Nicolas Falliere

Profile

Nicolas Falliere

Symantec Employee

Member for: 3 years 50 weeks
Contact: Send this user an email

Job Title: Principal Software Engineer

Member for: 3 years 50 weeks

Blog: View recent blog entries

Contribution Stats

Solutions

Forum Threads

Comments

Blog Entries

Ideas

Articles

Videos

Downloads

Events

Groups Joined

Nicolas Falliere's Activity

Show:

New blog entry 15 Sep 2011

Nicolas Falliere posted: Bamital を読み解く: 流行するクリック詐欺トロイの木馬

（注意: このブログ記事は、9 月 2 日に執筆したものです。サーバーをシャットダウンし、ドメイン名を遮断するための共同の努力が続いていたため、投稿を延期していました。調査したのは最新の亜種ではありませんが、この脅威の機能は正確に反映されています。） Trojan.Bamital は 2010 年の夏に登場しましたが、この脅威が真の流行を見せたのは B 亜種が見つかった直後の、2011 年初頭のことでした。Bamital は、各種のブラウザに侵入し、検索結果を改ざんしてユーザーを広告リンクにリダイレクトしようとします。今回の記事では、Bamital の最近の亜種を詳

New blog entry 13 Sep 2011

Nicolas Falliere posted: Anatomy of Bamital: A Prevalent Click-fraud Trojan

(Note: This blog was written on September 2. We decided to postpone publishing it due to an ongoing joint effort to shut down servers and block domain names. The variant studied is not the latest but accurately reflects the functionalities of the threat.) Trojan.Bamital appeared in the

New blog entry 24 Aug 2011

Nicolas Falliere posted: 暗号化を利用してドメイン乗っ取りを防止する W32.Virut

W32.Virut は、Windows ファイルに感染するワームとして、2006 年から確認されています。常に脅威チャートの上位 10 位以内に入っているので、定期的な監視が必要です。最近の亜種の解析から、ボットとコマンド & コントロールサーバーとの間の通信プロトコルを強化する変更が加えられたことが判明しています。これは、ブラックリストへの登録やシンクホールによる捕捉を防ぎ、コマンド & コントロールサーバーが乗っ取られることを避けるためです。 Virut は、コマンド & コントロール（C&C）サーバーとして機能する 2 つの

New blog entry 23 Aug 2011

Nicolas Falliere posted: W32.Virut: Using Cryptography to Prevent Domain Hijacking

W32.Virut is a Windows file infector that’s been around since 2006. It usually makes the top 10 in threat charts and therefore deserves regular scrutiny. Analysis of recent variants show that changes were made to strengthen the communication protocol between the bots and the command and co

New blog entry 04 Aug 2011

Nicolas Falliere posted: Sality ホワイトペーパー

シマンテックでは、「 Sality: Story of a Peer-to-Peer Viral Network 」というタイトルのホワイトペーパーで Sality の詳細な分析を公開しました。 Sality はファイルに感染するウイルスです。実行可能ファイルに感染し、ネットワーク共有を介して自分自身を複製することで伝染します。感染したホストは、危殆化したコンピュータにマルウェアを繁殖させるために使用されるピアツーピアネットワークに参加します。通常、追加されたそれらのプログラムは、スパムの中継、通信のプロキシ処理、個人情報の盗難、Web サーバーへの感染、または分散コンピューテ

New blog entry 03 Aug 2011

Nicolas Falliere posted: Sality Whitepaper

We’ve published a detailed analysis of Sality in a whitepaper titled, “ Sality: Story of a Peer-to-Peer Viral Network .” Sality is a file infector that spreads by infecting executable files and by replicating itself across network shares. Infected hosts join a peer-to-peer network used to pr

New blog entry 14 Apr 2011

Nicolas Falliere posted: Facebook アプリケーションを自動的に登録する新しいマルウェア

今から数カ月前、遅くとも 2 月 7 日より前に、 Sality の作成者は感染したボットによる P2P ネットワークに新しいマルウェアを投入しました。問題のマルウェアは、標準の COM インターフェースを使って Internet Explorer をフックし、Web フォーム経由で送信されるログイン情報を収集します。2 月に現れた亜種では、Facebook、Blogger、Myspace のログイン情報の扱い方が異なっていました。ユーザー名とパスワードを盗み出してコマンド& コントロール（C&C）サーバーに送信するだけでなく、侵入を受けたユーザーのコンピュー

New blog entry 13 Apr 2011

Nicolas Falliere posted: New Malware can Automatically Register Facebook Applications

A few months ago, at least prior to February 7th, Sality operators pushed a new malware onto their P2P network of infected bots . The malware in question hooks into Internet Explorer using its standard COM interface, and gathers credentials submitted via web forms. February’s variant treate

New blog entry 16 Feb 2011

Nicolas Falliere posted: 分散型の VoIP クラッカー

W32.Sality と、Sality に感染したホストで構成される分散型 P2P ボットネットについては、2010 年春のブログ記事で取り上げたことがありました。このボットネットは、別のマルウェアを誘導する URL の拡散に利用されています。最近、Sality の背後にいる集団は、SIP（ Session Initiation Protocol ）を使うシステム上の VoIP（Voice over IP）アカウント情報に対して総当たりをかけるツールを配布しています。SIP は、インターネット上の音声通話やビデオ通話の初期化と制御に広く使われているプロトコルです

New blog entry 15 Feb 2011

Nicolas Falliere posted: A Distributed Cracker for VoIP

Back in the spring of 2010, I blogged about W32.Sality and the decentralized P2P botnet made up by hosts infected by Sality. The botnet is used to propagate URLs pointing to more malware. Recently, the gang behind Sality has distributed a tool to brute force Voice over IP (VoIP) accoun

New blog entry 12 Oct 2010

Nicolas Falliere posted: PLC 感染の検出

今回のブログでは、PLC 感染のプロセスと、PLC 感染の検出方法について詳しい続報をお届けします。はじめに思い出していただきたいのは、Stuxnet は特定の種類の SIMATIC PLC が感染することを最終目標にしています。この目標を達成するために、SIMATIC DLL が置き換えられ、プログラミング環境と PCL デバイスの間でプロキシとして動作します。この DLL には、次の機能があります。 PLC とプログラミング環境の間の通信を監視する PLC を感染させる潜在的な PLC 感染を隠すシーケンスは悪質なブロックと

New blog entry 08 Oct 2010

Nicolas Falliere posted: Detecting PLC Infections

In this blog, I’m going to provide extra details about the PLC infection process and how an operator can determine if their PLC is infected. First, recall that Stuxnet’s end-goal is the infection of particular types of Simatic PLCs. In order to achieve this goal, a Simatic DLL is replaced a

New blog entry 27 Sep 2010

Nicolas Falliere posted: Step 7 のプロジェクトが Stuxnet に感染

Stuxnet のさまざまな感染経路については、 autorun.inf を使った手法やゼロデイ脆弱性など、これまでのブログ記事でも取り上げてきました。シマンテックの調査では、そのほかの感染方法も見つかっています。これは、Step 7（Siemens のエンジニアリングソフトウェア）のプロジェクトフォルダに影響する手法で、サードパーティ由来の可能性がある感染プロジェクトフォルダを開くと、ユーザーが気づかないうちに感染してしまいます。 Step 7 のプロジェクトフォルダは、次のような構造になっています。 ApiLog\... CONN\...

New blog entry 26 Sep 2010

Nicolas Falliere posted: Stuxnet Infection of Step 7 Projects

Previous blog entries have covered several different Stuxnet propagation vectors, from autorun.inf tricks to zero-day vulnerabilities . Our research has also uncovered another method of propagation that impacts Step7 project folders, causing one to unknowingly become infected when openi

New blog entry 22 Sep 2010

Nicolas Falliere posted: Stuxnet の PLC 感染プロセスの調査

2 か月前のブログでは、当初 W32.Stuxnet は石油や天然ガスなどのパイプラインや原子力発電所などで使用されている産業用制御システム（ICS）を標的としていると述べました。そして、その後の記事で技術的な詳細についても少し触れています。技術的なさらに詳しい説明については、 9 月 29 日の Virus Bulletin Conference で発表される報告書にすべて含める予定ですが、ここ数日Stuxnet がシステムに感染して検知を回避するプロセスに大きな関心が集まっています。 Stuxnet は特定の ICS を標的としているので

New blog entry 21 Sep 2010

Nicolas Falliere posted: Exploring Stuxnet’s PLC Infection Process

We first mentioned that W32.Stuxnet targets industrial control systems (ICSs) -- such as those used in pipelines or nuclear power plants -- 2 months ago in our blog here and gave some more technical details here . While we are going to include all of the technical details in a pap

New blog entry 09 Aug 2010

Nicolas Falliere posted: Sality Goes LNK

A few months ago, I described the features of W32.Sality in these two blog entries. This well-known virus propagates by infecting Windows executable files. Infected computers also make up a fully decentralized peer-to-peer network, which is used to propagate digitally signed packages of UR

New blog entry 09 Aug 2010

Nicolas Falliere posted: Sality が LNK を悪用

数カ月前、2 つのブログエントリ（こちらとこちら）で W32.Sality の特徴について説明しました。この有名なウイルスは、Windows 実行可能ファイルに感染することで増殖します。さらに、感染したコンピュータは完全に分散したピアツーピアネットワークを構成し、ボットが悪質なファイルをダウンロードして実行する場所の URL に関するデジタル署名パッケージを広めるのに使用されます。LNK の脆弱性（ BID 41732 ）が発見された結果（最初は Stuxnet により利用されました）、マルウェアの作者は作成物を増殖させる安価で簡単で効率的な方法を手に入れることになりま

New blog entry 07 Aug 2010

Nicolas Falliere posted: Stuxnet によって初めて実装された、産業用制御システムが標的のルートキット

最近の W32.Stuxnet ブログシリーズで説明したとおり、Stuxnet は Windows システムに感染して、一般に SCADA システムとして誤って認知されている産業用制御システムの検索を行います。産業用制御システムは、プログラマブルロジックコントローラ（PLC）で構成されます。PLC は、Windows システムからプログラミング可能なミニコンピュータと考えることができます。これらの PLC には、工業プロセスの自動化を制御する特殊なコードが含まれています（たとえば、プラントや工場で機械類を制御します）。プログラマは、ソフトウェア（Windows PC のソフトウェア

New blog entry 06 Aug 2010

Nicolas Falliere posted: Stuxnet Introduces the First Known Rootkit for Industrial Control Systems

As we’ve explained in our recent W32.Stuxnet blog series , Stuxnet infects Windows systems in its search for industrial control systems, often generically (but incorrectly) known as SCADA systems. Industrial control systems consist of Programmable Logic Controllers (PLCs), which can be thought

Nicolas Falliere

Nicolas Falliere's Activity

Technical Support

Symantec.com

Store

Community Stats