logo

ウイルス対策ソフトをかわすボットネットが登場--Doctor Web調べ

  • このエントリーをはてなブックマークに追加

 ネットフォレストは4月10日、Doctor Webによる2009年3月のウイルス・スパムレビューを発表した。オンライン詐欺でマルウェアが使われるケースが増加しているほか、ボットネットの規模を拡大するため、マルウェア作者がより攻撃的なテクニックを採用しているという。

 また、世界的な不景気の影響で広告主が減少していることから、迷惑メール配信事業者が自分たちのサービスを紹介するメールを大量に配信していることも報告された。3月に新たにウイルスデータベースに登録されたマルウェアの件数は2万6205件で、3月末時点での登録総数は55万7264件となった。

 ボットネットの動向では、ウイルス作者たちがTdssボットネットやShadowボットネットをより効率的に拡大するために、新たなテクニックを採用していると指摘している。例えば、Tdssボットネットの拡大に使用されているバックドアプログラム「BackDoor.Tdss」の複数の亜種は、アンチウイルス製品による検出やファイル監視を無効化する機能を備えている。また、「Win32.HLLW.Shadow.based」の新たな亜種は、感染したPCの脆弱性を修正することでウイルスそのものの存在を隠蔽するような技術を使う。

 Win32.HLLW.Shadow.basedの最新の亜種は、24時間ごとに5万ものドメイン名を生成し、そのうち500ドメインをアップデート用サイトの候補として使用する。大量のドメイン名が短時間で生成、使用される可能性があるため、該当するマルウェア配信サーバをすべて見つけて合法的に遮断させるのが難しく、結果的にボットネットの動作を停止させるのが困難になっている。

ATMに感染して口座情報を盗むものも

 サイバー詐欺については、多くの手法がウイルス定義データベースに新しく登録された。例えばロシア銀行のATMが感染したことで知られるようになった「Trojan.Skimer」は、ATM上にクレジットカード情報や口座情報などの個人情報を蓄積するマルウェアだ。Dr.Webのウイルス定義データベースには、10種類の亜種に関する情報とともに登録されている。

 また、何の役にも立たない偽アンチウイルスソフトを購入しているユーザーが後を絶たないともDoctor Webは指摘する。こういったソフトをばら撒いているサイトはプロのデザイナーによって作成されており、正式なアンチウイルスベンダーのサイトと勘違いしてしまう人が多いからだ。例えば偽アンチウイルスソフトの代表格である「Antivirus XP 2008」は、ユーザーが配布サイトにアクセスすると、実際には検査していないにもかかわらず検査中のような画面を表示し、マルウェアに感染しているかのような結果を表示して驚かせ、偽アンチウイルスソフトを購入させる。コンテンツが日本語に対応している製品もあるので十分に注意が必要としている。

 迷惑メールについては、健康食品・器具や高価な携帯電話の大幅なディスカウント、偽物の高級腕時計に関するものが増えている。ここ数カ月の間、マルウェアや危険なサイトへのリンクを記載した迷惑メールは少なくなっているが、マルウェアが添付された迷惑メールが減少したことで、通常はメールによって拡散されないマルウェアがウイルス統計のトップ10にランクインするといった現象も起きている。

-PR-企画特集