Symantec Connect
  • Login
  • Register
  • Security
    • All of Connect
    • Backup and Archiving
    • Endpoint Management
    • Endpoint Virtualization
    • Storage and Clustering
    • Security
    • Inside Symantec
    • Vision User Conference
    • Partners
    • Developers
    •  
  • Overview
  • Forums
  • Articles
  • Blogs
  • Downloads
  • Events
  • Videos
  • Groups
  • Ideas
Login to participate

Security ResponseSyndicate content

シマンテック セキュリティ レスポンス ブログ日本語版正式公開のご挨拶
symantec japan | September 1, 2010
0 comments

シマンテックセキュリティレスポンスブログは、シマンテックの強みである世界最大級のグローバルインテリジェンスネットワークを活用して収集したセキュリティ情報を基に、セキュリティレスポンスチームが英語で記事を執筆しています。

今まさに世界中で起きているセキュリティ脅威に関する背景、詳細な分析情報、iPhone や iPad、アンドロイドの脅威といった話題性のある内容に富んでおり、シマンテックだからこそ発信できるセキュリティ情報が詰まっています。

このブログを日本語化することにより、現在シマンテックのサイトで提供しているセキュリティレスポンス情報 (主に脅威に感染した際の対処方法や定義ファイルに関する情報) に加えて、シマンテックの世界中のセキュリティ専門家による詳細な分析や解説をタイムリーにお読みいただけるようになります。

皆様のビジネスでセキュリティ情報をお探しの方などにもご紹介いただき、ぜひご活用いただければ幸いです。

Read more
Tags: Endpoint Protection (AntiVirus), Security, Security Response
Evolution of SEO Poisoning
Andrea Lelli | September 1, 2010
0 comments

In previous blogs we have discussed how malware can exploit a search engine’s indexing features in order to spread malicious content. Recently we have observed a massive compromise of websites under the .ch and .nl top-level domains, aimed at performing a massive search engine optimization (SEO) attack to spread fake antivirus applications.

To keep track of pages on the Internet, search engines use automated web scanners, called crawlers or spiders. Their purpose is to find every possible Web page on the net, read its content, and then index it for future user searches. Attackers often try to exploit this feature in order to trick a search engine into associating a malicious Web page with very common...

Read more
Tags: Endpoint Protection (AntiVirus), Emerging Threats, Evolution of Security, Security, Security Response, Security Risks, SEO Poisoning
Tidserv后门新变种感染MBR,远程控制用户计算机
Livian Ge | September 1, 2010
0 comments

        后门木马Backdoor.Tidserv最早出现于2008年,此类木马采用了高级的Rootkit技术来隐藏自身。一旦感染了计算机,安全软件很难将其清除。赛门铁克安全响应中心近期又发现了该家族的新变种--Backdoor.Tidserv.L。
 
        与该木马家族的其他成员相比,Backdoor.Tidserv.L具有一些新的特点:

        1)该木马会感染硬盘的主引导扇区(Master Boot Record,以下简称MBR),使木马更早地获取系统控制权,从而令彻底清除该木马变得更加困难;

        2)该木马本身是一个32位Windows 应用程序。运行后,它会首先判断当前Windows操作系统是32位还是64位。如果是32位Windows操作系统,它就会修改系统服务以运行自身,然后释放和加载一个32位环境的恶意内核程序,并且修改系统MBR;如果是64位Windows操作系统,则该木马会立即感染MBR,并且将该木马隐藏到磁盘末端的空闲空间,随后强制用户重启计算机。计算机重启时木马得到运行,这样就绕过了64位Windows操作系统的驱动签名验证。
 
        Backdoor.Tidserv.L运行后将允许攻击者远程控制计算机,肆意运行恶意代码,弹出广告,重定向用户搜索结果等。

        由于该木马可通过网页挂马等多种方式进行传播,我们建议用户不要轻易访问可疑网站。用户浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)...

Read more
Tags: Endpoint Protection (AntiVirus), Security, Security Response
警戒を要する 2010 年のセキュリティトレンド: 今年上半期の状況チェック
Vincent Weafer | August 31, 2010
0 comments

2009 年年末近くなった頃、シマンテックは今後を検討し、オンラインセキュリティのトレンドについて 2010 年の動向をいくつか予測しました。今年上半期の状況をチェックし、現時点でシマンテックの予測がどの程度まで当たっているかを確認しました。

ここでは、シマンテックのトレンド予測が現在どうなっていると考えられるか要点を示します。各項目を評価して、それぞれ「進行中」、「ほぼ進行中」、「引き続き要警戒」、「おそらく 2011 年」のいずれかに分類しました。

この画像よりもさらに詳細が記載された、インタラクティブなページを表示するには、ここ (英語) をクリックしてください。ページを移動してから各予測をクリックすると、該当する項目の上半期の状況について詳細をお読みいただけます。

 

Read more | English
Tags: Endpoint Protection (AntiVirus), Emerging Threats, Evolution of Security, IT Risk Management, Security, Security Response, Security Trends 2010
ソーシャルネットワークを使用した日本語スパム
Takako Yoshida | August 30, 2010
0 comments

シマンテックではスパム & フィッシングマンスリーレポート 6 月号にて「ソーシャルネットワークスパムの詳細」について取り上げました。ここでは主に英語スパムを取り上げましたが、このような手法が日本語スパムに多く利用されるのも、もはや時間の問題と言えそうです。シマンテックではここ数カ月「新しい」Twitter サービスからのお知らせを名乗るスパムを確認しました。Twitter の発表によれば、米国についで多くのつぶやきを送信しているのが日本であるとのことなので、Twitter が日本語スパムに利用されるのも、それほど驚くべきことではありません。

このスパムメールの特徴として、日本語スパムで代表的なアダルト系や出会い系のメールでよく見受けられる卑猥な単語は、件名、本文ともにほぼ見受けられません。ただし、本文はプレーンテキストで書かれており URL リンクが貼りつけてある点は日本語スパムの典型的な特徴です。

では「新しいツイッター」とはどのようなものなのでしょうか? 本文に含まれている www.[削除済み]/twitterura/ をクリックすると「twittero SNS」というサイトに誘導されます。Twitter のサイトの色使いに酷似しているものの、アダルト系の単語が多く見受けられます。サイトの紹介文に目を通すと「twitter アカウントを使ってランダムな相手と会話を行うことでできるサービス」と謳っています。この 1 文だけを読むとまるで Twitter のアカウントと同じものを使用しているようにも読み取れますが、「まずは twitter SNS サイトから裏 twitter アカウントを作成します」と紹介文は続き、新規登録を読者に促しています。

新規登録にはニックネーム、性別、年齢、都道府県、PC メールアドレス、初期パスワードといった個人情報の入力を必要とし、すべてが入力必須項目となっています。登録が完了し、...

Read more
Tags: Endpoint Protection (AntiVirus), language spam, Security, Security Response, Social networking, Spam, twitter
Catching Flies with Honey
Gavin O Gorman | August 30, 2010
0 comments

Symantec often utilizes honeypots to acquire new samples and observe attacks in the wild. Many threats encountered on honeypots are related to botnets. However, on a rare occasion a honeypot may encounter a targeted attack. In these cases the attacker is after a specific entity, be it a person, corporation, government, or any other such body. When a computer is compromised by such a threat, the behavior can be similar to a bot, connecting to a command and control (C&C) server and awaiting commands. However, the commands received are usually not generic. They are interactive, with the attacker seeking some specific information in real-time.

 We recently encountered one of many such targeted threats on a basic honeypot and logged the activity. The attack was quite straightforward and did not utilize any new techniques. Nonetheless it is a good example of the processes such attackers use. This particular threat was targeting a corporate entity, using a tailored PDF...

Read more | 日本語
Tags: Endpoint Protection (AntiVirus), Security, Security Response
ハニーポットを使用したファイルの捕獲
Gavin O Gorman | August 30, 2010
0 comments

シマンテックではよく、ハニーポットを利用して新しいサンプルを入手し、巷で行われている攻撃を監視しています。ハニーポットで検出される脅威の多くは、ボットネットと関連しています。しかし、まれに標的型攻撃がハニーポットで検出されることがあります。その場合、攻撃者は特定の実在者(個人、企業、政府、あるいは同様のなんらかの団体)を狙っています。コンピュータがそのような脅威に侵されると、コマンド& コントロール(C&C)サーバーに接続してコマンドを待機するという、ボットと似たような動作をする場合があります。ただし、受け取るコマンドは通常、一般的なものではありません。攻撃者がなんらかの特定の情報をリアルタイムで探す、インタラクティブなものです。

シマンテックでは最近、そのような標的型攻撃の1 つを検出し、活動をログに記録しました。その攻撃はかなり直接的で、新しい技術は利用していませんでした。とはいえ、そのような攻撃者が使用するプロセスの良い例となります。この脅威は企業を標的とするもので、エクスプロイトが含まれるカスタマイズされた PDF ドキュメントを使用していました。そのエクスプロイトにより、PDF 内から実行可能ファイルが投下されて実行され、2 つ目の PDF がロードされます。この 2 つ目の PDF は悪質なものではなく、何も問題はないとユーザーに思わせるための見せかけにすぎません。

投下された実行可能ファイルにより、Run レジストリサブキーに自分自身用のエントリが作成され、この結果、Windows の起動時にその実行可能ファイルがロードされ、C&C サーバーに対してレポートの返送が試みられるようになります。HTTP GET 要求(おそらくマレーシアにある感染した Web サーバーに送信されたもの)には、追加のヘッダー値(図 1)が含まれています。この GET 要求には、コンピュータ名など、感染したコンピュータに関するデータが含まれていました。ただし、この GET 要求に応答はありませんでした。脅威は、同じ要求を連続して送信し続け、応答を待機しました。2 時間後、最終的に応答(20 バイトの暗号化データ)を受信し、リモート攻撃者が活動を開始しました。

...

Read more | English
Tags: Endpoint Protection (AntiVirus), Security, Security Response
Tidserv の起動手口
Piotr Krysiuk | August 27, 2010
0 comments

このブログ記事では、最近発見された Tidserv の亜種について引き続き分析します。Tidserv は 64 ビットの Windows オペレーティングシステムにも感染するトロイの木馬です。シマンテックでは、昨日、Tidserv の概要を掲載しましたが、本日は、Tidserv が 32 ビットおよび 64 ビットのオペレーティングシステムに自分自身をどのようにインストールするかについて詳しく説明します。

Backdoor.Tidserv.L は 32 ビット版 Windowsの実行可能ファイルとして入り込んだ後、稼動中の Windows が 32 ビット版か 64 ビット版かを検査し、アーキテクチャ固有のインストール方法を選択します。システムが 32 ビット版であることがわかった場合、Tidserv の以前の亜種と同じ方法で必要な権限を取得します。つまり、Print Spooler サービスとして自分自身を実行します。次に、32 ビット版の悪意あるカーネルドライバを投下し、Windows カーネルに読み込ませます。ドライバが読み込まれると、感染によってマスターブートレコード(MBR)が悪意あるものに置き換えられます。

その後、バックドアコンポーネントと設定データのコピーが、ハードディスクの最後尾にある、通常は使用されない領域に保存されます。バックドアがディスクに書き込む悪意あるデータはすべて暗号化されています(ただし、MBR コードの最初の 42 バイトを除きます)。悪意ある MBR が存在し、ハードディスクの最後尾にバックドアコンポーネントが保存されていると、Windows が起動されるたびにバックドアが実行されます。Windows パーティションには Tidserv コードが書き込まれないため、MBR を正常なものに戻さないかぎり、Windows を再インストールしても Tidserv は生き残ることができる可能性があります。

64 ビット版の Windows の場合、署名付きのカーネルドライバが必要なため、Tidserv のインストール方法も異なります。...

Read more | English
Tags: Endpoint Protection (AntiVirus), Backdoor.Tidserv, Malicious Code, Security, Security Response, Windows
ソーシャルネットワーキングの機能について尋ねる偽造アンケート
Samir Patil | August 27, 2010
0 comments

シマンテックでは、ソーシャルネットワーキングサイトの機能についてユーザーに偽のアンケートを送るという、新たなスパム戦術を確認しました。以下の例は、Facebook を標的にしたスパムメールです。

このスパムは、以下のようなさまざまな件名で送信されます。

件名: オンラインアンケートに答えてゲーム機をもらおう!
件名: ソーシャルネットワーキングに関するアンケートに答えてギフト券をもらおう!
件名: ソーシャルネットワーキングに関する調査にご協力いただける方にプレゼント!
件名: 調査に参加して新製品の MP3 プレーヤーをゲット!

本文に記載されているリンクをクリックすると、偽のアンケートページにリダイレクトされます。そのページで、ソーシャルネットワーキングサイトの機能に関する質問に答えなければなりません。アンケートに回答すると、素敵な賞品がもらえると書かれています。

スパム送信者は詐欺を正当なもののように見せるために、以下のような参加条件を提示します。

(1) 回答者は米国に居住している、18 歳以上の方のみとさせていただきます。
(2) 必ず有効な情報をご登録ください。

以下に、このような偽造アンケートのスクリーンショットの例を示します。

アンケートが完了すると、Web ページはリダイレクトされ、選択した賞品を受け取るために個人情報を入力するように求められます。このような偽造 Web ページのスクリーンショットの例を以下に示します。賞品発送のためと称して個人情報の入力を求めています。

個人情報を入力すると、...

Read more | English
Tags: Endpoint Protection (AntiVirus), Online Fraud, phishing, Security, Security Response, Social networking, Spam
Tidserv’s Boot Methods
Piotr Krysiuk | August 27, 2010
0 comments

In this blog we continue our analysis of the recently discovered Tidserv variant that is capable of infecting 64-bit Windows operating systems. While we gave a quick overview of the threat yesterday, today we’re going to talk more about how Tidserv installs itself on 32- and 64-bit operating systems.

While Backdoor.Tidserv.L arrives as a 32-bit Windows executable, it checks if it's running under a 32- or 64-bit version of Windows and chooses an architecture-specific method of installing itself. If it finds that it’s running on a 32-bit system, it uses the same method as older Tidserv variants to gain necessary privileges—by executing itself in the Print Spooler service. Next, it drops a 32-bit version of the malicious kernel driver and loads it into the Windows kernel. Once the driver is loaded, it infects the Master Boot Record (MBR) with a malicious version.

It then...

Read more | 日本語
Tags: Endpoint Protection (AntiVirus), Backdoor.Tidserv, Malicious Code, Security, Security Response, Windows
Fake Survey Seeking Opinions on Social Networking Features
Samir Patil | August 27, 2010
0 comments

Symantec has observed a new spam tactic being used in which fake surveys are seeking users' opinions or views on features provided by their social networking site. The sample shown below is one such spam email targeting Facebook:

Various “Subject” lines of this spam are as follows:

Subject: Take our online survey and receive a new gaming unit!
Subject: Take our social networking survey and get a gift card!
Subject: Give your opinion on social networks and choose your prize!
Subject: Receive a hot new MP#3 player for your opinions!

Upon clicking the link provided in the message, the user is redirected to a fake survey page where the user has to answer questions related to features provided by social networking site. Upon completion of survey, the users are promised exciting gifts.

Spammers are trying to demonstrate the legitimacy of...

Read more | 日本語
Tags: Endpoint Protection (AntiVirus), Online Fraud, phishing, Security, Security Response, Social networking, Spam
Tidserv が 64 ビット版にも潜入
Symantec Security Response | August 27, 2010
0 comments

Backdoor.Tidserv が最初に登場したのは、2008 年のことです。このトロイの木馬は、高度なルートキットを使って自分自身の存在を隠していました。シマンテックでは、Tidserv の登場以来、多くの変更が加えられてきたことを確認しており、それらの変更点をブログ記事に記録してきました。昨日、Tidserv の新しいサンプルが見つかり、Backdoor.Tidserv.L および Boot.Tidserv として検出を開始しました。

Tidserv のこの新しい亜種には、主に 2 つの特徴があります。第 1 の特徴は、ユーザーモードのコードを、64 ビット版の各種 Windows に存在する Windows 64 ビット版ドライバプロセスに挿入するようになった点です。これまで、Tidserv の標的は 32 ビット版のオペレーティングシステムのみでした。64 ビットのプロセスにコードを挿入するウイルスは以前にもありましたが、ウイルス作成者にとって、これは比較的新しい試みです。また、この試みから、Tidserv の作成者が標的とし得るオペレーティングシステムに可能なかぎり潜入しようと、常にこの脅威を進化させていることがわかります。第 2 の特徴は、侵入したコンピュータのマスターブートレコード(MBR)に感染するようになった点です。したがって、オペレーティングシステムが読み込まれる前に、コンピュータを制御することが可能です。Tidserv の主要コンポーネントは、...

Read more | English
Tags: Endpoint Protection (AntiVirus), 64-bit, Backdoor.Tidserv, Malicious Code, Master Boot Record, Security, Security Response, Trojan.Mebratix, Trojan.Mebroot, Windows
Tidserv 64-bit Goes Into Hiding
Symantec Security Response | August 26, 2010
0 comments

Backdoor.Tidserv first came to light in back in 2008 as a Trojan that uses an advanced rootkit to hide itself. Since then, Symantec has seen many changes to Tidserv and we have documented a number of the changes in our blog postings. Yesterday, Symantec came across a new sample of Tidserv that we have broken out detection for as Backdoor.Tidserv.L and Boot.Tidserv.

This new variant of Tidserv is of interest for two main reasons. First, we are now seeing Tidserv inject user-mode code into Windows 64-bit driver processes found in the likes of 64-bit Windows versions. Previously, Tidserv targeted only 32-bit operating systems. Although this is not the first virus to inject code into 64-bit processes, it is still a relatively new venture for virus writers. It also demonstrates how the creators of Tidserv are...

Read more | 日本語
Tags: Endpoint Protection (AntiVirus), 64-bit, Backdoor.Tidserv, Malicious Code, Master Boot Record, Security, Security Response, Trojan.Mebratix, Trojan.Mebroot, Windows
The Language Spammers: Spam Trick Innovators
Vivian Ho | August 24, 2010
0 comments

Language spammers are quick to adapt all English spam tricks. We often see them apply various spam methods, such as the insertion of randomized characters, digits, or symbols into header and body text or the sending of spam messages as document or image attachments in order to bypass spam filters on a daily basis. In fact, they have learned so well (and quickly) that they are becoming spam trick innovators, with their language as an added advantage. Now you can read (or rather, “speak”) different language messages utilizing this new spam trend—there is a new trick that you won’t find in English spam. In this new trick, language spammers are taking advantage of playing around with pronunciation, spelling, and different written characters in their languages.

We recently observed Russian and Chinese spammers applying these tricks in their spam ads. The following two samples are from the same online marketing spammer. In the first example, the spammer...

Read more
Tags: Endpoint Protection (AntiVirus), language spam, Security, Security Response, Spam
Malicious Spam Luring Victims with Claims of Celebrity Deaths
Mayur Kulkarni | August 24, 2010
0 comments

Strange stories of celebrities' deaths resulting from plane crashes or car accidents have suddenly erupted in the spam ring. The intention of distributing such false news is to spread viruses using HTML or zipped attachments. This is one more in a series of recent virus attacks seen in the last few weeks. We had written about one of the attacks in a recent Security Response Blog post. This is an old trick of using celebrity names to lure recipients into opening malicious URLs or attachments.

In one of the campaigns seen, spammers are using subject lines showing that a celebrity has died. Examples include:

  • Beyonce Knowles died
  • Bon Jovi died
  • Brad Pitt died
  • Cameron Diaz died
  • David Beckham died
  • Gwen Stefani died
  • Jay-Z died
  • Jennifer Aniston died
  • Jennifer Lopez died
  • Johnny Depp died...
Read more
Tags: Endpoint Protection (AntiVirus), Spam, Security, Security Response
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • …
  • next ›
  • last »

About Security Response Blog

Our security research centers around the world provide unparalleled analysis of and protection from malware, security risks, vulnerabilities, and spam.

Filter by:

Filter by:

Blog Tags

10.x 11.x 419 scam 64-bit 9.x and Earlier Adobe Flash Adobe Reader Advanced Persistent Threats AndroidOS.Tapsnake Apple Backdoor.Tidserv Backdoor.Trojan Black Hat 2010 Brazil Brightmail Gateway Clickjacking Cricket World Cup 2011 Earth Day Email Emerging Threats Endpoint Encryption Endpoint Protection (AntiVirus) Endpoint Protection Small Business Enterprise Security Manager Evolution of Security FIFA Father's Day Gary Coleman General Symantec Google ISTR XV IT Risk Management Infostealer.Bancos Infostealer.Gampass Internet Security Threat Report Java Katrina Kaif MPack MS08-067 Malicious Code Master Boot Record Michael Jackson Microsoft Patch Tuesday Misleading Applications Mobile & Wireless Mobile Security Mother's Day Online Fraud Orkut PDF Password Management Restore SCADA SEO Poisoning Security Security Security Risks Security Trends 2010 Soccer Social networking South Africa Spam Spam Survey Sykipot Symantec State of Spam & Phishing Report Trojan.Bredolab Trojan.Clampi Trojan.Dropper Trojan.FakeAV Trojan.Loginck Trojan.Mebratix Trojan.Mebroot Trojan.Mozipowp Trojan.Pidief.J Trojan.Twebot Trojan.Vundo Trojan.Zbot Trojan.Zlob Valentine's Day VirusDoctor Vulnerabilities & Exploits W32.Ackantta W32.Ackantta.B@mm W32.Changeup W32.Downadup W32.Koobface W32.Qakbot W32.Sality W32.Stuxnet W32.Virut W32.Waledac Windows World Cup 2010 World Expo 2010 Zeus conficker endpoint security facebook iPhone 4 iPhone mobile applications jailbreak language spam phishing retrovirus rogue antivirus rootkit scams social engineering social media twitter typosquatting volcano
© 2010
  • Symantec Corporation
  • Contact Us
  • Get RSS
  • Privacy Policy
  • Symantec.com