Tag Archives: malware

Your Facebook connection is now secured! Thank you for your support!

The title of this blog post may make you think that we will discuss the security of your Facebook account. Not this time. However, I will analyze an attack which starts with a suspicious email sent to the victim’s email account. The incoming email has the following subject, ‘Hey <name> your Facebook account has been […]

Android:Obad – malware gets smarter – so does AVAST

If you had the privilege to meet Android:Obad, which Kaspersky earlier reported to be the “most sophisticated android malware,” you are in a real bad situation and this will probably be the moment to which you’ll be referring to in the future as “The time I learned the hard way what better-safe-than-sorry means.” A few […]


      No Comments on ??????????????????????

寄稿: 篠塚大志


最近の調査で、シマンテックは Word13.exe という変わった名前のサンプルを発見しました。外見だけからすると、デジタル署名された Adobe 社製のファイルのように見えます。

Fake Certificate 4.jpg

図 1. Adobe 社の署名の付いた Word13.exe ファイル

Fake Certificate 1.png

図 2. 偽のデジタル署名のプロパティ


Fake Certificate 2.png

図 3. 偽の署名と証明書

これが偽物であることは、[発行者]フィールドに「Adobe Systems Incorporated」と書かれていることでわかります。Adobe 社は VeriSign 製品の顧客だからです。また、証明書の情報を見ると、CA ルート証明書を信頼できないこともわかり、これも決定的な証拠になります。

Fake Certificate 3.png

図 4. Adobe 社の正規の署名と証明書

シマンテックは、このファイルに対する保護対策を提供しており、Backdoor.Trojan として検出します。

Backdoor.Trojan は、自身を実行して iexplore.exe または notepad.exe にインジェクトし、バックドア機能を開始します。


  • %UserProfile%\Application Data\ aobecaps \cap.dll
  • %UserProfile%\Application Data\ aobecaps \mps.dll
  • %UserProfile%\Application Data\ aobecaps \db.dat

また、ポート 3337 で以下のコマンド & コントロール(C&C)サーバーに接続します。

  • Icet****ach.com 


  • ユーザーとコンピュータの情報を盗み出す
  • フォルダを作成する
  • ファイルを作成、ダウンロード、削除、移動、検索、実行する
  • スクリーンショットを取得する
  • マウス機能をエミュレートする
  • Skype 情報を盗み出す

このマルウェアの被害を受けないように、ウイルス対策定義を常に最新の状態に保ち、ソフトウェアも定期的に更新するようにしてください。ダウンロードの URL が提示された場合には、必ずその URL を再確認し、必要に応じて念のために証明書と署名を確認してください。


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Malware Using Fake Certificate to Evade Detection

Contributor: Hiroshi Shinotsuka

Malware authors are always seeking new ways to hone their craft.  As cybercriminals are facing a multitude of preventative technologies from Symantec and users are becoming more security conscious, it is becoming increasingly difficult for the bad guys to win.

Recently, during research, we came across an oddly named sample, Word13.exe. Upon first glance, it appears to be a digitally signed file from Adobe.

Fake Certificate 1.png

Figure 1. Fake digital signature properties

But upon closer inspection we found something very interesting.

Fake Certificate 2.png

Figure 2. Fake signature and certificate

It’s fake, as the “Issued By” field says “Adobe Systems Incorporated” – Adobe is a VeriSign customer. Also, in the certificate information, we see that the CA Root certificate is not trusted – another dead giveaway.

Fake Certificate 3.png

Figure 3. Legitimate Adobe signature and certificate

Symantec has protection in place and detects this file as Backdoor.Trojan.

Backdoor.Trojan will execute and inject itself into iexplore.exe or notepad.exe and start a back door function.

It may create following files:

  • %UserProfile%\Application Data\ aobecaps \cap.dll
  • %UserProfile%\Application Data\ aobecaps \mps.dll
  • %UserProfile%\Application Data\ aobecaps \db.dat

It connects to the following command-and-control (C&C) server on port 3337:

  • Icet****ach.com 

This back door may then perform the following actions:

  • Steal user and computer information
  • Create folders
  • Create, download, delete, move, search for, and execute files
  • Capture screenshots
  • Emulate mouse function
  • Steal Skype information

To ensure that you do not become a victim of this threat, please ensure that your antivirus definitions are always up-to-date and that your software packages are also regularly updated. Always double check the URL of the download that is being offered and, if applicable, check the certificate and signature just to be safe.

Browser Toolbars – almost malware?

      No Comments on Browser Toolbars – almost malware?

by Thomas Salomon, head of AVAST Software ‘s German Software Development team In a previous blog post we wrote about the statistics from avast! Browser Cleanup. These statistics have become even worse: More than 1,000,000 (one million!) browser add-ons are available for the three main browsers More than 82% of all add-ons have a bad […]

Obad.a – What You Need to Know About the Latest Android Threat

With the convenience of our mobile apps, we increasingly rely on our phones for work and play.  But did you know that those same apps might be leaving you vulnerable to some nasty mobile viruses? The worst type of malware, software that damages your computer or mobile, is a Trojan.  Trojans are a particularly insidious Read more…

????????????EFS???????????????????? Backdoor.Tranwos

最近シマンテックは、暗号化ファイルシステム(EFS)を悪用する脅威(Backdoor.Tranwos として検出されます)を発見しました。プログラムコードで EFS を使用するのは些細なことであるだけでなく、フォレンジック解析の際にファイルの内容へのアクセスを妨害するうえでも、きわめて効果的です。

この脅威は %Temp%\s[ランダムな ASCII 文字列] というフォルダを作成し、フォルダを暗号化するために EncryptFileW API を呼び出します。暗号化されたフォルダにこれ以降作成されるファイルやフォルダはすべて、Windows によって自動的に暗号化されます。また、wow.dll というファイル名で自身をこのフォルダにコピーし、DLL ファイルに変更するために PE ヘッダーの Characteristic 属性を改ざんします。

backdoor tranwos 1 edit.png

図 1. フォルダを作成して暗号化

セキュリティ研究者は、感染したコンピュータから悪質なファイルを取り出せるように、リムーバブルドライブから起動できるタイプの Linux など、別のオペレーティングシステムを使っている場合があります。この方法は、ルートキットに感染したコンピュータからファイルを取り出すときに便利ですが、wow.dll ファイルは EFS 上で暗号化されているため、この方法で wow.dll ファイルを取り出すことはできません。

この脅威を実行したユーザーアカウントでは、ファイルの内容を確認し、暗号化のステータスを変更することができます。通常とは異なり、この脅威に対して研究者はフォレンジックツールを使えないため、ファイルの内容を収集するには、テストコンピュータ上でこの脅威を手動で実行しなければなりません。この脅威が EFS を利用する唯一の目的は、フォレンジック解析で自身の内容が把握されないようにすることです。

backdoor tranwos 2.png

図 2. wow.dll ファイルのパス


この脅威には、開いたバックドアを通じてリモートの攻撃者から受信されるコマンドに応じてコマンド & コントロールサーバーを変える機能があります。また、追加のマルウェアを侵入先のコンピュータにダウンロードする機能もあります。シマンテックはこの脅威の監視を続け、新たに何か判明し次第報告する予定です。

このような脅威から保護するために、ウイルス対策定義、IPS シグネチャ、ファイアウォールルールを最新の状態に保つことをお勧めします。


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Backdoor.Tranwos Abuses EFS to Prevent Forensic Analysis

Recently, we discovered a threat that abuses the Encrypting File System (EFS), which Symantec detects as Backdoor.Tranwos. Not only is it trivial for program code to use EFS, it’s also very effective at preventing forensic analysis from accessing…

Six Easy Steps to Help Keep Hackers at Bay

Cybercriminals are adopting complex and powerful techniques to “hack,” or take control of online accounts belonging to other people or organizations. Often, they do this by identifying the passwords belonging to an account user. This used to be a complicated task, but, as The Atlantic notes, discovering passwords today can be as simple as running Read more…

Consumer Reports recommends free security software in 2013 State of the Net Report

More than 58 million American adults had at least one malware infection that affected their home PC’s performance last year. The cost of repairing the damage from those infections was nearly $4 billion. These findings are from the latest Consumer Reports’ Annual State of the Net Report published in the June issue of their respected magazine. […]