Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Endpoint Protection (AntiVirus) remove filter
SMS 詐欺に利用される偽の Android マーケットが再登場
Joji Hamada | 13 Feb 2012 | 0 comments

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

 

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

...

Read more
Waledac スパムは 2012 年ロシア大統領選に対する誹謗攻撃か
Symantec Security Response | 13 Feb 2012 | 0 comments

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

...

Read more
Revamped Fake Android Market for SMS Fraud
Joji Hamada | 10 Feb 2012 | 0 comments

We have continued monitoring the massive campaign involving SMS Fraud on the mobile platform for a while now as new activities are constantly taking place. New domains are created practically every day and new variants are being released consistently. Most activities are not really noteworthy. However, we did discuss a recent development of interest regarding the APK malware using server-side polymorphism. And earlier this week, we came across a new type of site that is not technically interesting, but is worthy of a mention in order to warn people about the new activity.

A little while back, a fake Android Market was developed that hosted various Apps that were ultimately malware. As you can see below, the page looks slightly different from the official Android Market.

...
Read more
Is Waledac Spam Dirtying the Russian 2012 Elections?
Symantec Security Response | 10 Feb 2012 | 0 comments

Recently there have been several reports about the re-emergence of a botnet variant (Kelihos), which Symantec detects as W32.Waledac.C. The Waledac family is a threat that has been monitored by Symantec for many years and was featured in numerous blogs as well as a white paper. In the past, Waledac gained its infamy as a spamming botnet that utilized compromised systems to send out spam.  The purpose of these spamming campaigns had usually...

Read more
Office を悪用した新しい標的型攻撃が出現
Joji Hamada | 10 Feb 2012 | 0 comments

寄稿者: 中山雄克

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db を使う理由は、...

Read more
Infostealer.Offsupload: 盗難データを含む 20,000 以上のアーカイブがサードパーティのファイル共有サイトにアップロードされる
Stephen Doherty | 10 Feb 2012 | 0 comments

Infostealer.Offsupload という新たな脅威に感染したホストから、盗難に遭った 20,000 以上のアーカイブが、サードパーティのファイル共有サイトにアップロードされました。以下の色分けマップを見ると、この感染の主な標的は米国であることがわかりますが、全世界でもこの攻撃の影響を受けずに済んでいる国はごくわずかです。

Infostealer.Offsupload は、複合型の脅威の一部として使われています。攻撃の初期段階では、FedEx を自称するメールが送信されますが、これには FedEx_Invoice.exe という悪質なファイルが添付されています。

これはトロイの木馬であり(Trojan.Gen.2 として検出されます)、実行されるとコマンド & コントロール(C&C)サーバーに接続して別の悪質なファイルを実行します。解析を行った時点で、ダウンロードされるファイルは Trojan.FakeAVInfostealer.Offsuploadでした。

Infostealer.Offsupload は、侵入先のコンピュータで Firefox、...

Read more
Android.Bmaster: 金の卵を産むモバイルボットネット
Cathal Mullaney | 10 Feb 2012 | 0 comments

この調査にご協力いただいた Eric Chien 氏に感謝します。

はじめに

シマンテックは最近、ノースカロライナ州立大学の Xuxian Jiang 氏が初めて指摘した新しい Android マルウェアについての報告を受け、この脅威に使われているコマンド & コントロール(C&C)サーバーについて調査を開始しました。このマルウェアは、公式の Android マーケットではなくサードパーティのマーケットプレイスで発見されたもので、電話のオプションを設定する正規のアプリケーションに仕込まれています。トロイの木馬が仕込まれたアプリケーションは、Android マルウェアの感染経路として定番であり、外見上は正規のアプリケーションと変わらぬままマルウェアの拡散に荷担します。

C&C サーバーを解析したところ、ボットネットの存続期間に接続されて感染した端末の合計数は、数十万にのぼると見られています。利益につながる可能性がある感染端末の数は、1 日当たり平均で 10,000 から 30,000 に達しており、同じ感染率が続けばボットマスターが年間で巨万の富を築くに十分です。推測される売上高については、後述の「収益の確保」をご覧ください。これまでのところ、このボットは 2011 年 9 月以来一定の感染率を保っています。標的は、中国のモバイルユーザーです(トロイの木馬が仕込まれたアプリケーションは、中国のサードパーティマーケットからしかダウンロードできません)。有料 SMS、テレフォニー、ビデオサービスからの収益確保に利用されているのも、中国の大手携帯キャリア 2 社のネットワークに限られています。これだけ長く活動を続けている以上、ボットマスターはすでに何十万ドルという稼ぎを得ている可能性があります。同類のボットネットは以前から存在しますが、実際に収益につながる仕組みが具体的に明らかになったのは、今回が初めてです。

...
Read more
New Targeted Attack Using Office Exploit Found In The Wild
Joji Hamada | 09 Feb 2012 | 0 comments

Contribution: Takayoshi Nakayama

I was going through some files we acquired related to targeted attacks the other day and an unusual set of files caught my eyes. We did some analysis on the files and it turns out a pair of files in the set exploits a vulnerability we have not seen in the wild before. Microsoft is aware of the issue and notes users who have applied MS11-073 are fully protected.

The files stand out from the common targeted attacks because a Microsoft Word document file is paired with a .dll file. Usually, targeted attacks involve one file which drops malware. The pair would most likely arrive to the target wrapped in an archive file attached to an email. It is common to see document files sent by email inside an archive, but typically, you would not see .dll files ever sent by email.

The exploit makes use of an ActiveX control embedded in a Word document file....

Read more
Infostealer.Offsupload: 20,000+ Archives Containing Stolen Data Uploaded to Third Party File-Sharing Site
Stephen Doherty | 08 Feb 2012 | 0 comments

Upwards of 20,000 stolen archives have been uploaded to a third party file-sharing site from hosts infected with a new threat called Infostealer.Offsupload. The following heatmap indicates the U.S. is the primary target of infection, however, only a few countries worldwide have managed to avoid the affect of this threat.

Infostealer.Offsupload is being used as part of a blended threat. The initial stage of the attack is an email purporting to come from FedEx with a malicious attachment: “FedEx_Invoice.exe”.

Once executed, this Trojan (detected as Trojan.Gen.2) contacts a command-and-control (C&C) server in order to download...

Read more
Android.Bmaster: A Million-Dollar Mobile Botnet
Cathal Mullaney | 08 Feb 2012 | 0 comments

Thanks to Eric Chien for his assistance with this research.

Introduction

We recently came across a new piece of Android malware, first highlighted by NC State’s Xuxian Jiang, and began investigating the command-and-control (C&C) servers associated with the threat. The malware was discovered on a third party marketplace (not the Android Market) and is bundled with a legitimate application for configuring phone settings. Trojanized applications are a well known infection vector for Android malware, as they allow malware to be distributed while retaining the appearance of a legitimate application.

Analysis of these servers indicate the total number of infected devices connected to the botnet over its entire life span numbered in the hundreds of thousands. The number of infected devices able to generate revenue on any...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,893