マルウェア「Rustock.C」がついに発見、1日300億通の迷惑メールを配信か

　ネットフォレストは5月15日、2008年4月のDr.WEBウイルス・スパムレビューを発表した。最大の目玉として、存在が疑われながらも実体を把握することができずにいた「Rustock.C」というマルウェアをDoctor Webがという発見したことを挙げている。これは「Win32.Ntldrbot」という名称でDr.WEBウイルスデータベースに登録された。

　Win32.Ntldrbotに感染したパソコンは迷惑メール配信マシンと化す。2007年10月から今日まで感染し続けていたと推測される。米SecureWorksのスパムボットネット調査によれば、Rustockボットネットは世界第3位の規模であり、1日あたり300億通の迷惑メールをばら撒く能力を有しているという。

　このほか、3月下旬から4月上旬にかけてブートキット「BackDoor.MaosBoot」の新たな亜種が見つかっていることを取り上げている。このマルウェアは、マスターブートレコード（MBR）感染型ウイルスとルートキットの2つの特徴を併せ持っており、新たなマルウェアに分類できるという。主にエンドユーザーが所有する資産情報を標的としている点が特徴で、オンラインサービスを提供している銀行のクライアントアプリケーションを数多くリストアップして保持しているとのことだ。

　また4月の中旬には、世間からほとんど忘れられていたダウンローダー「Win32.HLLM.Limar」による迷惑メールも確認された。すでに各ベンダーの対応が済んでいたこともあり流行することはなかったが、この手のマルウェアの大規模感染についても忘れてはいけないという教訓にはなったとしている。

　迷惑メールによる大量のトラフィックは相変わらず増えており、その中にフィッシングメールやマルウェア配布サイトへの誘導を目的としたものが紛れている。巧みな文面でマルウェア配布サイトへ誘導され、トロイの木馬に感染させられるケースが増えているという。

　4月は特に、PayPalやオンラインバンキングのアカウント、SSLクライアント証明書の確認や更新を装ったフィッシングメールが多数確認された。

　2008年4月に新たにウイルスデータベースに登録されたマルウェアの件数は3万2355件で、これにより4月末時点での登録総数は38万2206件となった。また、アンチスパムエンジンの更新、配信は27回実施された。メールサーバ上で検出されたメールウイルスの上位は、「Win32.HLLM.Netsky.35328」（29.8％）、「Win32.HLLM.Netsky.based」（10.3％）、「Win32.HLLW.Autoruner.437」（6.8％）となっている。