Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Security Response remove filter
Showing posts by Masaki Suenaga remove filter
Trojan.Zbot.B による HTML インジェクション
Masaki Suenaga | 02 Nov 2010 | 0 comments

前回のブログでは Trojan.Zbot.B の設定ファイルの構造について詳しく説明しましたが、今回はその設定ファイルに含まれる別のコマンドについてさらに詳しく見てみたいと思います。ここでは、Web ブラウザに HTML コードをインジェクトするコマンドについて説明します。

この設定ブロックには、0010、0020、0004、0008 という 4 つのコマンドレコードがあります。コマンド 0010 は、次のパターンに一致する HTML データを検索するために使われます。

<td><div class=”account-status”> および Self Triggered Debits -->

次のコマンド 0020 は、キャプチャした HTML データの表現に関するテキスト表現を定義します。たとえば、%1 と表記した場合は、実際のデータを表すワイルドカードになります。コマンド 0004 は、HTML インジェクションが行われる条件を定義します。このサンプルでは、HTML データは <head> タグの後ろに挿入されます。最後のコマンド 0008 は、インジェクトされる HTML データを定義します。以下にインジェクトされた HTML データの一部を示します。

...
Read more
HTML Injections by Trojan.Zbot.B
Masaki Suenaga | 01 Nov 2010 | 0 comments

Following on from my previous blog exploring the structure of the Trojan.Zbot.B configuration files, we will now take a closer look at another command contained in the configuration file. In this case we will examine a command that injects HTML code into the Web browser.

This configuration block has four command records of 0010, 0020, 0004 and 0008. The command 0010 is used to search for HTML data matching this pattern:

<td><div class=”account-status”> and Self Triggered Debits -->.

The next command 0020 defines the text expression as to how the captured HTML data is expressed...

Read more
Trojan.Zbot.B の設定ファイルについて
Masaki Suenaga | 01 Nov 2010 | 0 comments

同僚の板橋一正氏がブログに書いているように、TrojanZbot.B(別名 Zeus ボットネット)は、システム時間を基にランダムなドメイン名を生成し、そのドメインを含んだ URL からファイルをダウンロードします。

TrojanZbot.B は、/news/?s=[数値] というパスを使ってそのドメインにアクセスし、設定ファイルをダウンロードします。設定ファイルはデジタル署名されており、次のような内容になっています。

設定ファイルは暗号化されています。このファイルを復号化するには、RC4 を適用して、先頭から末尾までバイト単位で各先行バイトとの排他的論理和(XOR)を取る必要があります。復号化と難読化の解除を行うと、設定ファイルの内容が次のように、もう少しよくわかるようになります。

復号化と難読化の解除を行っても、まだ雑然とした状態になっています。完全に復元できた箇所もありますが、途切れ途切れの文字列も多く、欠けている部分もたくさんあります。実際のところ、設定ファイルは連続したテキストファイルではなく、構造化されたバイナリデータファイルです。ファイル内の各レコードには、ヘッダーが 1 つと複数の設定ブロックがあります。

...

Read more
Configuration File Details of Trojan.Zbot.B
Masaki Suenaga | 31 Oct 2010 | 0 comments

As my colleague Kazumasa Itabashi outlined in this blog, TrojanZbot.B, a.k.a. Zeus Botnet, attempts to download files from URLs with random-looking domain names generated by the Trojan based on the system time.

When it accesses these domains with a path of /news/?s=[NUMBER], it downloads a configuration file, which is also digitally signed. The downloaded file looks like this:

Because the configuration file is encrypted, we have to decrypt it by applying RC4 followed by XOR-ing byte-wise from bottom to top with each preceding byte. Once the decryption and de-obfuscation has been applied we can now see a little more clearly the contents of the...

Read more
Trojan.Sasfis に関する詳細
Masaki Suenaga | 16 Jul 2010 | 0 comments

Trojan.Sasfis に関する最近の記事では、この攻撃のスパム的な面に焦点を当てましたが、今回はまだ続いているこの脅威について、シマンテックのグローバルに設置されたセンサーで最近流行が確認されている傾向を詳細に説明します。

拡散
Sasfis についてまとめると、この脅威は多くのスパム活動によって、これまでに全世界の電子メール量に大きな影響を及ぼしてきました。Amazon_Tracking_Number_N[ランダムな数字][長い空白文字]DOC.exe や iTunes_certificate[ランダムな数字].exe といった偽装のほか、最近では何らかの変更ログを装った電子メール添付ファイルとして、Changelog_[日]_[月]_2010.DOC[長い空白文字].exe なども確認されています(念のために説明しておくと、変更ログには一般的に .txt や .log という拡張子、場合によっては .html などの拡張子が付けられますが、.exe で表される実行可能ファイル形式であることは決してありません)。以前の活動では、UPS や DHL からの出荷追跡メールを偽装する Trojan.Bredolab の亜種が使われていたこともあり、これを実行すると Trojan.Sasfis がインストールされました。控えめに言っても、妙に閉鎖的な挙動です。現在までに確認された亜種では、ファイル名に .DOC や .PDF も使われており、Microsoft Word 文書や、一般に Adobe Reader に関連付けられるファイルに偽装することが試みられています。実行可能ファイルは圧縮されていますが、これらの亜種も通常は、圧縮された特定のファイル形式に対してすでに講じられたセキュリティ対策を回避しようとして、...

Read more
Trojan.Sasfis: A Closer Look
Masaki Suenaga | 16 Jul 2010 | 0 comments

In our recent article on Trojan.Sasfis we focused on the spam angle of the attack and in this piece we will take a deeper look at this somewhat persistent threat which our global sensors indicate is recently on the rise.

Distribution
To recap, Sasfis has been making a significant contribution to the global email volume for some time now by use of prolific spam campaigns including guises such as Amazon_Tracking_Number_N[RANDOM NUMBER][LONG SPACE]DOC.exe and iTunes_certificate[RANDOM NUMBER].exe with the latest round of email attachments purporting to be some kind of change log - Changelog_[DAY]_[MONTH]_2010.DOC[LONG SPACE].exe (for those who may not be aware, a change log will commonly have a .txt or .log extension, and possibly a .html or similar extension but certainly not...

Read more
AVAR 2009 Conference in Kyoto
Masaki Suenaga | 13 Dec 2009 | 0 comments

The AVAR 2009 Conference was held in the historical city of Kyoto, Japan from November 5. As this year's trend is cloud computing, fake antivirus software and massive PDF file attacks, the cloud and PDF topics were covered in the conference.

We had several Japan-specific sessions. Some delegates from the Japanese ministries and governmental agencies spoke about their tasks and statistics on cyber crimes. As with other nations, Japan has its own specialty in computer usage and malware, such as wide-spread usage of the peer-to-peer software called Winny and the related malware W32.Antinny and a destructive Trojan horse Trojan.Haradong that was discovered in the Winny network (the creator was eventually arrested). Another trend in Japan is the so-...

Read more
An Infostealer That is Just Too Visible
Masaki Suenaga | 05 Dec 2007 | 0 comments

There have been many viruses discoveredthat have the direct purpose of stealing online bank account andpassword information. It has been determined that a good majority ofthese have originated in Brazil and in these cases the viruses areknown to be part of the infostealer.bancos family. They run without anyuser interface and attempt to capture all of the user information thatis being sent to a target bank's Web page. In some cases there arevariants that show fake login dialog boxes, almost all of which areJPEG image files stored in the virus. The important thing to rememberhere is that the people serving up these viruses are thieves and haveto hide.

In contrast, a fraud does not need to hide. The fraud interacts withhis or her victim without hiding. Recently we received an .exe filefrom a customer in Brazil. When the .exe is run, it shows a visiblemessage box with the title "Patch 2.25 - Correcao de Falhas." It claimsto be a patch for a particular "fault"...

Read more
RealPlayer Exploit On The Loose
Masaki Suenaga | 18 Oct 2007 | 0 comments

Yesterday we became aware of an in-the-wild exploitation of a previously unknown RealPlayer vulnerability.This unpatched vulnerability affects the latest versions of RealPlayerand RealPlayer 11 BETA distributed on their site. The issue affects anActiveX object in the RealPlayer component ierpplug.dll.

This DLL has been exploited in the past,although only remote denial of service was achieved at the time. Itappears that the miscreants have refined their technique to achievecode execution. The parameter passed to the vulnerable method of theActiveX control appears to allow only character strings, which is mostlikely why the shell code is made up of only English letters (A~Z) andnumbers (0~9). These characters can be read directly by Intel IA-32CPUs modifying machine code instructions on-the-fly.

The malicious .html...

Read more
300-Day Attacks
Masaki Suenaga | 29 Jul 2007 | 0 comments

Some file formats are more vulnerable toexploits than others. Document and spreadsheet programs, for example,are often exploited, possibly as much because of their prevalence ondesktops as from any other reason. That said, updating them is ofteneasier precisely because of their widespread use, since updates areoften automatic or are otherwise easily obtained.

Less pervasive programs, though, are often harder to keep current. Aprime example of this is the archive format, with extensions such as.zip, .rar, etc. There are a wide number of different programsavailable for different platforms; more importantly, they havehistorically been quite vulnerable to exploits.

When security vendors discuss a newly-identified vulnerability in aprogram, there is always the hope that users have the latest version orthat they will quickly upgrade. As we all know, though, the reality isquite different. Even at the enterprise level, employees of any givencompany are...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,797