【マンスリーレポート2004/04】3月に続きNetskyおよびその亜種が大量に蔓延
■ウイルス月次レポート
製品・サービス・業界動向
業界動向
ランキング ウイルス名 届出・被害件数
一位 Netsky 3,856件
二位 Gaobot 820件
三位 Redlof 435件
四位 Klez 394件
五位 Harnig 287件
Trend Micro Symantec IPA ソフォス
Netsky Netsky Netsky Netsky
1,222件 867件 1,767件 69.0%
Gaobot Gaobot Klez Sober
333件 487件 314件 1.1%
Harnig Redlof Bagle Bagle
287件 248件 265件 0.6%
Bytver Bugbear MyDoom Gibe
254件 138件 240件 0.2%
Topger Randex Swen
188件 62件 178件
>> 2位に3倍の件数でNetskyが単独一位に
ウイルス情報系の各社が、2004年4月度のウイルス届出・被害状況を発表した。表は各社の結果をまとめたものである。トレンドマイクロ、シマンテックは「感染被害件数」、IPAは「届出件数」の数値である。ソフォスは件数ではなく被害報告全体に対する割合となっており、全世界での数値となっている。また、複数の亜種が存在する場合でも、ウイルスの名称ごとに件数や割合を合計している。
4月度は3月度に続き、Netskyが2位を大きく引き離しての1位となった。トレンドマイクロ、シマンテック、IPAのすべてのランキングで引き続き1位だったが、その合計件数は3,856件で、前月の4,835件より千件近く減少している。5位までの合計件数は5,792件と先月の6,440件より400件弱の減少で、これはGaobotの被害件数が増加したためと考えられる。
Netskyは、メールと共有フォルダから感染を拡大するマスメーリング型ワーム。MyDoom、Bagleの作者との争いという背景もあり、異例の速度で亜種が登場した。さすがにそのペースは鈍ったものの、5月に入ってもまだ亜種が登場している。また、Netskyの亜種の一部はWindowsの既知のセキュリティホール「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する(MS01-020)」を悪用するものもあった。
実に2001年に発表されたセキュリティホールだが、対策パッチを当てていない環境ではネットワークから直接感染する危険性もあり、これらによる感染報告数も少なくなかったようだ。ちなみに4月度ではBagleが総合7位、MyDoomが総合9位となっており、ともに250件前後でNetskyとは大きく差が開いた。ただし、これらのウイルスにも強力な亜種が登場する危険性があるため安心はできない。
2位には「Gaobot(別名:Agobot)」がランクインした。Gaobotのオリジナルの発生は2002年10月。1年半の間に続々と亜種が登場し、ついに2位にまで上がってきた。4月度で被害を拡大したのはW32.HLLW.Gaobot.gen(シマンテック)を筆頭とする亜種で、「Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される (MS03-007)」や「RPC インターフェイスのバッファ オーバーランによりコードが実行される (MS03-026)」のセキュリティホールを悪用して感染し、ネットワーク経由で感染を拡大しようとする。また、バックドアを開いてIRC経由でPC内の機密情報を盗み出そうとする。
>> 世界規模でもNetskyが席巻、6月登場のSP2は有効か?
総合10位までに新たにランクインしたウイルスには、5位のHarnig、10位のTopgerが挙げられる。Harnigはトロイの木馬で、現在6種類の亜種が確認されている。感染すると特定のサイトからファイルをダウンロードしようとしたり、Internet Explorerのスタートページの改変、ポップアップ広告の表示などを行う。Topgerもトロイの木馬で、ユーザのキー入力を記録し外部に送信するキーロガーをインストールする。
世界規模では、10位までに7種類のNetskyがランクインし、全体の7割を占めた。もっとも大きな割合を占めたのはNetsky.Pで23.2%、そして20.2%のNetsky.B、16.8%のNetsky.Dと続く。亜種を総合すると、2位のSoberはわずか1.1%で、ライバル視されたBagleが0.6%、MyDoomはもはや10位以内に存在しない。海外でもNetskyのひとり勝ちという結果だ。
【執筆:吉澤亨史】
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》