Tag Archives: antivirus

How do I know which antivirus is the best?

      No Comments on How do I know which antivirus is the best?

Question of the week: How do I know which antivirus is the best for my computer? I mostly use it for staying in touch with my friends, doing schoolwork and watching videos. Is your free product good enough to protect me? We receive questions like yours on our Facebook page frequently. We understand how difficult […]

Five wonderful things the Czech Republic has given the world

Where beer flows like water The Czechs love their beer. Monks living in the region started brewing in monasteries just a few centuries AD. The Czechs gave the gift of Pilsner to the world back in the mid-1800s, and ever since then citizens have supported their own industry by consuming more beer per capita than […]

ZeroAccess ?????????

      No Comments on ZeroAccess ?????????

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール(C&C)通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉
今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。
 
こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。
 
ZeroAccess: ペイロード配信機能
その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、(攻撃者の視点に立つと)生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。
 
クリック詐欺
シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック(PPC)によるアフィリエイト方式の支払い対象になります。
 
Bitcoin マイニング
仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。
 
ZeroAccess の経済的側面
好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。
 
テストコンピュータの仕様:
モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB(最大 TDP 95W)
測定された消費電力/時間: 136.25 W(マイニング中)
測定された消費電力/時間: 60.41 W(アイドル時)
MHash/秒: 1.5
 
Bitcoin については以下の条件を想定:
Bitcoin/米ドル交換レート: 131
Bitcoin 難易度係数: 86933017.7712
 
Bitcoin マイニング
Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。
 
クリック詐欺
クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした(1 日当たり 1,008 件)。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。
 
こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。
 
電力コスト
ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。
 
マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日
アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日
差異: 1.82 KWh/日
 
これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。
 
KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh(3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります)にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力(2,484 MW、1 日当たりの電気料金 560,887 ドル)よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。
 
P2P ボットネットの停止は困難だが不可能ではない
今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。
 
その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。
 
詳細情報
シマンテックのロス・ギブ(Ross Gibb)とヴィクラム・タクール(Vikram Thakur)が、2013 年 10 月 2 日 から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。
 
ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。
 
zeroaccess_blog_infographic.png
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Grappling with the ZeroAccess Botnet

      No Comments on Grappling with the ZeroAccess Botnet

The ZeroAccess botnet is one of the largest known botnets in existence today with a population upwards of 1.9 million computers, on any given day, as observed by Symantec in August 2013. A key feature of the ZeroAccess botnet is its use of a peer-to-pe…

avast! Free Antivirus wins VB100 award

      No Comments on avast! Free Antivirus wins VB100 award

AVAST Software, maker of the most trusted antivirus in the world, avast! Free Antivirus, has achieved a VB100 award in the latest Virus Bulletin VB100 comparative review.  The VB100 award is given to those products that detect 100% of viruses “in the wild,” using the freshest malware sample sets available, as well as samples not previously seen. In this round, […]

How schools can save big with AVAST Free for Education

Keeping kids safe while they are online is a major concern for educational institutions from schools to libraries to museums. Schools in the United States spend a lot of money on education technology—it was estimated at $56 billion dollars in 2012. That’s about $400 per student per year. A portion of that is earmarked for […]

Lost or Stolen Smartphone: The Consequences are Bigger for Women Than for Men, Our Study Finds

Personal contacts, photos, videos, apps, emails, text messages — smartphones today contain a plethora of personal information, and the thought of losing or having a smartphone stolen is extremely worrisome to many people. Our security research team recently conducted a survey of 167,904 customers worldwide and found that consumers in the United States are among […]

Do you know the difference between antivirus and anti-malware?

In an article explaining the differences between antivirus and anti-malware, and which tools protect you from both, Lifehacker recommends that you install their favorite, avast! Free Antivirus. AVAST “scans for as much as possible, and has an on-access scanning engine that protects you from threats while you surf the web, install applications, and open files.” […]

??????????????????????????

      No Comments on ??????????????????????????
しばらくその存在を忘れられていた Xpiro グループのファイルインフェクタが、華々しく、しかも今回はいくつかの悪質な機能を搭載して戻ってきました。今回の亜種は 32 ビットファイルに感染するだけでなく、感染の対象を 64 ビットファイルにまで広げています。この感染はクロスプラットフォームに影響(32 ビット版の Xpiro の亜種が 64 ビット版の実行可能ファイルにも感染でき、その逆も可能)し、持続的です。しかもこのウイルスは、ブラウザセッションを監視する拡張機能を Firefox と Chrome に追加することによって、情報窃盗の機能も拡張されています。
 
クロスプラットフォームの感染と持続性
クロスプラットフォームの感染はこれまでにも例がありましたが、広く拡散しているインフェクタでこの機能を実装したのは、Xpiro が初めてです。今回の新しい亜種は、以下のアーキテクチャで実行可能ファイルに感染できます。
  • Intel 386(32 ビット)
  • Intel 64(64 ビット)*
  • AMD64(64 ビット)
Xpiro の作成者は、今まで以上に多くのコンピュータへの感染を狙っており、持続性も備えたこのクロスプラットフォームの感染機能を実装しようとあらゆる手段を講じています。
 
これまでのファイルインフェクタは、他の実行可能ファイルに感染することで拡散し、持続性は考慮していませんでした。今回の亜種は、巧みな手法でこの両方を達成しています。まず、win32 のサービスをすべて列挙し、そのサービスファイルへの感染を試みます。次に、ユーザーのデスクトップフォルダとスタートメニューフォルダにあるすべてのリンクファイル(.lnk)をたどって、標的のファイルに感染します。リンクファイルが選ばれるのは、コンピュータの最初の起動時にシステムまたはユーザーによって実行される可能性が最も高く、したがって後続の再起動時にも持続するからです。最後に、固定ドライブ、リムーバブルドライブ、ネットワークドライブを含めた C から Z のドライブにある実行可能ファイルに感染します。
 
* Intel 64 ビットのファイルは今回の亜種に感染しますが、コードにバグがある関係でファイルが破損します。シマンテック製品はこのようなファイルを検出して正常な状態に修復します。
 
情報窃盗機能の拡張
Xpiro の最終的な目的は、侵入先のホストから情報を盗み出すことです。この目的こそ変わっていませんが、手口はさらに目立たなくなっています。コンピュータ上で実行された Xpiro インフェクタは、実行可能ファイルに感染するだけでなく、Firefox や Chrome の拡張機能を追加します。Firefox の拡張機能は表示されませんが、Chrome の拡張機能は「Google Chrome 1.0」という名前なので、正常な拡張機能として通用し、その存在が隠蔽されてしまいます。Firefox の拡張機能は、たとえば以下のような処理を実行できます。
  • 拡張機能の存在を隠蔽する
  • ブラウザのセキュリティを引き下げる
  • ユーザーのインターネット活動を監視する
  • ログを盗み出す
  • ブラウザを所定の URL にリダイレクトする
インストール後に Firefox の新しいインスタンスを開くと、新しいアドオンがインストールされたことは示されますが、拡張機能としてリストには表示されません。
 
xpiroblog_fig1.png
図 1. 感染前の拡張機能リスト
 
xpiroblog_fig2.png
図 2. 感染後の拡張機能リスト
 
Xpiro 拡張機能が自身をリストから隠蔽しているため、感染前と感染後に表示される拡張機能の数は変わりません。また、ブラウザ設定を変更してブラウザのセキュリティも引き下げます。
 
xpiroblog_fig3.png
 
図 3. 引き下げられたブラウザのセキュリティ
 
ユーザーがブラウザまたはその拡張機能を更新しようとしても、更新は実行されません。これは、Xpiro が URL を 127.0.0.1(ローカル IP アドレス)に書き換えるためであり、設定が変更されてマルウェアとしての存在が露呈してしまうことを避けるための手口です。
 
xpiroblog_fig4.png
図 4. Xpiro によって更新が無効化される
 
この隠ぺいされている拡張機能は、本来であればブラウザで表示される多くのセキュリティ警告を無効にします。また、有効なときにはフィッシング対策機能を提供するセーフブラウジング機能も一部も無効にします。
 
Xpiro はブラウザにおける HTTP 活動をすべて監視し、リモートサーバーにアップロードします。次に、以下のリストを所定のサーバーからダウンロードします。
  • 標的の URL
  • リダイレクト先 URL
このリストにある標的の URL のいずれかにユーザーがアクセスすると、拡張機能によって、リダイレクト先のリストにある URL にリダイレクトされます。リダイレクト先の URL は広告ページや、別のマルウェアをダウンロードするページです。
 
Xpiro の攻撃は、機能のアップグレードによって持続性と秘匿性が向上し、何より重要なことに、クロスプラットフォームで実行可能ファイルに感染します。他の種類のインフェクタも、Xpiro を模倣して機能強化と複数プラットフォームに対する拡散を狙って、高度な機能を実装することが予想されます。もちろん、シマンテックはこうした高度な脅威からデータや情報を保護することをお約束します。シマンテックは、Xpiro グループの今回の亜種を W32.Xpiro.D および W64.Xpiro として検出し、破損したファイルの修復も行います。ウイルス定義を常に最新の状態に保つようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

First Widespread Virus Cross-infection

After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …