12月3日、トレンドマイクロは毎月恒例となっているウイルス動向の報告「トレンドマイクロ脅威マンスリーレポート【2009年11月度】」を発表した。11月には、これまで15カ月間首位であったUSBウイルス「オートラン(OTORUN)」の報告数が激減し、代わって報告数の増加したFTPサーバのID/パスワードを盗み出す「カテス(KATES)」が1位となった。
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | TSPY_KATES | カテス | トロイの木馬型 | 307件 | 4位 |
| 2位 | MAL_OTORUN | オートラン | そのほか | 79件 | 1位 |
| 3位 | WORM_DOWNAD | ダウンアド | ワーム | 76件 | 3位 |
| 4位 | BKDR_AGENT | エージェント | バックドア | 47件 | 5位 |
| 5位 | JS_GUMBLAR | ガンブラー | JavaScript | 38件 | 圏外 |
| 6位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 20件 | 圏外 |
| 7位 | WORM_AUTORUN | オートラン | ワーム | 19件 | 圏外 |
| 8位 | JS_IFRAME | アイフレーム | JavaScript | 17件 | 圏外 |
| 9位 | WORM_TATERF | タテルフ | ワーム | 14件 | 圏外 |
| 10位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 13件 | 2位 |
オートランは、USBメモリなどのリムーバブルメディアに仕込まれた別のウイルスを自動実行させるように細工された「Autorun.inf」ファイル。2008年10月より爆発的に感染が広がったが、2008年12月をピークに徐々に報告数は減っていた。しかし、今回は前月(2009年10月)の報告数の1/3にまで激減した。
この理由についてレポートでは「USBメモリなどのリムーバブルメディアが不正プログラムの感染経路としてユーザーに認知され、有効な対策がとられたため、報告数が減少したと考えられます」としている。ただし、11月の集計を締め切ってから今回のレポートまで3日しか経っておらず、詳細な理由については検証中とのことだ。
一方、11月に増加した「カテス」は、一部にバグを抱えており、感染したPCをブルースクリーンにする現象を見せていたウイルスだ。PCへの感染には、JavaScriptで作られた別のウイルス「ガンブラー(GUMBLAR)」を利用するが、このガンブラーはActive Xの脆弱性に加えて、アドビのFlashやAdobe Readerの脆弱性も使う。そのため、カテスの感染が広がる理由には、こうした複数の脆弱性を利用する点があるようだ。
ガンブラーをきっかけとして脆弱性のあるPCに感染するカテス
ここで注意したいのが、カテスに感染してしまった場合の復旧作業だ。パッチ適用やウイルス対策ソフトによる駆除などでカテスを削除しても、盗まれた情報は回収できない。そのため、必ずFTPサーバのID/パスワードの変更を忘れてはならない。トレンドマイクロによれば、駆除を行なってもID/パスワードの変更をしない感染者が見受けられるという。十分、注意が必要だろう。
カテス感染による二次被害
