2010年 2月のウイルス・スパムレビュー

　2月は他の月と比べて日数が少ないにもかかわらず、非常に多くのウイルスによる脅威が確認されました。従来のウイルスおよび偽オンラインスキャンサービスに加えて携帯端末を利用した新たな恐喝の手口が脚光を浴びた一方、Windows ブロッカーの爆発的な感染は収束に向かいつつあります。

　Doctor Web, Ltd.、ロシア法務省、通信事業者、そして一部の法人の協力、また Trojan.Winlock 問題に関する広範な周知活動が功を奏し、Trojan.Winlock に感染した端末数は 2009年11月の流行当初のレベルまで減少しました。2010年 1月の検出数は 1日 10万件を超えていましたが、2月は 1日数千件程度になっています。

このように感染した端末数が急激に減少したとはいえ、未だロシアおよびウクライナでは毎日のように数万のユーザがこのトロイの木馬の犠牲となっているため、今後の推移を見守り続ける必要がありそうです。

　2月後半には、ブラウザをブロックして恐喝する新たな手口が広まりました。これは、ユーザが悪質な Web サイトにアクセスするとポップアップウィンドウが表示されて”アクティベーションコード”を入力するまで閉じることができない、というものです。コードを入手するには有料のショートメッセージサービス（SMS）の送信が必要でした。このような恐喝手口はタスクマネージャからブラウザのプロセスを終了するかシステムを再起動すれば簡単に対処できるにも関わらず、未だに多くの Windows ユーザと Mac ユーザが犠牲になっています。

　2月、サイバー犯罪者たちはロシアと CIS 諸国のインターネットユーザに対し、より頻繁に偽オンラインスキャンサービスの宣伝サイトを使った詐欺を仕掛けています。サイトの URL は電子メールや不正に取得された ICQ アカウントによるメッセージ、Web 検索結果の連動広告、SNS サイトなどによって広まっています。このようなサイトへのアクセスは Dr.Web の URL フィルタリング機能によってブロックされます。

　さらに、ロシア人ユーザは典型的な偽アンチウイルスソフト Trojan.Fakealert のダウンロードとインストールを勧められることがあります。このソフトは、あたかも検査を実施したように見せかけた後に、有料 SMS を送信するよう促します。

　Trojan.Fakealert の狙いはロシア語圏のインターネットユーザにも関わらず、英語圏の多数のユーザがこの詐欺の犠牲者になっています。Trojan.Fakealert は偽アンチウイルスソフトのために 50米ドルをクレジットカードで支払うように促します。『完全版』のアンチウイルスソフトの購入を促すメッセージは、偽オンラインスキャンサービスのインターフェースと同様にブラウザを用いて表示されます。2009年10月に最初のサンプルが確認されて以来、Trojan.Fakealert の検出数は急速に増え続けています。Dr.Web アンチウイルス製品によって検出された偽アンチウイルスの件数は 24時間ごとに Doctor Web, Ltd. の統計サーバに送信されますが、その数は膨大なものになっています。2月のウイルストップ 20 のうち、8件が Trojan.Fakealert の亜種です。

　新たな詐欺手法では、ある Web サイトサービスに加入するために携帯電話の番号を入力させようとします。入力後に受信する SMS メッセージには、その Web サイトとは全く関係の無いコンテンツ用のアクティベーションコードが記載されています。このコードを入力することでユーザはサービスのサインアップを行います。サービスの利用料金は何の警告も無しにユーザの口座から毎日のように引き落とされます。引き落とされる料金が少額のため、ユーザは何かおかしいと気づくまでに時間が掛かるかもしれません。更にこのような申込の解約は難しく、手数料として有料 SMS の送信を要求されるかもしれません。

　2月下旬には セゾンカード に関連するかのように装った日本語のフィッシングメールが確認されました。このメールはセゾンカード利用者の口座から第三者の口座への送金処理が完了した旨を通知するもので、『この送金の変更や取り消しに関しましては、こちらをご覧ください』という文言と共に以下のフィッシングサイトへの URL が記載されていました。

　セゾンカードのコンテンツをコピーしたと思われるこのサイトでは、どのリンクをクリックしてもログイン画面に転送されてカード会員 ID あるいは Yahoo! JAPAN ID の入力を要求されました。何を入力してもログイン画面が再度表示されるようになっていたため、不注意にもデータを入力してしまったユーザが不安になって何度も入力してしまう恐れがありました。

　この攻撃はメールの文面がいかにもそれらしいものだったために一部で話題になりましたが、ユーザが最も多い Outlook 系のメールソフトでは文字化けして全く読めなかったこと、HTML メールではなく単なるテキストメールだったためにサイトの URL が怪しいことに気づきやすかったこと、などから被害はほぼ無かったものと思われます。

ウイルスデータベースの登録数

　2010年 2月に新たにウイルスデータベースに登録されたマルウェアの件数は 95,418件です。これにより 2月末時点での登録総数は 1,091,863件となりました。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2010年 2月のアンチスパムエンジンの更新・配信は 37回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　以下は 2010年 2月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  Trojan.DownLoad.37236    (12.99%)
2.  Trojan.DownLoad.47256    (10.07%)
3.  Trojan.DownLoad.41551    ( 9.80%)
4.  Trojan.MulDrop.40896     ( 7.12%)
5.  Trojan.Fakealert.5115    ( 7.04%)
6.  Trojan.Botnetlog.zip     ( 6.51%)
7.  Trojan.Packed.683        ( 5.76%)
8.  Trojan.Fakealert.5238    ( 5.28%)
9.  Trojan.DownLoad.50246    ( 4.06%)
10. Trojan.Fakealert.5825    ( 3.45%)

　　※ 検査総数：30,893,462,045通、うち感染数：90,692,324通

　以下は 2010年 2月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

1.  VBS.Redlof               (21.44%)
2.  Trojan.DownLoader.based  (16.05%)
3.  Trojan.AuxSpy.111        ( 6.06%)
4.  Win32.HLLW.Gavir.ini     ( 4.86%)
5.  Win32.Dref               ( 4.05%)
6.  Trojan.WinSpy.440        ( 3.25%)
7.  Trojan.AuxSpy.137        ( 2.87%)
8.  Win32.HLLW.Shadow.based  ( 1.79%)
9.  VBS.Generic.548          ( 1.78%)
10. VBS.Sifil                ( 1.33%)

　　※ 検査総数：95,717,237,918ファイル、うち感染数：19,509,126ファイル

2010年 3月 9日 掲載（http://news.drweb.com/show/?i=964&c=5&p=0&lng=en）