SMS ?????????? Android ?????????

      No Comments on SMS ?????????? Android ?????????

シマンテックは、モバイルプラットフォームにおける SMS 詐欺に関連した大規模攻撃の監視をしばらく前から続けてきましたが、今もまだ新しい動きが絶えず確認されています。新しいドメインが毎日のように作成され、新しい亜種が常にリリースされています。ほとんどの活動は特筆するほどのものではありませんが、つい先日も、サーバーサイドポリモーフィズムを利用した APK マルウェアに関する注目すべき動向について論じたばかりです。今週はじめシマンテックは、技術的に目新しくないものの、新しい活動に関する警告という点で注意が必要な新しいタイプのサイトを確認しました。

少し前のことですが、偽の Android マーケットが公開され、最終的にマルウェアと判定されたさまざまなアプリがホスティングされていたことがありました。以下の図でもわかるように、ページの外見は公式の Android マーケットと若干異なっています。

 

詐欺師はその後、最新の Android マーケットにもっとよく似た改訂バージョンを公開しました。実際、URL さえ見なければ、普通の人には偽のマーケットと公式のマーケットの区別がつかないかもしれません。

実際のアプリケーションのページの一例を見てみましょう。公式ページからまるまるコピーアンドペーストされたように瓜二つです。

しかし、このページは本物ではなく、このページからダウンロードされるアプリももちろん本物ではありません。以下に示したのは、同一のアプリケーションを数分間隔で 3 回ダウンロードした結果です。ファイルサイズが大きく異なることに注目してください。このサイトが、セキュリティソフトウェアによる検出をすり抜けるために、サーバーサイドポリモーフィズムを利用してパッケージの内容を変更していることが、この事実からわかります。3 つのファイルごとに差があるだけではなく、3 つのファイルのいずれも以前の亜種よりサイズがはるかに大きくなっていることも興味深い点です。以前の亜種は、サイズがおよそ 50 ~100 KB 程度でしたが、この図でわかるとおり、現在のファイルサイズは 1 MB 前後に膨らんでいます。サイズを大きくすることも、正規のアプリケーションらしく見せる手口と考えられます。機能の点では以前の亜種とまったく変わりがないので、ではいったいサイズが大きくなった原因は何なのでしょうか。

その犯人は、”resraw” フォルダに含まれるファイルです。以下の図に示したとおり、まったく同一の 24 KB のファイルが無数に存在し、それがパッケージを膨らませています。24 KB とは、ファイルをパッケージ解除した後のサイズである点に注意してください。3 つのパッケージの “resraw” フォルダに含まれるファイルの数は、それぞれ 3,544、3,748、2,664 でした。このファイル数にファイルサイズを掛け、圧縮解除の比率で計算すれば、各ファイルについて前述のようなファイルサイズになるということです。したがって、これらのパッケージが相互に一意性を持つ原因は、ひとえに “resraw” フォルダに含まれているファイル数の違いということになります。

しかも、これらのファイルには、以下の図のように意味のないテキストしか含まれていません。

SMS 詐欺に利用される悪質な Android アプリケーションの常套として、このマルウェアも SMS メッセージを送信する機能の許可を求めてきます。アプリケーションの実際の名前は、ダウンロードページにあるアプリケーション名ではなく “Installer” です。これも、この種のマルウェアに共通する特徴です。”Installer” という名前、あるいはこの単語のロシア語訳を見かけた場合や、アプリケーションが SMS 送信の許可を求める場合には、せっかく入手したはずのアプリケーションが正規のものではない可能性が高いと言えます。

今回のアプリケーションは、ロシア語を読めるユーザーを標的にしていますが、各種のマーケットやファイル共有サービスに混入したり、メールの添付ファイルとして利用されたりする可能性も、わずかながら残っています(あるいは最終的にそうなります)。したがって、スマートフォンにアプリケーションをインストールするときには常に注意が必要です。いつものことですが、アプリケーションは信頼できるソースからダウンロードするようにし、アプリケーションのインストール時に要求される許可にも注意を払うようにしてください。シマンテックのノートン モバイルセキュリティをお使いであれば、Android.Opfake としてブログで報告されている亜種からは保護されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Waledac ???? 2012 ?????????????????

      No Comments on Waledac ???? 2012 ?????????????????

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

メールの翻訳(概要訳)

「Rospres は今年、開設 5 周年を迎えます。

私たちは一貫して、入手できるかぎりの最新情報を完全な形でお伝えしようと努めてきました。今後も愛読者のみなさまのために尽力するつもりです。これからも当社 Web ポータルへのアクセスをお忘れなく。http://www.rospres.com/ へのアクセスを心より歓迎します。

みなさまのご多幸をお祈りします、Rospres より」

スパムメールに書かれている Rospres.com のリンク先は、Rospres.com のサイトに掲載されている、以下の図のような中傷記事です。このスパムメールに書かれたリンクが脅威の拡散に使われているという証拠は見つかっていません。Rospres.com のサイトには、政治家や財界人などロシア国内の著名人について中傷的と思える記事が多数掲載されています。

この記事で取り上げられているのは、オリガルヒ(ロシア新興財閥)のひとりに数えられる資本家であり、今年 3 月のロシア大統領選の無所属候補でもあるミハイル・プロホロフ氏です。今回の Waledac スパムによる攻撃が、Rospres.com サイトの宣伝を目的としているのか、それとも大統領選候補の個人的な中傷を狙っているのかは明確になっていませんが、W32.Waledac.C の亜種を操っているマルウェア集団の正確な動機を曖昧にする機能は果たしているようです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Office ????????????????

      No Comments on Office ????????????????

寄稿者: 中山雄克

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db を使う理由は、サムネイルビューの使用時に Windows によって作成される共通ファイルがこのファイル名であるためです。また、このファイルは、デフォルト設定ではコンピュータの標準ビューに表示されません。

シマンテックでは、この文書ファイルを Trojan.Activehijack として検出しています。この攻撃で悪用されている脆弱性についての詳細がわかり次第、その更新情報を提供する予定です。ユーザーの方々は、特に理由がない限り、電子メールに添付された .dll ファイルには用心してください。また、標的型攻撃を受けるリスクを低減するため、MS11-073 のパッチと最新のパッチをすべて適用することをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

How Valuable Is Your Time?

      No Comments on How Valuable Is Your Time?

Do you remember that time my husband clicked on scareware? Or that story I tell about before I started blogging for McAfee, the kids downloaded a virus onto the computer that we couldn’t get rid of and we had to send the pc back to the store? I bet I never told you about how Read more…

2641690 – Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

      No Comments on 2641690 – Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

Revision Note: V3.0 (January 19, 2012): Revised to announce the release of an update for Windows Mobile 6.x, Windows Phone 7, and Windows Phone 7.5 devices.Summary: Microsoft is aware that DigiCert Sdn. Bhd, a Malaysian subordinate certification author…

Microsoft Security Advisory (2641690): Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

      No Comments on Microsoft Security Advisory (2641690): Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

Severity Rating: Revision Note: V3.0 (January 19, 2012): Revised to announce the release of an update for Windows Mobile 6.x, Windows Phone 7, and Windows Phone 7.5 devices.Summary: Microsoft is aware that DigiCert Sdn. Bhd, a Malaysian subordinate cer…

Microsoft Security Advisory (2641690): Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

      No Comments on Microsoft Security Advisory (2641690): Fraudulent Digital Certificates Could Allow Spoofing – Version: 3.0

Revision Note: V3.0 (January 19, 2012): Revised to announce the release of an update for Windows Mobile 6.x, Windows Phone 7, and Windows Phone 7.5 devices.
Summary: Microsoft is aware that DigiCert Sdn. Bhd, a Malaysian subord…

2012 Resolution: A Healthy Computer!

      No Comments on 2012 Resolution: A Healthy Computer!

I recently went in for my yearly check up. It got me thinking… what are the things I can do to keep my computer and my identity healthy? You know your computer always has some major servicing when you’ve been meaning to back up all those photos and all the music you’ve got saved on Read more…

2588513 – Vulnerability in SSL/TLS Could Allow Information Disclosure – Version: 2.0

      No Comments on 2588513 – Vulnerability in SSL/TLS Could Allow Information Disclosure – Version: 2.0

Revision Note: V2.0 (January 10, 2012): Advisory updated to reflect publication of security bulletin.Summary: Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS12-006 to address this issue. For more …