Security Response

Contributor: Masaki Suenaga

We certainly are! It is American football season and the Super Bowl is right around the corner. Apparently, so are the malware authors. It would not be the first time they took advantage of this sporting event. Back in 2007, the Dolphins (hosts for Super Bowl XLI) had their website compromised by links to malicious JavaScript. Several visitors looking up Super Bowl information on this site were hit with an exploit pack designed to attack their Web browsers and install hidden malware. Taking a page out of their playbook, Android malware authors this season bring us a fake version of the popular gaming franchise, Madden NFL 12. Being over 5 MB in size, it certainly looks like a game worth trying! Once installed, it will even display the following icon:

After the user launches the app, there is, unfortunately, no...

We have seen an ever increasing use of PDFs for malicious purposes over the past two years. During this time, we have tracked the growth and usage and have been constantly improving our detections to handle the different evolutions of these threats. We see new vulnerabilities related to PDF readers discovered on a regular basis, often being exploited in-the-wild before a patch is available. We have created the following report which highlights some of the interesting changes we analyzed. The report can be downloaded here.

In this whitepaper, we discuss the current PDF threat landscape, some current vulnerabilities being exploited in PDF documents, and various methods used by the malware authors. We also discuss various actions malware authors take to avoid detection, as well as offer some preventative measures users can take to protect themselves....

DNS 設定を変更する脅威は過去にいくつか確認されていますが、この Zlob の亜種は、それ以上の被害をもたらします。一般的な検索エンジンを利用し、広告やアフィリエイトを利用して金儲けを行うのです。この亜種は、悪事を働くために有効な 3 つの段階を踏みます。第 1 段階では、トロイの木馬である Zlob がコンピュータに感染し、自身をインストールします。このとき、Windows がインストールされたときの巡回冗長検査（CRC）の値が利用されます。第 2 段階では、ネットワークトポロジを検出し、設定を再構成します。ルーターにアクセス可能な場合は、ルーターへのログインも試みます。第 3 段階では、ブラウザのトラフィックを操ります。また、このトロイの木馬は中間者攻撃を実行し、それに応じてユーザーの表示内容や操作方法を変更します。それでは、この 3 つの段階を詳しく見て、分析したいと思います。

第 1 段階: インストール

Trojan.Zlob.P は、各コンピュータで重複してインストールされないようにするために、Windows のインストール日付を使用して自分自身の名前を算出します。実際には、Trojan.Zlob.P はインストール日付の CRC の値を計算し、自身のコピー先となる実行可能ファイルの名前として使用するほか、新しく作成するサービスの名前、自身の一意の ID/名前の一部として使用します。この処理は、次の図に示されたレジストリの場所から Windows のインストール日付を取得することによって行われます。

何らかの理由でこのレジストリキーにアクセスできない場合は、デフォルトの名前が使用されます。また、Windows...