3 では、ダウンロードしたユーザに疑われないよう正規の Adobe Flash Player のインストーラ機能を模倣しました。

　ウイルス作者たちが人気のあるソフトウェア製品のリリースを利用してマルウェアの配布を行うことは知られていますが、iWorks '09 が Apple によってリリースされた際、サイバー犯罪者たちはトロイの木馬 Mac.IService に感染させた配布パッケージを新製品を欲しがっているユーザに”提供”しました。また Mac OS X の最新リリースである Snow Leopard も見逃されることは無く、Mac.DnsChange に感染した OS イメージは torrent 経由でダウンロードすることができました。このウイルスは Web ブラウザによって送出される DNS リクエストを横取りし、別のサイトへユーザを誘導するものです。

　8月下旬には Skype の音声データを盗聴して MP3 ファイルに保存可能な Trojan.SkypeSpy のコンセプトコードが見つかり、これもまた大きな話題となりました。Trojan.SkypeSpy のソースコードがインターネット上で公開されたため、今後、同様のプログラムが大量に登場する可能性があります。しかしながら、この種のプログラムはインターネットのあらゆるユーザの通信を傍受するよりも特定の企業に対する産業スパイの目的で使用されることが多く、ネット上で多数の実装が見つかることは無いだろうと思われます。

　Trojan.SkypeSpy は、Skype のように人気のあるテクノロジーが遅かれ早かれサイバー犯罪者に目を付けられる一例に過ぎません。

　8月上旬、請求書の添付ファイルに偽装した Trojan.Botnetlog.11 の感染活動が確認されました。

　受信したユーザに”請求書”ファイルを開かせるために、メッセージには宛先不明で荷物の配送ができないといった内容が書かれていますが、添付の zip アーカイブの中身は Dr.Web によって Trojan.Botnetlog.11 として検出されるトロイの木馬でした。Trojan.Botnetlog.11 の詳細については Trojan.Botnetlog.11 に関する先日のニュース をご参照ください。

　注目すべきは、新たな内容のメッセージがばら撒かれるたびに Trojan.Bonetlog.11 の新しい亜種が添付され、しかもその都度異なるパッカーによって圧縮されていたことです。Dr.Web の独自技術によって Trojan.Botnetlog.11 の新たな亜種の検体は自動的にウイルス定義データベースに登録され、より確実に検出できるようになっています。

　後に登場した亜種は Dr.Web によって Trojan.DownLoad.45107 として検出されます。以下のグラフは Trojan.Botnetlog.11 の 8月における感染状況の推移を示したものです。

　8月にサイバー犯罪者が利用した新たなフィッシングテクニックは、偽の Web サイトに誘導してユーザに個人情報を入力させるのではなく、入力フォーム付きの HTML メールを送りつけることでした。そのメールをユーザが Web ブラウザあるいは Web ブラウザと同等の機能が組み込まれたメールソフトで開き、フォームに必要な情報(大抵は個人情報)を入力して確認ボタンを押すと、サイバー犯罪者が準備したサーバにデータが送信されるようになっていました。

この新たなテクニックを用いればいつでも Web サイトを維持する必要が無く、いつでもそれを停止できるため、サイバー犯罪者の仕事はより簡単になります。逆にそのサーバの所有・稼動させている人物がフィッシング行為に加担していることを証明するのは困難なため、ユーザからのデータを受信しているサーバを停止させるのは難しくなります。このテクニックは PayPal や USAA の顧客から個人情報を奪取するために使われました。

　従来型のフィッシングメールについては、相変わらず Ally Bank、バンクオブアメリカ、チェース銀行、KeyBank、SunTrust Bank、PayPal、そして eBay の顧客・ユーザに対して送りつけられています。

　8月の最も注目すべき出来事は Win32.Induc の発見でした。この無害なウイルスに感染したシステムを駆除すべきかどうかについて様々な議論がありましたが、Doctor Web, Ltd. のポジションは極めて明確です - Win32.Induc の感染拡大方法が今後他のウイルス作者たちに利用される可能性があるため、これを駆除しなければなりません。

　SNS の Web サイトは今もマルウェアの配布に使われており、ウイルス作者たちはより洗練された方法でウイルスを広めようとしています。Twitter 経由でのボットネットコントロールは洗練された新手法の好例でしょう。嘆かわしいことですが、一部の SNS サービス利用者の良識の欠如がサイバー犯罪者に利用されているのです。

　マルウェアに感染した犠牲者に CAPTCHA の文字列を入力させるという新たなテクニックが使われました。Web サイトのアカウント作成時のロボット対策として CAPTCHA が最も普及していることもあり、この攻撃テクニックが将来に渡って繰り返し使われる恐れがあります。

　Trojan.SkypeSpy のソースコードが公開されたことにより、Skype の通信を傍受できる能力を持ったマルウェアが早々に出現するかもしれません。しかしながら、この脅威は主に Skype を重要な交渉事に使用している人々に影響を与えるものであり、一般の人々が狙われる可能性はきわめて低いものと思われます。

ウイルスデータベースの登録数

　2009年 8月に新たにウイルスデータベースに登録されたマルウェアの件数は 30,542件です。これにより 8月末時点での登録総数は 662,894件となりました。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2009年 8月のアンチスパムエンジンの更新・配信は 7月と同じく 42回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　以下は 2009年 8月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Win32.HLLM.Beagle        (21.93%)
 2.  Win32.HLLM.Netsky.35328  (18.14%)
 3.  Trojan.DownLoad.36339    (15.46%)
 4.  Trojan.PWS.Panda.122     ( 7.33%)
 5.  Win32.HLLM.MyDoom.based  ( 4.83%)
 6.  Trojan.MulDrop.19648     ( 4.33%)
 7.  Trojan.Botnetlog.9       ( 4.10%)
 8.  Win32.HLLM.MyDoom.33808  ( 3.20%)
 9.  Win32.HLLM.MyDoom.44     ( 2.96%)
 10. Win32.HLLM.Netsky.based  ( 1.63%)

　　※ 検査総数：97,916,911,140通、うち感染数：26,740,352通

　以下は 2009年 8月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Trojan.WinSpy.173        (12.83%)
 2.  Win32.HLLW.Gavir.ini     ( 5.71%)
 3.  Trojan.PWS.Panda.122     ( 5.65%)
 4.  Win32.HLLW.Shadow.based  ( 4.19%)
 5.  Win32.HLLM.Beagle        ( 4.14%)
 6.  Win32.HLLM.Netsky.35328  ( 3.35%)
 7.  DDoS.Kardraw             ( 2.95%)
 8.  Trojan.MulDrop.16727     ( 2.77%)
 9.  Win32.HLLM.MyDoom.49     ( 2.33%)
 10. Win32.Alman              ( 2.26%)

　　※ 検査総数：147,141,361,062ファイル、うち感染数：16,543,297ファイル

2009年 9月10日 掲載（原文は http://news.drweb.com/show/?i=441&c=5&lng=en）