Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Enterprise Security Manager remove filter
Backdoor.R2D2: 政府関与の可能性はあるのか?
Gavin O Gorman | 11 Oct 2011 | 0 comments

10 月 9 日、Chaos Computer Club(カオスコンピュータクラブ、CCC)という名で知られるドイツのハッカー集団が、政府によるスパイソフトウェアであると主張するマルウェアに関する解析を発表しました。20 ページに及ぶ PDF ファイルで、このソフトウェアの動作が説明されています。また、CCC はこのソフトウェアのコピーも自らの Web サイトで公開しています。.dll ファイルと .sys ファイル(ドライバ)の形式です。CCC からは、これが政府が関与しているサンプルであるという主張の証拠はまだ示されていません。

シマンテックでは、このサンプルの初期解析を実施し、CCC の文書に書かれている機能の多くを確認しました。このサンプルはマルウェアであり(シマンテックでは Backdoor.R2D2 として検出しています)、感染するとバックドアが開かれ、リモートの攻撃者が、感染したコンピュータにアクセスできるようになります。

バックドア .dll ファイルである mfc42ul.dll は、チャットや VoIP のアプリケーションを監視し、着信と発信の呼び出しなどのステータス変更を傍受することができます。デスクトップのスクリーンショットを撮ってリモートのコマンド & コントロール(C&C)サーバーにアップロードする機能も持っています。

盗み出されたデータは、実行可能ファイルに格納されている静的な鍵を使って AES 暗号化されます。コマンドは、TCP ポート 443 を介して C&C サーバーから平文で取得されます。

これに伴うドライバファイル winsys32.sys には、キーロガーを実装するコードが含まれていますが、このコードはアクティブ化されていないようです。ドライバは .dll ファイルから制御が可能であり、以下の処理を実行できます。

  • ファイルを作成する
  • ファイルに書き込む
  • ファイル名を変更する
  • ファイルを削除する
  • ...
Read more
Backdoor.R2D2: The Long Arm of the Law?
Gavin O Gorman | 09 Oct 2011 | 0 comments

On October 9th a German hacker group going by the name of the Chaos Computer Club (CCC) published an analysis of what they claim to be government spying software. The analysis is a 20 page PDF file describing how the software works. In addition, CCC made available a copy of the software on their website in the form of a .dll file and a .sys file (driver file). The CCC has not offered any proof of their claims that these are government affiliated samples.

Symantec has performed an initial analysis on the samples and has confirmed much of the functionality as described in the CCC document. The samples are malware--which Symantec detects as Backdoor.R2D2--that opens a back door allowing a remote attacker to access the compromised computer.

The back door .dll file, mfc42ul.dll, monitors chat and VOIP applications and is able to intercept status changes in the software, such as an incoming or outgoing call. It...

Read more
Bamital を読み解く: 流行するクリック詐欺トロイの木馬
Nicolas Falliere | 15 Sep 2011 | 0 comments

(注意: このブログ記事は、9 月 2 日に執筆したものです。サーバーをシャットダウンし、ドメイン名を遮断するための共同の努力が続いていたため、投稿を延期していました。調査したのは最新の亜種ではありませんが、この脅威の機能は正確に反映されています。)

Trojan.Bamital は 2010 年の夏に登場しましたが、この脅威が真の流行を見せたのは B 亜種が見つかった直後の、2011 年初頭のことでした。Bamital は、各種のブラウザに侵入し、検索結果を改ざんしてユーザーを広告リンクにリダイレクトしようとします。今回の記事では、Bamital の最近の亜種を詳しく調べ、クリック詐欺の手法がどのように実装されているか、その実態をさぐることにします。

インストール

Bamital はUPX 圧縮された実行可能ファイルの形をとっています。実行されると、%CommonFiles% フォルダに 2 つのコンポーネントを投下します。

  • %CommonProgramFiles%\nt.dll。Bamital のメインコンポーネントをロードする際に使われる小さい DLL ファイル。
  • %CommonProgramFiles%\dll。Bamital のメインコンポーネント。名前からは DLL ファイルかと思われますが実際にはそうではなく、ただのバイナリファイルです。このファイルが既存のプロセスにインジェクトされます。

トロイの木馬 Bamital はユーザーが管理者権限で実行中かどうかを調べます。Windows Vista または Windows 7 を検出した場合には、続行するためにプロセスの昇格も要求します。次に Bamital は、...

Read more
Anatomy of Bamital: A Prevalent Click-fraud Trojan
Nicolas Falliere | 13 Sep 2011 | 0 comments

(Note: This blog was written on September 2. We decided to postpone publishing it due to an ongoing joint effort to shut down servers and block domain names. The variant studied is not the latest but accurately reflects the functionalities of the threat.)

Trojan.Bamital appeared in the summer of 2010. The threat really became prevalent at the beginning of 2011, shortly after the discovery of the B variant. Bamital hooks into various browsers in order to modify search results and redirect the user to advertisement links. In this blog, we’re going to dissect a recent variant of Bamital to understand how the click-fraud scheme is implemented.

Installation

Bamital comes as a UPX-packed executable. When executed, it drops two components to the %CommonFiles% folder...

Read more
Trojan.Jnanabot: 複数のプラットフォームに影響を与えるトロイの木馬
Jeet Morparia | 28 Oct 2010 | 0 comments

最近、シマンテックセキュリティレスポンスでは、ソーシャルネットワーキングを利用して複数のプラットフォームに感染するトロイの木馬について調査しました。ウイルスの開発者はたいていの場合、このテクニックを悪用することで、無防備なユーザーをだまして悪意のあるリンクをクリックさせます。こうした悪意のあるリンクをクリックすると、ユーザーの「PC」に脅威(W32.Koobface など)がダウンロードされて実行されます。ここで「PC」と書きましたが、コンピュータの世界では、この言葉は Windows コンピュータと同じ意味で使われます。Windows は、さまざまな理由からウイルス開発者が標的とすることが多いプラットフォームです。ただし、Mac OSX といった、Windows 以外のオペレーティングシステムも普及しており、マルウェア開発者の注目を集めています。彼らは普及している Windows 以外のオペレーティングシステムにもその標的の範囲を広げ、それらのプラットフォームに感染することで、感染の影響を最大限にしようとしています。

この特定のトロイの木馬(シマンテックでは Trojan.Jnanabot として検出しています)は、複数のプラットフォームを標的にするウイルスです。Jnanabot には、キーロギング、IRC サーバーへの接続、ソーシャルネットワーキングサイトへの悪意のあるリンクの送信といった多数の機能が組み込まれており、Windows、Mac OSX、Linux の各プラットフォームのユーザーに影響を与えます。

この脅威は複数のファイルで構成されています。ここでは、その構成ファイルをコンポーネントと呼ぶことにします。各コンポーネントは特定のタスクを担っています。コンポーネントには、コンパイル済みの Java ファイルや、...

Read more
ブラウザのキャッシュを利用したセキュリティの回避
Karthik Selvaraj | 28 Oct 2010 | 0 comments

これは、同僚の浜田譲治氏が投稿したブログ、「Firefox を標的としたゼロデイ攻撃が発生」の続報です。

Mozilla Firefox 3.5/3.6 Remote Heap Buffer Overflow Vulnerability(Mozilla Firefox 3.5/3.6 にリモートヒープバッファオーバーフローの脆弱性)(BID 44425)」が悪用される際には、ヒープスプレーが使用された一連のROP(Return-Oriented Programming)ガジェットで xul.dll のコードを使用することで、データ実行防止(DEP)機能が回避されます。これらの ROP ガジェットが使用されるのは、DEP 機能が無効になった読み取り、書き込み、実行権限があるメモリでシェルコードが再配置および実行される場合のみです。対象となる Windows Vista や Windows 7 のようなオペレーティングシステムでは、この脅威の実行を防ぐ ASLR が xul.dll モジュールで有効になっています。

無防備な被害者のコンピュータにマルウェアを投下するために、この脅威ではちょっとしたテクニックが使われます。被害者のコンピュータに投下される悪意のある実行可能ファイルは、「scvhost.txt」という名前を使用した同じドメインでホストされ、以下のコード例に示すように .html ファイルで指定されています。

これによって、標準設定が使用されているブラウザで、参照ファイルがブラウザのキャッシュに自動的にダウンロードされます。

この Firefox の脆弱性が悪用された場合、実行を開始するシェルコードはコマンドプロセッサ(cmd.exe)を起動し、Firefox...

Read more
Trojan.Jnanabot: Trojan Affecting Multiple Platforms
Jeet Morparia | 28 Oct 2010 | 0 comments

Recently Symantec Security Response analyzed a Trojan that uses social networking vectors to infect users on multiple platforms. Virus writers have often used this technique to entice unsuspecting users to click on a malicious link, which may result in download and execution of threats onto the user’s “PC”(one example being W32.Koobface). I say “PC”because in the computer world, PC is synonymous with Windows computers and they are often the target platform for virus writers for various reasons. But, the popularity of other operating systems, for example Mac OSX, has captured the attention of malware writers. They are constantly trying to expand their scope beyond Windows and maximize their infection base by infecting other popular operating systems.

This particular Trojan (that Symantec detects as...

Read more
Using the Browser Cache to Bypass Security
Karthik Selvaraj | 27 Oct 2010 | 0 comments

This is a follow up to the Limited Firefox Zero-Day Attack in the Wild blog posted by my colleague Joji Hamada.

The exploit of the Mozilla Firefox 3.5/3.6 Remote Heap Buffer Overflow Vulnerability (BID 44425) uses a series of heap sprayed ROP gadgets (return-oriented programming) using code in xul.dll to bypass Data Execution Prevention (DEP). These ROP gadgets were only used to relocate and execute the shellcode in read, write, and executable memory no longer subject to DEP. It is noteworthy that the xul.dll module has ASLR enabled in supported operating systems like Windows Vista and Windows 7, which prevents this threat from running in those platforms.

To drop the malware onto an unsuspecting victim’s computer, this exploit employs a little trick: The malicious executable to be dropped onto the victim’s...

Read more
Zeus ボットネットの進化
Shunichi Imano | 22 Oct 2010 | 0 comments

Zbot(別名 Zeus ボットネット)はかなり以前から存在し続けており、「ポットの王様(King of Bots)」と呼ばれています。Zbot はこれまで世界中の何百万台ものコンピュータに感染してきました。アンダーグラウンドのコミュニティでは、Zbot 構築キットが売られており、広く流通しています。また、その他のボットネットキットも売られており、Zbot の売人を挑発しています。こうした状況から、犯罪者クライアントのニーズを満たして、ライバルに抜きん出て「ボットの王様」の座を死守するためには、Zbot の作成者たちは、構築キットを更新していかざるを得ません。どうやら、その結果生まれたのが、最近見つかったサンプルであり、シマンテックでは Trojan.Zbot.B および Trojan.Zbot.B!inf として検出します。

新しい Zbot の最も際立った機能はドメイン生成アルゴリズムです。これについては同僚の板橋一正氏がすでにブログに書いていますが、このメカニズムを簡単に説明します。

Zbot は毎日、1,020 のドメインが掲載された新しいリストを循環し、ホームを呼び出して、どのドメインがライブの C&C サーバーをホストしているのかをチェックします。Trojan.Zbot.B!inf の場合は、...

Read more
Evolution of Zeus Botnet
Shunichi Imano | 22 Oct 2010 | 0 comments

Zbot, otherwise known as the Zeus botnet, has been around for a quite a while and has been called the "King of Bots"; it has infected millions of computers worldwide. The Zbot construction kit is on-sale and widely available in the underground community. Other botnet kits are also being sold and are challenging Zbot peddlers. This means that the Zbot authors have no choice but to update the construction kits to accommodate the needs of their criminal client base to stay ahead of their rivals and hold on to the title of the King of the Bots, the result of which appears to be samples discovered recently that Symantec detects as Trojan.Zbot.B and Trojan.Zbot.B!inf.

...
Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,911