Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Security Response remove filter
Showing posts by Sammy Chu remove filter
悪質な HTML ファイルが添付された電子メール
Sammy Chu | 30 Jan 2012 | 0 comments

マルウェアは多くの場合、圧縮ファイル(.zip、.rar など)として電子メールに添付されているものですが、最近は拡張子 .htm の HTML ファイルが添付された悪質な電子メールによる攻撃が増えていることをシマンテックは確認しています。

受信されるのは、次のようなメッセージです。

この攻撃には .htm ファイルが添付され、不明瞭化された JavaScript がそのファイルのコードに埋め込まれています。JavaScript の目的は、マルウェアを仕込んだサイトにブラウザをリダイレクトさせることです。このサイトはロシアに置かれており、Trojan.PidiefTrojan.Swifi が仕掛けられています。

HTML ファイルに悪質な JavaScript をインジェクトすると、以下のような操作が可能になります。

  • ブラウザやプラグインの脆弱性を悪用して任意のコードを実行する。
  • 偽のウイルス対策スキャンなど、虚偽の情報を表示する。
  • JavaScript、HTML など他のファイルをダウンロードする。
  • ブラウザセッションを乗っ取る。
  • ユーザーを悪質な Web サイトに誘導する。
  • 情報を盗み出す。

悪質な電子メール攻撃から身を守るための対策をいくつか挙げておきます。

  • 電子メールアドレスを共有する Web サイトは慎重に選択する。
  • ...
Read more
Email with Malicious HTML Attachments
Sammy Chu | 30 Jan 2012 | 0 comments

Malware is often embedded in email as compressed attachments (such as .zip, .rar, etc.). Recently, however, Symantec has noticed an increase in malicious email attacks with .htm (HTML) attachments.

Here is what the message looks like in your inbox:

The attack contains a .htm attachment and obfuscated JavaScript is embedded in the coding of the file. The purpose of the JavaScript is to redirect your internet browser to a malware-hosting site in Russia which contains Trojan.Pidief and Trojan.Swifi.

Malicious JavaScript, when injected into an HTML file, can:

  • Exploit browser and plugin vulnerabilities to run arbitrary code
  • Display fake antivirus scans and other fraudulent...
Read more
ホリデーシーズンの e チケットを確認する前に
Sammy Chu | 21 Nov 2011 | 0 comments

今週はもう感謝祭です。シマンテックが感謝祭の到来に気づいたのは、1 年間で旅行客数が最も多くなる感謝祭前日を目前にひかえて、e チケットの予約確認を装ったウイルスメールの件数も急増しているからです。

以下に、航空券の確認を騙った偽造メッセージの例を挙げます。

このメッセージの HTML コードを詳しく調べてみると、リンクタグの中に次のような悪質なリンクが埋め込まれていることがわかります。

このリンクからは、マルウェアをホストしている既知のサイトにリダイレクトされます。これはロシアにあるサイトで、以前も Trojan.Maljava に利用されたことがあります。Trojan.Maljava は、悪質な Java ファイルを識別するためにシマンテックが使っている検出名です。これは脆弱性を悪用するマルウェアで、無防備なユーザーを待ち受ける無数の脅威のひとつです。

この手の悪質な電子メール攻撃から身を守るための対策をいくつか挙げておきます。ホリデーシーズンの旅行ラッシュ期間には、メールのリンクをクリックする前に、以下の点に十分注意してください。

  • 電子メールアドレスを登録する Web サイトは慎重に選択する。
  • 個人情報や口座情報をオンラインで入力する場合は、Web サイトが SSL で暗号化されていることを確認する(HTTPS、鍵マーク、緑色のアドレスバーなどが使われていることを確かめる)。
  • 電子メールやインスタントメッセージ中の疑わしいリンクは、詐称された Web...
Read more
Beware of Your Holiday Travel E-Ticket Confirmation
Sammy Chu | 21 Nov 2011 | 0 comments

How does Symantec know it's the week of Thanksgiving? Because as the busiest travel day of the year day quickly approaches, the day just before Thanksgiving , there is a surge in fake email ticket confirmations that lead to viruses.

Here is what a fake airline message looks like:

If you inspect the HTML coding for this message carefully, you will notice a malicious link in the anchor tag:

This link redirects to a known malware-hosting site in Russia which previously hosted Trojan.Maljava. Trojan.Maljava is a detection name used by Symantec to identify malicious Java files that...

Read more
交通違反切符、それとも悪質な添付ファイル?
Sammy Chu | 23 Aug 2011 | 0 comments

以前から、各種の宅配サービスからの出荷通知を装った悪質な攻撃が確認されています。今回、一連の悪質な攻撃による「ブランドジャック」の犠牲となったのは、ニューヨーク州の陸運局でした。

以下に、この偽造メッセージの例を挙げます。

悪質な添付ファイルは Ticket-064-211.zip という名前で、Trojan.FakeAV の亜種であることが確認されています。Trojan.FakeAV は、今日のインターネット上で最も威力を発揮しているリスクのひとつです。毎日のように偽のウイルス対策やセキュリティアプリケーションがリリースされ、さまざまな配信経路を通じて無警戒なユーザーの元に送信されていますが、そのプログラムは、お互いのクローンである場合がほとんどです。同じコードベースから作成され、名前や外見だけ変えられていることが多く、その際には「スキン」が利用されています。

悪質な電子メール攻撃から身を守るためのベストプラクティスを、いくつか挙げておきます。

  • 電子メールアドレスを登録する Web サイトは慎重に選択する。
  • 個人情報や口座情報をオンラインで入力する場合は、Web サイトが SSL で暗号化されていることを確認する(HTTPS、鍵マーク、緑色のアドレスバーなどが使われていることを確かめる)。
  • 電子メールやインスタントメッセージ中の疑わしいリンクは、偽装された Web サイトにリンクしている可能性があるのでクリックしないようにする。メッセージ中に記載されたリンクをたどるのではなく、ブラウザに Web アドレスを直接入力することをお勧めします。
  • スパムメッセージを開かない。
  • スパムには返信しない。一般的に送信者の電子メールアドレスは偽装されており、...
Read more
Traffic Ticket...or Malicious Attachment?
Sammy Chu | 22 Aug 2011 | 0 comments

In the past we have seen malicious attacks pretending to be shipment notifications from various parcel delivery services. Now the New York State DMV has become the latest “brandjacking” victim for a series of malware attacks.

Here is what the fake message looks like:

Ticket-064-211.zip is the name of the malicious attachment, and it is being identified as a variant of Trojan.FakeAV—one of the most prolific risks seen on the Internet today.  Every day, bogus antivirus and security applications are released and pushed to unsuspecting users through a variety of delivery channels. Many of these programs turn out to be clones of each other. They are often created from the same code base, but presented with a different name and look, which is achieved through the use of a "...

Read more
中国語スパムの増加
Sammy Chu | 30 Jun 2011 | 0 comments

グローバル経済の発展に伴い、国際的な組織間では英語以外で書かれた電子メールによるビジネスコミュニケーションも一般的になってきました。しかしそれと同時に、国内企業でも国際企業でも、英語以外で書かれたスパムが急激に問題化しています。

過去数カ月間に、シマンテックは中国語のスパムが急激に増えたことを確認しています(以下のグラフを参照)。


 
この増加傾向で興味深いのは、中国のスパマーに利用されている本文不明瞭化の手口が再浮上していることです。この手口は「見えないテキスト(invisible text)」と呼ばれています。「見えないテキスト」とは何かと言うと、本文のテキストを背景色と同じ色にする手法です。こうすると、人の目には見えなくなるからです。

シマンテックで確認されたサンプルを以下に示します。最初のサンプルは、中国語のセミナー(トレーニングコース)を宣伝している代表的なスパムです。見えないテキストが、赤い丸で囲んだ数字の間に存在します。

2 番目のサンプルは、クリック可能な URL が含まれる広告です。見えないテキストが、赤い丸で囲んだページの下部に存在します。

見えないテキスト本文による不明瞭化は、スパムとして新しい手口ではなく、以前は英語のスパムでも確認されていました。この手口の目的は、スパム対策フィルタをすり抜けることです。見えないテキストによって不明瞭化すると、本文は人間の目には見えなくなりますが、スパム対策エンジンはメッセージ本部に含まれる 1 文字たりとも見逃しません。中国語スパムの量が最近急増したことを受けて、シマンテックはこの攻撃の監視を続け、適切な対応をとっていく予定です...

Read more
The Rise of Chinese Spam
Sammy Chu | 29 Jun 2011 | 0 comments

With our globalized economy, non-English email between international organizations has become the norm for business communication. However, at the same time, non-English spam is also becoming more and more of a problem for national and international enterprises.

For the past several months, Symantec has noticed an increase for Chinese language spam, as shown in the graphic below:


 
What’s interesting about this increase is the resurfacing of a body-obfuscation technique that is being used by Chinese spammers—the technique is called “invisible text.” What is “invisible text,” exactly? Invisible text is the body text that’s the same color as the background; therefore, it is invisible to the human eye.

Below are some samples that Symantec has observed. The first sample is a typical Chinese seminar (training course) promotion spam...

Read more
ドット付き 10 進数 URL の不明瞭化
Sammy Chu | 11 May 2011 | 0 comments

ドット付き 10 進数 URL(ドットで区切った連続する 4 つの 10 進数で 4 バイトの IP アドレスを表記する方法)は、スパマーが頻繁に悪用する URL 不明瞭化手法の 1 つです。不幸なことに、コンピュータにとって IP アドレスは 32 ビットの 2 進数にすぎず、ドット付き 10 進数は IP アドレスを表現する複数の記数法の 1 つにすぎません。このような柔軟な解釈の仕組みに付け入って、スパマーは URL を不明瞭化する新たな手口を生み出しました。ドット付き 10 進数 URL の手法を別の記数法に応用したのです。

シマンテックが観測したスパマーによる IP アドレス記数法の不明瞭化手法の一部を以下に示します(以下のすべてのサンプルは、単に Symantec.com の IP アドレスを異なる数値表現にしたものです)。

16 進数形式に変換した IP アドレス(16 進数の記数法は base-16 とも表記されます)

ドット付き 16 進数形式に変換した IP アドレス

ドット付き 8 進数形式に変換した IP アドレス(8 進数の記数法は base-8 とも表記されます)

16 進数と 8 進数の組み合わせ

これまで、スパマーは、16 進数の不明瞭化だけを攻撃に悪用していました。

...

Read more
Dotted Decimal URL Obfuscation
Sammy Chu | 10 May 2011 | 0 comments

Spamming with dotted decimal URL (a dotted decimal URL refers to the four-byte IP address notation as a sequence of four decimal numbers separated by dots) is one of the most often seen URL-obfuscation techniques employed by spammers. Unfortunately, to the computer, an IP address is just a 32-bit binary number, and a dotted decimal is just one out of the many numeral systems for IP address expression. With this flexibility in interpretation, spammers have developed a new way to obfuscate their URLs; they start converting their dotted decimal URLs into different numeral systems.

Below are some of the IP address numeral system obfuscation techniques Symantec has observed of spammers. (All of the samples below are just different numeral representations of the IP address for Symantec.com)

An IP address converted to hexadecimal format. (Hexadecimal is a base-16 numeral system.)

An IP address...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,843