ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年2月度のランキングは、引き続き「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち約10%を占めています。
このマルウェアを含め、トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このマルウェアを含め、トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. INF/Autorun [全体の約9.43%]
前回の順位:1位
INF/Autorunは、2008年2月度に検出された脅威全体のうち、9.43%近くを占めていました。INF/Autorunとは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの、ESETセキュリティ製品での総称です。このファイルには、USBメモリなどのリムーバブルメディアをコンピュータに挿入した時にプログラムを自動実行するための情報が記述されています。
前回の順位:1位
INF/Autorunは、2008年2月度に検出された脅威全体のうち、9.43%近くを占めていました。INF/Autorunとは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの、ESETセキュリティ製品での総称です。このファイルには、USBメモリなどのリムーバブルメディアをコンピュータに挿入した時にプログラムを自動実行するための情報が記述されています。
2. Win32/Adware.SearchAid [全体の約8.05%]
前回の順位:ランク外
今回初めてランクインした「Win32/Adware.SearchAid」とは、アドウェアの亜種に対して用いられる汎用名です。この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
前回の順位:ランク外
今回初めてランクインした「Win32/Adware.SearchAid」とは、アドウェアの亜種に対して用いられる汎用名です。この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
3. Win32/Toolbar.MyWebSearch [全体の約3.11%]
前回の順位:74位
Win32/Toolbar.MyWebSearchは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
前回の順位:74位
Win32/Toolbar.MyWebSearchは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
4. Win32/Adware.Virtumonde [全体の約2.09%]
前回の順位:3位
Win32/Adware.Virtumondeは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションのファミリで、対象のコンピュータに広告を配信するために使用されます。
前回の順位:3位
Win32/Adware.Virtumondeは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションのファミリで、対象のコンピュータに広告を配信するために使用されます。
5. Win32/Adware.Virtumonde.FP [全体の約1.69%]
前回の順位:5位
Virtumondeファミリの亜種であるこのマルウェアは、多数のウィンドウを開き、さまざまな種類の広告を表示します。
前回の順位:5位
Virtumondeファミリの亜種であるこのマルウェアは、多数のウィンドウを開き、さまざまな種類の広告を表示します。
6. Win32/Pacex.Gen [全体の約1.65%]
前回の順位:2位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
前回の順位:2位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
7. Win32/Agent [全体の約1.53%]
前回の順位:17位
「Win32/Agent」とは、ユーザー情報を盗み出す各種マルウェアに対して用いられる、ESET NOD32アンチウイルスでの汎用名です。このマルウェアは一般に、ユーザー情報を盗み出すため、自身を一時フォルダにコピーし、このコピーファイルまたは別のシステムフォルダにランダムに作成された同様のプログラムを参照するキーを、レジストリに追加します。これにより悪意あるプロセスがインストールされ、システムが起動するたびにそのプロセスが実行されるようになります。
前回の順位:17位
「Win32/Agent」とは、ユーザー情報を盗み出す各種マルウェアに対して用いられる、ESET NOD32アンチウイルスでの汎用名です。このマルウェアは一般に、ユーザー情報を盗み出すため、自身を一時フォルダにコピーし、このコピーファイルまたは別のシステムフォルダにランダムに作成された同様のプログラムを参照するキーを、レジストリに追加します。これにより悪意あるプロセスがインストールされ、システムが起動するたびにそのプロセスが実行されるようになります。
8. Win32/Obfuscated.A1 [全体の約1.33%]
前回の順位:4位
Obfuscated.A1というのは、コード難読化手法を用いて自身の機能を隠ぺいする悪意あるソフトウェアを指す、ESET NOD32アンチウイルスでの総称です。コード難読化には、圧縮やポリモーフィック技術、ジャンクコードインジェクションなどの手法が用いられます。
前回の順位:4位
Obfuscated.A1というのは、コード難読化手法を用いて自身の機能を隠ぺいする悪意あるソフトウェアを指す、ESET NOD32アンチウイルスでの総称です。コード難読化には、圧縮やポリモーフィック技術、ジャンクコードインジェクションなどの手法が用いられます。
9. Win32/IRCBot.AAH [全体の約1.17%]
前回の順位:26位
IRCBot.AAHはPCを乗っ取ろうとするハッカーによって使用され、IRCプロトコルを使用してハッカーとの通信を行います。IRCBot.AAHは、感染したPCが起動するたびに自身が実行されるよう、C:\windows\system32\IEXPLORES.exeとして自身のコピーを作成し、レジストリキーを追加します。
前回の順位:26位
IRCBot.AAHはPCを乗っ取ろうとするハッカーによって使用され、IRCプロトコルを使用してハッカーとの通信を行います。IRCBot.AAHは、感染したPCが起動するたびに自身が実行されるよう、C:\windows\system32\IEXPLORES.exeとして自身のコピーを作成し、レジストリキーを追加します。
10. Win32/PSW.OnLineGames.NLI [全体の約1.15%]
前回の順位:14位
Win32/PSW.OnLineGames.NLIはキーロギング機能とrootkit機能を備えたトロイの木馬で、オンラインゲームに関する情報を収集します。収集された情報はリモートPCに送信される可能性があります。
前回の順位:14位
Win32/PSW.OnLineGames.NLIはキーロギング機能とrootkit機能を備えたトロイの木馬で、オンラインゲームに関する情報を収集します。収集された情報はリモートPCに送信される可能性があります。
厄介なアドウェア『Virtumonde』
Win32/Adware.Virtumonde(Vundo)は、上記のランキングからもわかるように、非常に流行しているアドウェアファミリのひとつです。多くの場合、このランキングの第5位以内にランクインしています。ボットハーダーと呼ばれるボットネット管理者は、感染したPC上にVirtumondeをインストールすることで利益を得ており、インストールされたVirtumondeは広告のプロキシとして使用されているサイトに感染したPCを誘導します。サイトのアドレスはローカルのSystem32フォルダに格納されています。ESETも対応の強化に努めていますが、極めて頻繁に更新されるVirtumondeは、プロアクティブな分析と検出が困難であるのが現状です。
Virtumondeは自己複製型ではありませんが、広範囲に拡散するうえ、一度インストールされるとその削除は非常に困難で、作業には多くの時間を要します。多くの研究者は、よほどの支障がない限り、システムを再インストールするか再イメージ化することを推奨しています。というのも、すべてのコンポーネントを自動的に検索し削除するのはおそらく困難であるからです。しかし、大規模環境のシステム管理者にとってこれは気の進まない作業であり、またヘルプデスク担当者はVirtumondeを手動で削除しようとするユーザーのために多くの時間を費やしています。複数のツールを使用してVirtumondeの削除に成功したという話も聞かれますが、これをリモートで成功させるにはそれなりの専門知識が必要であり、また、多大な時間を要するという点はやはり変わりません。
Virtumondeに関連する脅威は他にも多く存在します。例えばVirtumondeのドロッパー(別の悪意あるプログラムをインストールするために使用されるプログラム)であるWin32/TrojanDropper.Agent.DGOは、現在大変な勢いで拡散しています。
Virtumondeは自己複製型ではありませんが、広範囲に拡散するうえ、一度インストールされるとその削除は非常に困難で、作業には多くの時間を要します。多くの研究者は、よほどの支障がない限り、システムを再インストールするか再イメージ化することを推奨しています。というのも、すべてのコンポーネントを自動的に検索し削除するのはおそらく困難であるからです。しかし、大規模環境のシステム管理者にとってこれは気の進まない作業であり、またヘルプデスク担当者はVirtumondeを手動で削除しようとするユーザーのために多くの時間を費やしています。複数のツールを使用してVirtumondeの削除に成功したという話も聞かれますが、これをリモートで成功させるにはそれなりの専門知識が必要であり、また、多大な時間を要するという点はやはり変わりません。
Virtumondeに関連する脅威は他にも多く存在します。例えばVirtumondeのドロッパー(別の悪意あるプログラムをインストールするために使用されるプログラム)であるWin32/TrojanDropper.Agent.DGOは、現在大変な勢いで拡散しています。
AMTSO(Anti-Malware Testing Standards Organization)
主に主要アンチマルウェア研究グループや製品テスト機関によって構成されているAMTSOには、多くの関心が集まっています。最終的な目標として、マルウェア対策ソフトに対するテスト標準の質の向上が掲げられており、活動予定の詳細についてはhttp://www.amtso.org/で確認することができます。メディアの注目はほかのベンダーに集まりがちでしたが、委員会の一員であるという点、またこの組織の活動に発足時から参加しているという点で、ESETはAMTSOの主要メンバーとしての存在感を発揮できていることを喜ばしく思います。ESETは、AMTSOの活動が意義のあるものとなることを願っています。
世界中のコンピュータから情報を収集するESETのThreatSense.Net
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。
