2010年9月 世界のマルウェアランキング

この記事をシェア
2010年9月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事: 突然登場した旧型ワーム
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

9月初めの数日間、昔ながらの大量メール送信ワームが出現し、猛威をふるいました。それは、「ごく単純なソーシャルエンジニアリングを利用するワームはもはや過去の存在であり、ユーザーやサービスプロバイダがこの種の脅威にひどく悩まされることはもうないだろう」と考えていた矢先のことでした。今月は、この「Here you have」ワームの亜種(ESET製品では「Win32/Visal」として検出)の話題から始めてみようと思います。

このワームは、ごくありきたりなソーシャルエンジニアリングを利用した電子メールで拡散します。感染の仕組みは、メールのリンクや添付ファイルをクリックして成人向けの動画やPDFファイルを開くようユーザーを誘導するという一見単純な仕掛けです。そのアプローチは、悪意のあるコードが添付ファイルに含まれていた以前のマルウェアと異なり、添付ファイルやリンクをクリックすると、コンピューターにマルウェアがダウンロードされます。次に、自分自身をCSRSS.EXE(WindowsのシステムファイルであるCSRSS.EXEを模しています)という名前でWindowsディレクトリにインストールしたあと、すぐさま各種のセキュリティサービスやアンチウイルスソフトウェアを無効にし、アドレス帳に登録されているすべてのアドレス宛てに自分を送信しようとします。ESET製品では、対応する定義ファイルが作成される前から、ワームをヒューリスティック技術で検出していました。このように、画期的な手法を用いるわけでもない、極めて平凡なワームが瞬く間に感染を広げ、広範囲に被害を及ぼしたのはなぜでしょうか。

ESETの研究者であるDavid Harleyは次のように述べています。「今回のワームが使ったソーシャルエンジニアリングの手法はごくありがちなものでしたが、それが今でも有効に機能したことに、多くの人が驚いたのではないでしょうか。しかし率直に言って、わたしにとってはまったく意外ではありませんでした。何度も試され検証された手法は、画期的で洗練された手法があまり効果的でない場合でも、有効に機能するケースが少なくないということを経験的に知っていたからです。419(ナイジェリア)詐欺を思い出してみてください。またコード自体も、特に画期的なものではありません。ほかの脅威のコードとの相似点、セキュリティ製品のプロセスを停止する特徴、感染手段としての大量メール送信やAutorun機能、ネットワーク共有などの一般的な手法を考え合わせれば、これがマルウェアであるということはすぐに見抜けたはずです。また、バイナリこそ添付されていませんでしたが、ダウンロードされるファイルの拡張子が.SCR(正確には.PDF.SCR)である点も不審であり、ここで汎用検出技術が危険なシグナルを感じ取っていれば、二次感染は防げたかもしれません」

ではなぜワームはこれほど広範囲に感染を広げることができたのでしょうか。まず、その膨大な量に比例したと考えられます。短期間にこれだけの量が流通すれば、リンクをクリックするユーザーの出現はどうしても避けられません。特に米国では、メールを大量受信したいくつかの大企業で早々に感染被害が広まり、 NASAやAIG、Disney、Procter & Gamble、Wells Fargoなどがワームの封じ込めに苦労していると報道されました。 もう1つの理由としては、やはり、安易にクリックすべきでないリンクをクリックしてしまうユーザーが数多くいる、という点が挙げられます。セキュリティ業界では長年、ユーザー意識の向上のために啓蒙活動に努めてきましたが、私たちのメッセージはまだ十分に浸透していなかったようです。

ただし今回の問題は、これまでとは少々違った展開も見せています。大規模感染が発生してから数日後に、ハッカーもしくはウイルス作者が「そのワームを作ったのは自分だ」と名乗り出ているとの報道があったのです(The RegisterINTERNATIONAL BUSINESS TIMES)。この人物は、「もっと危険なペイロードを仕込むこともできたが、今回はあえて当たり障りのないコードにした」と主張しているようで、今回の騒動はハッキンググループの単なる宣伝活動ではないかという憶測も生まれました。一方、その人物とワームの関係は証明されておらず、また「Iraq Resistance」という名のグループも同ワームとの関連が指摘されていることから、いずれもどの程度信用できるのか、という疑問も指摘されていました。ひょっとしたら、すべてメディア操作やプロパガンダのための活動だったのかもしれません。

いずれにしても、ベンダー各社はこのワームにすばやく対応し、ワームを配布しているサーバーも速やかに閉鎖されました。MicrosoftのMalware Protection Centerブログは、このワームの発見から数日後に次のような記事を掲載しています。「ワームの確認後、問題のURLには接続できないようにする処置がとられました。そのため、ワームによるスパムの送信は依然として続いているものの、メールに記載されている不正リンクは接続できなくなっており、スパムを経由するワームの感染拡大は押さえ込まれています。ワームに感染したコンピューターから引き続きスパムが送られてくることはありますが、そのリンク先URLからマルウェアがダウンロードされることはありません」(Microsoft Malware Protection Center

ワームの配布サーバーが速やかに閉鎖され、感染拡大は早期に食い止められました。もちろん、ワームに対応していたESET製品のヒューリスティック技術も拡大を防いだ一要因です。しかし今回の騒動は、マルウェア対策における最大の弱点はやはり人的要因であるという現実を改めて浮き彫りにしたといえます。また多くの被害を出した企業は、危険なリンクを安易にクリックしてしまう従業員への教育が急務であるという警告と受け止める必要があるでしょう。

 
話題を独占するStuxnet
 

Stuxnetの勢いはとどまるところを知りません。少なくとも、その存在が激しい論争を引き起こし、憶測を呼んでいるという点においてはほかのマルウェアを圧倒しています。

メディアへの露出度という点でWin32/Stuxnetは、2010年版のCode Red、Melissa、もしくはBlasterと言っても過言ではありません。もちろん、サンタクロースが一仕事を終え、トナカイとともにのんびり新年を迎える今年中に、さらに強力なマルウェアが出現する可能性は否定できませんが、現時点での最有力候補と見て間違いないでしょう。さて、このように特定のマルウェアがメディアの注目を集めるに至るにはさまざまな理由があります。例えば、もしそのマルウェアが広範囲に感染を広げているとすれば、当然メディアも大きく扱いますが、 人気のセレブや特定の出来事に関係しているなど、ジャーナリストにとって「おいしいネタ」である場合も、こぞって取り上げられることになります。

(皮肉なことにこのような話題は、犯罪者の側から見ても、ユーザーを不正なサイトに誘導したりコードを実行させたりするための「ネタ」になります。もっとも、これは皮肉などと言っている場合ではないかもしれません。新聞や本物あるいは偽のセキュリティソフトウェアでも、何かを売るためには顧客心理を上手に利用することが重要だからです)

今回、Stuxnetがこれほどの注目を集めているのは、「原発事故を引き起こす」「イランとイスラエルのサイバー戦争に関係している」などの憶測がかつてないほど大きな「ネタ」になっているためですが(ESETのDavid Harleyはブログ「Cyberwar, Cyberhysteria」でこのような憶測を批判しています)、Stuxnetにはそれ以上に興味深い点があります。確かにイランでは、ほかのどの国よりも多くのコンピューターがStuxnetに感染しているようです(詳細については、ESETのホワイトペーパー『Stuxnet Under the Microscope』で解説しています。このホワイトペーパーについては「新着ホワイトペーパー」のセクションをご覧ください)。

しかし、国別の感染分布の割合が高いからといって、必ずしもその国がターゲットとして狙われていることにはなりません。なぜなら、Stuxnetのペイロードは明らかにターゲットのシステムを絞り込んでいますが(ただし、本稿執筆時点では、どの施設、どのような種類の施設が狙われたのかはわかっていません)、国別の感染分布はそこまで絞り込まれてはいないからです。

自己複製の機能を使用してStuxnetを広範囲に拡散させ、その存在をセキュリティ専門家に気づかれてしまったのは犯罪グループの判断ミスかもしれませんが、特に気にかける必要がないほどターゲットを熟知していたのかもしれません。いずれにしてもStuxnetのコードは、凡百のマルウェア作者らが日々大量生産している「機能すればそれでよい」というレベルのコードとは一線を画しています。そのレベルの高さは、Kasperskyに所属する知人研究者も「コードが複雑すぎて、マルウェアと気づくのに1週間かかった」と述べているほどです(1週間というのはさすがに大げさだと思いますが)。

一週間以上研究を続けている私たちにとっても、Stuxnetの洗練されたコードには驚かされ続けています。Stuxnetは、(Stuxnetが悪用していなかったら依然として発覚せずに済んだかもしれない)LNKの脆弱性を利用する後続の模倣マルウェアよりも明らかに洗練されています (なおDavid Harleyは、『Virus Bulletin』9月号に「Chim Chymine: a lucky sweep?」と題するマルウェア分析記事を執筆しています。現在のところ、この記事は定期購読者でなければ読めませんが、 これまでのように編集部から許可が下りれば、ESET Webサイトのホワイトペーパーページで公開されます。この記事では、Stuxnetが利用したLNKの脆弱性を突く新旧のマルウェア、Win32/SalityとWin32/Chymineについて考察しています。また、David HarleyがSecurity Weekに毎月連載しているコラムにも、LNKの脆弱性について解説した「Shortcuts to Insecurity: .LNK Exploits」という記事が掲載されています)。

Stuxnetが狙う脆弱性は、当時パッチ未公開だったLNKの脆弱性(この脆弱性の攻略では、最近の流行でセキュリティコミュニティでも話題となっている「Return Oriented Programming(ROP)」などの高度な技術を駆使した複雑なシェルコードが用いられていました)や、Confickerにも利用されたRPC関連の古い脆弱性であるMS08-67だけではありません。つい最近パッチが公開されたMS10-061の脆弱性(印刷スプーラーサービスに存在する、権限昇格が行われる脆弱性)も利用しています。これは、簡単に説明すると、Guestユーザーアカウントを使用してターゲットマシンの%SYSTEM%ディレクトリに書き込みを行えるようになるという問題で、 いうまでもなく非常に危険な脆弱性です。とりわけ(不正な)バイナリファイルを同ディレクトリに書き込まれた場合には、深刻な被害がもたらされる恐れがあります。

これで終わりではありません。Stuxnetは、さらに複数のゼロデイ脆弱性を利用します。Microsoftがまだパッチを作成中なので詳しくは説明できませんが、1つは、細工を施したキーボードファイルで悪用できる脆弱性です。またここでは言及しませんでしたが、Stuxnetが利用するSQL文字列や署名付きの証明書にも興味深いものがあります。

9月末に開催されるVirus Bulletinカンファレンスの「ラストミニットプレゼンテーション」(最新のトピックを取り上げるプレゼンテーション)では、Stuxnetに関係する多くの発表が行われますが、おそらくはだれも、30分間の持ち時間でStuxnetのすべてを解説しようとは思わないでしょう。ESETの研究者も、決してStuxnetのすべてを把握しているわけではありませんが、9月23日に「Stuxnet under the microscope」(Aleksandr Matrosov、Eugene Rodionov、David Harley、Juraj Malcho共著)というホワイトペーパーを公開しています。このホワイトペーパーの内容については、ブログ「ESET Stuxnet Paper」で説明していますので、そちらもご覧ください。

 
ESET NOD32 Antivirus for Mac OS 

(以下の内容は、英語版製品の説明となります。日本語版製品のMac OS対応は現在未定です。)

 

2010年9月、ESETは、Macユーザーの要望にお応えしてESET NOD32 Antivirus 4 Business Edition for Macをリリースしました。同ソリューションのインストールパッケージは、2009年12月にパブリックベータ版がリリースされて以来、13万5,000回を超えるダウンロードを記録しています。

今回、Macintoshプラットフォーム向けのセキュリティソリューションがリリースされたことについて、ESETのCTOであるRichard Markoは 「数々の賞を受賞した検査エンジンThreatSenseを搭載するこの製品は、最新の脅威に対する業界最高レベルのセキュリティを提供します」と述べています。

ESET NOD32 Antivirus 4 Business Edition for Macの主な特徴は次の通りです。

  • 豊富な導入実績を誇る検査エンジンが企業環境のMacシステムに最高レベルのセキュリティを提供
  • プロアクティブな防御機能により、複数のプラットフォームをターゲットとする脅威に対応し、Macを媒介としたマルウェアの拡散を阻止
  • 単一のコンソールからの集中管理に対応
  • 既存のツールを使用したリモートインストールを可能にするユニバーサルインストーラパッケージ
  • リムーバブルメディアの管理機能により、USB、Firewire、CD/DVDデバイスを制御

このほか、各種タスク(ウイルス定義ファイルのアップデートやオンデマンド検査)の実行タイミングを柔軟に設定できるタスクのスケジュール設定高度な検査設定、ほかのアプリケーションを全画面表示で実行している場合に警告などの通知ウィンドウの表示を抑制するフルスクリーンモード、セキュリティ機能の設定を変更できるユーザーを定義するセキュリティ設定制御などの機能が用意されています。

詳細については、こちらをご覧ください。

 
Twitterのセキュリティ問題に関するFAQ

9月21日、Twitterの脆弱性を悪用する攻撃が発生し、多数のユーザーが影響を受けました。この問題はメディアでも大々的に報道されましたが、多くのジャーナリストがTwitterをフル活用している現状を考えると、それも当然のことかもしれません。しかしその一方、この問題を巡ってはさまざまな誤解や不正確な情報も散見されました。そこで、ESETラテンアメリカのブログに掲載されたFAQ(よくある質問と回答)を以下に再掲することにします。

この攻撃はどのように行われるのですか?

今回、TwitterのWebサイトに対して行われたのは、典型的なクロスサイトスクリプティング(XSS)攻撃です。攻撃者は、この脆弱性を利用するよう細工したツイートを投稿し、それを閲覧したユーザーのシステム上でJavaScriptコードを実行させていました。

どのような被害が発生したのですか?

ユーザーが問題のツイートにマウスカーソルを合わせたときにプログラムコードが実行され、ポップアップウィンドウが表示される、新しいツイートが投稿される、別のWebサイトにリダイレクトされるなどの現象が発生していました。特に危険性が高いのは、不正なWebサイトに誘導される可能性のあるリダイレクトですが、その他の手法でも不正なコードが実行されるなどの被害が生じる可能性があります。

この問題に対処するにはどうすればよいのですか?

脆弱性が修正される前の段階では、Twitter利用時にtwitter.comを使用せず、デスクトップアプリケーションやモバイルアプリケーションからサービスを利用する、というのが唯一の解決策でした。またいうまでもありませんが、Twitterを使用しなければ脆弱性の影響は受けません。

問題はすでに解決済みですか?

はい。問題が発覚してから5時間後には脆弱性が修正され、さらにその数時間後に最終的な調整が行われました。攻撃が有効だったのは短い時間だけで、現在は安全にTwitterを利用できます。

Twitter側は問題を認識しているのですか?

はい。Twitterによると、同社は先月、この脆弱性についての報告を受けて問題を修正しましたが、最近になって行ったサイトの修正によって問題が再発したとのことです。

多数のユーザーが影響を受けたのですか?

投稿された不正なツイートはかなりの数に上りますが、そのほとんどはユーザーに大きな影響を及ぼすものではありませんでした。不正なコードの実行や大規模な攻撃などの被害は確認されておらず、また報告もされていません。

攻撃を行ったのはワームなのですか?

いいえ。この攻撃はワームやウイルスによるという報道もなされていますが、それは誤りです。投稿したツイートを、ユーザーの操作や許可なしで自動的に複製するXSS攻撃です。この攻撃では、「onMouseOver」という関数が使用されており、ユーザーが問題のツイートにマウスカーソルを合わせるだけでそのツイートがリツイート(ほかのユーザーのツイートを引用すること)されます。この自動複製機能のために、ワームによる攻撃との誤解が一部に広まっていましたが、不正なバイナリファイルは使用されていないため、この攻撃をマルウェアによるものとの報道は正しくありません。

原典(スペイン語):http://blogs.eset-la.com/laboratorio/2010/09/22/faq-sobre-la-vulnerabilidad-en-twitter/

 
秋のAMTSOミーティング
 

Anti-Malware Testing Standards Organization(AMTSO)は、アンチマルウェアテスト手法の客観性や品質、妥当性の向上を求める世界的な要請に応えるべく、2008年5月に設立された国際的な非営利組織です。ガイドラインの規約を満たす学識経験者、レビュワー、出版物の発行人、テスター、およびベンダーであれば、AMTSOの会員になることができます。

次回のAMTSOミーティングは、2010年10月21~22日にミュンヘンで開かれます。会場やホテルの割引に関する情報、お申し込み方法、仮の議題についてはこちらをご覧ください。このミーティングでは、誤検知テストに関する文書が承認される見込みであるほか、議決権を制限する代わりに会費を抑えた個人向け会員資格の導入について話し合われる予定となっており、今回もまた白熱した議論が期待されています。また、9月末のVirus Bulletinカンファレンスと11月のAVARでも、テスト関連の論文(ESETの研究者によるものを含む)がいくつか発表されます。これらの論文は、いずれAMTSOのリソースページで公開される予定です。

 
新着ホワイトペーパー
 

新手の攻撃やフォレンジック、アンチマルウェアテストに関連するホワイトペーパーをいくつか公開しました。ぜひご覧ください。

  • 『PWN2KILL, EICAR and AV: Scientific and Pragmatic Research』(David Harley):iAWACS 2010で行われたPWN2KILLコンテストは新たなアンチウイルステストといえるのかどうか、その意義を考察します(初出は『Virus Bulletin』誌6月号)。
  • 『Antivirus Testing and AMTSO: Has Anything Changed?』(David Harley): フォレンジックをテーマとするカンファレンスCFET2010で発表されたカンファレンスペーパーです。過去数年間におけるAMTSOの進展と、アンチウイルス業界およびテスト業界のAMTSOに対する反応がまとめられています。
  • 『SODDImy and the Trojan Defence』(David Harley): ボットネットが猛威をふるう現代においては、ポルノなどの違法コンテンツ所持罪に問われた容疑者が「だれかほかの奴がやった(Some Other Dude Did It:SODDI)」「それはトロイの木馬のしわざに違いない」などと抗弁するケースが増えています。同じくCFET2010カンファレンスで発表されたこのホワイトペーパーでは、犯罪の責任をマルウェアに転嫁する破廉恥な行為について考察しています。

9月末に行われるVirus Bulletinカンファレンスの終了後には、上記に加え、ESETの研究者が共著者となっているホワイトペーパーが少なくとも2種類、追加公開される予定です。

 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.62%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約4.52%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 

3. Win32/PSW.OnLineGames [全体の約2.86%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。


 

4. INF/Conficker [全体の約1.64%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。

 
5. Win32/Tifaut.C [全体の約1.64%]
前回の順位:4位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。

autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。

 
6. Win32/Sality [全体の約1.61%]
前回の順位:20位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
7. HTML/ScrInject.B [全体の約1.17%]
前回の順位:8位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。

不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。

 
8. JS/TrojanClicker.Agent.NAZ [全体の約0.70%]
前回の順位:7位
このマルウェアは自分自身を複製しないトロイの木馬で、通常はほかのマルウェアの一部として使用されます。

このマルウェアはURLのリストを保持しており、各URLは広告のクリック操作をシミュレートするリクエストの送信先として使用されます。これはクリック詐欺と呼ばれ、金銭的な利益を得ることを目的としています。

 
9. Win32/Spy.Ursnif.A [全体の約0.67%]
前回の順位:18位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
 
10. Win32/Injector.CVK [全体の約0.51%]
前回の順位:N/A
Win32/Injector.CVKというのは、実行中の特定プロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行するマルウェアの汎用検出名です。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年9月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.62%を占めています。

 
2010年9月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!