Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

Showing posts tagged with Security remove filter
Showing posts by Symantec Security Response remove filter
Waledac スパムは 2012 年ロシア大統領選に対する誹謗攻撃か
Symantec Security Response | 20 hours 3 min ago | 0 comments

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

...

Read more
Is Waledac Spam Dirtying the Russian 2012 Elections?
Symantec Security Response | 10 Feb 2012 | 0 comments

Recently there have been several reports about the re-emergence of a botnet variant (Kelihos), which Symantec detects as W32.Waledac.C. The Waledac family is a threat that has been monitored by Symantec for many years and was featured in numerous blogs as well as a white paper. In the past, Waledac gained its infamy as a spamming botnet that utilized compromised systems to send out spam.  The purpose of these spamming campaigns had usually...

Read more
サーバーサイドポリモーフィック型の Android アプリケーション
Symantec Security Response | 02 Feb 2012 | 0 comments

Windows の世界では、かなり以前からサーバーサイドポリモーフィズムの技法を使ってコンピュータに感染する手口が全世界で確認されてきました。これはつまり、ファイルがダウンロードされるたびに、異なるバージョンのファイルを作成して従来のシグネチャベースの検出をすり抜けようとすることを意味します。最近、この同じ手口が、ロシアの Web サイトでホストされている悪質な Android アプリケーションにも使われていることが判明しました。シマンテック製品では、この亜種をすべて Android.Opfake として検出します。Opfake をホストしているサイトにはリンクかボタンが設置され、それを使うと人気の高い Android ソフトウェアの無料版をダウンロードできることになっていますが、実際にダウンロードされるのは悪質なパッケージです。

このアプリケーションは、ダウンロードされるたびに少しずつ自動的に形態を変えます。それだけでなく、数日ごとに手動でも変更が加えられているところから、作成者は現在もこのマルウェア群の保守にいそしんでいると考えられます。

Opfake がサーバーサイドポリモーフィズムに利用している手法は、可変データによる変更、ファイルの並べ替え、ダミーファイル挿入の 3 つです。以下、それぞれのケースを見ていくことにします。

1 つ目は可変データを使ったケースです。2 つのダウンロードファイルの CRC を比較すると、意味のある変更は "res/raw/data.db" の部分にしかないことがわかります。META-INF にも変更されているファイルがありますが、これにはパッケージのシグネチャデータが含まれているので、res/raw/data.db が変更された事実が反映されているにすぎません。

...
Read more
Server-side Polymorphic Android Applications
Symantec Security Response | 01 Feb 2012 | 0 comments

For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. We are now seeing this same technique being used for malicious Android applications hosted on Russian websites. We detect all of these variants as Android.Opfake. The sites hosting Opfake include either links or buttons that can be used to download the malicious packages that are purporting to be free versions of popular Android software.

The applications morph themselves automatically in a few ways every time the threat is downloaded. In addition, manual modifications are also made every few days indicating that the malware authors are actively maintaining this malware family.

Opfake...

Read more
Android.Counterclank に関する最新情報
Symantec Security Response | 31 Jan 2012 | 0 comments

シマンテックは先日、Android.Tonclank の新しいバージョンが発見されたことをこのブログで Android ユーザーのみなさんにお伝えし、これを Android.Counterclank と命名しました。そのときのブログから、Android ユーザーはこの新しいバージョンについて懸念すべきかどうかという議論が起こりました。シマンテックがアプリケーションを分類するときの基準は、アプリケーションの動作に関する情報がユーザーにとって必要かどうかという点です。ユーザーがより確実な情報に基づいて、インストールの可否を判断できるようにするためです。

現在の状況は、アドウェアやスパイウェア、あるいは不要と思われるアプリケーションが Windows 環境に初めて出現したときとよく似ています。多くのセキュリティベンダーが当初はこれらのアプリケーションを検出しませんでしたが、最終的には、コンピュータユーザーからも広く認められ、セキュリティベンダー各社もこの種類のアプリケーションについてユーザーに通知するようになりました。

最初のブログ記事以降、シマンテックは Tonclank と Counterclank のコードが同じベンダーに由来していることを特定しました。このベンダーは、サードパーティ各社に SDK(ソフトウェア開発キット)を配布している企業で、この SDK はアプリケーション、主として検索機能を利益に結び付けるためのものです。

詳しく言うと、この SDK のコードはリモートサーバー(apperhand.com)に接続して、以下の情報を送信します。

  • インストール環境を一意に識別するデバイス情報(IMEI など)の SHA1 ハッシュ
  • この SDK...
Read more
An Update on Android.Counterclank
Symantec Security Response | 30 Jan 2012 | 0 comments

Last week, we posted a blog informing Android users of the discovery of new versions of Android.Tonclank, which we have named Android.Counterclank. The blog generated a bit of discussion over whether these new versions should be a concern to Android users. When classifying applications, our focus is on whether users want to be informed of the application's behavior, allowing them to make a more informed choice regarding whether to install it.

The situation we find ourselves in is similar to when Adware, Spyware, and Potentially Unwanted Applications first made appearances on Windows. Many security vendors did not initially detect these applications, but eventually, and with the universal approval of computer users, security companies chose to notify users of these types of applications...

Read more
Sykipot 攻撃についての考察
Symantec Security Response | 26 Jan 2012 | 0 comments

数カ月前から執拗に続く Sykipot による攻撃は、さまざまな業種を標的としていますが、その大部分は軍需産業です。どの攻撃も、何文字かのアルファベットに日付が続く一意の ID がトロイの木馬本体にハードコードされているという特徴があります。数字の前のキーワードが、利用されている Web サーバーのサブドメインのフォルダ名になっている場合もあります。これまでの攻撃で見つかったサンプルを以下に示します。

  • alt20111215
  • auto20110413
  • auto20110420
  • be20111010
  • chk20111219
  • chksrv20111122
  • easy20110720w
  • easy20110926n
  • good20110627
  • help20110908
  • help20110926
  • info20111025
  • info20111028
  • info20111031G
  • insight20111122
  • pretty20111101
  • pretty20111122
  • pub2011124x
  • server20111212
  • webmail20111122
  • world20111205

攻撃者はこの一意の ID を目印にして、業種別、組織別に攻撃を関連付けられるようになっています。

これ以外にも、狙ったユーザーに新しいバイナリを送信する前に使われる、テスト用のステージングサーバーと思しきものを考察する手がかりが残されていました。また、このサーバーは、一定期間コマンド & コントロール(C&C)サーバーとしても使われていたことが確認されています。サーバーは中国の北京地域に置かれ、中国の大手 ISP 上で稼働していましたが、...

Read more
Insight into Sykipot Operations
Symantec Security Response | 26 Jan 2012 | 0 comments

The Sykipot campaign has been persistent in the past few months targeting various industries, the majority of which belong to the defense industry. Each campaign is marked with a unique identifier comprised of a few letters followed by a date hard-coded within the Sykipot Trojan itself. In some cases the keyword preceding the numbers is the sub-domain's folder name on the Web server being used. Here are some examples of the campaigns we have seen so far:

  • alt20111215
  • auto20110413
  • auto20110420
  • be20111010
  • chk20111219
  • chksrv20111122
  • easy20110720w
  • easy20110926n
  • good20110627
  • help20110908
  • help20110926
  • info20111025
  • info20111028
  • info20111031G
  • insight20111122
  • pretty20111101
  • pretty20111122
  • pub2011124x
  • server20111212
  • webmail20111122
  • ...
Read more
Android マーケットに出現した SMS 詐欺
Symantec Security Response | 14 Dec 2011 | 0 comments

この脅威を解析した末長政樹および Andy Xies の両氏に感謝します。

シマンテックセキュリティレスポンスは先日、Twitter アカウント @threatintel から、ヨーロッパ各国のユーザーを狙った悪質なアプリケーションについてツイートしましたが、それに続いて Android マーケットで別の不正なアプリケーションを複数確認しました。これらのアプリケーションは、別の開発者名で公開されていました。シマンテックの解析によると、新しく発見された 11 件のアプリケーションは「Miriada Production」という開発者名で公開されており、「Logastrod」という開発者名で公開されているアプリケーションと同一のものです。これらのアプリケーションは有名なゲームを悪用しており、そのゲームタイトルを偽装していますが、実際には SIM カードが登録されている各国のプレミアム SMS 番号に 2 つのテキストを送信するだけです。また、特定の番号からテキストを受信しても通知を表示しない機能も備えています。

シマンテックから Google にこれらのアプリケーションを通報したところ、Google は迅速に対応し、Android マーケットから該当するアプリケーションを削除しました。

どのアプリケーションも、含まれている悪質なコンテンツは同一のようです。このことから察すると、どちらの開発者も同じテンプレートから悪質なコードを借用したか、同じ開発者が 2 種類の名前を使い分けている可能性があります。

通常の Android アプリケーションと同様、ユーザーは、これらのアプリケーションをインストールする前に、要求される許可を承諾する必要があります。これらの許可について理解しておけば、不必要な許可を求めてくるアプリケーションを回避するのに役立ちます。今回のケースでは、SMS...

Read more
SMS Fraud on the Android Market
Symantec Security Response | 13 Dec 2011 | 0 comments

Thanks to Masaki Suenaga and Andy Xies for their analysis.

Following the tweet from our @threatintel Twitter account last night about malicious applications targeting users in European countries, Symantec Security Response has identified another group of fraudulent apps on the Android market, but this time under a different publisher ID. From our analysis the 11 newly discovered apps are published under the name “Miriada Production” and are identical to the apps published under the name “Logastrod”. These apps are capitalizing on popular game titles, and masquerade as these games, but in fact they just sends two texts to premium-rate, local SMS numbers in the country where the SIM card is registered. The app also prevents notifications from being displayed if the incoming text is from certain numbers.

Once notified of these apps by Symantec, Google acted promptly...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,795