ウイルス感染被害レポート - 2001年7月度
トレンドマイクロ ウイルス感染被害レポート - 2001年7月度
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、2001年7月度のコンピュータウイルス被害報告件数マンスリーウイルスランキング(日本国内)をお知らせいたします。
マンスリーウイルスランキング 2001年7月度 (トレンドマイクロ調べ)
| 順位 | ウイルス名 | ウイルス種類 | 被害 件数 | 先月 被害件数 | 先月 順位 | 先月 順位比 |
| 【1位】 | MTX | ファイル感染型 | 511件 | 546件 | 【1位】 | → |
| 【2位】 | TROJ_SIRCAM.A | トロイの木馬型 | 425件 | - | 【-】 | - New - |
| 【3位】 | PE_MAGISTR | ファイル感染型 | 310件 | 209件 | 【2位】 | ↓ |
| 【4位】 | TROJ_HYBRIS | トロイの木馬型 | 147件 | 144件 | 【3位】 | ↓ |
| 【5位】 | X97M_LAROUX.A | マクロ型 | 54件 | 55件 | 【4位】 | ↓ |
| 【6位】 | VBS_HAPTIME.A | VBスクリプト型 | 43件 | 47件 | 【5位】 | ↓ |
| 【7位】 | TROJ_BYMER | トロイの木馬型 | 35件 | 38件 | 【7位】 | → |
| 【8位】 | TROJ_BADTRANS.A | トロイの木馬型 | 28件 | 35件 | 【8位】 | → |
| 【9位】 | PE_FUNLOVE.4099 | ファイル感染型 | 25件 | 41件 | 【6位】 | ↓ |
| 【10位】 | X97M_DIVI.D | マクロ型 | 22件 | 19件 | 【9位】 | ↓ |
■今月のウイルス傾向
「TrendLabsJapan」ウイルス解析担当者コメント
今月の注目は「TROJ_SIRCAM.A」(サーカム)です。7月17日に存在が確認されてから約半月で1位のMTXに迫る被害件数が報告されました。ウイルスの特色としては「MTX」(マトリックス)、「TROJ_HYBRIS」(ハイブリス)、「PE_MAGISTR.A」(マジストラ)といった現在上位を占めているワームと似ていますが、それらが実際の感染被害が増加するまでに1ヶ月前後を要していたのに比べ、約2週間で400件以上というサーカムの感染速度は驚異的です。これは日本におけるウイルス被害としては非常に話題となった昨年5月の「VBS_LOVELETTER」「ラブレター」をも凌ぐ感染速度と言えます。トレンドマイクロではサーカムが確認された翌日の18日には対応パターンの配布を開始し、19日にはウイルス警告を行ってまいりましたが、それに関わらず感染被害が広まってしまったことは非常に残念です。
ランキング外の話題としては、米国で各種セキュリティ団体やメディアにて大規模な警告が行われた「 CODERED.A 」(コードレッド)があります。日本においては8月1日現在、実際の被害は確認されていませんが、まったく新しい感染方法を実現しているという意味において画期的なワームといえます。セキュリティホールを利用して、これまでウイルス感染には必ず必要であったファイルという媒介なしにマシンに侵入できるのです。しかしこれは逆にいえばセキュリティホールが塞がれているマシンには侵入できないということになります。5月の「ELF_SADMIND.A」(サッドマインド)によるWeb改竄事件など、セキュリティホールを利用した不正プログラムの感染被害は増えています。セキュリティホールの放置は自分の環境だけでなく他者に被害を与えてしまう可能性もあります。システム管理者などは、セキュリティ情報とその修正には最大の注意を払ってください。
※ このランキングは、2001年7月1日から2001年7月31日までに、 日本のトレンドマイクロ社のサポートセンターに寄せられた問い合わせ情報をもとにランク付けを行ったものです
※ 被害件数はウイルス発見のみの数字も含みます
※ ウイルス名はトレンドマイクロ製品での検出名となります
※ MTX、HYBRISに関しては亜種をまとめてカウントした件数となります
ランキング圏外 CODERED.A(コードレッド)
CODERED.A(コードレッド)
ウイルス検出名:CODERED.A、TROJ_BADY.A
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:917
ウイルス概要:Windows NT Server4.0 / Windows 2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用し、インターネットを介し非常に早いスピードでウイルスを拡散するワームです。感染活動のひとつとしてWebの改ざんを行いますが、英語環境でのみ活動するため、日本語環境ではさらに感染に気づきにくく、感染を拡大するひとつの要因となっています。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=CODERED.A
各ウイルス概要
【1位】 MTX(エムティエックス)
ウイルス検出名:PE_MTX.A、TROJ_MTX.A
ウイルス種類:ファイル感染型 対応パターン:763
ウイルス概要:32bit形式実行可能ファイル(PE形式)感染型ウイルスです。感染すると、バックドア型ハッキングツールとe-mailを通じて自分のコピーをばらまくワーム型不正プログラムの2種の不正プログラムをインストールします。さらに特定の文字列を含むURLへのネットワークアクセス(e-mail送信、Webページ閲覧、ダウンロードなど)を妨害します。ワームの送信には、直前にSMTPメールを送信していることが条件で、メールソフトの種類は問いません。
対策Web: http://www.trendmicro.co.jp/mtx/
ウイルス詳細ページ:
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MTX.A
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_MTX.A
【2位】TROJ_SIRCAM.A(サーカム)
ウイルス検出名:TROJ_SIRCAM.A
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:917
ウイルス概要:e-mailに自身のコピーを添付して送信する活動を行うワームです。e-mail本文は英語またはスペイン語で書かれており、1行目と最終行は固定で中間行が複数の候補からランダムに選ばれます。感染すると、Windows標準に設定されているメールソフトのアドレス帳とローカルドライブ内のhtmlファイルを調べてメールアドレスを取得し、自身のコピーを添付したe-mailを送信します。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SIRCAM.A
【3位】PE_MAGISTR(マジストラ)
ウイルス検出名:PE_MAGISTR.A、PE_MAGISRTR.DAM
ウイルス種類:ファイル感染型 対応パターン:862
ウイルス概要:PE形式で拡張子がEXEまたはSCRのファイルに感染します。感染するとメモリに常駐し、一定時間経過後Windowsのアドレス帳の宛先およびSMTPを利用するメールソフトの受信ボックス内にあるe-mailの差出人に対し、ウイルス付e-mailを送信します。件名や本文、添付ファイル名は決まっていません。受信者の目を欺くためウイルスと関連のないDOCやTXTなどのファイルをコンピュータから選び、同時に添付する場合もあります。Windows9xの場合、ハードディスクを破壊する可能性があります。
ウイルス詳細ページ:
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MAGISTR.A
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MAGISTR.DAM
【4位】TROJ_HYBRIS(ハイブリス)
ウイルス検出名:TROJ_HYBRIS.B、TROJ_HYBRIS.A、TROJ_HYBRIS.DLL
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:795
ウイルス概要:WindowsのWSOCK32.DLLファイルを置き換え、送信したe-mailの宛先および受信したe-mailの差出人にウイルスを添付したe-mailを送信します。ワームが送信するe-mail内容は、件名が空白、添付ファイル名がランダムなEXEファイルです。インターネットからプラグインをダウンロードして組み込み、機能を追加しようとします。現在、画面上に大きな渦巻き模様を表示し操作を妨害するプラグインが確認されています。
対策Web: http://www.trendmicro.co.jp/hybris/
ウイルス詳細ページ:
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_HYBRIS.B
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_HYBRIS.A
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_HYBRIS.DLL
【5位】X97M_LAROUX.A(ラルー)
ウイルス検出名:X97M_LAROUX.A
ウイルス種類:マクロ型 対応パターン:418
ウイルス概要:マイクロソフトのExcelに感染するマクロウイルスです。 感染ファイルを実行すると、 XLStartフォルダの中にあるPersonal.xls(ない場合は作成)へウイルスマクロをコピーします。 このファイルはExcelの起動時に必ず読み込まれ、以後新規作成したり開いたりしたExcelファイルすべてに感染を広げていきます。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=X97M_LAROUX.A
【6位】VBS_HAPTIME.A(ハッピータイム)
ウイルス検出名:VBS_HAPTIME.A
ウイルス種類:VBスクリプト(ワーム) 対応パターン:884
ウイルス概要:Outlook ExpressおよびOutlookを利用し、ワーム活動を行います。Outlook Expressの場合、自分自身をひな形に設定し、e-mailを送信するたびに自分自身を送りつけます。HTML形式となり、ワームは背景として認識されます。受信者がHTMLに対応していない場合untitled.htmという添付ファイルとして認識されます。Outlookの場合、ワームの起動回数によって、アドレス帳の宛先全員または受信トレイにあるe-mailに返信する形で、untitled.htmを添付したe-mailを送信します。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=VBS_HAPTIME.A
【7位】TROJ_BYMER(バイマー)
ウイルス検出名:TROJ_BYMER
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:785
ウイルス概要:主に「wininit.exe」のファイル名で配布されています。このファイルを実行すると感染し、ランダムなIPアドレスに対して接続を試み続けます。接続を試みたIPアドレスにマシンが存在した場合、その共有ドライブを調べ、\Windows\Systemフォルダ内に「wininit.exe」「dnetc.exe」「dnetc.ini」の3つのファイルをコピーします。「wininit.exe」はワームのコピーであり、ほかの2つは「distributed.net」(http://www.distributed.net)のプログラムで、悪質な行動を行うものではありません。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_BYMER
【8位】TROJ_BADTRANS.A(バッドトランス)
ウイルス検出名:TROJ_BADTRANS.A
ウイルス種類:トロイの木馬型(ワーム) 対応パターン:877
ウイルス概要:ウイルスが実行されると、エラーメッセージを表示しユーザの目を欺きます。その裏で、 MAPIを使用するメールソフト(Outlook Express、Outlookなど)を使用している場合、受信トレイにある未読メールの送信者に対し、 返信の形でウイルスメールを送信します。送信するメールの件名と本文は元のメールと同じものであり、 送信者はワーム活動時にログオンしているユーザのアカウント名になります。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_BADTRANS.A
【9位】PE_FUNLOVE.4099(ファンラブ)
ウイルス検出名:PE_FUNLOVE.4099
ウイルス種類:ファイル感染型 対応パターン:610
ウイルス概要:接感染型の32ビットファイル感染型ウイルスです。Windows Meおよび2000では感染活動は行いません。ウイルスが実行されると、Windowsのシステムディレクトリ(C:\Windows\Systemなど)にFclss.exeというファイルを作成します。次にこのFclss.exeが起動されます。そしてすべてのドライブにあるexe、scr、ocxの拡張子を持つPE型ファイルに感染します。 感染するだけで、破壊活動などは行いません。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_FUNLOVE.4099
【10位】X97M_DIVI.D(ディヴィ)
ウイルス検出名:X97M_DIVI.D
ウイルス種類:マクロ型 対応パターン:677
ウイルス概要:Excelのマクロを利用したウイルスです。感染ファイルを開くと、Excelのスタートアップフォルダ(通常はXLSTART)内に「874.xls」というファイル名のファイルを作成し、Excel起動時に自動起動するよう設定します。破壊活動はありませんが、感染したファイルには、「IDIV」+「ドキュメントプロパティの値」を連結したものを名前としたカスタムプロパティが付け加えらます。これは、ファイルのプロパティで確認できます。
ウイルス詳細ページ: http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=X97M_DIVI.D
<用語説明>
● ワーム型
ネットワークを介して単独で自己増殖できるものでe-mailを通して感染が広がっていくケースが最近増えてきています。
● マクロ型ウイルス
MS Word MS Excelやその文章ファイル、表計算ファイルに感染するウイルスです。感染した文章ファイルや表計算ファイルを開くと、MS WordやMS Excelなどが感染します。
● トロイの木馬型
いったん起動されると直接破壊活動を行うプログラムです。
● VBスクリプトワーム
Visual Basic Scriptで作成されたワームです。
● ハッキングツール
悪意を持ったハッカーが狙った相手のパソコンをリモートコントロールしたり、パスワードを盗んだりするために使用するプログラム。トロイの木馬の一種と考えられています。
【Trend Labs】
トレンドマイクロのウイルス解析サポートセンター「TrendLabs」は、フィリピンを本拠地に、米国、欧州、日本、台湾にわたる250名以上のエンジニアから構成されています。ウイルス情報の収集、調査、解析や顧客サポートを年中無休24時間の対応体制で行っています。Webベースのリアルタイムのコミュニケーションと強力なソフトウェアツールにより、東京、ミュンヘン、パリ、台湾、カリフォルニアにあるそれぞれの「TrendLabs」サービスセンターは、サイバー空間で統合されたバーチャルネットワークを構成し、世界各国のトレンドマイクロのパートナーとユーザに対するサービスチャネルとして機能しています。
http://www.trendmicro.co.jp/virusinfo/lab.asp
「TrendLabs」の神経中枢といえる本拠地、フィリピンのマニラ近くにあるラボは、高度の技術水準と最新設備を備えており、管理とサービス提供の手続きにおいて品質保証の国際基準を満たすISO9002認定を取得しています。
http://www.trendmicro.co.jp/company/news/2001/news010205.asp
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です
※ 各社の社名及び製品名は、各社の商標又は登録商標です
