Liam O Murchu

Profile

Liam O Murchu

Symantec Employee

Member for: 3 years 50 weeks
Contact: Send this user an email

Member for: 3 years 50 weeks

Blog: View recent blog entries

Contribution Stats

Solutions

Forum Threads

Comments

Blog Entries

Ideas

Articles

Videos

Downloads

Events

Groups Joined

Liam O Murchu's Activity

Show:

New blog entry 12 Jul 2011

Liam O Murchu posted: 1 周年を迎えた歴史的マルウェア

ときおり、たった 1 つのマルウェアが世間の注目を浴びることがあります。（シマンテックのオフィスを別とすれば）給湯室の世間話で話題になるマルウェアは珍しいでしょうし、実際に歴史に残るほどのマルウェアとなれば、非常にまれです。発見から今月で 1 周年を迎えるあるマルウェアが、まさにそのまれなケースに該当します。 1 年前のほぼ今頃、ベラルーシのコンピュータセキュリティ企業が、Microsoft Windows の新しい脆弱性（.LNK の脆弱性）を悪用する悪質なコードを発見したと報告しました。同社もまさか、このマルウェアが世界を変えようとは思いもしなかったでしょう。この

New blog entry 11 Jul 2011

Liam O Murchu posted: A Malware Anniversary to Remember

Once in a while, a piece of malware will come along that grabs headlines. Rarer is malware that is talked about around the water cooler (at places other than Symantec). But the rarest of all is malware that actually makes history. It is for just such a piece of malware that we observe the one year

New blog entry 17 Nov 2010

Liam O Murchu posted: W32.Stuxnet コンポーネントの抽出

以前のブログでは、 W32.Stuxnet が用いるインストールの制御フローについて説明しました。今回のブログでは、この脅威がどれほど複雑なのかをもう少し詳しく紹介し、特にこの脅威が利用するさまざまなファイルと各ファイルの目的、ファイルごとの署名の有無について説明します。 Stuxnet のメインのペイロードは UPX 圧縮された .dll ファイルであり、感染したリムーバブルドライブに存在するファイルの 1 つに、エンコードされた形で格納されています。UPX 圧縮されたこの .dll ファイルをデコードして圧縮解除すると、その中には以下のように多くのファイルが含ま

New blog entry 16 Nov 2010

Liam O Murchu posted: W32.Stuxnet - ネットワーク上の動作

Stuxnet に関する以前のブログ記事では、インストール手口の詳細と、この脅威に関連する多くのファイルについてご報告しました。今回は W32.Stuxnet のネットワーク通信とコマンド & コントロール機能を取り上げます。Stuxnet が実行する処理のうち一部は自動化されていますが、なかには Stuxnet がコマンド & コントロールサーバーに接続し、特定の命令を受け取ってから実行される処理もあります。今回説明するのは、この側面についてです。自身をインストールしてファイルを投下した Stuxnet は、そのシステムに関する情報を収

New blog entry 11 Nov 2010

Liam O Murchu posted: W32.Stuxnet の亜種

以前のブログでお伝えしたように、 W32.Stuxnet には複雑なネスト構造のファイルとコンポーネントが含まれています。シマンテックでは、流行が確認されている各種のサンプルが亜種なのか、それとも同じコンポーネントを組み込んでラッパーを変更しただけなのか、それを判定することが有意義であると考えました。W32.Stuxnet に亜種が存在するかどうかを確認するために、各サンプルを解析し、それを構成しているペイロードを調べました。その解析の結果を以下に示します。調査したサンプルから（今のところ、対象はサンプル全体の一部だけです）、インストーラコンポーネントには以下の表

New blog entry 24 Sep 2010

Liam O Murchu posted: .lnk ファイル脆弱性以前の Stuxnet

Stuxnet により使用されている .lnk ファイルのゼロデイ脆弱性（BID 43073）を悪用するコードは、2010 年 3 月頃にこの脅威に追加されました。このことは、これよりも前にシマンテックが確認したサンプルには、この脆弱性を悪用するコードが含まれていなかったことからわかります。このため、「Stuxnet の以前の亜種はどのようにリームバブルデバイスを介して広がったのか」という疑問が生じます。その答えは、以前のバージョンでは脆弱性を利用しない代わりに AutoRun の手法を使用して広がっていたというものです。ワームは、リムーバブルドライブ

New blog entry 24 Sep 2010

Liam O Murchu posted: Stuxnet Before the .lnk File Vulnerability

Code to exploit the zero-day .lnk file vulnerability (BID 43073) used by Stuxnet was added to the threat around March 2010; we know this because the samples we observed before this date did not contain code to exploit that vulnerability. This leads us to the following question: how did pre

New blog entry 18 Sep 2010

Liam O Murchu posted: Stuxnet 印刷スプーラのゼロデイ脆弱性はゼロデイではない?

最近のブログ記事でシマンテックは、 W32.Stuxnet によって利用される印刷スプーラの脆弱性が存在し、それが「 Microsoft Windows 印刷スプーラサービスの脆弱性により、リモートでコードが実行される（Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability）」で取り上げられたと報告しましたが、実際にこの脆弱性は 2009 年から知られていたというご指摘がありました。あるセキュリティ雑誌で発表された記事で、この脆弱性がどのように悪用されるかについて、2009 年後半に

New blog entry 18 Sep 2010

Liam O Murchu posted: Stuxnet の P2P コンポーネント

Stuxnet に関しては現在もなお解析中で、ブログではまだ掲載していませんでしたが、今年初めに発見されて以来、Stuxnet の脅威については継続して解析を進めています。初期段階の調査では、脅威を制御する方法としてコマンド & コントロールのインフラストラクチャが指摘されました。この制御メカニズムが発見されてから、使用されるコマンド & コントロールサーバーはすぐにオフラインになりました。その後の調査によると、この脅威はコマンド & コントロールのインフラストラクチャを介して制御されるだけでなく、ピアツーピア（P2P）コンポーネントを介して自身を更新す

New blog entry 17 Sep 2010

Liam O Murchu posted: Stuxnet Print Spooler Zero-Day Vulnerability not a Zero-Day at All?

We have been made aware of a recent blog posting pointing to the fact that the print spooler vulnerability used by W32.Stuxnet and addressed in the Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability was in fact known about since 2009. An article was published in a

New blog entry 17 Sep 2010

Liam O Murchu posted: Stuxnet P2P component

Our analysis of Stuxnet has been ongoing for some time now, although we have not posted any information on our blog about it we have been continuously analyzing the threat since it was discovered earlier this year. Initial investigation into the threat pointed to a command and control infrastructu

New blog entry 15 Sep 2010

Liam O Murchu posted: Stuxnet がさらに 3 件のゼロデイ脆弱性を悪用

W32.Stuxnet に関する解析を続けた結果、この脅威は合計 4 件のゼロデイ脆弱性を利用していることが明らかになりました。USB デバイスを介して Stuxnet の拡散に利用される .lnk ファイルの脆弱性については、以前にこちらで説明していますが、さらに詳しい調査で、Stuxnet はそのほかにもリモートコード実行の 1 件の脆弱性と、ローカル権限昇格の 2 件の脆弱性も利用していることが判明しました。シマンテックはこれらの脆弱性を Microsoft に報告し、Microsoft は本日、印刷スプーラに関するリモートコード実行の脆弱性（CVE-2010-272

New blog entry 14 Sep 2010

Liam O Murchu posted: Stuxnet Using Three Additional Zero-Day Vulnerabilities

Our continued analysis of W32.Stuxnet has revealed a total of four zero-day vulnerabilities being used by the threat. We have already discussed the .lnk file vulnerability that Stuxnet uses to spread through USB drives here . Further investigations have revealed that Stuxnet uses one additi

New blog entry 28 Jul 2010

Liam O Murchu posted: W32.Stuxnet Variants

As we have mentioned in a previous blog W32.Stuxnet contains a complex nested structure of files and components inside. We were interested to discover if the different samples we have seen in the wild were different variants or just modifications to the wrapper with the same components em

New blog entry 25 Jul 2010

Liam O Murchu posted: W32.Stuxnet – Network Operations

Previously in our series of blogs about Stuxnet we wrote about the installation details and the numerous files that are associated with the threat. In this installment I will discuss the network communication and command and control functionality of W32.Stuxnet . Although some of the ta

New blog entry 21 Jul 2010

Liam O Murchu posted: Distilling the W32.Stuxnet Components

Previously, I blogged about the installation control flow used by W32.Stuxnet . In this blog I would like to discuss the complexity of the threat a little further and particularly focus on the amount of different files used by the threat and the purpose of each of those files, along with wh

New blog entry 20 Jul 2010

Liam O Murchu posted: W32.Stuxnet のインストール手口の詳細

今回は、 W32.Stuxnet の制御フローについて説明します。この脅威はリムーバブルドライブを経由して感染を広げますが、現時点でMicrosoft から脆弱性の修正パッチが提供されていないこともあって、大きな注目を集めています。ただし、それ以外にもいくつか新しい興味深い事実がありますので、ここではそれらの点について少し紹介してみたいと思います。この脅威に感染したリムーバブルドライブには、次のようなファイルが存在します。 Copy of Shortcut to.lnk（コピー～へのショートカット.lnk） Copy of Copy o

New blog entry 20 Jul 2010

Liam O Murchu posted: W32.Stuxnet Installation Details

I’d like to address the control flow used by W32.Stuxnet . The threat has been gaining some attention due to the fact that it uses a currently unpatched Microsoft vulnerability to spread through removable drives but there are other interesting and novel aspects of the threat that I would like t

New blog entry 05 Mar 2010

Liam O Murchu posted: Back Door Found in Energizer DUO USB Battery Charger Software

We recently received a file (from CERT) for analysis. We found that the file was a Trojan that opens a back door on a compromised computer and listens for commands on port 7777. This by itself is not very unusual, but what surprised us was that this file was being distributed by Energizer Inc as p

New blog entry 02 Feb 2010

Liam O Murchu posted: Password-Protected Word Document In W32.Zimuse

While analyzing W32.Zimuse recently I was surprised to find two different passwords used within the threat: one of these decrypts a Word document that contains information about some members of a Slovakian motorbike forum. In order to spread via USB drives, W32.Zimuse copies the file zipse

Liam O Murchu

Liam O Murchu's Activity

Technical Support

Symantec.com

Store

Community Stats