Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
Showing posts by Symantec Security Response remove filter
Waledac スパムは 2012 年ロシア大統領選に対する誹謗攻撃か
Symantec Security Response | 18 hours 2 min ago | 0 comments

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

...

Read more
Is Waledac Spam Dirtying the Russian 2012 Elections?
Symantec Security Response | 10 Feb 2012 | 0 comments

Recently there have been several reports about the re-emergence of a botnet variant (Kelihos), which Symantec detects as W32.Waledac.C. The Waledac family is a threat that has been monitored by Symantec for many years and was featured in numerous blogs as well as a white paper. In the past, Waledac gained its infamy as a spamming botnet that utilized compromised systems to send out spam.  The purpose of these spamming campaigns had usually...

Read more
サーバーサイドポリモーフィック型の Android アプリケーション
Symantec Security Response | 02 Feb 2012 | 0 comments

Windows の世界では、かなり以前からサーバーサイドポリモーフィズムの技法を使ってコンピュータに感染する手口が全世界で確認されてきました。これはつまり、ファイルがダウンロードされるたびに、異なるバージョンのファイルを作成して従来のシグネチャベースの検出をすり抜けようとすることを意味します。最近、この同じ手口が、ロシアの Web サイトでホストされている悪質な Android アプリケーションにも使われていることが判明しました。シマンテック製品では、この亜種をすべて Android.Opfake として検出します。Opfake をホストしているサイトにはリンクかボタンが設置され、それを使うと人気の高い Android ソフトウェアの無料版をダウンロードできることになっていますが、実際にダウンロードされるのは悪質なパッケージです。

このアプリケーションは、ダウンロードされるたびに少しずつ自動的に形態を変えます。それだけでなく、数日ごとに手動でも変更が加えられているところから、作成者は現在もこのマルウェア群の保守にいそしんでいると考えられます。

Opfake がサーバーサイドポリモーフィズムに利用している手法は、可変データによる変更、ファイルの並べ替え、ダミーファイル挿入の 3 つです。以下、それぞれのケースを見ていくことにします。

1 つ目は可変データを使ったケースです。2 つのダウンロードファイルの CRC を比較すると、意味のある変更は "res/raw/data.db" の部分にしかないことがわかります。META-INF にも変更されているファイルがありますが、これにはパッケージのシグネチャデータが含まれているので、res/raw/data.db が変更された事実が反映されているにすぎません。

...
Read more
Server-side Polymorphic Android Applications
Symantec Security Response | 01 Feb 2012 | 0 comments

For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. We are now seeing this same technique being used for malicious Android applications hosted on Russian websites. We detect all of these variants as Android.Opfake. The sites hosting Opfake include either links or buttons that can be used to download the malicious packages that are purporting to be free versions of popular Android software.

The applications morph themselves automatically in a few ways every time the threat is downloaded. In addition, manual modifications are also made every few days indicating that the malware authors are actively maintaining this malware family.

Opfake...

Read more
Android.Counterclank に関する最新情報
Symantec Security Response | 31 Jan 2012 | 0 comments

シマンテックは先日、Android.Tonclank の新しいバージョンが発見されたことをこのブログで Android ユーザーのみなさんにお伝えし、これを Android.Counterclank と命名しました。そのときのブログから、Android ユーザーはこの新しいバージョンについて懸念すべきかどうかという議論が起こりました。シマンテックがアプリケーションを分類するときの基準は、アプリケーションの動作に関する情報がユーザーにとって必要かどうかという点です。ユーザーがより確実な情報に基づいて、インストールの可否を判断できるようにするためです。

現在の状況は、アドウェアやスパイウェア、あるいは不要と思われるアプリケーションが Windows 環境に初めて出現したときとよく似ています。多くのセキュリティベンダーが当初はこれらのアプリケーションを検出しませんでしたが、最終的には、コンピュータユーザーからも広く認められ、セキュリティベンダー各社もこの種類のアプリケーションについてユーザーに通知するようになりました。

最初のブログ記事以降、シマンテックは Tonclank と Counterclank のコードが同じベンダーに由来していることを特定しました。このベンダーは、サードパーティ各社に SDK(ソフトウェア開発キット)を配布している企業で、この SDK はアプリケーション、主として検索機能を利益に結び付けるためのものです。

詳しく言うと、この SDK のコードはリモートサーバー(apperhand.com)に接続して、以下の情報を送信します。

  • インストール環境を一意に識別するデバイス情報(IMEI など)の SHA1 ハッシュ
  • この SDK...
Read more
An Update on Android.Counterclank
Symantec Security Response | 30 Jan 2012 | 0 comments

Last week, we posted a blog informing Android users of the discovery of new versions of Android.Tonclank, which we have named Android.Counterclank. The blog generated a bit of discussion over whether these new versions should be a concern to Android users. When classifying applications, our focus is on whether users want to be informed of the application's behavior, allowing them to make a more informed choice regarding whether to install it.

The situation we find ourselves in is similar to when Adware, Spyware, and Potentially Unwanted Applications first made appearances on Windows. Many security vendors did not initially detect these applications, but eventually, and with the universal approval of computer users, security companies chose to notify users of these types of applications...

Read more
Sykipot 攻撃についての考察
Symantec Security Response | 26 Jan 2012 | 0 comments

数カ月前から執拗に続く Sykipot による攻撃は、さまざまな業種を標的としていますが、その大部分は軍需産業です。どの攻撃も、何文字かのアルファベットに日付が続く一意の ID がトロイの木馬本体にハードコードされているという特徴があります。数字の前のキーワードが、利用されている Web サーバーのサブドメインのフォルダ名になっている場合もあります。これまでの攻撃で見つかったサンプルを以下に示します。

  • alt20111215
  • auto20110413
  • auto20110420
  • be20111010
  • chk20111219
  • chksrv20111122
  • easy20110720w
  • easy20110926n
  • good20110627
  • help20110908
  • help20110926
  • info20111025
  • info20111028
  • info20111031G
  • insight20111122
  • pretty20111101
  • pretty20111122
  • pub2011124x
  • server20111212
  • webmail20111122
  • world20111205

攻撃者はこの一意の ID を目印にして、業種別、組織別に攻撃を関連付けられるようになっています。

これ以外にも、狙ったユーザーに新しいバイナリを送信する前に使われる、テスト用のステージングサーバーと思しきものを考察する手がかりが残されていました。また、このサーバーは、一定期間コマンド & コントロール(C&C)サーバーとしても使われていたことが確認されています。サーバーは中国の北京地域に置かれ、中国の大手 ISP 上で稼働していましたが、...

Read more
Insight into Sykipot Operations
Symantec Security Response | 26 Jan 2012 | 0 comments

The Sykipot campaign has been persistent in the past few months targeting various industries, the majority of which belong to the defense industry. Each campaign is marked with a unique identifier comprised of a few letters followed by a date hard-coded within the Sykipot Trojan itself. In some cases the keyword preceding the numbers is the sub-domain's folder name on the Web server being used. Here are some examples of the campaigns we have seen so far:

  • alt20111215
  • auto20110413
  • auto20110420
  • be20111010
  • chk20111219
  • chksrv20111122
  • easy20110720w
  • easy20110926n
  • good20110627
  • help20110908
  • help20110926
  • info20111025
  • info20111028
  • info20111031G
  • insight20111122
  • pretty20111101
  • pretty20111122
  • pub2011124x
  • server20111212
  • webmail20111122
  • ...
Read more
不敵な Nitro 攻撃者
Symantec Security Response | 12 Dec 2011 | 0 comments

執筆: Tony Millington、Gavin O'Gorman

このブログで紹介している遮断済みのメールは、シマンテック ドット クラウドから提供されたものです。

シマンテックセキュリティレスポンスが発行した Nitro Attacks に関するホワイトペーパー(英語)は、2011 年 7 月から 2011 年 9 月にかけて見られた、あるハッカーグループの活動についてまとめた報告です。同グループは現在も活動中であり、化学薬品企業を標的とする点も変わらなければ、ソーシャルエンジニアリングの手口にも変化は見られません。つまり、パスワードで保護されたアーカイブファイルを電子メールに添付して標的に送信する手法を用いており、そのアーカイブファイルには悪質な実行可能ファイルが含まれています。この実行可能ファイルは Poison IVY の亜種で、メールの件名は普及率の高いソフトウェアのアップグレード、あるいはセキュリティ更新に関する内容です。最新の電子メール(図 1)では、臆面もなくシマンテックを騙り、「poison Ivy Trojan」からの保護を謳っています。

図 1. 脅威を警告する偽メール

また、添付されているアーカイブファイルは「the_nitro_attackspdf.7z」という名前で、これに「the_nitro_attackspdf            ...

Read more
Nitro attackers have some gall
Symantec Security Response | 12 Dec 2011 | 0 comments

Authored by Tony Millington and Gavin O’Gorman

The intercepted email in this blog was provided by Symantec.cloud.

The Nitro Attacks whitepaper, published by Symantec Security Response, was a snapshot of a hacking group’s activity spanning July 2011 to September 2011.  The same group is still active, still targeting chemical companies, and still using the same social engineering modus operandi. That is, they are sending targets a password-protected archive, through email, which contains a malicious executable. The executable is a variant of Poison IVY and the email topic is some form of upgrade to popular software, or a security update. The most recent email (Figure 1) brazenly claims to be from Symantec and offers...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,791