【マンスリーレポート 2003/03】Fortnight、Deloder、Backdoor.Dvldrが増加傾向に

■ウイルス月次レポート

ランキング　ウイルス名　　届出・被害件数

一位　　　　WORM_Klez　　　　1,735件
二位　　　　REDLOF.A　　　　　620件
三位　　　　WORM_Bugbear　　287件
四位　　　　JS_FORTNIGHT　　229件
五位　　　　WORM_Opaserv　　186件

Trend Micro　　　　Symantec　　　　ＩＰＡ　　　　　日本 Network　　　　ソフォス
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Associates

WORM_Klez　　　WORM_Klez　　　WORM_Klez　　　WORM_Klez　　　WORM_Klez
406件　　　　　　　 394件　　　　　　　 490件　　　　　　　445件　　　　　　 15.3％

REDLOF.A　　　　IRC Trojan　　　 W32/Sobig　　 JS_FORTNIGHT　W32/Avril
301件　　　　　　　 173件　　　　　　　 111件　　　　　　　165件　　　　　　 5.8％

WORM_Bugbear　REDLOF.A　　WORM_Bugbear　　REDLOF.A　　　W32/Yaha
208件　　　　　　　 169件　　　　　　　 61件　　　　　　　 150件　　　　　　　 5.4％

WORM_Opaserv　　　Dvldr　　　　　W32/Yaha　　　　 Laroux　　　　　W32/Gibe-D
123件　　　　　　　 123件　　　　　　　 51件　　　　　　　 111件　　　　　　　 4.4％

WORM_Deloder　WORM_Deloder　WORM_Opaserv　JS/NoClose　WORM_Bugbear
83件　　　　　　　　 76件　　　　　　　　 42件　　　　　　　　 99件　　　　　　　　2.2％

>> 先月、先々月と同様の推移。共有機能を悪用される被害も急増

　ウイルス情報系の各社が、2003年3月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「被害件数」、IPAは「届出件数」、日本ネットワーク・アソシエイツのウイルスランキングは「届出」および「感染」の報告件数である。ソフォスの数値は全世界のもので、順位は被害件数ではなく全体に占める割合となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
　3月度の届出、被害状況は相変わらずKlez、Redlof、Bugbearがベストスリーという結果になった。ただし、5位までの届出、被害件数の合計は3,057件と先月よりもやや増加したことになる。3月中旬から米英のイラク攻撃が開始され、多くのサイトが戦争に関連した内容で改竄を受けた。ウイルスにおいてもイラク戦争に反対するメッセージを表示するものが数種類発生したが、幸いにも大きな被害には発展しなかった。

　先月と比較して被害件数が増加傾向にあるウイルスには、Fortnight、Deloder、Backdoor.Dvldrが挙げられる。Fortnightは、Outlookの署名に不正なHTMLファイルを挿入するという新たな手法で感染を拡げるワームだ。メールの大量送信が行われるワームは感染に気づきやすいが、ワームが署名に潜んでいるため感染に気づきにくい。ただし、Fortnightはブラウザが最初に表示するホームページを変更したり、お気に入りにサイトを追加するため、設定した覚えがないのにこのような症状があったら要注意だ。

　DeloderはTCP445番のポートを使ってPCに接続しようとするワームで、接続すると多くの悪意ある動作を行う。感染するのはWindows 2000とXPのみで、Windows 9x系などには影響がない。これはWindows 2000、XPにはIISというホスト機能が用意されているためだ。Windows XP Home EditionにはIISが装備されていないが、共有機能に影響がある。IISはサーバで使用される機能だが、ブロードバンドでの常時接続環境が一般的になったため、FTPサーバやWebサーバを個人で公開するといった使い方もある。絶えず最新のセキュリティパッチを適用し、対策を行っておきたい。

　Backdoor.DvldrはDeloderがドロップするトロイの木馬だ。ただし、亜種によってはフリーのリモートコントロールツールであるPsExecを使用する場合もある。Backdoor.DvldrはWindowsのレジストリキーを改変し、攻撃者が感染PCにリモートから侵入するための操作を行う。この際に悪用されるのがIRCである。IRCはチャットソフトだが、Backdoor.DvldrはIRCを利用して攻撃者からのコマンドを待機し、攻撃者はIRC経由でコマンドを送信することによって感染PCを自由に操る準備を行う。これまでウイルスと不正アクセスは別のものという認識が強かったが、ウイルスを利用して不正アクセスを行うというケースが増えてきている。

　Deloderのように、チャットソフトを利用して感染を拡げるウイルスも目立つようになってきた。IRCなどのチャットソフトやP2Pソフト、インスタントメッセンジャーソフトは、ファイルの送受信を行ったり共有する機能が用意されている。ウイルスはこのような機能を悪用して自身のコピーを送信したり共有フォルダにアップする。ファイルの共有は便利な機能だが、実際のファイルのやり取りは注意して行いたい。

【執筆：吉澤亨史】

（詳しくはScan Daily Expressをご覧ください）
http://shop.vagabond.co.jp/m-sdx01.shtml