Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
Showing posts by Hon Lau remove filter
W32.Qakbot - これだけはお読みください
Hon Lau | 06 Jun 2011 | 0 comments

 

W32.Qakbot は、2009 年の中頃から活動を続けている非常に悪質なマルウェアです。絶えず問題を起こしている一連の脅威のひとつであり、しかも新しい攻撃テクニックや開発環境が生まれるたびに更新され続けています。
 
この脅威自体は多くの方法で拡散しますが、特に、古い脆弱性を利用して各種の Web サイトから拡散する方法が確認されています。ひとたびネットワーク内に侵入すると、自身をリムーバブルドライブにコピーするなど他の方法を使ってネットワーク内の他のコンピュータへと拡散します。Qakbot は情報を盗み出すことが知られており、感染したコンピュータからさまざまなデータを収集し、いくつもの FTP アカウントにアップロードします。
 
シマンテックは最近、W32.Qakbot に関する詳しいホワイトペーパー(英語)を公開しましたが、そちらをお読みになる時間がない場合でも、Qakbot について知っておくべきことをまとめた以下の解説図だけは、ぜひご覧になってください。
 
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、...
Read more
W32.Qakbot - What You Should Know
Hon Lau | 03 Jun 2011 | 0 comments

 

W32.Qakbot is a pretty serious piece of malware that’s been doing the rounds since mid-2009. It is one of a family of threats that are consistently causing trouble, constantly being updated whenever new attack techniques or developments arise.  
 
The threat itself spreads through a number methods; in particular, we have seen it being spread from various websites using old vulnerabilities. Once inside a network, it employs other methods to propagate itself to other computers within the network such as copying itself to removal drives. Qakbot is notorious for stealing information, it collects a wide range of data from infected computers and then uploads it to various FTP accounts. 
 
We recently published a...
Read more
Mac にウイルス対策は不要か
Hon Lau | 01 Jun 2011 | 0 comments

最近、Mac を狙うマルウェアが急増しており、その勢いはどうやら止まらないようです。数日前にも新たなドメイングループが登録され、Mac だけでなく Windows ユーザーも標的にして、偽ウイルス対策ソフトウェアを広める攻撃に使われるようになっています。

一連のサイトはすべて、Lee Juango なる人物によって登録されていました。この人物の住所は「北京(Pekin)」となっていますが、Web サイトのホストがあるのはルーマニアです。どのサイトも外見がほぼまったく同一で、標的が Mac か PC かによって文面にわずかな違いがあるだけという特徴があります。

Mac ドメインの場合には、macprotector.zip という名前のファイル(MacProtector)がダウンロードされます。一方、Windows 向けのページでは、install.exe というファイル(Trojan.Gen または Trojan.FakeAV!gen39 として検出されます)がダウンロードされますが、これは実際には SystemTool のコピーです。

この攻撃でもうひとつ注目すべき点は、攻撃者が実に怠慢であるということです。Windows 版の偽ウイルス対策ソフトウェアの名前は「Essential Cleaner」であるとサイトには書かれているのですが、ユーザーがインストールすれば、実はそれが SystemTool の再パッケージ版にすぎないことが簡単にわかってしまいます。少し考えればわかることですが、せめて、...

Read more
I Don't Use AV Because I Have a Mac
Hon Lau | 31 May 2011 | 0 comments

It seems there is no let up in the recent spate of Mac malware. A few days ago, another group of domains were registered and are being used to support a fake antivirus campaign that not only targets Mac, but also Windows users.

A series of sites were all registered by a Lee Juango who gives an address in "Pekin". However, the Web sites are hosted in Romania. The interesting thing is that these sites look almost exactly the same, with slight text changes depending on if the target is a Mac or a PC.

On the Mac domains, you will get a file called "macprotector.zip" (MacProtector). On the page for Windows, you get a file named “install.exe” (detected as Trojan.Gen/Trojan.FakeAV!gen39). This is actually a copy of...

Read more
プロキシを利用してオンラインバンキングを操作する Trojan.Tatanarg
Hon Lau | 02 Mar 2011 | 0 comments

オンラインバンキングを狙うトロイの木馬は新しいものではなく、2003 年に初めて検出された Infostealer.Bancos グループのように、かなり以前から出回っています。オンラインバンキングを利用する人が増えるにつれ、犯罪予備軍が悪用しやすい巨大で儲けの大きい標的になってきたからです。

これまで、オンラインバンキングを狙ったトロイの木馬は一般的に、利用客とオンラインバンキング Web サイトの間で交わされるデータトラフィックを捕捉するだけでした。捕捉された認証データなどの情報は、トロイの木馬によって収集されて攻撃者に送信され、攻撃者自身によって利用されるか、収益源として他者に売却されます。オンラインバンキングを狙うトロイの木馬が出現してきた歴史を見ると、銀行と攻撃者が相手の動向に対応してお互いを妨害し合うという、追いつ追われつの繰り返しでした。さらに巧妙化した種類になると、MITB(Man In The Browser)と呼ばれる手法を採用し、SSL 暗号化や多要素認証などの防御を破ろうとします。MITB は、ユーザーのブラウザ操作をリアルタイムで監視し、傍受することで実現されます。ブラウザのコンテキストで HTML コンテンツを変更して、偽の情報を表示したり、ユーザーから銀行に送信される取引情報を操作したりできるようになります。

最近シマンテックが注視しているのは、Trojan.Tatanarg という種類です。Trojan.Tatanarg は、オンラインバンキングを狙うトロイの木馬として予想されるすべての機能を備えているほか、さらに多くの機能も持っています。Trojan.Tatanarg はコンポーネントベースなので、最初のインストーラがさまざまな機能を持つ複数のコンポーネントをダウンロードします。たとえば...

Read more
Banking by Proxy with Trojan.Tatanarg
Hon Lau | 01 Mar 2011 | 0 comments

Banking Trojans are nothing new. They have been around for many years, considering detections such as the Infostealer.Bancos family date back to 2003. As more and more people moved to perform banking transactions online, Bancos created a huge and lucrative target for would be criminals to exploit.

Traditionally, banking Trojans typically just captured data traffic exchanged between the user and the online banking website. The captured information included the authentication information, which is collected and sent to the attacker by the Trojan for their use or to sell on to other parties for a profit. For as long as there has been banking Trojans, there has been a cat and mouse game between the banks and the criminals as each side respond to each other’s move to thwart the actions of the other. More sophisticated banking Trojans employ a man-in-the-browser (MITB) method...

Read more
Twitter トレンドポイズニングの手口
Hon Lau | 07 Dec 2010 | 0 comments

悪質なファイルを多くの無警戒なユーザーに配信するために、マルウェア作者が SEO のテクニックを使って検索エンジンの人気キーワードを悪用する手口は、広く知られるようになりました。Twitter のような人気のあるサービスも、マルウェア作者の抜け目ない攻撃から逃れることはできません。この攻撃では、異なるアカウントで同じツイートを何度も送信し、Twitter のトレンドリストに掲載しようとします。こうすると、ツイートの送信に使った個々のユーザーアカウントのフォロワーが少なくても、多くの人がこのツイートを目にする可能性が高くなります。ちなみに、この攻撃に使われているアカウントの多くはフォロワーがそれほど多くなく、登録されたのも最近です。つまり、ツイートをスパム送信する目的で意図的に作成された偽のアカウントであると考えられます。

この種の攻撃が行われるときに、効果が実証されている SEO ベースの攻撃から借用した手口が用いられていることは明らかです。

この手口は、次のような手順に沿って行われます。

  1. 流行のキーワードを調べる
  2. 適切なホストを探す
  3. URL を隠蔽する
  4. ニュースの拡散を開始する
  5. 成功するまで繰り返す

1. 流行のキーワードを調べる
攻撃者たちは、Web マーケティングに精通しているものばかりです。人々がどんなことに関心を持っているか調べ上げ、注目度の高い最新の話題にいつも注意を払いながら、その話題をスパム攻撃に利用します。攻撃者が Twitter 上で最新トレンドのトピックを見れば、関心度の高いテーマを知ることができます。

12 月 2 日に取り上げられた話題は、ユダヤ教の祝祭日であるハヌカーでした。ご想像のとおり、...

Read more
Twitter Trend Poisoning Cookbook
Hon Lau | 07 Dec 2010 | 0 comments

We have become familiar enough with malware creators poisoning popular search engine terms through SEO techniques in order to deliver their malicious files to a greater pool of unsuspecting users. Other popular services such as Twitter have not escaped the watchful eyes of the miscreants. This attack involves pumping out many of the same tweets with different accounts to push them into the Twitter trending list. That way more people are likely to see them even if the individual user accounts being used to send the tweets don't have that many followers. Incidentally many of the accounts used in this attack don't have that many followers and are quite fresh - meaning they are probably fake accounts set up specifically for the purpose of spamming tweets.

To carry out this kind of attack, the miscreants are clearly following a tried-and-tested recipe, borrowed from SEO-based attacks and tweaked...

Read more
偽のディスククリーンアップユーティリティが用いる策略
Hon Lau | 01 Dec 2010 | 0 comments

シマンテックでは、偽ウイルス対策ソフトウェア(Trojan.FakeAV など)の作者たちが用いる手法に変化が見られることを確認しました。10 月の後半から、偽のハードディスクスキャナやデフラグツールが作成される動きが見られるようになったのです。初めのうちは少量でしたが、今では大量に確認されるようになり、新しいクローンがほぼ毎日のように出現しています。

現在までにクローンで使われている名前は次のとおりです(シマンテックでは、いずれも Trojan.FakeAV、UltraDefraggerTrojan.FakeAV!gen28 として識別しています)。

·         Ultra Defragger

·         Smart Defragmenter

·         HDD Defragmenter

·         System Defragmenter

·         Disk...

Read more
Fake Disk Cleanup Utilities: The Ruse
Hon Lau | 30 Nov 2010 | 0 comments

We have observed a change of tack by the creators of fake antivirus software (like Trojan.FakeAV). Since the latter parts of October, we have seen a move into the creation of fake hard disk scanners and defragmentation tools. What started as a trickle has now become a steady outpouring, with new clones being released almost daily.

So far we have seen the following names being used by the clones (all detected by Symantec as Trojan.FakeAV, UltraDefragger, or Trojan.FakeAV!gen28):

·         Ultra Defragger

·         Smart Defragmenter

·     ...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,887