logo

2017年4月度ウイルスレビューの公開

~Microsoft Officeを狙う新たなエクスプロイト~

株式会社Doctor Web Pacific(本社所在地 神奈川県川崎市、代表取締役 森 周、以下、株式会社Doctor Web Pacific)は、2017年4月のウイルスレビューを公開しました。4月には、危険なマルチコンポーネントトロイの木馬や、Microsoft Wordの新しい脆弱性を悪用する目的で作成されたエクスプロイトが発見されました。その他、WindowsとAndroidを標的とする様々な悪意のあるプログラムが検出されています。

◆4月のウイルス状況
4月は情報セキュリティに関して慌ただしい月となりました。月の始めには、マルチコンポーネントトロイの木馬を拡散するための悪意のあるメールが配信されました。このトロイの木馬は感染させたコンピューターから機密情報を盗むよう設計されていました。同月中旬にはユーザーを騙す悪意のあるプログラムを使用した詐欺手法についてDoctor Webのスペシャリストによる調査が行われ、下旬にはMicrosoft Officeの脆弱性が発見されました。この脆弱性は、感染させたコンピューターからパスワードを盗むトロイの木馬の拡散に利用されていました。

◆4月の主な傾向
•マルチコンポーネントトロイの木馬を含んだ悪意のあるメールの配信
•Microsoft Officeの脆弱性を発見
•Windows向けの新たなトロイの木馬の拡散

◆4月の脅威
4月には、 Trojan.MulDrop7.24844 と名付けられたマルチコンポーネントトロイの木馬が、メールに添付されたアーカイブとして拡散されていました。

このアーカイブには、プログラミング言語「AutoIt」の機能を使用して作られた、パックされたコンテナが含まれています。感染したコンピューター上で Trojan.MulDrop7.24844 によって起動されるコンポーネントの1つはリモート管理アプリケーションで、Dr.Web Anti-virusによって Program.RemoteAdmin.753 として検出されます。このトロイの木馬はその他に2つのアプリケーションをディスク上に保存します。これらのプログラムはMimikatzツールの32ビット版および64ビット版で、開かれたWindowsのセッションでパスワードを横取りするよう設計されています。 Trojan.MulDrop7.24844 はユーザーがキーボードから入力した情報をファイルに保存するキーロガーを実行させるほか、起動時に指定されたパラメータに応じて、その他複数の機能を実行します。 Trojan.MulDrop7.24844 は犯罪者がRDP(リモートデスクトッププロトコル)経由で感染したデバイスにアクセスし、感染したコンピューターをコントロールすることを可能にします。この脅威に関する詳細については以下の記事をご覧ください。
リンク

◆Microsoft Officeを狙う新たなエクスプロイト
4月にはMicrosoft Office Wordで脆弱性が発見され、それに対するエクスプロイト Exploit.Ole2link.1 がサイバー犯罪者によって開発されています。このエクスプロイトはDOCX拡張子を持ったMicrosoft Word文書として作成されています。この文書を開くと、HTAスクリプトの埋め込まれたdoc.docという名前の別のファイルがダウンロードされます。Dr.Webによって PowerShell.DownLoader.72 として検出されるこのHTAスクリプトはWindows Scriptシンタックスを用いて書かれており、コマンドインタプリタPowerShellを呼び出します。PowerShellによって、被害者のコンピューター上に実行ファイルをダウンロードするまた別の悪意のあるスクリプトが処理されます。この脅威に関する詳細については以下の記事をご覧ください。
リンク

その他ウイルスレビューの報告している内容
・Dr.Web Anti-virusによる統計
・Doctor Web統計サーバーによる統計
・メールトラフィック内で検出された脅威の統計
・Dr.Web Bot for Telegramによって収集された統計
・暗号化ランサムウェア
・危険なWEBサイト
・その他の情報セキュリティイベント
・LINUXを標的としたマルウェア
・モバイルデバイスを脅かす悪意のある、または望まないプログラム

◆4月のウイルスレビューの詳細
以下をご覧ください。
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事