『信頼現象』の研究 – 5百万の感染と増加

2011年2月17日チェコ、プラハ – アバスト! ウイルス研究所の専門家たちは、来たる RSA 会議において『信頼現象』が革新的なサイバー犯罪と組み合わさり、3つの異なるマルウェアファミリーの増長に貢献していると強調する予定です。

「危険は身近なところ、つまり毎日インターネットで訪問することが朝のコーヒーのように日課になっているようなところに潜んでいるんだ」とアバスト! 上級ウイルス分析家 であるJiri Sejtko は言います。「ユーザたちはそのサイトが安全だと信じています。それは単にサイトが有名だからとか、ユーザがそのサイトを長い間何度も訪問しているからとかそんな理由なんだよ」

この『信頼現象』と革新的なマルウェアファミリーを使用して、サイバー犯罪者たちは通常の容疑者であるポルノ、ウェアーズ(ワレズ)およびダウンロードサイトとはほど遠いインターネットの『安全』地帯を標的としています。アバスト! ウイルス研究所ではたった3つのマルウェアファミリーのせいで4百万から5百万のコンピュータが感染していると見積もっています。

自分たちのアンチウイルスプログラムが知っているサイトをブロックしたり、マルウェアに対する警告を発したりすると、それを否定するというのは典型的な反応です。

  • 「www.***.nl はサッカーファンのページで、何年もここを訪問している。このサイトが信頼できないものだとは信じられない」
  • 「このサイトをウイルスだと認識するのはやめてください。時間があまりないのに邪魔されるのは時間の無駄です」
  • 「Google が私にトロイの木馬を送りつけるなんて信じがたい」

「これらのコメントはアバスト! が3つのマルウェアファミリーを検知した際にユーザから送られてきた実際のコメントだよ」とSejtko は続けます。「ユーザは『誤検知』に対して文句を言うし、好きなサイトを訪問するためにアンチウイルスを無効にする人もいるんだよ。アンチウイルスなんかなければいいのにって」

1. Ill* ファミリー (“ポート 8080” 感染)

  • ユーザをマルウェア流通サイトに誘導する
  • script タグ、Iframe および難読化を技術的に発展させたもの
  • 3,400 以上のマルウェア流通ドメインと200,000 以上の感染したドメインに及ぶ

2. Kroxxu

  • 障害が起きたウェブサイトやサーバに依存した自己再生ボットネット
  • 互換性のあるコンポーネントを含む進んだ『間接交差感染』
  • パスワード窃盗を流通

3. JS:Prontexi

  • 不良なアンチウイルスを流通するのに使用される
  • 基本的には広告や検索エンジンの結果経由で拡散する
  • 多くの有名な広告サービスに影響
  • 5百万以上の不正な広告を表示

上記の3つは技術的には大きく違いますが、人々を捕まえるのに効果があります。「悪いやつらは循環していて、前世代からの知識を動員して新しい亜種を作成するんだ」とSejtko は説明します。「アンチウイルスからの警告を受けたらそれを無視しないでください」