ウイルス感染被害レポート - 2001年8月度
"トレンドマイクロ ウイルス感染被害レポート - 2001年8月度
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、2001年8月度のコンピュータウイルス被害報告件数マンスリーウイルスランキング(日本国内)をお知らせいたします。
マンスリーウイルスランキング 2001年8月度 (トレンドマイクロ調べ)
| 順位 | ウイルス名 | ウイルス種類 | 被害 件数 | 先月 被害件数 | 先月 順位 | 先月 順位比 |
| 【1位】 | MTX(※) | ファイル感染型 | 533件 | 511件 | 【1位】 | → |
| 【2位】 | TROJ_SIRCAM.A | トロイの木馬型 | 460件 | 425件 | 【2位】 | → |
| 【3位】 | PE_MAGISTR(※) | ファイル感染型 | 302件 | 310件 | 【3位】 | → |
| 【4位】 | TROJ_HYBRIS(※) | トロイの木馬型 | 161件 | 147件 | 【4位】 | → |
| 【5位】 | CODERED(※) | トロイの木馬型 | 104件 | ―― | ―― | - New - |
| 【6位】 | VBS_HAPTIME.A | VBスクリプト型 | 55件 | 43件 | 【6位】 | → |
| 【7位】 | TROJ_BYMER | トロイの木馬型 | 51件 | 35件 | 【7位】 | → |
| 【8位】 | X97M_LAROUX.A | マクロ型 | 39件 | 54件 | 【5位】 | ↓ |
| 【9位】 | PE_FUNLOVE.4099 | ファイル感染型 | 34件 | 25件 | 【9位】 | → |
| 【10位】 | TROJ_SKA | トロイの木馬型 | 18件 | 21件 | 【11位】 | ↑ |
■今月のウイルス傾向(TrendLabsJapan ウイルス解析担当者コメント)
<<CODERED(コードレッド)>>
今月の注目は世界各地で警告が発せられたIISサーバのセキュリティホールを狙い拡散するワーム「CODERED」(コードレッド)です。感染の痕跡を残さない「CODERED.A」に引き続いてトロイの木馬を感染マシンに作成する亜種「CODERED.C」も発生したため感染報告が増加しました。単純に踏み台にされるだけの「CODERED.A」とは異なり、「CODERED.C」ではIISの設定改ざんによりハッカーのバックドア(ハッカーがしのびこむための裏口)をサーバに仕掛けるという直接的で危険な活動を行います。これによりハッカーにWebサーバをコントロールされ、外部から自由にアクセスされるという危険性が生じます。IISサーバという一般ユーザにはなじみのうすい限定された環境が感染対象だったにもかかわらず、国内で100件以上の感染報告が寄せられたのは異例の事態といえるでしょう。「コードレッド」が行う不正なアクセスが原因でルータなどのネットワーク関連機器に障害が起きるという副次的な被害も起こりました。
<<TROJ_SIRCAM.A(サーカム)>>
「コードレッド」はWindowsのIISサーバにのみ直接の被害がありましたが、一般ユーザに関しては「TROJ_SIRCAM.A」(サーカム)が大きな脅威になりました。7月17日に発生してからの1カ月半で約900件の被害報告が寄せられており、その感染速度は昨年話題になった「ラブレター」ウイルスをもしのぐ驚異的な速度といえます。「サーカム」の被害が拡大している要因は主に3つ挙げられます。1)何度も繰り返し実行される強力なワーム活動(パソコン起動時やexeファイル実行ごと)、2)ネットワーク増殖(ネットワーク環境において「ごみ箱」を媒介に感染し、自動的にワーム活動を行うよう設定)、3)感染に気が付きにくい(独自でウイルス付きメールを送信するため送信済みフォルダに痕跡を残さない。送信者名と感染者が一致するとは限らない)。また、このウイルスはワーム活動を行う際、「マイドキュメント」のフォルダの中からランダムにファイルを選択し送信するため、情報漏洩の危険性もあります。8月後半になって対策の広まりからか感染被害が収まる気配を見せていますが油断は禁物です。
ランキングにあらわれないトピックとしては8月18~20日にかけて、あるサイトがハッカーによって不正なJavaScriptを仕込まれ、同サイトを閲覧したユーザが被害を受けるという事件がありました。この事件で使用された不正スクリプトはWebサイトを閲覧するだけで感染してしまうという非常に画期的な新種ウイルスであったため、大きな話題となりました(トレンドマイクロでは、パターン927にて「JS_FLUG.A」のウイルス名で対応)。このウイルスはInternet Explorer(IE)のセキュリティホールを狙った新種不正スクリプトウイルスで、感染するとすべてのファイル実行ができなくなるなど非常に大きいダメージを受けます。今後、同様の手口のものが発生する可能性もあり、管理者だけでなく、個人ユーザにおいてもセキュリティ情報に対する意識を持つことが重要になってくるでしょう。
最近はセキュリティホールを利用してこれまでの常識では考えられない活動を可能にするウイルスの発生が目立ちます。セキュリティホールの放置は自分の環境だけでなく第三者にも被害を与えてしまう、つまり自分が加害者になってしまう可能性もあります。セキュリティ情報とその修正には最大の注意を払ってください。
※ このランキングは、2001年8月1日から2001年8月31日までに、 日本のトレンドマイクロ社のサポートセンターに寄せられた問い合わせ情報をもとにランク付けを行ったものです。
※ 被害件数はウイルス発見のみの数字も含みます。
※ ウイルス名はトレンドマイクロ製品での検出名となります。
※ (※)のウイルスに関しては亜種をまとめてカウントした件数となります。
注目のウイルス【圏外】 JS_FLUG.A(フラッグ)
ウイルス検出名:JS_FLUG.A、JS@JUCK、FUCK JAPANEASE、Trojan.Offensive
ウイルス種類:Javaスクリプト 対応パターン:927
ウイルス概要:JavaScriptで記述された不正プログラムです。この不正スクリプトはInternet ExplorerとそのコンポーネントであるMicrosoft Virutual Machineのセキュリティホールを利用し、WebをブラウズしただけでWindowsのシステム破壊を実現しています。通常はホームページやHTML形式のメールなどのHTML文書の中に記述されJavaScriptを理解できるブラウザ上で動作します。このようなインターネット配信できるプログラミング言語を使用した不正プログラムを一般に「インターネットウイルス」と呼ぶ場合があります。
ウイルス詳細ページ:JS_FLUG.A
各ウイルス概要
【1位】 MTX(エムティエックス)
ウイルス検出名:PE_MTX.A、TROJ_MTX.A
ウイルス種類:ファイル感染型 対応パターン:763
ウイルス概要:32bit形式実行可能ファイル(PE形式)感染型ウイルスです。感染すると、バックドア型ハッキングツールとe-mailを通じて自分のコピーをばらまくワーム型不正プログラムの2種の不正プログラムをインストールします。さらに特定の文字列を含むURLへのネットワークアクセス(e-mail送信、Webページ閲覧、ダウンロードなど)を妨害します。ワームの送信には、直前にSMTPメールを送信していることが条件で、メールソフトの種類は問いません。
対策Web:http://www.trendmicro.co.jp/mtx/
ウイルス詳細ページ:
PE_MTX.A
TROJ_MTX.A
【2位】TROJ_SIRCAM.A(サーカム)
ウイルス検出名:TROJ_SIRCAM.A
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:917
ウイルス概要:e-mailに自身のコピーを添付して送信する活動を行うワームです。e-mail本文は英語またはスペイン語で書かれており、1行目と最終行は固定で中間行が複数の候補からランダムに選ばれます。感染すると、Windows標準に設定されているメールソフトのアドレス帳とローカルドライブ内のhtmlファイルを調べてメールアドレスを取得し、自身のコピーを添付したe-mailを送信します。
ウイルス詳細ページ:TROJ_SIRCAM.A
【3位】PE_MAGISTR(マジストラ)
ウイルス検出名:PE_MAGISTR.A、PE_MAGISRTR.DAM
ウイルス種類:ファイル感染型 対応パターン:862
ウイルス概要:PE形式で拡張子がEXEまたはSCRのファイルに感染します。感染するとメモリに常駐し、一定時間経過後Windowsのアドレス帳の宛先およびSMTPを利用するメールソフトの受信ボックス内にあるe-mailの差出人に対し、ウイルス付e-mailを送信します。件名や本文、添付ファイル名は決まっていません。受信者の目を欺くためウイルスと関連のないDOCやTXTなどのファイルをコンピュータから選び、同時に添付する場合もあります。Windows9xの場合、ハードディスクを破壊する可能性があります。
ウイルス詳細ページ:
PE_MAGISTR.A
PE_MAGISTR.DAM
【4位】TROJ_HYBRIS(ハイブリス)
ウイルス検出名:TROJ_HYBRIS.B、TROJ_HYBRIS.A、TROJ_HYBRIS.DLL
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:795
ウイルス概要:WindowsのWSOCK32.DLLファイルを置き換え、送信したe-mailの宛先および受信したe-mailの差出人にウイルスを添付したe-mailを送信します。ワームが送信するe-mail内容は、件名が空白、添付ファイル名がランダムなEXEファイルです。インターネットからプラグインをダウンロードして組み込み、機能を追加しようとします。現在、画面上に大きな渦巻き模様を表示し操作を妨害するプラグインが確認されています。
対策Web:http://www.trendmicro.co.jp/hybris/
ウイルス詳細ページ:
TROJ_HYBRIS.B
TROJ_HYBRIS.A
TROJ_HYBRIS.DLL
【5位】CODERED(コードレッド)
ウイルス検出名:CODERED.C、TROJ_CODERED.C、CODERED.A
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:923
ウイルス概要:Windows NT Server4.0 / Windows 2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用したワームです。IISサーバのセキュリティホールを狙ったHTTPアクセスを試みることにより、セキュリティホールを発見します。発見すると、ウイルスコードを送りこみ感染活動を開始します。
ウイルス詳細ページ:
CODERED.C
TROJ_CODERED.C
CODERED.A
【6位】VBS_HAPTIME.A(ハッピータイム)
ウイルス検出名:VBS_HAPTIME.A
ウイルス種類:VBスクリプト(ワーム) 対応パターン:884
ウイルス概要:Outlook ExpressおよびOutlookを利用し、ワーム活動を行います。Outlook Expressの場合、自分自身をひな形に設定し、e-mailを送信するたびに自分自身を送りつけます。HTML形式となり、ワームは背景として認識されます。受信者がHTMLに対応していない場合untitled.htmという添付ファイルとして認識されます。Outlookの場合、ワームの起動回数によって、アドレス帳の宛先全員または受信トレイにあるe-mailに返信する形で、untitled.htmを添付したe-mailを送信します。
ウイルス詳細ページ:VBS_HAPTIME.A
【7位】TROJ_BYMER(バイマー)
ウイルス検出名:TROJ_BYMER
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:785
ウイルス概要:主に「wininit.exe」のファイル名で配布されています。このファイルを実行すると感染し、ランダムなIPアドレスに対して接続を試み続けます。接続を試みたIPアドレスにマシンが存在した場合、その共有ドライブを調べ、\Windows\Systemフォルダ内に「wininit.exe」「dnetc.exe」「dnetc.ini」の3つのファイルをコピーします。「wininit.exe」はワームのコピーであり、ほかの2つは「distributed.net」(http://www.distributed.net )のプログラムで、悪質な行動を行うものではありません。
ウイルス詳細ページ:TROJ_BYMER
【8位】X97M_LAROUX.A(ラルー)
ウイルス検出名:X97M_LAROUX.A
ウイルス種類:マクロ型 対応パターン:418
ウイルス概要:マイクロソフトのExcelに感染するマクロウイルスです。 感染ファイルを実行すると、 XLStartフォルダの中にあるPersonal.xls(ない場合は作成)へウイルスマクロをコピーします。 このファイルはExcelの起動時に必ず読み込まれ、以後新規作成したり開いたりしたExcelファイルすべてに感染を広げていきます。
ウイルス詳細ページ:X97M_LAROUX.A
【9位】PE_FUNLOVE.4099(ファンラブ)
ウイルス検出名:PE_FUNLOVE.4099
ウイルス種類:ファイル感染型 対応パターン:610
ウイルス概要:接感染型の32ビットファイル感染型ウイルスです。Windows Meおよび2000では感染活動は行いません。ウイルスが実行されると、Windowsのシステムディレクトリ(C:\Windows\Systemなど)にFclss.exeというファイルを作成します。次にこのFclss.exeが起動されます。そしてすべてのドライブにあるexe、scr、ocxの拡張子を持つPE型ファイルに感染します。 感染するだけで、破壊活動などは行いません。
ウイルス詳細ページ:PE_FUNLOVE.4099
【10位】TROJ_SKA(スカー)
ウイルス検出名:TROJ_SKA
ウイルス種類:トロイの木馬型 対応パターン:501
ウイルス概要:メールの添付ファイルとして「Happy99.exe」が送られてきます。このファイルを実行すると「Happy New Year 1999!!」というメッセージとともに花火の画像を表示し、感染します。その後、メールを送信した相手に向けて、ウイルスを添付したからのメールを送信します。亜種として2000年バージョンもあります。
ウイルス詳細ページ:TROJ_SKA
<用語説明>
● ワーム型
ネットワークを介して単独で自己増殖できるものでe-mailを通して感染が広がっていくケースが最近増えてきています。
● マクロ型
MS Word MS Excelやその文章ファイル、表計算ファイルに感染するウイルスです。感染した文章ファイルや表計算ファイルを開くと、MS WordやMS Excelなどが感染します。
● トロイの木馬型
いったん起動されると直接破壊活動を行うプログラムです。
● VBスクリプトワーム
Visual Basic Scriptで作成されたワームです。
● ハッキングツール
悪意を持ったハッカーが狙った相手のパソコンをリモートコントロールしたり、パスワードを盗んだりするために使用するプログラム。トロイの木馬の一種と考えられています。
【TrendLabs】
トレンドマイクロのウイルス解析サポートセンター「TrendLabs」は、フィリピンを本拠地に、米国、欧州、日本、台湾にわたる250名以上のエンジニアから構成されています。ウイルス情報の収集、調査、解析や顧客サポートを年中無休24時間の対応体制で行っています。Webベースのリアルタイムのコミュニケーションと強力なソフトウェアツールにより、東京、ミュンヘン、パリ、台湾、カリフォルニアにあるそれぞれの「TrendLabs」サービスセンターは、サイバー空間で統合されたバーチャルネットワークを構成し、世界各国のトレンドマイクロのパートナーとユーザに対するサービスチャネルとして機能しています。
http://www.trendmicro.co.jp/virusinfo/lab.asp
「TrendLabs」の神経中枢といえる本拠地、フィリピンのマニラ近くにあるラボは、高度の技術水準と最新設備を備えており、管理とサービス提供の手続きにおいて品質保証の国際基準を満たすISO9002認定を取得しています。
http://www.trendmicro.co.jp/company/news/2001/news010205.asp
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です
※ 各社の社名及び製品名は、各社の商標又は登録商標です
