G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、セキュリティラボにおいて収集された2011年8月 のコンピュータ・マルウェア動向情報の分析を行い、その結果、上位には、フリーソフトに付帯するアドウェアが多く登場しているほか、USBメモリ感染型、Javaベースのダウンローダーなどが活発で、今後の動向を注意する必要があることを報告します。
2011年8月 に上位を占めたマルウェアの特徴は、三点にまとめられます。
第一は、フリーソフトのパッケージに付帯して感染させるアドウェアが増加し、上位に3種が含まれていました。基本的には英語版のソフトが中心なので、国内では多くの方は使用する機会が少ないと思いますが、ご利用される方は、くれぐれもご注意ください。
第二は、USBメモリを介して感染させるタイプのマルウェアも、上位に3種含まれていました。ただし勢いは、7月より少し後退しています。ただし、かつて猛威をふるったコンフィッカーと似たタイプなので、予断は許しません。
第三は、先月に引き続き、Javaベースのダウンローダーが、上位に2種含まれていました。これらは、Javaの脆弱性を解消することによって、脅威から身を守ることが可能ですので、対策は万全にされることをお勧めします。
なお、7月に注目されたファイル感染型のマルウェアである「Ramnit」はランク外になりました。
ウィンドウズOSで活動するマルウェアの数は、2011年上半期で、120万種を超えました。このままの勢いでゆくと、年間を通じて250万種を超える見込みです。この数は、これまでで最高となります。世間では、アンドロイドのマルウェアが登場するたびに大きく注目されていますが、その数は上半期で1,000にも届きませんでした。つまり、アンドロイドに対してウィンドウズは、1,500倍ほどの危険性があるのです。したがって、ウィンドウズのマルウェアも引き続き、十分に注意を向けてください。
*2011年8月 のマルウェア上位10種
順位 マルウェア名 比率 傾向*
01 Adware.Agent.NGZ 2.64% 新
02 Gen:Variant.Adware.Hotbar.1 0.98% 上昇
03 Worm.Autorun.VHG 0.91% 同
04 Trojan.AutorunINF.Gen 0.89% 同
05 Trojan.Wimad.Gen.1 0.86% 下降
06 Exploit.CplLnk.Gen 0.82% 下降
07 Adware.Agent.NFT 0.61% 新
08 Java.Trojan.Exploit.Bytverify.Q 0.51% やや下降
09 Java.Trojan.Downloader.OpenConnection.AI 0.51% やや下降
10 JS:Downloader-AUY [Trj] 0.42% 新
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
上位マルウェアの説明
1 Adware.Agent.NGZ
VLCやXviDといった動画関連のプログラムと一緒に、フリーソフトのなかにまぎれて知らない間にインストールされる場合が大半です。シンプルなプログラムで、人気の高いソフトウェアプログラムのチュートリアルのなかに隠れており、本来の提供者ではないサイトからダウンロードされます。毎回ブラウザが立ち上がるたびに、「ads.eorezo.com」上で広告サイトを開きます。仕掛けた側にとっては、クリックごとに金がはいる「Adware.Agent.NFT」の後継者で、URLが異なるだけです。
2 Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。
3 Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。
4 Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。
5 Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。
6 Exploit.CplLnk.Gen
この攻撃は、ウィンドウズシェルのショートカットのプロセスでの.Inkや.pifのチェッキングにおけるエラーを使用します。2010年半ば以降、CVE-2010-2568として知られている、スタクスネットも取り入れた脆弱性を悪用します。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーで表示することによりコード実行が行われます。
7 Adware.Agent.NFT
VLCやXviDといった動画関連のプログラムと一緒に、フリーソフトのなかにまぎれて知らない間にインストールされる場合が大半です。シンプルなプログラムで、人気の高いソフトウェアプログラムのチュートリアルのなかに隠れており、本来の提供者ではないサイトからダウンロードされます。毎回ブラウザが立ち上がるたびに「ads.eorezo.com」上で広告サイトを開きます。仕掛けた側にとっては、クリックごとに金がはいる「Adware.Agent. NGZ」が後継者で、URLが異なるだけです。
8 Java.Trojan.Exploit.Bytverify.Q
この攻撃は、CVE-2010-0094で説明されている、Java実行環境における脆弱性を利用しています。攻撃が成功すると、攻撃者は、Javaサンドボックスの制限を回避し、悪質なコードを実行できるようになります。たとえば、さらに悪質なコードを送り込むことが可能です。脆弱性を解消していないと、ウェッブページ上で動くJavaアプレットを通じて、感染します。
9 Java.Trojan.Downloader.OpenConnection.AI
ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピュータにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。
10 JS:Downloader-AUY [Trj]
他のマルウェア(主としてエクスプロイト)が実行される誘因となりうる難読化されたJavaScriptです。もともとは、ウェブブラウザによって実行されるダウンローダーを集めたパッカーの一部でした。難読化されたHTMLコードが解かれた際には、ブラウザは、悪意のあるJavaアプレットをロードするものと思ってしまいます。このJavaアプレットはエクスプロイト(たとえばCVE-2010-0840に対する一つ)を含んでおり、この攻撃が成功すると、攻撃者はJavaのサンドボックスの制限を回避し、悪性コードを実行することができます。その後は、たとえば、悪性コード(たとえばFakeAV、バンキング型トロイの木馬の一種、あるランサムウェアあるいは他の何でも)をさらにダウンロードすることができます。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/
2011年8月 に上位を占めたマルウェアの特徴は、三点にまとめられます。
第一は、フリーソフトのパッケージに付帯して感染させるアドウェアが増加し、上位に3種が含まれていました。基本的には英語版のソフトが中心なので、国内では多くの方は使用する機会が少ないと思いますが、ご利用される方は、くれぐれもご注意ください。
第二は、USBメモリを介して感染させるタイプのマルウェアも、上位に3種含まれていました。ただし勢いは、7月より少し後退しています。ただし、かつて猛威をふるったコンフィッカーと似たタイプなので、予断は許しません。
第三は、先月に引き続き、Javaベースのダウンローダーが、上位に2種含まれていました。これらは、Javaの脆弱性を解消することによって、脅威から身を守ることが可能ですので、対策は万全にされることをお勧めします。
なお、7月に注目されたファイル感染型のマルウェアである「Ramnit」はランク外になりました。
ウィンドウズOSで活動するマルウェアの数は、2011年上半期で、120万種を超えました。このままの勢いでゆくと、年間を通じて250万種を超える見込みです。この数は、これまでで最高となります。世間では、アンドロイドのマルウェアが登場するたびに大きく注目されていますが、その数は上半期で1,000にも届きませんでした。つまり、アンドロイドに対してウィンドウズは、1,500倍ほどの危険性があるのです。したがって、ウィンドウズのマルウェアも引き続き、十分に注意を向けてください。
*2011年8月 のマルウェア上位10種
順位 マルウェア名 比率 傾向*
01 Adware.Agent.NGZ 2.64% 新
02 Gen:Variant.Adware.Hotbar.1 0.98% 上昇
03 Worm.Autorun.VHG 0.91% 同
04 Trojan.AutorunINF.Gen 0.89% 同
05 Trojan.Wimad.Gen.1 0.86% 下降
06 Exploit.CplLnk.Gen 0.82% 下降
07 Adware.Agent.NFT 0.61% 新
08 Java.Trojan.Exploit.Bytverify.Q 0.51% やや下降
09 Java.Trojan.Downloader.OpenConnection.AI 0.51% やや下降
10 JS:Downloader-AUY [Trj] 0.42% 新
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
上位マルウェアの説明
1 Adware.Agent.NGZ
VLCやXviDといった動画関連のプログラムと一緒に、フリーソフトのなかにまぎれて知らない間にインストールされる場合が大半です。シンプルなプログラムで、人気の高いソフトウェアプログラムのチュートリアルのなかに隠れており、本来の提供者ではないサイトからダウンロードされます。毎回ブラウザが立ち上がるたびに、「ads.eorezo.com」上で広告サイトを開きます。仕掛けた側にとっては、クリックごとに金がはいる「Adware.Agent.NFT」の後継者で、URLが異なるだけです。
2 Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。
3 Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。
4 Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。
5 Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。
6 Exploit.CplLnk.Gen
この攻撃は、ウィンドウズシェルのショートカットのプロセスでの.Inkや.pifのチェッキングにおけるエラーを使用します。2010年半ば以降、CVE-2010-2568として知られている、スタクスネットも取り入れた脆弱性を悪用します。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーで表示することによりコード実行が行われます。
7 Adware.Agent.NFT
VLCやXviDといった動画関連のプログラムと一緒に、フリーソフトのなかにまぎれて知らない間にインストールされる場合が大半です。シンプルなプログラムで、人気の高いソフトウェアプログラムのチュートリアルのなかに隠れており、本来の提供者ではないサイトからダウンロードされます。毎回ブラウザが立ち上がるたびに「ads.eorezo.com」上で広告サイトを開きます。仕掛けた側にとっては、クリックごとに金がはいる「Adware.Agent. NGZ」が後継者で、URLが異なるだけです。
8 Java.Trojan.Exploit.Bytverify.Q
この攻撃は、CVE-2010-0094で説明されている、Java実行環境における脆弱性を利用しています。攻撃が成功すると、攻撃者は、Javaサンドボックスの制限を回避し、悪質なコードを実行できるようになります。たとえば、さらに悪質なコードを送り込むことが可能です。脆弱性を解消していないと、ウェッブページ上で動くJavaアプレットを通じて、感染します。
9 Java.Trojan.Downloader.OpenConnection.AI
ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピュータにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。
10 JS:Downloader-AUY [Trj]
他のマルウェア(主としてエクスプロイト)が実行される誘因となりうる難読化されたJavaScriptです。もともとは、ウェブブラウザによって実行されるダウンローダーを集めたパッカーの一部でした。難読化されたHTMLコードが解かれた際には、ブラウザは、悪意のあるJavaアプレットをロードするものと思ってしまいます。このJavaアプレットはエクスプロイト(たとえばCVE-2010-0840に対する一つ)を含んでおり、この攻撃が成功すると、攻撃者はJavaのサンドボックスの制限を回避し、悪性コードを実行することができます。その後は、たとえば、悪性コード(たとえばFakeAV、バンキング型トロイの木馬の一種、あるランサムウェアあるいは他の何でも)をさらにダウンロードすることができます。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/