オンラインゲームを狙うトロイの木馬が台湾と中国で活発化、フォーティネット5月レポート

セキュリティベンダーのフォーティネットは2008年6月3日、5月度のウィルス対処状況レポートを発表した。

レポートによると、5月度の脅威トップ10ランキングは、以下のとおり。

1位「W32/Netsky!similar」
2位「Adware/Vapsup」
3位「HTML/Iframe_CID!exploit」
4位「W32/Virut.A」
5位「W32/Pushu.EV@mm」
6位「W32/OnLineGamesEncPK.fam!tr.pws」
7位「HTML/Iframe.DN!tr.dldr」
8位「W32/MyTob.BH.fam@mm」
9位「W32/OnLineGames.ADRE!tr.pws」
10位「W32/Zafi.E@mm」

今回のランキングの特徴は、Adware Vapsup が著しく拡散、Netsky と互角のレベルに達していること、オンラインゲームを狙うトロイの木馬が引き続きアジア、特に台湾と中国で活発化していることだそうだ。

Vapsup はたちの悪い複数のコンポーネントを含んでおり、すべての要素が悪質なアンチウイルススキャナの形になっていることが多い、という。

Nullsoft の Scriptable Install System で圧縮されて届くが、実行されたとたん、4つの DLL ファイルなど、いくつかのコンポーネントがホストシステムに侵入する。DLL ファイルのうちの1つは検索ツールバープラグインで、それ以外は Webブラウザのプラグイン BHO（Browser Helper Object）。 ナビゲーション制御機能があるので、ブラウザをハイジャックできる。

また、Iframe インジェクションキャンペーンが Iframe.DN を通じて韓国のサーバーに大幅に拡散した。

Iframe.DN は、SQL インジェクション攻撃に似ていたことから、今回のレポートで発見され、少なくとも2つのサイトが確認された。その1つが韓国ソウルを拠点とするエンターテイメントサイト。その後、このサイトのマルウェアは駆除され、悪意のある Iframe を運ぶことはなくなった。

さらに、Virut.A は、これで連続3か月間トップ5内にとどまり、長命の様子だという。Virut.A はファイル感染能力が強いうえ、遠隔の攻撃者/ボットハーダーからさらなる命令を受けられるよう、IRC コマンド＆コントロールチャネルへの接続を確立する能力を備えているので、要注意だ。