ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年3月度のランキングは、引き続きマルウェアファミリ「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち10%以上を占めています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. INF/Autorun [全体の約10.30%]
前回の順位:1位
INF/Autorunは、2008年3月度に検出された脅威全体のうち、10.30%近くを占めていました。INF/Autorunというのは、コンピュータへの攻撃手段としてautorun.infファイルを利用しようとするさまざまなマルウェアの総称です。このファイルには、USBメモリなどのリムーバブルメディアをコンピュータに挿入した時に自動実行されるプログラムについての情報が記述されています。autorun.infファイルをコピーしたり改ざんしたりするマルウェアは、ESET NOD32アンチウイルスではINF/Autorunとして検出されます。
前回の順位:1位
INF/Autorunは、2008年3月度に検出された脅威全体のうち、10.30%近くを占めていました。INF/Autorunというのは、コンピュータへの攻撃手段としてautorun.infファイルを利用しようとするさまざまなマルウェアの総称です。このファイルには、USBメモリなどのリムーバブルメディアをコンピュータに挿入した時に自動実行されるプログラムについての情報が記述されています。autorun.infファイルをコピーしたり改ざんしたりするマルウェアは、ESET NOD32アンチウイルスではINF/Autorunとして検出されます。
2. Win32/Adware.SearchAid [全体の約4.42%]
前回の順位:2位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
前回の順位:2位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
3. Win32/Adware.Virtumonde [全体の約2.81%]
前回の順位:4位
Win32/Adware.Virtumondeは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のファミリで、対象のコンピュータに広告を配信するために使用されます。極めて広範囲に拡散しており、いったんシステムに侵入したあとは容易に削除できないように工夫されています。
前回の順位:4位
Win32/Adware.Virtumondeは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のファミリで、対象のコンピュータに広告を配信するために使用されます。極めて広範囲に拡散しており、いったんシステムに侵入したあとは容易に削除できないように工夫されています。
4. Win32/Toolbar.MyWebSearch [全体の約2.07%]
前回の順位:3位
Win32/Toolbar.MyWebSearchは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
前回の順位:3位
Win32/Toolbar.MyWebSearchは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
5. Win32/TrojanDownloader.Agent.KGV [全体の約1.74%]
前回の順位:ランク外
攻撃者は、このバックドアプログラムを利用して感染先のコンピュータを乗っ取ります。この脅威は、Webのフォームやcookieから情報を収集し、電子メール経由で攻撃者に送信します。
前回の順位:ランク外
攻撃者は、このバックドアプログラムを利用して感染先のコンピュータを乗っ取ります。この脅威は、Webのフォームやcookieから情報を収集し、電子メール経由で攻撃者に送信します。
6. Win32/IRCBot.AAH [全体の約1.67%]
前回の順位:9位
IRCBot.AAHマルウェアファミリはコンピュータを乗っ取るために使用される脅威ですが、複数のハッカーによって使用されている可能性があります。このマルウェアは、IRCプロトコルを使用して攻撃者との通信を行います。C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
前回の順位:9位
IRCBot.AAHマルウェアファミリはコンピュータを乗っ取るために使用される脅威ですが、複数のハッカーによって使用されている可能性があります。このマルウェアは、IRCプロトコルを使用して攻撃者との通信を行います。C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
7. Win32/Adware.Virtumonde.FP [全体の約1.55%]
前回の順位:5位
Win32/Adware.Virtumonde.FPは、Virtumondeファミリの亜種の1つです。ESETでは、この種のプログラムをユーザーにとって好ましくない動作をする可能性のあるアプリケーションと見なしています。このプログラムは、実行されている間ウィンドウを開いたままにし、さまざまな種類の広告を表示します。
前回の順位:5位
Win32/Adware.Virtumonde.FPは、Virtumondeファミリの亜種の1つです。ESETでは、この種のプログラムをユーザーにとって好ましくない動作をする可能性のあるアプリケーションと見なしています。このプログラムは、実行されている間ウィンドウを開いたままにし、さまざまな種類の広告を表示します。
8. Win32/Agent.NHE [全体の約1.32%]
前回の順位:30位
Win32/Agent.NHEは、ユーザーが気づかないうちにコンピュータにインストールされるバックドアプログラムです。このマルウェアは、自身を%system32%フォルダにコピーします(このフォルダの実際のパス名は、コンピュータによって異なる場合があります。同じバージョンのWindowsでも同じであるとは限りません)。
DNSクエリとUDPパケットを使用して指令サーバーと通信を行い、攻撃者が感染したコンピュータをコントロールできるようにします。
前回の順位:30位
Win32/Agent.NHEは、ユーザーが気づかないうちにコンピュータにインストールされるバックドアプログラムです。このマルウェアは、自身を%system32%フォルダにコピーします(このフォルダの実際のパス名は、コンピュータによって異なる場合があります。同じバージョンのWindowsでも同じであるとは限りません)。
DNSクエリとUDPパケットを使用して指令サーバーと通信を行い、攻撃者が感染したコンピュータをコントロールできるようにします。
9. Win32/Agent [全体の約1.26%]
前回の順位:7位
ESET NOD32アンチウイルスは、この悪意あるコードを汎用名で検出します。多くのマルウェアがこのファミリに属し、コンピュータから情報を盗み出す特徴的な機能を共通して備えているためです。Win32/Agent.NHEは、現在広範囲に感染を広げているこのマルウェアファミリの亜種の1つです。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびに悪意あるプロセスが実行されるようにします。
前回の順位:7位
ESET NOD32アンチウイルスは、この悪意あるコードを汎用名で検出します。多くのマルウェアがこのファミリに属し、コンピュータから情報を盗み出す特徴的な機能を共通して備えているためです。Win32/Agent.NHEは、現在広範囲に感染を広げているこのマルウェアファミリの亜種の1つです。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびに悪意あるプロセスが実行されるようにします。
10. Win32/Pacex.Gen [全体の約1.23%]
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
INF/Autorunについて
2月度のランキングを発表後、「数ヶ月間にわたりトップ10の下位に低迷していたINF/Autorunがなぜ突然1位となり、3ヶ月連続でその座を維持できているのか」という疑問がわれわれの元に寄せられました。INF/Autorunというのは、単一の悪意あるプログラムを指す名称ではなく、汎用シグネチャによって検出されるあるマルウェアファミリ全体に対して使用される名称です。そのため、ある特定の不審なプログラムがヒューリスティック技術によってプロアクティブにINF/Autorunとして検出されても、その後このマルウェアがより広範囲に感染を広げたり、一般的に知られるようになったりした場合には、固有の名称を与えられることがあります。
INF/Autorunという名称で検出されるのは、WindowsのAutoRun機能を利用するという特徴を持ったマルウェアです。AutoRun機能は、CDやUSBフラッシュドライブといったリムーバブルメディアに含まれる正規のプログラムを自動的に実行またはインストールするためのものですが、もちろんこれはマルウェア作者から見ても非常に有用な機能です。この機能を有効にしているユーザーは一定数おり、そうしたユーザーの環境では悪意のあるコードを自動的に実行できることから、これはさまざまな種類のマルウェアで悪用されるようになっています。例えばデジタルフォトフレームを装ったトロイの木馬であるMocmexは、各メディアで大きく取り上げられました。
AutoRun機能を悪用するマルウェアについては、2007年12月にESETのブログでも取り上げています。またMicrosoftのSteve Riley氏が、この問題の影響を軽減する方法をブログで紹介しています
INF/Autorunという名称で検出されるのは、WindowsのAutoRun機能を利用するという特徴を持ったマルウェアです。AutoRun機能は、CDやUSBフラッシュドライブといったリムーバブルメディアに含まれる正規のプログラムを自動的に実行またはインストールするためのものですが、もちろんこれはマルウェア作者から見ても非常に有用な機能です。この機能を有効にしているユーザーは一定数おり、そうしたユーザーの環境では悪意のあるコードを自動的に実行できることから、これはさまざまな種類のマルウェアで悪用されるようになっています。例えばデジタルフォトフレームを装ったトロイの木馬であるMocmexは、各メディアで大きく取り上げられました。
AutoRun機能を悪用するマルウェアについては、2007年12月にESETのブログでも取り上げています。またMicrosoftのSteve Riley氏が、この問題の影響を軽減する方法をブログで紹介しています
Virtumondeについて
アドウェアは一般に「不愉快なだけで害は及ぼさない」と言われていますが、この悪質なアドウェアは、それは必ずしも真実ではないということを示しています。あるユーザーの報告によると、このプログラムは極めて多くの広告ウィンドウを勝手に表示し、コンピュータを完全に使用できない状態にしてしまうこともあります。さらに厄介なのは、その削除が極めて困難であり、アンチウイルスベンダーでさえもシステムの再インストールを推奨していることが多いという事実です。完全に削除できなかった場合、このマルウェアはレジストリキーとDLLを復元しようとします。このマルウェアの削除に利用できる汎用的なツールも提供されていますが、この種のツールを安全に利用するためにはある程度の知識が必要となります。
Mebroot:再び登場したマスターブートレコード感染型マルウェア
これまでのところ感染件数はそれほど多くないものの、メディアから大きな注目を集めているマルウェアにMebrootがあります。Mebrootは、以前に流行したブートセクタ感染型ウイルスの高度なステルス技術を利用するrootkitです。Mebroot(Sinowal)はウイルスではなく、脆弱性のあるWebブラウザで悪意のあるWebサイトを閲覧したときに「ドライブバイダウンロード」で自動的にインストールされます。しかし、多くのマスターブートレコード(MBR)感染型ウイルスと同様、MBRを別のセクタに移動し、本来MBRがあるべき場所であるセクタ0に自身のコードをコピーします。
Mebrootは、ntoskrnl.exeにパッチを適用し、データをファイルではなくディスクセクタに保存することで、再起動後も再び動作できるようにします(この点が一部のrootkitと異なります)。レジストリ設定は変更しません。MBRにアクセスする呼び出しは、多くのMBR感染型ウイルスの場合と同様、ディスクの別の場所(Mebrootの場合はセクタ62)に保存されたMBRのコピーにリダイレクトされます。この機能とその他の機能により、感染システムからMebrootを検出することは、不可能ではないものの非常に困難となっています。ESET製品では、このマルウェアはWin32/Mebrootとして検出されます。またこのマルウェアは、ESET製品でWin32/Agent.DSJとして検出されるリモートアクセス型トロイの木馬(RAT)も作成します。。
Mebrootは、ntoskrnl.exeにパッチを適用し、データをファイルではなくディスクセクタに保存することで、再起動後も再び動作できるようにします(この点が一部のrootkitと異なります)。レジストリ設定は変更しません。MBRにアクセスする呼び出しは、多くのMBR感染型ウイルスの場合と同様、ディスクの別の場所(Mebrootの場合はセクタ62)に保存されたMBRのコピーにリダイレクトされます。この機能とその他の機能により、感染システムからMebrootを検出することは、不可能ではないものの非常に困難となっています。ESET製品では、このマルウェアはWin32/Mebrootとして検出されます。またこのマルウェアは、ESET製品でWin32/Agent.DSJとして検出されるリモートアクセス型トロイの木馬(RAT)も作成します。。
セクタ0に言及するデマメール
多くのアンチウイルス研究者は、ウイルスに関するデマ情報(デマメールなど)にあまり関心を寄せません。デマメールは依然として健在ですが、今日、より厄介な存在となっているのはこれとは違うタイプのチェーンメールと言えます。デマメールが盛んだった1990年代中頃や、SULFNBKやJDBMGRといったデマメールが大量メール送信ウイルスと同じように猛威を振るった2001年~2003年頃のようにデマメールが大きな注目を集めることは、現在では少なくなっています。
しかし今月、ある興味深いデマメールが登場しました。このメールには、「『POSTCARD』という名前のファイルが添付されたメールが出回っています。このウイルスはポストカードの画像を表示し、コンピュータのCドライブを『燃やして』しまいます…このウイルスは、重要な情報が記録されたハードディスクのセクタ0を破壊します」と書かれていました。デマメールに詳しい方であれば、これは過去に出現した「Olympic Torch」というデマメールの改訂版であることに気付くかもしれません。このデマメールの最大の特徴は、その内容に真実味を持たせるため、アンチデマメールサイトの名前を出し、「このウイルスについては、snopes.comで確認しました。本当に存在するウイルスです!」と述べていることです。
このページは実在しますが、ここで説明されているのはグリーティングカードを利用するNuwarというお馴染みのマルウェアです。このデマメールについては、ESET社のブログでも取り上げました(偶然ですが、新種のNuwarについても取り上げています)。
しかし今月、ある興味深いデマメールが登場しました。このメールには、「『POSTCARD』という名前のファイルが添付されたメールが出回っています。このウイルスはポストカードの画像を表示し、コンピュータのCドライブを『燃やして』しまいます…このウイルスは、重要な情報が記録されたハードディスクのセクタ0を破壊します」と書かれていました。デマメールに詳しい方であれば、これは過去に出現した「Olympic Torch」というデマメールの改訂版であることに気付くかもしれません。このデマメールの最大の特徴は、その内容に真実味を持たせるため、アンチデマメールサイトの名前を出し、「このウイルスについては、snopes.comで確認しました。本当に存在するウイルスです!」と述べていることです。
このページは実在しますが、ここで説明されているのはグリーティングカードを利用するNuwarというお馴染みのマルウェアです。このデマメールについては、ESET社のブログでも取り上げました(偶然ですが、新種のNuwarについても取り上げています)。
世界中のコンピュータから情報を収集するESETのThreatSense.Net
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
この先進のプロアクティブな検出機能では、別のベンダーのセキュリティ製品では特定の名前で扱われている悪意あるプログラムを、新たな脅威として検出しない可能性があります。名前を付される前に、ヒューリスティックエンジンまたは汎用検出機能によって検出済みであるからです。実際に、今月度のThreatSense.NetRでレポートされたマルウェアランキングトップ10のうち、20パーセント以上はそのようなケースでした。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
この先進のプロアクティブな検出機能では、別のベンダーのセキュリティ製品では特定の名前で扱われている悪意あるプログラムを、新たな脅威として検出しない可能性があります。名前を付される前に、ヒューリスティックエンジンまたは汎用検出機能によって検出済みであるからです。実際に、今月度のThreatSense.NetRでレポートされたマルウェアランキングトップ10のうち、20パーセント以上はそのようなケースでした。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。