ボットネットを支えるマルウェア「Tdss」と「Virut」に注意--ネットフォレスト

　ネットフォレストは3月6日、2月のウイルス・スパムレビューを発表した。1月の休暇を終えたサイバー犯罪者が仕事に復帰し、ユーザーのPCをボットネットに組み込むための数多くのマルウェアを作成、配布しているという。

　新たに同社のウイルスデータベースに登録されたマルウェアの件数は1万7699件。これにより2月末時点での登録総数は53万1059件となった。また、2月に実施されたアンチスパムエンジンの更新、配信回数は33回であった。

　ユーザーPCをボットネットに組み込むためのマルウェアとして、ネットフォレストは「Tdss」と「Virut」に警鐘を鳴らしている。Tdssのマルウェアは、動画参照に必要なプログラムに偽装し、USBキーなどのリムーバブルメディアを介してユーザーのPCに侵入しようとする。例えばDr.Webで検出される「Win32.HLLW.Autoruner.4612」というマルウェアは、実行されるとすべてのハードディスクドライブとUSBキーなどのリムーバブルメディアに感染し、追加コンポーネントを生成する。

　またVirutボットネットのオーナーは、Windows実行ファイルに感染し、特別なタグをHTMLドキュメントの末尾に追加する「Win32.Virut」の亜種を使用する。感染したPC上で改ざんされたドキュメントが開かれると、埋め込まれたタグによってボットネットのサーバからマルウェアがダウンロードされる。ユーザーは知らないうちに改ざんされたHTMLファイルをメールに添付して送信することになる。

　マルウェアでは、聖バレンタインデーのグリーティングカードを提供する偽のサイトへのリンクが記載されたメッセージを数多くのユーザーが2月前半に受け取った。このアドレスにアクセスすると、グリーティングカードの代わりにトロイの木馬「Trojan.Spambot」の亜種がダウンロードされる。このトロイの木馬をユーザーが誤って実行するとPCに感染し、迷惑メール送信マシンに仕立て上げられてしまう。

　迷惑メールでは、英語のフィッシングメールや詐欺メールが減少する一方、受信者の母国語で記載された詐欺メールが増えている。2月にはウクライナのPraveks銀行の顧客向けにウクライナ語の、またルーマニアのRaiffeisen銀行の顧客にルーマニア語のフィッシングメールがそれぞれ送りつけられている。このことから、日本語のフィッシングメールが増加する可能性もあると予測している。

聖バレンタインデーのグリーティングカード配布サイトを装ったサイト