Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Revamped Fake Android Market for SMS Fraud
Joji Hamada | 9 hours 41 min ago | 0 comments

We have continued monitoring the massive campaign involving SMS Fraud on the mobile platform for a while now as new activities are constantly taking place. New domains are created practically every day and new variants are being released consistently. Most activities are not really noteworthy. However, we did discuss a recent development of interest regarding the APK malware using server-side polymorphism. And earlier this week, we came across a new type of site that is not technically interesting, but is worthy of a mention in order to warn people about the new activity.

A little while back, a fake Android Market was developed that hosted various Apps that were ultimately malware. As you can see below, the page looks slightly different from the official Android Market.

...
Read more
Is Waledac Spam Dirtying the Russian 2012 Elections?
Symantec Security Response | 16 hours 39 min ago | 0 comments

Recently there have been several reports about the re-emergence of a botnet variant (Kelihos), which Symantec detects as W32.Waledac.C. The Waledac family is a threat that has been monitored by Symantec for many years and was featured in numerous blogs as well as a white paper. In the past, Waledac gained its infamy as a spamming botnet that utilized compromised systems to send out spam.  The purpose of these spamming campaigns had usually...

Read more
Office を悪用した新しい標的型攻撃が出現
Joji Hamada | 19 hours 51 min ago | 0 comments

寄稿者: Takayoshi Nakayama

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db...

Read more
Infostealer.Offsupload: 盗難データを含む 20,000 以上のアーカイブがサードパーティのファイル共有サイトにアップロードされる
Stephen Doherty | 20 hours 5 min ago | 0 comments

Infostealer.Offsupload という新たな脅威に感染したホストから、盗難に遭った 20,000 以上のアーカイブが、サードパーティのファイル共有サイトにアップロードされました。以下の色分けマップを見ると、この感染の主な標的は米国であることがわかりますが、全世界でもこの攻撃の影響を受けずに済んでいる国はごくわずかです。

Infostealer.Offsupload は、複合型の脅威の一部として使われています。攻撃の初期段階では、FedEx を自称するメールが送信されますが、これには FedEx_Invoice.exe という悪質なファイルが添付されています。

これはトロイの木馬であり(Trojan.Gen.2 として検出されます)、実行されるとコマンド & コントロール(C&C)サーバーに接続して別の悪質なファイルを実行します。解析を行った時点で、ダウンロードされるファイルは Trojan.FakeAVInfostealer.Offsuploadでした。

Infostealer.Offsupload は、侵入先のコンピュータで Firefox、...

Read more
Android.Bmaster: 金の卵を産むモバイルボットネット
Cathal Mullaney | 20 hours 16 min ago | 0 comments

この調査にご協力いただいた Eric Chien 氏に感謝します。

はじめに

シマンテックは最近、ノースカロライナ州立大学の Xuxian Jiang 氏が初めて指摘した新しい Android マルウェアについての報告を受け、この脅威に使われているコマンド & コントロール(C&C)サーバーについて調査を開始しました。このマルウェアは、公式の Android マーケットではなくサードパーティのマーケットプレイスで発見されたもので、電話のオプションを設定する正規のアプリケーションに仕込まれています。トロイの木馬が仕込まれたアプリケーションは、Android マルウェアの感染経路として定番であり、外見上は正規のアプリケーションと変わらぬままマルウェアの拡散に荷担します。

C&C サーバーを解析したところ、ボットネットの存続期間に接続されて感染した端末の合計数は、数十万にのぼると見られています。利益につながる可能性がある感染端末の数は、1 日当たり平均で 10,000 から 30,000 に達しており、同じ感染率が続けばボットマスターが年間で巨万の富を築くに十分です。推測される売上高については、後述の「収益の確保」をご覧ください。これまでのところ、このボットは 2011 年 9 月以来一定の感染率を保っています。標的は、中国のモバイルユーザーです(トロイの木馬が仕込まれたアプリケーションは、中国のサードパーティマーケットからしかダウンロードできません)。有料 SMS、テレフォニー、ビデオサービスからの収益確保に利用されているのも、中国の大手携帯キャリア 2 社のネットワークに限られています。これだけ長く活動を続けている以上、ボットマスターはすでに何十万ドルという稼ぎを得ている可能性があります。同類のボットネットは以前から存在しますが、実際に収益につながる仕組みが具体的に明らかになったのは、今回が初めてです。

...
Read more
New Targeted Attack Using Office Exploit Found In The Wild
Joji Hamada | 09 Feb 2012 | 0 comments

Contribution: Takayoshi Nakayama

I was going through some files we acquired related to targeted attacks the other day and an unusual set of files caught my eyes. We did some analysis on the files and it turns out a pair of files in the set exploits a vulnerability we have not seen in the wild before. Microsoft is aware of the issue and notes users who have applied MS11-073 are fully protected.

The files stand out from the common targeted attacks because a Microsoft Word document file is paired with a .dll file. Usually, targeted attacks involve one file which drops malware. The pair would most likely arrive to the target wrapped in an archive file attached to an email. It is common to see document files sent by email inside an archive, but typically, you would not see .dll files ever sent by email.

The exploit makes use of an ActiveX control embedded in a Word document file....

Read more
ワールドコンテンツショーを狙うロシアのスパマー
Samir Patil | 08 Feb 2012 | 0 comments

この調査にご協力いただいた Anand Muralidharan 氏に感謝します。

全世界のテレビ局が参加する、第 14 回 International Exhibition and Forum, World Content Show(ワールドコンテンツショー国際展示フォーラム)が、2012 年 2 月 7 日から 9 日までロシアで開催されます。この展示会では、テレビ業界と電気通信業界における最新の技術とトレンドが披露されます。

大手メディア企業が大挙して参加するこの技術展示会を、スパマーも見逃すはずはなく、開催時期を狙って大量のスパムを送りつけています。少しでもユーザーの関心をひこうとして、あるスパムメールでは、このイベントで人気を呼びそうな内容を紹介しています。インタラクティブなコンテンツ、抽選会、著名業界人やスターたちの出演予定、華麗な音楽プログラムといった具合です。

ロシア語で書かれた今回のスパムの一例として、シマンテックが確認したメールを以下に挙げます。

ロシア語によるこのスパム攻撃では、以下のような件名が確認されています。

  • 件名: Российские и иностранные телеканалы на фестивале World Content Show-2012
    件名の翻訳: ロシア国内外のテレビ局が集う、ワールドコンテンツショー 2012開催
  • 件名: World Content Show-2012

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、...

Read more
Infostealer.Offsupload: 20,000+ Archives Containing Stolen Data Uploaded to Third Party File-Sharing Site
Stephen Doherty | 08 Feb 2012 | 0 comments

Upwards of 20,000 stolen archives have been uploaded to a third party file-sharing site from hosts infected with a new threat called Infostealer.Offsupload. The following heatmap indicates the U.S. is the primary target of infection, however, only a few countries worldwide have managed to avoid the affect of this threat.

Infostealer.Offsupload is being used as part of a blended threat. The initial stage of the attack is an email purporting to come from FedEx with a malicious attachment: “FedEx_Invoice.exe”.

Once executed, this Trojan (detected as Trojan.Gen.2) contacts a command-and-control (C&C) server in order to download...

Read more
Android.Bmaster: A Million-Dollar Mobile Botnet
Cathal Mullaney | 08 Feb 2012 | 0 comments

Thanks to Eric Chien for his assistance with this research.

Introduction

We recently came across a new piece of Android malware, first highlighted by NC State’s Xuxian Jiang, and began investigating the command-and-control (C&C) servers associated with the threat. The malware was discovered on a third party marketplace (not the Android Market) and is bundled with a legitimate application for configuring phone settings. Trojanized applications are a well known infection vector for Android malware, as they allow malware to be distributed while retaining the appearance of a legitimate application.

Analysis of these servers indicate the total number of infected devices connected to the botnet over its entire life span numbered in the hundreds of thousands. The number of infected devices able to generate revenue on any...

Read more
Russian Spammers Eye World Content Show
Samir Patil | 08 Feb 2012 | 0 comments

Thanks to Anand Muralidharan for their assistance with this research.

Televison channels across the world are set to be at the 14th International Exhibition and Forum, World Content Show, held Feb 7- 9, 2012, in Russia. The exhibition showcases the latest technologies and trends in the TV and telecommunication industry.

This techno-fair will be attended in large numbers by leading media businesses, and spammers don’t want to miss the opportunity to circulate spam around the event. In a bid to catch the reader’s attention, one such spam email reveals some appealing facts about the event, such as Interactive Elements, Prize Drawings, Performance of Popular Leader/Star, and Colorful Musical Concerts.

Here is an example of this Russian spam observed by Symantec:

Here are the subject...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,501