2009年12月のウイルス・スパムレビュー

　先月同様、2009年12月も恐喝用ソフトウェア(ランサムウェア)がウイルス関連トラフィックの大部分を占める形となりました。サイバー犯罪者たちは金銭を略取するために様々なトロイの木馬や詐欺用 Web サイトを作成しています。また低品質の音声ファイル付き迷惑メールも増加しています。

　2010年は 2009年の攻撃傾向が継続するのに加え、今後ユーザ数の増加が見込まれる Windows 64bit 版を攻略するルートキットが登場すると思われます。常に最新のセキュリティ状態を維持し、ベンダーからの情報に注意を払ってください。

　12月にはウイルスベンダーの解析を妨害するための新技術を搭載した Windows ブロッカーの亜種が数多く登場しました。Dr.Web では Trojan.Winlock として分類されるこの種のプログラムは、ここ数ヶ月でロシアおよびウクライナの犠牲者から金銭を略取する主要なツールになっています。

　活動中の Trojan.Winlock は解析用ユーティリティの起動を妨害し、システムのシャットダウンを余儀なくさせます。システムからの削除を困難にする目的で Windows のシステムディレクトリに多数のコピーを生成し、更にはプログラムのファイル名と実行中のプロセス名を異なるものにするテクニックも用いています。

　あるロシア語の Web サイトでは訪問してきたユーザに無償のウイルスチェックを勧め、実施したユーザには複数のウイルスが検出されたという嘘のレポートを表示しました。また処理速度を向上するためにシステムの再構成を促すサイトもありました。このようなサイトは無料の『検査』中にユーザが疑わないよう、ユーザの IP アドレスや使用している OS・バージョン、またブラウザ・バージョンなどの情報を表示し、あたかも本当に検査をしているかのように装います。

　見つかった『問題』を解決するため、ユーザは有料の SMS メッセージを送信して解決用のソフトウェアをダウンロードするに促されます。100ルーブル(約 300円)もしないメッセージの送信を溶融されるためにユーザは「それくらいなら…」と考えてメッセージを送信してしまいますが、当然のことながらダウンロードされるソフトウェアはいずれもユーザからお金を巻き上げることだけが目的の単なるゴミです。

　迷惑メールは相変わらずマルウェアの主要な配布方法の一つであり、12月も銀行カードや VISA カードの取引通知や有名な SNS サイトの一つである Facebook の認証システム更新通知を装った Trojan.PWS.Panda の様々な亜種が広まりました。

　別の、「あなたの恥ずかしい写真が Web サイトに掲載されている」といった内容の迷惑メールでメール受信者を騙そうとしたのは Trojan.Packed の複数の亜種と Trojan.NtRootKit.3226 でした。

　また Trojan.Botnetlog は DHL サービスの通知を装って感染を広げようとしました。これも何ヶ月も前から使われている古典的な手法ですが、忘れた頃にやってくるのでついうっかり開いてしまうユーザがいるのかもしれません。くれぐれも添付ファイルにはご注意ください。

　12月には音声ファイルを添付した迷惑メールが数種類、確認されています。概して、添付されていたのは低ビットレート(16kbps)でエンコードされた MP3 ファイルです。

　音声ファイルが添付されたメッセージは EC サイトや健康関連商品を宣伝するもので、Web サイトのアドレスも読み上げられました。またマルチ商法への参加を促す目的で 6Mbytes 以上の音声ファイルが添付されたものもあり、商法に関する 60分近い説明が記録されていました。

　2009年はウイルス作者の犠牲になった人々が金銭を搾取される傾向がより強くなりました。信頼に足る組織や友人・知人を騙ったメッセージの URL にアクセスしたユーザは格好の餌食となり、様々な意図をもったプログラムをダウンロードさせられました。犯罪者による金銭要求メッセージは Web ブラウザ、モーダルウインドウ、デスクトップの壁紙など、ありとあらゆる場所に表示されました。電子メールおよびインスタントメッセージなどの従来のチャネルに加え、新たに SNS の Web サイトやブログなどもウイルスの配布チャネルとして使用されました。

　2009年最後の月となる12月に電子メールのトラフィック内で発見された悪意あるプログラムの数は 11月の 2.8倍に、またユーザ PC 上で検査された全ファイルに占める悪意あるファイルの割合は 2.2倍に、それぞれ増加しました。サイバー犯罪者たちがユーザに対して要求するシステム回復費用は値上がりを続け、暗号化されたデータの復元に 1,000ドルが要求されたケースもありました。

　2010年も様々な OS・ブラウザの利用者が同時に攻撃対象となる傾向が続くことが予想されます。今後数年間、ウイルス作者たちは従来のシグネチャベースおよびヒューリスティック技術の回避に加え、様々なふるまい検知技術に対する攻略手法の開発にもより一層注力することでしょう。実際、このような技術の事例は既に複数確認されています。ルートキット技術も進化を続け、ウイルス作者とアンチウイルスベンダー間の技術競争は更に熾烈を極めることでしょう。

　また 2010年には 64bit 版の Windows をターゲットとしたルートキットが出現することも間違いないでしょう。単純な偽 Web サイトによる攻撃も、詐欺 Web サイトの数を増やすことにより非常に効率的なものとなっています。最近のブラウザにはユーザをサイバー詐欺から保護するためのアンチフィッシング技術が搭載されていますが、あまり効果を上げていないのが実情です。セキュリティ製品を常に最新の状態に保つこと、怪しい Web サイトやメールの URL をクリックしないこと、公共機関や知人からのメールでも「おかしいな」と思ったら別の手段で内容を確認すること、など、2010年も今までどおりの心構えを忘れずに過ごしてください。

ウイルスデータベースの登録数

　2009年12月末時点での登録総数は 897,310件です。11月末時点での登録数からは 63,963件の増加となっていますが アンチウイルスエンジン 5.0.1.12181 リリース でお知らせした最新のアンチウイルスエンジンにより既存の登録データが改良されたため、先月よりも増加数が抑えられています。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2009年12月のアンチスパムエンジンの更新・配信は 36回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　以下は 2009年12月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  Trojan.DownLoad.37236   (14.38%)
2.  Trojan.DownLoad.47256   (10.89%)
3.  Trojan.MulDrop.40896    ( 7.69%)
4.  Trojan.Fakealert.5115   ( 7.61%)
5.  Trojan.Packed.683       ( 6.23%)
6.  Trojan.Fakealert.5238   ( 5.70%)
7.  Trojan.DownLoad.50246   ( 4.39%)
8.  Win32.HLLM.MyDoom.44    ( 4.12%)
9.  Trojan.Fakealert.5825   ( 3.73%)
10. Win32.HLLM.Netsky.35328 ( 3.49%)

　　※ 検査総数：84,146,920,455通、うち感染数：86,343,017通

　以下は 2009年12月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  Trojan.WinSpy.440       (12.69%)
2.  Trojan.WinSpy.413       ( 8.56%)
3.  Win32.Virut.56          ( 6.83%)
4.  Win32.HLLW.Gavir.ini    ( 4.23%)
5.  Win32.Rammstein.13346   ( 3.41%)
6.  Trojan.AuxSpy.71        ( 3.08%)
7.  Trojan.Packed.19247     ( 2.77%)
8.  Win32.HLLW.Shadow.based ( 2.45%)
9.  Win32.HLLW.Texmer       ( 2.10%)
10. JS.Popup.1              ( 2.09%)

　　※ 検査総数：89,457,410,121ファイル、うち感染数：18,999,657ファイル

2010年 1月 18日 掲載（原文は http://news.drweb.com/show/?i=818&c=5&p=0&lng=en）