2010年 1月のウイルス・スパムレビュー

　2010年 1月はロシア・ウクライナで Trojan.Winlock による大規模な感染が発生し、数多くのユーザが感染したシステムの修復方法を求める事態となりました。今月もサイバー犯罪者による詐欺の際には有料のショートメッセージ（SMS）が最も利用されましたが、それ以外の新たな料金回収方法も模索されているようです。

　日本国内では 2009年末から多数の Web サイトが改ざんされ、埋め込まれた JavaScript コード（JS.Redirector.2）をトリガーとしたマルウェア感染の危険性が増大しています。改ざんされたコンテンツを修復したサイトが再度改ざんされるケースも複数報告されており、十分な対策と注意が必要です。

　1月の最も注目すべき出来事は Windows をブロックしてしまう Trojan.Winlock の亜種が広範囲にわたってばら撒かれたことです。Trojan.Winlock に感染したシステムでは解除コードを入力するように促す以下のようなメッセージ画面が表示され、その画面を閉じることもそれ以外の画面にアクセスすることもできなくなってしまいます。

　犯罪者は解除コードを入手するために携帯電話の有料ショートメッセージ（SMS）を送るよう犠牲者に要求しました。その金額は 1システム当り 7〜14ユーロとそれほど高額ではなく、小額なら払ってしまおうとする犠牲者の心理を突いています。

　Dr.Web Enterprise Suite および AV-Desk などの Dr.Web 製品によって保護されているシステムから Doctor Web, Ltd. の統計サーバに送付されたデータによれば、2010年 1月の Trojan.Winlock の検出回数は 85万回を超えました。以下のグラフからも分かるように 2010年 1月の検出数は 2009年 12月の 2倍以上、2009年 11月と比べると 23倍以上となっており、かなりのスピードで感染が広がっています。

　2010年 1月 22日、Doctor Web, Ltd. は Trojan.Winlock の解除コードを生成するための Web コンテンツ を公開し、また感染したシステムを修復できるようにするため Dr.Web CureIt! のアップデート版を数回リリースしました。公開した Web コンテンツには一週間で百万以上のユーザの訪問がありました。

　2009年12月下旬以降、大手の鉄道会社や自動車メーカーの Web サイトの改ざんに関する報道を切っ掛けとして、日本国内でも多数の Web サイトのコンテンツが改ざんされてマルウェアをダウンロードするための JavaScript が埋め込まれていることが次々と明らかになりました。

　Dr.Web アンチウイルスでは改ざんされたコンテンツに埋め込まれた JavaScript を JS.Redirector.2 などの名称で検出します。ファイルフィルタ for ICAP や Dr.Web for Windows の SpIDer Gate モジュールを利用している場合は JS.Redirector.2 を検出した時点で以後のコンテンツへのアクセスがブロックされるため、マルウェアがダウンロードされることはありません。

　複数の Web サイトを経由して最終的にダウンロードされるマルウェアは Adobe Reader や JRE（Java Runtime Environment）などの脆弱性のあるバージョンを使用している PC に感染します。感染したマルウェアは特定の FTP ソフトが保存しているアカウント情報を外部に送信する機能を有しており、この情報を用いて第三者が Web サイトを改ざんする恐れがあります。JPCERT/CC が 2010年 2月 3日付けで公開した文書（FTP アカウント情報を盗むマルウエアに関する注意喚起）によると、多くの著名な FTP ソフトウェアが攻撃対象となっています。

　一度改ざんされた Web サイトが二度、三度と繰り返し改ざんされるケースも報告されています。Web サイト管理を行っている方は Microsoft Update によるセキュリティアップデートおよび各ベンダーの提供するセキュリティ修正版を速やかに適応すること、導入しているアンチウイルス製品を最新の状態にしておくこと、などに注意してください。

　また FTP ソフトは常に最新版を使用し、可能であればマスターパスワードなどのセキュリティ機能を使用してアカウント情報を盗まれ難くすることを推奨します。

　有料ショートメッセージ（SMS）を使えば簡単に相手に送金することができるため、多くのサイバー犯罪者たちがこれを悪用しています。Trojan.Winlock の解除コードの代金が有料 SMS を使って請求されていることは前述の通りですが、同様に少し知識のある人なら明らかにウソだと分かるような機能を売り文句にした Web サービスやソフトウェアが数多くの Web サイトで販売され、その代金回収に SMS が利用されています。

　例えば以下のサイトはどのベンダーの携帯電話端末でも遠隔操作できるというソフトウェアを販売しています。

　また以下のサイトは誰がいつアクセスしても常に同じ結果を表示するアンチウイルスサービスを提供しています。

　これ以外にも ICQ・SMS でやり取りされるメッセージを盗聴できるソフトや透視カメラ、その他の怪しげなソフトウェアを販売している Web サイトが数多くありますが、好奇心の強いユーザの中にはこのようなサービスやソフトウェアに対して有料 SMS を用いて料金を支払ってしまう人もいます。言うまでもありませんが、それらのサービスやソフトにはユーザが期待するような機能は無く、気づいた時には後の祭りです。

　しかしながら Trojan.Winlock の大流行を受けて通信事業者と警察が協力して SMS 決済システムを監視し始めたため、犯罪者にとっては有料 SMS を使った大規模な集金が難しくなりました。そのため WebMoney などの旧来の方法に戻ったり、新たな詐欺手法を開発したり、と様々な方法を模索しているようです。

　有料 SMS に加え、携帯電話ユーザの口座から”サービス利用料金”として直接金銭を引き出す方法も不正請求に利用されています。

　何らかのサービスを提供している Web サイトでサービスの利用申込をするために携帯電話の番号を入力すると、サービスの利用確認のための URL が書かれた SMS が折り返し送られてきます。SMS に記載されている URL にアクセスすることで正式にサービスを利用できるようになり、その利用料金が口座から自動的に引き落とされます。これは携帯電話事業者による料金回収代行の一般的なスキームですが、犯罪者たちはこれに目をつけました。

　犯罪者たちは、記載されている URL をクリックすると何が起きるかを正確に記載していない SMS メッセージを送りつけ、不注意なユーザがそれをクリックすると勝手に金銭を引き落としました。「そんな URL をクリックするはずが無い」と思われるかもしれませんが、その URL にアクセスすると特別な画像や動画クリップが見られるという誘惑メッセージに弱いユーザも少なくありません。

　また最近確認された方法の一つに極めて短時間の有料通話を使用するものがあります。これは偽ソフトなどの利用料金を支払いたいと考える犠牲者に対して犯罪者たちが勧めている方法のようです。

　マルウェアをユーザ PC まで到達させるための新たな配信方法として、zip 圧縮した Torrent ファイルを添付したメールがばら撒かれました。メッセージには添付の Torrent ファイルを使って電子カード（e-card）をダウンロードするように書かれており、指示に従って Torrent クライアントを使うことでマルウェアがダウンロードされる、というものでした。 しかしながら受信者が zip ファイルを展開して更に Torrent クライアントでファイルをダウンロードしなければならないという手間の掛かるものだったこともあり、この迷惑メールは今のところあまり流行っていないようです。

ウイルスデータベースの登録数

　2010年 1月に新たにウイルスデータベースに登録されたマルウェアの件数は 165,187件です。これにより 1月末時点での登録総数は 996,445件となりました。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2010年 1月のアンチスパムエンジンの更新・配信は 34回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　以下は 2010年 1月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  Trojan.DownLoad.37236    (12.99%)
2.  Trojan.DownLoad.47256    ( 9.84%)
3.  Trojan.MulDrop.40896     ( 6.95%)
4.  Trojan.Fakealert.5115    ( 6.88%)
5.  Win32.HLLM.MyDoom.44     ( 6.36%)
6.  Trojan.Packed.683        ( 5.63%)
7.  Trojan.Fakealert.5238    ( 5.15%)
8.  Win32.HLLM.Netsky.35328  ( 4.67%)
9.  Trojan.DownLoad.50246    ( 3.97%)
10. Trojan.Botnetlog.zip     ( 3.68%)

　　※ 検査総数：139,350,636,730通、うち感染数：102,115,886通

　以下は 2010年 1月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  Win32.HLLM.MyDoom.49     (16.80%)
2.  Win32.HLLM.Netsky.35328  ( 6.84%)
3.  Win32.HLLW.Gavir.ini     ( 4.52%)
4.  Trojan.WinSpy.440        ( 4.40%)
5.  Trojan.AppActXComp       ( 3.79%)
6.  Trojan.AuxSpy.137        ( 3.07%)
7.  Win32.HLLM.Beagle        ( 2.74%)
8.  Win32.HLLM.MyDoom.33808  ( 2.70%)
9.  Trojan.PWS.Gamania.23481 ( 2.61%)
10. Trojan.MulDrop.16727     ( 2.44%)

　　※ 検査総数：169,874,198,147ファイル、うち感染数：23,938,315ファイル

2010年 2月 8日掲載（原文は http://news.drweb.com/show/?i=898&c=5&p=0&lng=en）