Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Trojan.FakeAV remove filter
Urchin の素顔
Karthikeyan Kasiviswanathan | 27 Oct 2011 | 0 comments

最近、特定の大量埋め込みキャンペーンについて書かれたブログを見かけるようになりました。この機会に、シマンテックで判明した事実をご報告します。

この攻撃は、すでにペースを速めており、多くの無防備なユーザーが感染しています。攻撃の始まりは特定のサイトに埋め込まれたスクリプトで、このスクリプト自体は http://[削除済み]/urchin.js という特定のサイトをポイントしています。今回のブログでは、悪質なファイルを侵入先のコンピュータにインストールするためにこの攻撃で使われている、いくつかの悪用コードを見ていこうと思います。

スクリプトが埋め込まれたサイトにアクセスすると、ユーザーは悪質なサイトにリダイレクトされます。さらにリダイレクトが続き、最終的には不明瞭化されたスクリプトが含まれるサイトに誘導されます。このスクリプトをデコードすると、iFrame タグが埋め込まれていることがわかります。このサイトに埋め込まれている iFrame タグの不明瞭化を解除すると、次のようになっています。

ページには再生ボタンの付いたビデオが表示されますが、このボタンをクリックすると、次の図のように Adobe Flash Player の更新を推奨する偽のメッセージが出現します。

[Don’t Install(インストールしない)]をクリックしても、更新のインストールを求めるメッセージが繰り返されるだけです。

i.html ページには、多数の悪用コードも潜んでいます。不明瞭化解除への対抗策として、スクリプトでは argument.callee 関数が利用されています。これは、多くの悪質なスクリプトで確認されている関数で、次の図の赤い線で囲んだ部分がこれに当たります。

...

Read more
The True Face of Urchin
Karthikeyan Kasiviswanathan | 26 Oct 2011 | 0 comments

In recent days, we have seen blogs about a specific type of Mass Injection campaign. We take this opportunity to publish our findings in this blog.

This particular campaign has already picked up pace and it is infecting a lot of innocent users out there. It all starts with a script that is injected into certain sites. The script itself points to one particular site: “http://[REMOVED]/urchin.js”. Throughout this blog, we will see the different exploits that this particular campaign uses in order to install malicious files on to a compromised computer.

Upon visiting a site with the injected script, the user is redirected to a malicious site. A subsequent redirection takes the user to a site that contains an obfuscated script. When the script is decoded, it reveals an embedded iFrame tag. Below is an example of the de-obfuscated iFrame tag embedded in the site.

...

Read more
交通違反切符、それとも悪質な添付ファイル?
Sammy Chu | 23 Aug 2011 | 0 comments

以前から、各種の宅配サービスからの出荷通知を装った悪質な攻撃が確認されています。今回、一連の悪質な攻撃による「ブランドジャック」の犠牲となったのは、ニューヨーク州の陸運局でした。

以下に、この偽造メッセージの例を挙げます。

悪質な添付ファイルは Ticket-064-211.zip という名前で、Trojan.FakeAV の亜種であることが確認されています。Trojan.FakeAV は、今日のインターネット上で最も威力を発揮しているリスクのひとつです。毎日のように偽のウイルス対策やセキュリティアプリケーションがリリースされ、さまざまな配信経路を通じて無警戒なユーザーの元に送信されていますが、そのプログラムは、お互いのクローンである場合がほとんどです。同じコードベースから作成され、名前や外見だけ変えられていることが多く、その際には「スキン」が利用されています。

悪質な電子メール攻撃から身を守るためのベストプラクティスを、いくつか挙げておきます。

  • 電子メールアドレスを登録する Web サイトは慎重に選択する。
  • 個人情報や口座情報をオンラインで入力する場合は、Web サイトが SSL で暗号化されていることを確認する(HTTPS、鍵マーク、緑色のアドレスバーなどが使われていることを確かめる)。
  • 電子メールやインスタントメッセージ中の疑わしいリンクは、偽装された Web サイトにリンクしている可能性があるのでクリックしないようにする。メッセージ中に記載されたリンクをたどるのではなく、ブラウザに Web アドレスを直接入力することをお勧めします。
  • スパムメッセージを開かない。
  • スパムには返信しない。一般的に送信者の電子メールアドレスは偽装されており、...
Read more
Traffic Ticket...or Malicious Attachment?
Sammy Chu | 22 Aug 2011 | 0 comments

In the past we have seen malicious attacks pretending to be shipment notifications from various parcel delivery services. Now the New York State DMV has become the latest “brandjacking” victim for a series of malware attacks.

Here is what the fake message looks like:

Ticket-064-211.zip is the name of the malicious attachment, and it is being identified as a variant of Trojan.FakeAV—one of the most prolific risks seen on the Internet today.  Every day, bogus antivirus and security applications are released and pushed to unsuspecting users through a variety of delivery channels. Many of these programs turn out to be clones of each other. They are often created from the same code base, but presented with a different name and look, which is achieved through the use of a "...

Read more
配送通知を偽装するトロイの木馬
Vivian Ho | 31 Mar 2011 | 0 comments

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: "United Parcel Service" <info***3@ups.com>
差出人: "UPS Customer Services(UPS カスタマーサービス)"<***@secureserver.net>
差出人: "United Parcel Service" <***@dhl.com>
差出人: "Neil Molina" United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: "Kimberley Miner" United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)

差出人: "Post Express...

Read more
Trojan Express Delivery
Vivian Ho | 30 Mar 2011 | 0 comments

In the past couple of days, Symantec has observed a spike of email attacks that are designed to distribute malicious threats. All of the observed samples are spoofed to appear as if they are legitimate delivery warnings or notifications from UPS or Post Express. The message text asks recipients to open the zipped executable file for further details or actions necessary to take delivery of the item.

Below are the sample headers observed in this spam attack:

From: "United Parcel Service" <info***3@ups.com>
From: "UPS� Customer Services"<***@secureserver.net>
From: "United Parcel Service" <***@dhl.com>
From: "Neil Molina" United Parcel Service  <[Details Removed]@ [Details Removed]>
From: "Kimberley Miner" United Parcel Service  <[Details Removed]@ [Details Removed]>...

Read more
CO.CC ドメインから 1,200 万件の攻撃が発生
Peter Coogan | 16 Mar 2011 | 0 comments

シマンテックが遠隔計測を行った結果によると、過去 6 カ月間に 1,200 万以上の IPS(侵入防止シグネチャ)が、CO.CC ドメインのサブドメインにヒットしたことが明らかになっています。トップレベルドメインの命名階層にある程度詳しい方であれば、CO.CC も CO.UK のような公式のセカンドレベルドメインであると考えそうですが、実際にはそうではありません。.CC は、オーストラリアココス(キーリング)諸島を表すインターネット国別コード...

Read more
12 Million Exploit Attacks Originating from the CO.CC Domain
Peter Coogan | 15 Mar 2011 | 0 comments

Symantec’s telemetry has shown over 12 million Intrusion Prevention Signature (IPS) hits on sub domains of the ‘CO.CC’ domain in the last six months. Anyone somewhat familiar with the top-level domain-naming hierarchy might be lead to believe that CO.CC is actually an official second-level domain similar to CO.UK; this, however, is not the case. .CC is the Internet country code top-level domain (ccTLD) for Cocos (Keeling) Islands...

Read more
偽のディスククリーンアップユーティリティが用いる策略
Hon Lau | 01 Dec 2010 | 0 comments

シマンテックでは、偽ウイルス対策ソフトウェア(Trojan.FakeAV など)の作者たちが用いる手法に変化が見られることを確認しました。10 月の後半から、偽のハードディスクスキャナやデフラグツールが作成される動きが見られるようになったのです。初めのうちは少量でしたが、今では大量に確認されるようになり、新しいクローンがほぼ毎日のように出現しています。

現在までにクローンで使われている名前は次のとおりです(シマンテックでは、いずれも Trojan.FakeAV、UltraDefraggerTrojan.FakeAV!gen28 として識別しています)。

·         Ultra Defragger

·         Smart Defragmenter

·         HDD Defragmenter

·         System Defragmenter

·         Disk...

Read more
Fake Disk Cleanup Utilities: The Ruse
Hon Lau | 30 Nov 2010 | 0 comments

We have observed a change of tack by the creators of fake antivirus software (like Trojan.FakeAV). Since the latter parts of October, we have seen a move into the creation of fake hard disk scanners and defragmentation tools. What started as a trickle has now become a steady outpouring, with new clones being released almost daily.

So far we have seen the following names being used by the clones (all detected by Symantec as Trojan.FakeAV, UltraDefragger, or Trojan.FakeAV!gen28):

·         Ultra Defragger

·         Smart Defragmenter

·     ...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,911