Fans of the epic fantasy series Game of Thrones were understandably eager for the season premier earlier this month. After all, we’d waited since mid-2012 to renew our shared hatred for the most abhorrent monarch in television history, King Joffrey. But while the show’s popularity is good news for creators David Benioff and D.B. Weiss, Read more…
The Internet has dissolved the geographical boundaries and technological limitations that have constrained organized cybercrime in the past. We now live with cybercrime syndicates based in the US, Russia, Asia and all over the globe. When hackers in the US are sleeping, the ones in China are flexing their fingers on their keyboards, and the Read more…
Six months since the launch in US (a pilot country), AVAST Free for Education covers nearly 2 million computers and servers belonging to over 1,400 schools, districts, universities, libraries, and other educational institutions. At market price, these institutions are saving $20 million per year by getting the AVAST enterprise-level protection for free. In other words, […]
We recently observed a small spam campaign that was targeting random users. The campaign focused on users in India.
Figure 1. Heatmap of compromised computers related to the spam campaign
The emails contained a malicious attachment, detected as Spyware.Redpill, which is used by the bad guys to steal confidential information.
Spyware.Redpill is not new by any means; back in 2008 we created a signature for Spyware.Redpill to protect users. Redpill was designed to collect information for people wishing to know if their partner had been cheating on them. The name “red pill” was a nod to the Matrix film franchise, the red pill and its opposite, the blue pill were the choice between the blissful ignorance of illusion (blue) and embracing the sometimes painful truth of reality (red).
Opening the attached file will display an error message in order to hide the malicious purpose of the file and trick the user into thinking that the file is corrupted.
Figure 2. Error message displayed when the file is opened
In this particular case, the user might think that nothing happened, but unfortunately the malware has been executed and has already begun to steal information.
In the background the malware installs itself on the compromised computer by creating the following files:
Moreover, in order to be executed whenever Windows starts it creates the following registry entry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ “[RANDOM CHARACTERS REGISTRY ENTRY]” = “%ProgramFiles%\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].exe “
Subsequently, the threat begins to record keystrokes and take screenshots.
The stolen information is sent to an email account hardcoded into the program. In our investigations we found details of the email account used by the attacker to receive the stolen data—for instance it received over 12,000 emails in March 2013. It is clear from this that the people behind this scheme are not looking for information on hundreds of cheating spouses, but are instead after valuable personal information and account details.
What kind information was being stolen?
Interestingly the malicious email account also has a backup email address. We have traced that email address to a member of an underground forum where this person was looking to buy email accounts, possibly in order to create and ship new malware variants with different hardcoded credentials built in.
Figure 3. Attacker looking to buy email account
In order to avoid this kind of attack, we recommend that users do not open unknown attachments and make sure that best security practices are followed. Ensure that the most up-to-date software patches are in place, and use the latest Symantec technologies and virus definitions for the best protection against threats.
A new threat has surfaced targeting users in Korea and Japan, but this attack, unlike others making the news, is not one motivated by political or ideological dogma. Instead, this one is based purely on old-fashioned greed. Vertu phone owners or those looking for a localized Vertu theme in Korean or Japanese for an Android Read more…
Avast welcomed students and professors from the School of Electrical Engineering at Czech Technical University in Prague to our headquarters on Tuesday, April 9. The visitors learned about Avast’s “freemium” business model from Martin Zima our Free Products Marketing Director, and heard 4 technical presentations ranging from “How we deal with large datasets” from Michal […]
Avast welcomed students and professors from the School of Electrical Engineering at Czech Technical University in Prague to our headquarters on Tuesday, April 9. The visitors learned about Avast’s “freemium” business model from Martin Zima our Free Products Marketing Director, and heard 4 technical presentations ranging from “How we deal with large datasets” from Michal […]
Facebook users from around the world now have access to safer social networking in multiple languages
今月のマイクロソフトパッチリリースブログをお届けします。今月は、14 件の脆弱性を対象として 9 つのセキュリティ情報がリリースされています。このうち 4 件が「緊急」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 4 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Apr
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS13-028 Internet Explorer 用の累積的なセキュリティ更新プログラム(2817183)
Internet Explorer の解放後使用の脆弱性(CVE-2013-1303)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1304)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
MS13-029 リモートデスクトップクライアントの脆弱性により、リモートでコードが実行される(2828223)
RDP ActiveX コントロールにリモートコード実行の脆弱性(CVE-2013-1296)MS の深刻度: 緊急
リモートデスクトップ ActiveX コントロールの mstscax.dll がメモリ内の削除済みオブジェクトにアクセスしようとする場合に、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、特別に細工された Web ページにアクセスするように誘導する場合があります。攻撃者がこの脆弱性の悪用に成功すると、ログオンユーザーと同じユーザー権限を取得する可能性があります。
MS13-036 カーネルモードドライバの脆弱性により、特権が昇格される(2829996)
Win32k フォントの解析の脆弱性(CVE-2013-1291)MS の深刻度: 警告
特別に細工されたフォントファイルを Windows が処理できない場合に、サービス拒否の脆弱性が存在します。この脆弱性により、コンピュータが応答を停止し、再起動する可能性があります。
Win32k 競合状態の脆弱性(CVE-2013-1283)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
Win32k 競合状態の脆弱性(CVE-2013-1292)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
NTFS の NULL ポインタ逆参照の脆弱性(CVE-2013-1293)MS の深刻度: 警告
NTFS カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。
MS13-031 Windows カーネルの脆弱性により、特権が昇格される(2813170)
カーネルの競合状態の脆弱性(CVE-2013-1294)MS の深刻度: 緊急
Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
カーネルの競合状態の脆弱性(CVE-2013-1284)MS の深刻度: 重要
Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
MS13-032 Active Directory の脆弱性により、サービス拒否が起こる(2830914)
メモリ消費の脆弱性(CVE-2013-1282)MS の深刻度: 重要
Active Directory の実装にサービス拒否の脆弱性が存在するため、サービスが応答しなくなる可能性があります。この脆弱性は、LDAP サービスが特別に細工されたクエリーの処理に失敗した場合に起こります。
MS13-033 Windows のクライアント/サーバーランタイムサブシステム(CSRSS)の脆弱性により、特権が昇格される(2820917)
CSRSS のメモリ破損の脆弱性(CVE-2013-1295)MS の深刻度: 重要
Windows CSRSS カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、ローカルシステムのコンテキストで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-034 Microsoft Antimalware Client の脆弱性により、特権が昇格される(2823482)
Microsoft Antimalware の不適切なパス名の脆弱性(CVE-2013-0078)MS の深刻度: 重要
これは、特権昇格の脆弱性です。攻撃者がこの脆弱性の悪用に成功すると、LocalSystem アカウントのセキュリティコンテキストで任意のコードを実行し、システムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を所有している必要があります。匿名ユーザーによってこの脆弱性が悪用される可能性はありません。
MS13-035 HTML のサニタイズコンポーネントの脆弱性により、特権が昇格される(2821818)
HTML のサニタイズの脆弱性(CVE-2013-1289)MS の深刻度: 重要
HTML 文字列をサニタイズする方法に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムでクロスサイトスクリプティング攻撃を実行し、現在のユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。
MS13-030 SharePoint の脆弱性により、情報漏えいが起こる(2827663)
不適切なアクセス権による情報漏えいの脆弱性(CVE-2013-1290)MS の深刻度: 重要
SharePoint Server が特定の SharePoint リストに対してアクセス制御を適用する方法に情報漏えいの脆弱性が存在します。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Last week McAfee Labs reported a series of “one-click fraud” malware on Google Play in Japan. We have been monitoring this fraudulent activity and have found more than 120 additional variants on Google Play since the previous report. The malicious developers upload five or six applications per account using three to five accounts every night, Read more…