Revision Note: V1.0 (March 26, 2013): Announced availability of update 2832006 for Windows Modern Mail.Summary: Microsoft is announcing the availability of security updates for Windows Store applications running on Windows 8, Windows RT, and Windows Se…
Severity Rating: Revision Note: V1.0 (March 26, 2013): Announced availability of update 2832006 for Windows Modern Mail.Summary: Microsoft is announcing the availability of security updates for Windows Store applications running on Windows 8, Windows R…
Severity Rating: Revision Note: V1.0 (March 26, 2013): Announced availability of update 2832006 for Windows Modern Mail.Summary: Microsoft is announcing the availability of security updates for Windows Store applications running on Windows 8, Windows R…
Revision Note: V1.0 (March 26, 2013): Announced availability of update 2832006 for Windows Modern Mail.
Summary: Microsoft is announcing the availability of security updates for Windows Store applications running on Windows 8, …
Tidserv(別名 TDL)は、検出をすり抜けるためにルートキット機能を採用している複雑な脅威です。発見は 2008 年に遡り、それ以来シマンテックの監視網で検出され続けています。拡散が確認されている Tidserv の新しい亜種では、正規の CEF(Chromium Embedded Framework)が利用され始めました。マルウェアが正規のフレームワークを不正な目的に利用する例はこれが初めてではありませんが、Tidserv の今回の新しい亜種は、正常に機能するために 50 MB ものフレームワークをダウンロードする必要があり、マルウェアとしては異例です。
Backdoor.Tidserv の亜種はモジュール式のフレームワークを利用して、新しいモジュールをダウンロードし、正常なプロセスにインジェクトすることができます。これまでの亜種は、リンクのクリックや広告のポップアップといったネットワーク操作の実行に serf332 というモジュールを使っていました。serf332 は COM(Component Object Model)オブジェクトを利用して Web ページを開き、ページコンテンツを検査します。先週シマンテックは、Tidserv が cef32 という新しいモジュールをダウンロードしていることを確認しました。新しい cef32 モジュールは、serf332 と同じ機能を持っていますが、CEF の一部である cef.dll を必要とします。そのため、異例なことに 50 MB の CEF すべてを侵入先のシステムにダウンロードしなければなりません。
CEF のダウンロード数は、過去 18 日間でかなりの増加を示しています。そのうち何件が Tidserv の感染活動に関係しているかは不明ですが、これらのダウンロードがマルウェアに起因するとすれば、Tidserv に感染したコンピュータは相当の数にのぼります。
図 1. 過去 18 日間における CEF のダウンロード数
CEF は、Google Chromium プロジェクトに基づいた Web ブラウザコントロールを提供します。開発者はそれを利用して、Web ブラウザウィンドウを持つアプリケーションを作成できます。HTML の解析や JavaScript の解析と実行など、ブラウザの実行に必要なすべての機能を実行するのが CEF ライブラリです。
図 2. CEF ライブラリに渡される Tidserv の JavaScript
CEF を使うことで、Tidserv は基本的な Web ブラウザ機能の多くを自身のモジュールから CEF ライブラリに移行できるため、より小さなモジュールを使って、新機能の追加更新をより簡単に行えるようになります。CEF を使う場合の欠点は、cef32 モジュールをロードするために cef.dll が必要なことです。CEF の zip ファイルをダウンロードする URL は現在、serf332 バイナリにハードコードされているので、この URL を変更するたびに、serf332 モジュールの更新も必要になります。
CEF とその作成者は、不法または不正な目的に CEF フレームワークを利用することを承認も推奨もしていません。このような悪用を阻止するために、CEF の関係者は可能な範囲であらゆる措置を講じる予定です。そのため、マルウェアに悪用されていたバイナリは Google Code プロジェクトのページから削除されています。現在、今回のような悪用を可能な限り防止する無償のバイナリをユーザーに提供する別の方法が検討されています。
シマンテックは、Tidserv のような脅威の進化を常に追跡しています。最新の STAR マルウェア対策技術を利用して、できる限りの保護対策を講じることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Trojan.Jokra は、先日韓国の放送局や銀行で大規模なシステム停止を引き起こした脅威ですが、この Trojan.Jokra を解析したところ、別の Wiper が確認されました。
セキュリティ研究者が過去数日間、このトロイの木馬で確認された Wiper コンポーネントについて、特に各バージョンと実行のタイミングについて検証を続けてきました。その結果、4 つの亜種で以下の文字列が見つかっています。
Wiper のうち 3 つは PIE(位置独立実行可能ファイル)として、残りの 1 つは DLL(ダイナミックリンクライブラリ)インジェクションとしてパッケージ化されています。実行のタイミングについても違いが見られます。
表. Trojan.Jokra の Wiper
2 つの亜種は、実行後ただちにコンピュータの内容を消去するように命令されており、他の 2 つは、2013 年 3 月 20 日午後 2 時と日時を指定して内容を消去するように命令されていました。
図. Trojan.Jokra の Wiper のカウントダウン
Trojan.Jokra などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Easter Sunday is one of the most important festivals in the Christian calendar and it is observed anywhere between March 22 and April 25 each year; this year it falls on March 31. Spam messages related to Easter have begun flowing into the Symantec Probe Network. As expected, most of the spam samples are encouraging users to take advantage of products offers, personalized letters, e-cards, as well as clearance sales of cars and replica watches. Clicking the URL will automatically redirect the user to a website containing some bogus offer.
Figure 1. Spam product offer related to Easter
Spammers are also exploiting the event by sending casino spam email using the name “Easter bonnet”. The Easter bonnet represents the tail-end of a tradition of wearing new clothes at an Easter festival.
The following spam sample provides instructions for ways that users can acquire a “bonus”.
Figure 2. Casino spam targeting the Easter bonnet
In the next spam sample, users are encouraged to take advantage of the bogus offers for purchasing a product. By clicking the URL it directs the user to a fake pharmaceuticals website.
Figure 3. Spam website selling fake pharmaceutical products
Figure 4. Personalized letter targeting the Easter festival
Some of the headers observed for Easter related spam can easily be recognized:
Symantec advises our readers to be cautious when handling unsolicited or unexpected emails. We at Symantec are monitoring spam attacks 24×7 to ensure that readers are kept up-to-date with information on the latest threats.
Wishing everyone a happy and safe Easter!
Another wave of Facebook phishing is spreading among Facebook users. Imagine you get a message from another Facebook user with a link to a new amazing Facebook app. Even if the sender is not your friend, you decide to go to the link. Instead of an application you see a fake Facebook login page. But […]
Most of us are aware of spam, and while we may think it’s just an annoyance, what’s really dangerous about it is the fact that most spam are phishing attempts. Phishing is when cybercriminals attempt to fraudulently acquire your personal information, such as passwords and credit card details, by masquerading as a trustworthy person or Read more…
The IC3 has been made aware of various malware attacking Android operating systems for mobile devices. Some of the latest known versions of this type of malware are Loozfon and FinFisher. Loozfon is an information-stealing piece of malware. Criminals use different variants to lure the victims. One version is a… Read more »