Dr.Web の国内向けパターン更新用サーバが設置されている iDC（京都）においてネットワークの構成変更に伴うメンテナンスが実施されます。このため、一部の更新用サーバがご利用いただけない期間が生じますのでお知らせいたします。

　　　　　　　　　　　　　　　　　　　　　記

実施期間：　2010年 9月 9日(木) 01:30am 〜 05:30am
　　　　　　2010年10月14日(木) 01:30am 〜 05:30am
　　　　　　2010年11月（日時未定）
　　　　　　※1 上記時間帯において 30分程度の通信断を 3回程度予定
　　　　　　※2 11月の日程は分かり次第、掲載予定

実施内容：　以下のパターン更新用サーバを設置している iDC 事業者によるネットワーク構成変更作業
　　　　　　　・update.jp1.drweb.com
　　　　　　　・update.jp2.drweb.com

影響範囲：　ver. 5 系製品をご利用の弊社正規ユーザ様・トライアルユーザ様のパターン更新

影響内容：　パターン更新に要する時間の増加（数秒〜数十秒）

　なお上記期間中も弊社 iDC 設置のサーバ（update.drweb.jp）や海外の他のパターン配信サーバに自動的に接続してパターンを更新するため、処理時間が長くなるものの最新の状態を維持することができます。また ver. 4.44 系の製品をご利用の場合は本メンテナンスによる影響はありません。

{{br}} 　正規ユーザ様・トライアルユーザ様にはご迷惑をお掛けいたしますが iDC 事業者からネットワークの安定性向上のために必要なメンテナンスである旨の案内が来ておりますので、何卒ご理解いただきますようお願い申し上げます。

2010年 9月 6日 掲載

　本記事は Doctor Web, Ltd. が 2010年 8月のマルウェアおよびスパムに関して公開したレビュー記事を、株式会社ネットフォレストが翻訳および要約して掲載するものです。

マルウェア概況

　Windows 7 の発売によって一般的になってきた 64ビット環境を攻略するルートキット、Google の Android を搭載した携帯端末を狙うトロイの木馬が見つかっています。また社会工学的手法を用いた詐欺的ソフトウェアによる金銭の略奪も後を絶たないようです。

64ビット環境用ルートキット - BackDoor.Tdss'' の亜種

　64ビット版 Windows を攻略するルートキットとして BackDoor.Tdss の新たな亜種が登場しました。この亜種は 64ビット版 Windows のセキュリティ機構を回避してシステム攻略する目的でマスターブートレコード（MBR）に感染するものです。Dr.Web 製品の最新のウイルス定義では検出可能であり、9/1 には 32ビット版 Windows 環境でも適切に処理できるよう GUI スキャナのアップデート版をリリースしました。64ビット環境用のアンチルートキット（Dr.Web Shiled）についても近日中に提供予定です。

Android 環境用マルウェア登場

　Android.MobileSpy や Android.SmsSend.1 など、感染した Android 端末から勝手に有料 SMS を送信するマルウェアが登場しました。今のところ Android 用のマルウェアで感染拡大能力を持つものは見つかっておらず、不注意なユーザがゲームやスクリーンセーバー、便利なツールなどを装ったマルウェアをインストールしてしまうケースが多いようです。また Android 端末は個人情報の宝庫のため、ちょっとした隙に知人などにスパイウェアをインストールされる恐れもあります。十分に気をつけましょう。

中途半端なアーカイブによる詐欺

　Trojan.SMSSend を使った詐欺行為がロシアで横行しました。これは動画や音楽、電子書籍の有名なダウンロードサイトそっくりな偽サイトのファイルをダウンロードして展開すると、展開途中で「最後まで展開するには有料 SMS を送信しろ」というメッセージが表示されるものです。数百ルーブルを要求されますが、送金しても何も得られないのは従来どおりです。

友人からのメッセージに注意

　8/16 には ICQ の、そして 8/30 には FaceBook のアドレス帳に登録された宛先にマルウェアが送付されるという感染拡大（攻撃）がありました。ショートメッセージやメールに添付されている実行ファイル、また記載されている URL には十分に注意しましょう。知り合いからのメッセージでも、それはマルウェアに感染しているかもしれません。

その他

　Windows の自動実行機能（autorun）を悪用するマルウェア Exploit.Cpllnk、偽アンチウイルス Trojan.Fakealert、ボットネットのゾンビ PC 化用マルウェア Trojan.Oficla、オンラインサービスのパスワードを盗み出す Trojan.PWS.Panda などによる感染活動も確認されました。

ウイルス検出状況

　Doctor Web, Ltd. の統計情報サーバに送信されたメール検査結果によると、12,924,385,092通のうち 1,804,893通に何らかのマルウェアが感染していました。これは検査された全メールの 0.01% に当ります。検出されたマルウェアの上位 5つは以下のものでした。

1. Trojan.DownLoad.41551（13,62%）
2. Trojan.Packed.20312（11,78%）
3. Trojan.DownLoad1.58681（11.51%）
4. Trojan.Oficla.zip（10.99%）
5. Win32.Virut（7.01%）

　またユーザの PC 上のファイルの検査結果によると、65,191,497,071ファイルのうち 12,398,403ファイルが何らかのマルウェアに感染していました。これは全ファイルの 0.02% に当ります。検出されたマルウェアの上位 5つは以下のものでした。

1. Exploit.Cpllnk（18.74%）
2. Trojan.WinSpy.921（11.06%）
3. ACAD.Pasdoc（8.01%）
4. Win32.HLLM.Dref（5.09%）
5. Trojan.Packed.19647（4.21%）

※ カッコ内は検出されたマルウェア全体に占める割合

パターン更新状況

　ウイルス定義ファイル、アンチスパムエンジンの更新回数はそれぞれ 508回（平均 16回/日）および 30回（平均 1回/日）でした。

ネットフォレストからのお知らせ

　Doctor Web, Ltd. が発表するレビューの内容をより迅速に公開するため、今回から弊社にて要約した内容を掲載することに致しました。詳細は原文（ロシア語）をご参照ください。

2010年 9月6日 掲載（原文は http://news.drweb.com/show/?i=1259&lng=ru&c=5）

　2010年 8月17日、株式会社ネットフォレストはロシア Doctor Web, Ltd. の Web ウイルス対策製品である『ファイルフィルタ for Samba』の最新版となる ver. 5.0.1.5（build 5.0.1.5-100811）をリリースしました。このバージョンは ver. 5.0 のリリース以降に判明した複数の不具合が修正されています。

　下記の内容をご覧いただき、記載の不具合に該当する場合はバージョンアップを推奨いたします。

修正点・変更点

　ver. 5.0.1.5 では以下の不具合が修正されました（カッコ内は BTS での登録番号）。

• ファイルフィルタ for Samba
  1. 一部の Linux ディストリビューションにおいて、共有フォルダのサブフォルダのファイルのパス情報が正しく取得できず、検査に失敗する（#43794）

• Dr.Web デーモン
  1. あるプロセスがハングアップすると、それ以外のプロセスも応答せずに処理がタイムアウトする（#42762）
  2. HUP シグナルを受信するとプロセスが異常終了することがある（#43233 ）

• Webmin モジュール
  1. インターネットエクスプローラで操作ができない機能がある（#38282）

製品のバージョンアップ

　今回のバージョンアップでは以下のパッケージおよびファイルが更新されました。

• ファイルフィルタ for Samba
• Webmin 用 共通モジュール
• Webmin 用 Samba コンソール
• マニュアル（Samba フィルタ）

　正規ライセンスをお持ちのお客様、トライアル中の方は無償で最新版をご利用いただけますので ダウンロード ページよりご利用環境に適した上記のパッケージ他をダウンロードし、マニュアルの記載に従ってバージョンアップ作業をお願いいたします。

※ 『バージョンアップ』に関する記載を更新しましたので、マニュアルも最新版をご利用ください。

旧バージョンの提供終了

　ファイルフィルタ for Samba の旧バージョン（ver. 4.44）については、ver. 5.0.1.5 のリリースに伴いダウンロード提供を終了させていただきます。既契約のお客様で旧バージョンが必要な場合はご利用の OS・バージョンをご確認の上、弊社サポートまでご連絡ください。

2010年 8月17日 掲載

概要

　猛暑が記録された 7月、トロイの木馬 Trojan.Stuxnet の出現と感染拡大が記録されました。このウイルスは自動実行の仕組みを利用してリムーバブルメディアから起動し、また有名なソフトウェア企業の電子署名を盗用しています。全体的な傾向としては、ブートキットの手法を使ったマルウェアが一般的になってきています。なお、Windows ブロッカーは、対策が功を奏し被害が収束しつつあります。現在、犯罪者は、ユーザから不正に現金を得るための支払い手段として、有料ショートメッセージ（SMS）の代わりになるものを探しているようです。

Windows のショートカットファイルに関する脆弱性を狙った Trojan.Stuxnet

　7月、新しい動きとして、Doctor Web, Ltd. により Trojan.Stuxnet として分類されるウイルスが記録されました。アンチウイルスベンダーは、この新型ウイルスの対応に注力することとなりました。 Trojan.Stuxnet は Windows OS の未知のセキュリティ脆弱性を突いて感染拡大し、保護メカニズムを欺くいくつかの手法を持っています。このタイプのウイルスとして Trojan.Stuxnet.1 が最初に記録されました。

　トロイの木馬 Trojan.Stuxnet.1 はシステム内に 2つのドライバーをインストールします。 1つ目のファイルシステムのドライバーフィルタは、リムーバブルメディア上のマルウェアコンポーネントの存在を隠します。 2つ目のドライバーは、システムプロセスやメインタスク用のプログラムに必要な暗号化されたダイナミックライブラリを実装するために利用されます。

　Trojan.Stuxnet はいくつかの脅威を持っており、そのうちの 1つとして、すでに述べたショートカットファイルの処理方法の欠陥による Windows の脆弱性の悪用があります。しかしながら、マイクロソフトが即座にこの脆弱性の発見に反応したことには留意するべきです。マイクロソフトによると、Windows 7 / Vista / XP および Windows Server 2008 R2 / 2008 / 2003 (32、64 ビット版)の OS に影響があります。攻撃者は、不正なプログラムをリモートで実行するために、この脆弱性を利用します。さらに、ショートカットを内蔵した特定のタイプのドキュメント内に悪質なコードを埋め込み、発見された脆弱性を利用してばらまくことができます。

　2010年 8月 2日、マイクロソフトは Windows のすべての影響するバージョンに対し、重要なパッチをリリースしました。自動更新が有効になっているシステムは、自動的にパッチがインストールされます。そして、変更を反映するためにはコンピュータの再起動が伴います。

　Trojan.Stuxnet の作成者による脅威はこれで終わりではありませんでした。トロイの木馬 Trojan.Stuxnet.1 がシステムにインストールするドライバーは、合法なソフトウェア会社から盗んだ電子署名が施されていました。7月、Realtek Semiconductor 社と JMicron Technology 社といった企業が所有する電子署名の悪用が発覚し、攻撃者は、標的のシステムにこっそりとドライバーをインストールすることに利用していました。

　ドライバーを目につかないようにインストールするために電子署名が利用されていましたが、 Windows シェルの脆弱性を悪用してリムーバブルメディアから起動する悪質なファイルにもまた電子署名を利用しています。しかし、電子署名のために実行ファイルを改変するため、ファイル起動直後の改ざんチェックの段階で、その署名は無効なものになるでしょう。

　 Trojan.Stuxnet.1 を模倣したウイルスが、すぐに出現しましたが、そのようなプログラムは、 Doctor Web, Ltd. では全て Exploit.Cpllnk として定義されます。わずか数日間で、このウイルスは、7月にユーザマシンで検出された TOP 20 ランキングのトップに位置し、 Trojan.Stuxnet.1 は 6番目に多く検出されたウイルスとなりました。

　現在、この脆弱性を利用した悪質なプログラムの大規模な感染拡大が発生しており、おそらく、マイクロソフトがリリースしたパッチがほとんどのコンピュータにインストールされまで、この傾向はしばらく続くでしょう。Doctor Web, Ltd. では、この新しい脅威の出現に対し、ウイルスデータベースに即座に感染したシステムを修復するための処理を追加しました。

ブートキットの大規模な使用

　ブートキットは、ディスクのブートセクターを変更する悪意のあるプログラムで、マルウェアの標準のコンポーネントとなってきています。悪意のあるコードを検出する標準ツールは、ブートセクターの変更を明らかにできず、ディスク上のマルウェアを見つける事しかできません。このような場合、感染を修復したとしても再びウイルスがシステム中に侵入するでしょう。脅威を完全に修復する唯一の方法は、ブートセクターを感染前の状態に復元する事です。

　いくつかの包括的なアンチウイルス製品では、ブートセクターの変更を明確にし、感染したシステムを完全に修復することが可能です。大抵の場合、アンチウイルス製品の開発者は、専用のツールを利用して問題を解決することをユーザにお勧めします。しかし、ユーザが、利用しているアンチウイルス製品が、"システムのブートセクターの変更が検出できない"ということを認識しない限り、問題解決のための他の方法を探し始めないという問題点があります。

　7月、 Trojan.Hashish として登録されているブートキットは、ユーザを悩ませました。 Trojan.Hashish は、主にヨーロッパ圏で猛威を振るっていました。このトロイの木馬は、Internet Explorer を自動的に開き、広告を表示する挙動を見せます。さらに、代わりのブラウザを使用したとしても、これらのウィンドウは開きます。Trojan.Hashish の他の挙動としては、Windows で構成されている場合に、プログラムの起動に合わせて、標準のサウンドシステムの断続的な再生があります。

Windows ブロッカーの収束

　Doctor Web, Ltd. の統計情報サーバによると、 7月は 280,000件の Windows ブロッカーを検出し、6月の検出数の 420,000件から収束し続けています。これは、ユーザと Dr.Web Ltd. を含むアンチウイルス開発者が共に対応した成果によるところが大きいです。対策が進むにつれ、犯罪者達は現金を得るための別な方法を計画し、新たなオンライン決済システムを利用して、ユーザに対しロックを解除するための現金の様々な支払い方法を提供し始めています。

　ブロックされたアプリケーションのうち、ソーシャルネットワークサイト、 Web メールのサービス、および検索サイトといった人気サイトに関連する報告がかなり増加しており、7月の下旬にはその件数が Windows デスクトップのブロッキングに関する報告件数を越えました。

　将来的には、拡散したブロッカーが緩やかに減少していくと期待できます。なぜなら、SMS の使用による支払い方法は今となっては効果的でなく、警察機関がこの問題により多くに注意を向けているからです。さらに、犯罪者に現金を支払わなくとも、コンピュータのロックを解除する代替手段があるという知識を持つユーザ数が着実に増加している事からも予想できます。

その他の悪意のあるプログラム

　メールを介した Trojan.Oficla の亜種の大規模な感染拡大は、依然続いています。また、 JS.Redirector を含むHTMLファイルが添付されたスパムメールもトラフィック中からまだ見つかっています。ユーザは、このメールによって広告や悪意を持ったサイトへ接続させられてしまいます。Win32.Sector の亜種は、様々な形での活動の増加を見せていました。7月中、Doctor Web, Ltd. は複雑で多様な形を持つウイルスのシステム処理に焦点を合わせ、開発者はこのタイプのウイルスの検出アルゴリズムを最適化しました。ヨーロッパ圏のユーザは、インターネットバンクを狙うトロイの木馬に悩み続けており、使い捨ての TAN コードの導入を強いられています（詳細は、先月のレビューをご覧ください）。また、偽アンチウイルスの新しいパターンも、いまだ出現しています。

　結論として、7月はウイルスソフトの開発者やユーザにとって、解決できないような問題は発生しませんでした。Windows のショートカットの脆弱性を利用したウイルスの活動は、 Exploit.Cpllnk として定義され、マイクロソフトによるパッチの迅速なリリースで減少していくでしょう。現在、マルウェアに共通する特徴として bootkits が挙げられ、アンチウイルスベンダーとしては、個々のウイルスを検出するより、総合的な解決策としてブートセクターの変更を検出する能力を組み込まなければならないでしょう。統計では、Windows ブロッカーに対し実施された包括的な対策が効果的であったという事を示しています。

ウイルスデータベース・アンチスパムエンジン情報、ウイルス統計

ウイルスデータベースの登録数

　2010年 7月に新たにウイルスデータベースに登録されたマルウェアの件数は 55,035件です。これにより 7月末時点での登録総数は 1,578,149件となりました。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2010年 7月のアンチスパムエンジンの更新・配信は 43回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　以下は 2010年 7月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Trojan.Oficla.38        (29.38%)
 2.  Trojan.MulDrop1.27707   (12.60%)
 3.  Trojan.Oficla.zip       ( 8.84%)
 4.  Trojan.Oficla.33        ( 4.01%)
 5.  Trojan.Siggen1.33477    ( 3.46%)
 6.  Win32.HLLW.Shadow.based ( 3.02%)
 7.  Trojan.DownLoad1.58681  ( 2.85%)
 8.  Trojan.Botnetlog.zip    ( 2.78%)
 9.  Trojan.Oficla.45        ( 2.08%)
 10. Trojan.Winlock.1651     ( 1.77%)

　　※ 検査総数：11,135,769,221通、うち感染数：1,901,822通

　以下は 2010年 7月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Exploit.Cpllnk            (5.94%)
 2.  Trojan.Siggen.29465       (5.69%)
 3.  Trojan.AuxSpy.229         (5.29%)
 4.  Win32.HLLP.PissOff.36864  (3.21%)
 5.  Win32.HLLW.Gavir.ini      (3.09%)
 6.  Trojan.Stuxnet.1          (2.93%)
 7.  Win32.HLLW.Shadow.based   (2.82%)
 8.  Trojan.DownLoad.32973     (2.27%)
 9.  Win32.HLLW.Autoruner.5555 (2.22%)
 10. Trojan.PWS.Siggen.2674    (2.15%)

　　※ 検査総数：61,372,607,281ファイル、うち感染数：7,966,770ファイル

2010年 8月 11日掲載（原文は http://news.drweb.com/show/?i=1229&lng=en&c=5）

　2010年 8月10日、株式会社ネットフォレストはロシア Doctor Web, Ltd. の Web ウイルス対策製品である『ファイルフィルタ for ICAP』の最新版となる ver. 5.0.1.6（build 5.0.1.6-100803）をリリースしました。このバージョンは ver. 5.0 のリリース以降に判明した複数の不具合が修正されています。

　下記の内容をご覧いただき、記載の不具合に該当する場合はバージョンアップを推奨いたします。

修正点・変更点

　ver. 5.0.1.6 では主に FreeBSD 環境で発生していた以下の不具合が修正されました（カッコ内は BTS での登録番号）。

• ファイルフィルタ for ICAP
  1. 高負荷時にファイルフィルタ for ICAP のプロセスが応答しなくなる（#42385）
  2. Dr.Web デーモンが何らかの理由で応答を返さない場合にその応答を待ち続ける（#42783）
  3. 不正な Content-Range ヘッダを処理する際にクラッシュする（#41727）

• Dr.Web デーモン
  1. あるプロセスがハングアップすると、それ以外のプロセスも応答せずに処理がタイムアウトする（#42762）
  2. HUP シグナルを受信するとプロセスが異常終了することがある（#43233 ）

• Webmin モジュール
  1. インターネットエクスプローラで操作ができない機能がある（#38282）

製品のバージョンアップ

　今回のバージョンアップでは以下のパッケージおよびファイルが更新されました。

• ファイルフィルタ for ICAP
• Webmin 用 共通モジュール
• Webmin 用 ICAPd コンソール
• マニュアル（Icapd フィルタ）

　正規ライセンスをお持ちのお客様、トライアル中の方は無償で最新版をご利用いただけますので ダウンロード ページよりご利用環境に適した上記のパッケージ他をダウンロードし、マニュアルの記載に従ってバージョンアップ作業をお願いいたします。

※ 『バージョンアップ』に関する記載を更新しましたので、マニュアルも最新版をご利用ください。

旧バージョンの提供終了

　ファイルフィルタ for ICAP の旧バージョン（ver. 4.44）については、ver. 5.0.1.6 のリリースに伴いダウンロード提供を終了させていただきます。既契約のお客様で旧バージョンが必要な場合はご利用の OS・バージョンをご確認の上、弊社サポートまでご連絡ください。

2010年 8月10日 掲載

本メンテナンスは無事に終了いたしました（停止時間：2010/7/21(水) 13:30 〜 14:00）。ご理解・ご協力、有難うございました。

　Dr.Web のパターン更新用サーバ群のうち、弊社 iDC（横浜市）に設置されているサーバ（update.drweb.jp）のメンテナンス作業を以下の内容で実施いたします。

　　　　　　　　　　　　　　　　記

実施期間：　2010年 7月21日(水) 13:30 〜 15:30（このうち 45分程度の停止）

実施内容：　パターン配信サーバ update.drweb.jp のメンテナンス

影響範囲：　弊社正規ユーザ様、トライアルユーザ様のパターン更新

影響内容：　パターン更新に要する時間の増加（数秒〜数十秒）

　なお update.drweb.jp のメンテナンス中は他のパターン配信サーバに自動的に接続してパターンを更新するため、更新処理時間が数秒〜数十秒程度長くなるものの製品のご利用には問題ありません。

　正規ユーザ様、トライアルユーザ様にはご迷惑をお掛けいたしますが、本メンテナンス作業はパターン提供サービスの安定性・安全性維持のために必要不可欠なものですので、何卒ご理解いただけますようお願い申し上げます。

2010年 7月 12日 掲載{{br}} 2010年 7月 21日 更新（終了に関する記載を追加）

　2010年 7月20日（火）より弊社の営業時間が平日 9:30 〜 18:00 に変更となりました。これに伴い、Dr.Web 事業の営業時間（サポート含む）についても 2010年 8月 2日（月）より平日9:30 〜 18:00 に変更させていただきます。

　変更直前のお知らせとなりお客様には大変ご迷惑をお掛けいたしますが、ご理解いただきますようお願い申し上げます。

2010年 7月20日 掲載

はじめに

　2010年 7月13日、Doctor Web, Ltd. は Support of Dr.Web products 4.44 ends in six months というタイトルで ver. 4.44 系製品に対するウイルス定義データベースの提供終了予定を 2011年 1月31日とすることを発表しました。

　ver. 4.44 系製品をご利用の場合、期限までにアンチウイルスエンジンのみ ver. 5 にアップグレードするか、製品そのものを ver. 5 系にアップグレードする必要があります。

詳細

　Dr.Web 全製品の共通モジュールであるアンチウイルスエンジンは、2007年に ver. 4.44 系がリリースされましたが、日進月歩の IT 業界ではかなり昔の話になってしまいました。この 2、3年だけでも多数のマルウェアの新種が登場しており、ウイルス定義データベースだけではなくアンチウイルスエンジンの根本的な刷新が要求され、2008年 12月に ver. 5 となる最新のアンチウイルスエンジンをリリースしました（参考：Doctor Web released Dr.Web for Windows 5.0 ）。

　ver. 5 のアンチウイルスエンジンのリリース以降も ver. 4.44 のアンチウイルスエンジン向けのウイルス定義データベースの提供を行ってまいりましたが、先日の Unix 系製品のリリースにより Dr.Web の全製品が ver. 5 の対応を完了したこと、および ver. 4.44 のアンチウイルスエンジンでは対応できないマルウェアが非常に多くなっていること、などから 2011年 1月31日をもって ver. 4.44 用のウイルス定義データベースの提供を終了させていただくこととなりました。{{br}}{{br}}

　弊社では ver. 4.44 の製品をご利用のお客様には従来より ver. 5 系のアンチウイルスエンジンへのアップグレードをお願いしてまいりましたが、Doctor Web, ltd. より正式に ver. 4.44 向けのウイルス定義データベース提供終了予定が告知されましたので、改めてアップグレードをお願いすると共に、製品自体のアップグレードについてもご検討をお願いする次第です。

　ご多忙のところ大変恐れ入りますが、ご理解・ご協力のほど、よろしくお願いいたします。

対応方法

ver. 5 製品へアップグレード

　期限までに、ご利用の製品の最新版となる ver. 5 へのアップグレードを行います。ver. 4.44 から ver. 5 へのアップグレードはライセンスの有効期間内であれば無償で行うことができます。

　各製品の変更内容をご確認の上、検証・移行計画をご検討ください。

エンジンのみ ver.5 へアップグレード

　ver.5 製品へのアップグレードが期限までに間に合わない場合でも、アンチウイルスエンジンのみであれば簡単に ver. 5 用にアップグレードすることができます。

　実際の作業については アンチウイルスエンジン ver.5 へのアップグレード方法 をご参照ください。

2010年 7月15日掲載

概要

　株式会社ネットフォレスト（代表取締役：高橋佑至）は、ロシア Doctor Web Ltd. の迷惑メール対策製品 メールデーモン の最新版であるバージョン 5.0 を 2010年 7月 9日にリリースしました。

詳細

　メールデーモン の最新版 ver. 5.0 では前バージョンから様々な改善・機能強化が行われました（詳細は ver.5.0 の変更点(ChangeLog) をご覧ください）。

EPM パッケージの採用

製品パッケージに EPM フォーマットを採用し、一つのパッケージファイルの中に必要なプログラムを全て同梱しました。また X Window System 環境では GUI インストーラの利用が可能になり、ウィザードに従うことでインストール作業が簡単になりました。

アンチウイルスエンジン ver.5を搭載

Dr.Web アンチウイルスエンジンの ver. 5 を搭載しました。このバージョンでは汎用アンパック技術 FLY-CODE の搭載により、Dr.Web 製品にとって未知のパッカーによって圧縮されたファイルも展開検査が可能です。

webmin モジュールによる GUI 設定

webmin 用のモジュールを導入することで、Web ブラウザベースの設定変更が可能になりました(一部の設定を除く)。

外部参照機能（LookUps）

メールの送信者・受信者のアドレスをキーに、外部データベースや LDAP サーバなどから該当アドレス固有の設定情報を取得・利用できるようになりました。使用するプラグインの個別オン・オフやアンチスパム機能の閾値設定など、様々なパラメータをユーザやドメイン単位で指定することができます。

隔離されたメッセージの管理機能

サーバ上に隔離されたメッセージに対する保存期間の指定が可能になりました。またコマンドラインプログラムまたは webmin モジュールを用いて、隔離されているメッセージを個別に配送・転送・削除・検索・参照することもできます。

外部データベースへのデータ登録機能

隔離処理したメッセージのデータ、またメールデーモンの統計情報を外部データベースに登録する機能が実装されました。

メッセージ ID を用いたログ書式の改良

メールデーモンがメッセージを処理した際のログに MTA によって付加されたメッセージ ID が付加され、特定のメッセージの処理状況を確実に確認することができるようになりました。

設定ファイルの書式確認機能

設定ファイルの書式をチェックする機能が全てのモジュールに実装されました。設定変更後、check を引数として起動スクリプトを実行すると全ての設定ファイルの書式を確認することができます。

# /sbin/service drweb-monitor check
Starting Dr.Web Monitor in --check-all mode...
checking "drweb-agent" component: OK
checking "drweb-notifier" component: OK
checking "drweb-sender" component: OK
checking "drweb-maild" component: 
checking "drweb-receiver" component: OK
Options OK

その他

無償バージョンアップ

有効なライセンスを所有しているユーザ様は追加費用無しで ver. 4.44 から ver. 5.0 にバージョンアップ可能です。

日本向け独自ビルドの終了

ver. 4.33 から提供していた日本向けパッケージのビルドは終了しました。今後は必要な一部のパッケージのみ別途提供となります。

注意

　メールデーモン ver. 5 には現時点で複数の不具合が見つかっています。ご使用の前に必ず ver. 5.0 の既知の問題・注意点 をご確認ください。

2010年 7月 9日 掲載

概要

　6月、Windows ブロッカーはロシアで依然猛威を振るっており、犯罪者の携帯電話の口座に送金を促す Windows ブロッカーの亜種が、Windows ブロッカー全体の検出数の 30% を占めています。また、ソーシャルネットワークサイトの会員が攻撃を受ける被害があり、ログインを試みたユーザに、利用アカウントがあたかも停止状態にあり解除する為に有料ショートメッセージ（SMS）を送る必要があると要求するメッセージが通知されます。ヨーロッパでは、インターネットバンクを狙ったトロイの木馬が感染拡大しました。このウイルスは、インターネットバンクの顧客に TAN コードを送ることを強要します。 TAN コードは取引のワンタイム認証の為にいくつかの銀行で使用されていますが、この予防策でさえ、ハッカーによる損害からユーザを必ず救える訳ではありません。

Windows ブロッカー対策

　Windows ブロッカーはユーザを恐れさせ続けていますが、Doctor Web, Ltd. は犠牲者の支援に最善を尽くしています。当初、ブロック解除用フォームは Doctor Web, Ltd. の専門家によって開発され、この記事で話題の 1つとしてまとめられていました。これは、犠牲者のコンピュータに対するアクセスブロックの回復に役立つ最初のインターネットサービスでした。

　2010年 1月に、 Doctor Web, Ltd. の専用サイト （Dr.Web Unlocker） を立ち上げ、サイトには Windows ブロッカーによって表示された電話番号とテキストメッセージの特定の組み合わせから解除コードを提供するフォームを用意しました。その後、 解除コードの生成プログラムも紹介されました。このサイトは、システムをブロックするマルウェアの最新の動向に対処するために定期的に更新されます。

　また、2010年 6月 23日以降、Doctor Web, Ltd. では、システムを Windows ブロッカーにブロックされた全てのユーザ（利用アンチウイルスソフトに関係なく）が、専用サイト （Dr.Web Unlocker） のサポートサービスを無料で利用できるようになりました。Doctor Web, Ltd. はこの流行に統合的に対処するために、被害者の支援や法執行機関との連携だけでなく、ブロッカーへの対応状況についての詳細情報、システムの汚染を防ぐ方法やロックされている状態を修復する技術を提供することを決定しました。

　Doctor Web, Ltd. の統計情報サーバによると、 6月は 420,000件の Windows ブロッカーを検出し、これは 5月の検出数の 940,000件に対し大きく減少しました。このトロイの木馬のほとんどは、 Trojan.Winlock, Trojan.Adultban, Trojan.Packed.20343 として検出されています。

　6月の終わりまでに、攻撃者が SMS メッセージの送信を要求せずに、支払い端末を介して携帯電話の口座に金を転送させるトロイの木馬の検出数が全ての Windows ブロッカー感染のうちの30%に達しました。 Windows ブロッカーに感染した多数のシステムを分析した結果、ほとんどの場合、ユーザが支払いをしても解除コードを入手できないという結論に達しました。一番重要なことは、どんなに絶望的な状態だとしても、犯罪者に決して送金しないということです。

犯罪者にとって魅力的なソーシャルネットワーキングサイト

　6月は、多くのユーザから Doctor Web, Ltd. のテクニカルサポートへソーシャルネットワークサイトと Web メールのサービスが利用できない問題について報告がありました。ウェブページをロードしようとする時、ユーザは『自分のアカウントがスパムをばら撒いていた為に停止され、元に戻すには SMS メッセージを送信しなければならない』といった通知を受け取ります。このようなメッセージの原因となっているマルウェアは、 Dr.Web 製品で Trojan.Hosts として検出されます。

　6月下旬には、新しい Windows ブロッカーと同様、携帯電話の口座に送金を要求する Trojan.Hosts の亜種も出現したという報告がありました。

Trojan.Hosts が獲得した収益を現金化する手法は Trojan.Winlock と同様のため、Doctor Web, Ltd. のテクニカルサポートは、一連のウイルスの治療を手助けします。

インターネットバンクユーザに対する脅威

　6月中、ヨーロッパでインターネットバンクの顧客を標的にしたウイルスの感染拡大の報告がありました。特に、オーストリアの Volksbank とドイツの Postbank の顧客が被害を受けています。

　オンライン取引のより高いセキュリティを実現する為、銀行では処理毎に一意な TAN コードを使用しています。これにより、不正な方法で顧客の PIN コードを入手することができません。しかし、サイバー犯罪者はこの保護に抜け穴を見つけています。例えば、銀行を狙ったトロイの木馬（ Dr.Web 製品で Trojan.PWS.Banker や Trojan.PWS.Bancos として分類）に感染したPCユーザは、インターネットバンクを使用するときにいつも TAN コードを入力するよう促され、犯罪者はそのコードを不法に入手します。

このウイルスは、標的とするインターネットバンクのサイトにアクセスしたとき、ユーザが使用しているブラウザを判別して、それが Internet Explorer の時にだけ活動します。これは、他のブラウザがより高いレベルの Web セキュリティを提供できるということを示しています。

ウイルスデータベース・アンチスパムエンジン情報、ウイルス統計

ウイルスデータベースの登録数

　2010年 6月に新たにウイルスデータベースに登録されたマルウェアの件数は 135,589件です。これにより 6月末時点での登録総数は 1,523,114件となりました。

※ 検出ミスあるいは誤検出したファイルは ウイルス検体・誤検出ファイルのご提供 からご提供ください。

アンチスパムエンジンの更新

　2010年 6月のアンチスパムエンジンの更新・配信は 39回でした。

※ 検出ミスあるいは誤検出したメールは 迷惑メール・誤検出メールのご提供 からご提供ください。

ウイルス統計

　6月中の一般的な傾向は、いまだ Oficla ボットネットの活発な活動が目立っています。メールサーバ上で検出されたメールウイルスのトップ 20 の中にも Trojan.Oficla の亜種が 4種類検出されています。また、かなりの数のスクリプトが JS.Redirector.based.3 として検出されたことも注目すべき点です。これらのスクリプトは、スパムメールに添付された大量の HTML ドキュメント内に埋め込まれています。添付データを開いたユーザは、悪意のあるソフトウェアを広める事を目的としたウェブサイトや薬物関連の広告サイトに意図せず接続させられてしまいます。

　以下は 2010年 6月の 1ヶ月間にメールサーバ上で検出されたメールウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Trojan.DownLoad1.58681  (10.75%)
 2.  Trojan.Oficla.38        (10.27%)
 3.  Trojan.Winlock.1651     ( 8.30%)
 4.  Trojan.Oficla.zip       ( 6.03%)
 5.  JS.Redirector.based.3   ( 5.60%)
 6.  Trojan.Oficla.45        ( 4.09%)
 7.  Trojan.Inject.8798      ( 3.74%)
 8.  Win32.HLLW.Shadow.based ( 3.62%)
 9.  Trojan.Botnetlog.zip    ( 3.28%)
 10. Trojan.Packed.20425     ( 2.53%)

　　※ 検査総数：13,188,581,400通、うち感染数：847,004通

　以下は 2010年 6月の 1ヶ月間にユーザの PC 上で検出されたウイルスのトップ 10 の名称とその割合です（カッコ内は感染数全体に対する比率）。

 1.  Trojan.Inject.8798      (13.62%)
 2.  Trojan.Siggen1.37243    ( 7.31%)
 3.  ACAD.Pasdoc             ( 7.24%)
 4.  Trojan.Packed.20343     ( 3.25%)
 5.  Trojan.Siggen1.51699    ( 3.01%)
 6.  Win32.HLLW.Gavir.ini    ( 3.01%)
 7.  Win32.HLLW.Shadow       ( 2.84%)
 8.  Win32.HLLW.Shadow.based ( 2.84%)
 9.  Trojan.Siggen1.40023    ( 2.45%)
 10. Trojan.AuxSpy.229       ( 2.34%)

　　※ 検査総数：64,422,986,656ファイル、うち感染数：9,288,857ファイル

2010年 7月 8日掲載（原文は http://news.drweb.com/show/?i=1200&c=5&lng=ru&p=0）