今なお、パソコンのマルウェアは、大量拡散中~G Data ウイルス対策ソフトを無料で比較 - ウイルスソフトまとめ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。



無料で使えるウイルスソフトランキング(※livedoor LISLOG調べ)





 
--/--/--(--)  | スポンサー広告

今なお、パソコンのマルウェアは、大量拡散中~G Data

2011年7月のコンピュータ・マルウェア動向を分析した結果、上位には、特に新奇な攻撃はありませんでした。しかし、過去に活動が盛んだった種類のマルウェアが大量に拡散しており、引き続き注意が必要です。

G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、セキュリティ19 件ラボにおいて収集された2011年7月のコンピュータ・マルウェア動向情報の分析を行い、その結果、上位には、特に新奇な攻撃はなかったものの、過去に活動が盛んだった種類が大量に拡散中であることが判明しました。

2011年上半期のマルウェア状況は、アンドロイド19 件形態におけるマルウェアの増加が、最大のトピックでした。ゲイニーミーやドリームドロイドなど、洗練されたコードをもつマルウェアが、中国や日本において登場しました。

しかし一方で、ウィンドウズOSにおけるマルウェアは、決して減少したわけではありません。2006年よりこの5年間、毎年激増を続けており、昨年はついに年間200万の新種マルウェアが確認され、今年もほぼ同数で推移しています(正確な数値については後日、「2011年上半期マルウェアレポート」にて発表します)。

また、攻撃の多かった上位のマルウェアについては、特に新たに注意を喚起すべきものは登場せず、むしろ、過去に活動が盛んだった種類で占められました。つまり、数的にも、攻撃内容についても、ほぼ出尽くした感があります。

なお、2011年7月に上位を占めたマルウェアの特徴は、三点にまとめられます。第一は、USBメモリを介して感染させるもの、第二は、ファイル感染型、第三は、Javaベースのダウンローダーでした。

まず、もっとも頻出したマルウェアは、「Exploit.CplLnk.Gen」で、USBメモリを介して感染させるものでした。これは、2010年7月に出現したもので、ウィンドウズのショートカットに関する脆弱性を狙い、ショートカットファイル(.lnk)のアイコンが表示されただけで不正なプログラムを実行してしまいます(現在この脆弱性は、すでにマイクロソフトが対応済みです)。

次に、ファイル感染型のマルウェアは、「Ramnit」と呼ばれ、2種が上位に入りました。実行ファイルを介して不正コードを拡散させるので、感染報告数が多くなっているということもありますが、バックドア機能によりボット化や情報漏出などのおそれがあるので、十分に注意が必要です。

最後に、今年の初頭より頻出しているJavaをベースにしたダウンローダーも、引き続き上位に入り、今なお、拡散し続けています。これも修正プログラムをアップデートすることで対処できますが、新種も登場する可能性があるので、注意を怠らないようにすべきでしょう。

ウィンドウズOSで活動するマルウェアの数は、この5年間に50倍ほどに急上昇してきました。その数は、現在、ほぼピークに近づいており、今後このような累乗的な増加はないと考えられますが、他方で、アンドロイド19 件端末やiPhoneなどのマルウェアが増加してゆく可能性もあります。G Dataでは、今後は、ウィンドウズOSのマルウェアを中心としながらも、他のマルウェアの挙動についても注意深くフォローしてまいります。


*2011年7月のマルウェア上位10種
順位 マルウェア名              比率  傾向*
01 Exploit.CplLnk.Gen            1.20% 新
02 Trojan.Wimad.Gen.1            1.05% やや下降
03 Worm.Autorun.VHG              1.00% やや下降
04 Trojan.AutorunINF.Gen           0.94% 同
05 Gen:Variant.Adware.Hotbar.1        0.81% やや下降
06 Win32.Ramnit.N              0.61% 新
07 Java.Trojan.Exploit.Bytverify.Q      0.61% やや下降
08 Java.Trojan.Downloader.OpenConnection.AI 0.59% やや下降
09 Win32.Ramnit.C              0.56% 新
10 Java.Trojan.Downloader.OpenConnection.AN 0.48% 下降

注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降


上位マルウェアの説明

Exploit.CplLnk.Ge
この攻撃は、ウィンドウズシェルのショートカットのプロセスでの.Inkや.pifのチェッキングにおけるエラーを使用します。2010年半ば以降、CVE-2010-2568として知られている、スタクスネットも取り入れた脆弱性を悪用します。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーで表示することによりコード実行が行われます。

Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。

Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。

Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。

Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。

Win32.Ramnit.N
Win32.Ramnit.C
ハードディスクに保存されている実行ファイル(.exe)、ダイナミックライブラリ(.dll)、およびHTMLファイルを感染させる古典的なファイルインフェクターです。感染した実行ファイルを実行し、感染したダイナミックライブラリをロードしたあと、これらのファイルを実行した後、別の実行ファイルをコンピュータにコピーします。また、オートスタート機能は、それぞれのリブートに関する感染ファイルを実行するために作成されます。インフェクターはhttpかhttpsを介していくつかのサーバーに接続します。定期的に、ハードディスクにあるあらゆるローカルフォルダーをスキャンし、いくつか、もしくはすべての実行ファイル、ダイナミックライブラリ、そして、HTMLファイルをドロッパーを使って感染させます。これは元々感染したファイルと同じファイルインフェクターをコピーします。感染したHTMLファイルは、ユーザーがIEブラウザを使ってウェブサイトを開くとき、インフェクターをコピーするVBスクリプトを含んでいます。しかしながら、バージョン6.0から、IEは、スクリプトが本当に実行されるべきであるかどうか尋ねるようになりました。

Java.Trojan.Exploit.Bytverify.Q
この攻撃は、CVE-2010-0094で説明されている、Java実行環境における脆弱性を利用しています。攻撃が成功すると、攻撃者は、Javaサンドボックスの制限を回避し、悪質なコードを実行できるようになります。たとえば、さらに悪質なコードを送り込むことが可能です。脆弱性を解消していないと、ウェッブページ上で動くJavaアプレットを通じて、感染します。

Java.Trojan.Downloader.OpenConnection.AI
Java.Trojan.Downloader.OpenConnection.AN
これらは、いずれもウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピュータにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。

Java:Agent-DU [Expl]
このJavaベースのマルウェアプログラムはダウンロードアプレットで、セキュリティ19 件ーホール(CVE-2010-0840)を悪用し、その結果、サンドボックス保護メカニズムを回避させ、追加マルウェアをコンピュータにダウンロードします。このアプレットがいったんサンドボックスを騙してしまうと、以後は直接実行ファイルをダウンロードし実行することができるようになります。

Adware.Hotbar.GG
このアドウェアもPUPであり、ブラウザに機能を追加するアドオン(ブラウザ・ヘルパー・オブジェクト)として、「スマートショッパー」や「買い物レポート」といった(英文の)ツールバーを組み込みます。ファイルのデジタル署名は「ピンボール社」、または、「スマートショッパー・テクノロジーズ」となっています。以前に登場したブラウザアドインは、製品の価格比較を提供し、ピンボール社のパートナーによって提供された特別サービス情報などを提示しました。



ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティ19 件ソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ19 件製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。


無料で使えるウイルスソフトランキング(※livedoor LISLOG調べ)





 

| ウイルス対策ソフトを無料で比較 - ウイルスソフトまとめ■TOP |
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。