Security Response

In previous blogs we have discussed how malware can exploit a search engine’s indexing features in order to spread malicious content. Recently we have observed a massive compromise of websites under the .ch and .nl top-level domains, aimed at performing a massive search engine optimization (SEO) attack to spread fake antivirus applications.

To keep track of pages on the Internet, search engines use automated web scanners, called crawlers or spiders. Their purpose is to find every possible Web page on the net, read its content, and then index it for future user searches. Attackers often try to exploit this feature in order to trick a search engine into associating a malicious Web page with very common...

2009 年年末近くなった頃、シマンテックは今後を検討し、オンラインセキュリティのトレンドについて 2010 年の動向をいくつか予測しました。今年上半期の状況をチェックし、現時点でシマンテックの予測がどの程度まで当たっているかを確認しました。

ここでは、シマンテックのトレンド予測が現在どうなっていると考えられるか要点を示します。各項目を評価して、それぞれ「進行中」、「ほぼ進行中」、「引き続き要警戒」、「おそらく 2011 年」のいずれかに分類しました。

この画像よりもさらに詳細が記載された、インタラクティブなページを表示するには、ここ (英語) をクリックしてください。ページを移動してから各予測をクリックすると、該当する項目の上半期の状況について詳細をお読みいただけます。

Symantec often utilizes honeypots to acquire new samples and observe attacks in the wild. Many threats encountered on honeypots are related to botnets. However, on a rare occasion a honeypot may encounter a targeted attack. In these cases the attacker is after a specific entity, be it a person, corporation, government, or any other such body. When a computer is compromised by such a threat, the behavior can be similar to a bot, connecting to a command and control (C&C) server and awaiting commands. However, the commands received are usually not generic. They are interactive, with the attacker seeking some specific information in real-time.

 We recently encountered one of many such targeted threats on a basic honeypot and logged the activity. The attack was quite straightforward and did not utilize any new techniques. Nonetheless it is a good example of the processes such attackers use. This particular threat was targeting a corporate entity, using a tailored PDF...

このブログ記事では、最近発見された Tidserv の亜種について引き続き分析します。Tidserv は 64 ビットの Windows オペレーティングシステムにも感染するトロイの木馬です。シマンテックでは、昨日、Tidserv の概要を掲載しましたが、本日は、Tidserv が 32 ビットおよび 64 ビットのオペレーティングシステムに自分自身をどのようにインストールするかについて詳しく説明します。

Backdoor.Tidserv.L は 32 ビット版 Windowsの実行可能ファイルとして入り込んだ後、稼動中の Windows が 32 ビット版か 64 ビット版かを検査し、アーキテクチャ固有のインストール方法を選択します。システムが 32 ビット版であることがわかった場合、Tidserv の以前の亜種と同じ方法で必要な権限を取得します。つまり、Print Spooler サービスとして自分自身を実行します。次に、32 ビット版の悪意あるカーネルドライバを投下し、Windows カーネルに読み込ませます。ドライバが読み込まれると、感染によってマスターブートレコード（MBR）が悪意あるものに置き換えられます。

その後、バックドアコンポーネントと設定データのコピーが、ハードディスクの最後尾にある、通常は使用されない領域に保存されます。バックドアがディスクに書き込む悪意あるデータはすべて暗号化されています（ただし、MBR コードの最初の 42 バイトを除きます）。悪意ある MBR が存在し、ハードディスクの最後尾にバックドアコンポーネントが保存されていると、Windows が起動されるたびにバックドアが実行されます。Windows パーティションには Tidserv コードが書き込まれないため、MBR を正常なものに戻さないかぎり、Windows を再インストールしても Tidserv は生き残ることができる可能性があります。

64 ビット版の Windows の場合、署名付きのカーネルドライバが必要なため、Tidserv のインストール方法も異なります。...

In this blog we continue our analysis of the recently discovered Tidserv variant that is capable of infecting 64-bit Windows operating systems. While we gave a quick overview of the threat yesterday, today we’re going to talk more about how Tidserv installs itself on 32- and 64-bit operating systems.

While Backdoor.Tidserv.L arrives as a 32-bit Windows executable, it checks if it's running under a 32- or 64-bit version of Windows and chooses an architecture-specific method of installing itself. If it finds that it’s running on a 32-bit system, it uses the same method as older Tidserv variants to gain necessary privileges—by executing itself in the Print Spooler service. Next, it drops a 32-bit version of the malicious kernel driver and loads it into the Windows kernel. Once the driver is loaded, it infects the Master Boot Record (MBR) with a malicious version.

It then...

Backdoor.Tidserv が最初に登場したのは、2008 年のことです。このトロイの木馬は、高度なルートキットを使って自分自身の存在を隠していました。シマンテックでは、Tidserv の登場以来、多くの変更が加えられてきたことを確認しており、それらの変更点をブログ記事に記録してきました。昨日、Tidserv の新しいサンプルが見つかり、Backdoor.Tidserv.L および Boot.Tidserv として検出を開始しました。

Tidserv のこの新しい亜種には、主に 2 つの特徴があります。第 1 の特徴は、ユーザーモードのコードを、64 ビット版の各種 Windows に存在する Windows 64 ビット版ドライバプロセスに挿入するようになった点です。これまで、Tidserv の標的は 32 ビット版のオペレーティングシステムのみでした。64 ビットのプロセスにコードを挿入するウイルスは以前にもありましたが、ウイルス作成者にとって、これは比較的新しい試みです。また、この試みから、Tidserv の作成者が標的とし得るオペレーティングシステムに可能なかぎり潜入しようと、常にこの脅威を進化させていることがわかります。第 2 の特徴は、侵入したコンピュータのマスターブートレコード（MBR）に感染するようになった点です。したがって、オペレーティングシステムが読み込まれる前に、コンピュータを制御することが可能です。Tidserv の主要コンポーネントは、...

Language spammers are quick to adapt all English spam tricks. We often see them apply various spam methods, such as the insertion of randomized characters, digits, or symbols into header and body text or the sending of spam messages as document or image attachments in order to bypass spam filters on a daily basis. In fact, they have learned so well (and quickly) that they are becoming spam trick innovators, with their language as an added advantage. Now you can read (or rather, “speak”) different language messages utilizing this new spam trend—there is a new trick that you won’t find in English spam. In this new trick, language spammers are taking advantage of playing around with pronunciation, spelling, and different written characters in their languages.

We recently observed Russian and Chinese spammers applying these tricks in their spam ads. The following two samples are from the same online marketing spammer. In the first example, the spammer...