Tag Archives: Endpoint Protection (AntiVirus)

Ataques contra o setor de energia

      No Comments on Ataques contra o setor de energia

A energia é crucial para o nosso estilo de vida moderno. Entretanto, relatos de tentativas de ataques virtuais contra as empresas fornecedoras estão aumentando a cada ano. No primeiro semestre de 2013, o setor de energia foi o quinto mais visado em todo o mundo, sendo alvo de  7,6 % de todos os ataques cibernéticos. Assim, não é surpreendente que, em maio de 2013, o Departamento de Segurança Interna dos EUA alertou para uma crescente onda de ataques que visavam sabotar processos em empresas de energia. Na Symantec, nossos pesquisadores descobriram que as concessionárias de energia tradicionais estão particularmente preocupadas com os cenários criados por ameaças como Stuxnet ou Disttrack / Shamoon, que podem danificar instalações industriais.

Nós também descobrimos que os agressores que têm como alvo o setor de energia ainda tentam roubar a propriedade intelectual sobre novas tecnologias, como geradores de energia solar ou eólica, ou ainda gráficos de exploração de campos de gás. Enquanto incidentes de roubo de dados podem não representar uma ameaça imediata e catastrófica para uma empresa, eles podem criar uma ameaça estratégica de longo prazo. Informações roubadas poderão ser usadas no futuro para realizar ações mais graves.

As motivações e origens de ataques podem variar consideravelmente. Um competidor pode “encomendar” ações danosas contra as empresas de energia para ganhar uma vantagem injusta. Há grupos de “hackers para contratar”, como o grupo Hidden Lynx, que estão mais do que dispostos a se engajar nesse tipo de atividade. Hackers patrocinados pelo Estado podem ter como alvo as empresas de energia em uma tentativa de desativar sua infraestrutura crítica. Grupos “hacktivistas” também podem vitimar empresas para promover seus próprios objetivos políticos. Pesquisadores da Symantec sabem que estas ameaças podem ser provenientes de todo o mundo e, por vezes, de dentro da própria empresa. Funcionários que estão familiarizados com os sistemas podem realizar ataques para extorsão, suborno ou vingança. Além disso, interrupções podem simplesmente acontecer por acidente, como um erro de configuração ou uma falha do sistema. Por exemplo, em maio de 2013, a rede de energia austríaca quase teve um apagão devido a um problema de configuração.

Nossa pesquisa concluiu que os sistemas de energia modernos estão se tornando mais complexos. Há controle de supervisão e aquisição de dados (SCADA), ou sistemas de controle industrial (ICS) que estão fora dos padrões de segurança tradicionais. E como a tecnologia smart grid , ou rede inteligente, continua a ganhar impulso, cada vez mais sistemas de energia serão conectados à Internet das Coisas, o que abre novas vulnerabilidades de segurança relacionadas a inúmeros dispositivos conectados. Além disso, muitos países começaram a abrir seu mercado de energia e adicionar contribuintes menores para a rede de energia elétrica, como usinas de água privada, turbinas eólicas ou painéis solares. Embora essas empresas menores representem apenas uma pequena parte da grade, a entrada de energia descentralizada pode ser um desafio para gerenciar os recursos de TI limitados e precisam ser cuidadosamente monitorados para evitar pequenas falhas que poderiam criar um efeito dominó em toda a grade maior.

Vemos a necessidade de uma abordagem colaborativa, que combine o componente industrial e a segurança para proteger as informações do setor. Para ajudar neste processo, a Symantec realizou um estudo em profundidade sobre ataques focados no setor de energia que ocorreram nos últimos 12 meses. Esta pesquisa apresenta fatos e números, e abrange os métodos, motivações e história desses ataques.

Faça o download do whitepaper.

O infográfico a seguir ilustra os principais pontos a respeito dos ataques contra as indústrias do setor de energia.

infographic_attacks.jpg

The Mask???????

      No Comments on The Mask???????

 

The Mask 1.png

最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask(ザ・マスク)」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。

The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。

活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。

標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV(履歴書)や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。

  • Inspired By Iceland.doc
  • DanielGarciaSuarez_cv_es.pdf
  • cv-edward-horgan.pdf

添付ファイルを開くと、正規の文書に見える内容が表示されますが、実際には悪質なリモートアクセス型のトロイの木馬(RAT)もインストールされ、侵入を受けたコンピュータへの完全なアクセスを許してしまいます。侵入に成功すると、The Mask は追加のツールをインストールし、持続性を強化してサイバースパイ活動を続けられるようになります。

サイバースパイ – 専門的なツール類
The Mask は、自由に使える一連のツール類を所有しています。なかでも、このグループを典型的なサイバー犯罪とかけ隔てている特徴と言えるのが、Backdoor.WeevilB というツールです。これは、モジュール型の性質とプラグインアーキテクチャを備えた高度なサイバースパイツールであり、無数の設定オプションが用意されています。DuquFlamerMiniDuke といった他の高度な攻撃活動を連想させますが、The Mask がそれらの活動と関連している証拠は見つかっていません。

デフォルトで、相互通信、ネットワーク盗聴、活動監視、データ抽出、ルートキット機能などに特化した 20 近いモジュールがインストールされます。

The Mask 2.png

図. The Mask のモジュールの一部

追加モジュールのダウンロードと即時のロードは、プラグインアーキテクチャによって実現されています。Backdoor.WeevilB は主要なブラウザのすべてにおける活動をログに記録し、膨大な拡張子のリストに基づいて情報を収集します。Backdoor.WeevilB の標的となる文書の種類は、以下のとおりです。

  • Word、PDF、Excel
  • 暗号化ファイル、PGP キー、暗号化キー
  • モバイルバックアップファイル
  • 電子メールアーカイブ

収集された情報は、HTTPS プロトコルを使って、攻撃者が管理するサーバーに安全に送信されます。

データを盗み出すコンポーネントが、The Mask の標的に関する手掛かりになっています。「archivos de programa」のようなスペイン語のパス名で文書を検索していることから、標的ではスペイン語のオペレーティングシステムが実行されていると考えられます。

まとめ
専門的なチームが展開するサイバースパイ活動は、増加傾向にあります。この数年の間で、Flamer、MiniDuke、Hidden Lynx といった何年間も持続するスパイ活動がいくつも明らかになってきました。The Mask も、こうした名だたるマルウェアに連なるものですが、高度な攻撃活動の標的が多様化していることも示しています。これらの攻撃と時を同じくして、スパイ活動に使われるツールを開発する企業も登場しており、Hacking Team や Gamma International といった企業が、高度な監視機能を持つリモートアクセスツール群を販売しています。こうしたことからも、地理的にも技術的にもサイバースパイ活動が広がりつつあることは明白です。

保護対策
シマンテックは、この脅威に対して以下の検出定義を提供しています。

また、次の侵入防止シグネチャでネットワーク保護も提供しています。

System Infected: Backdoor.Weevil Activity

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – February 2014

      No Comments on Microsoft Patch Tuesday – February 2014

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing seven bulletins covering a total of thirty-one vulnerabilities. Twenty-five of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the February releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-feb

The following is a breakdown of the issues being addressed this month:

  1. MS14-010 Cumulative Security Update for Internet Explorer (2909921)

    Internet Explorer Elevation of Privilege Vulnerability (CVE-2014-0268) MS Rating: Important

    An elevation of privilege vulnerability exists within Internet Explorer during the validation of a local file installation and during the secure creation of registry keys.

    VBScript Memory Corruption Vulnerability (CVE-2014-0271) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

    Internet Explorer Cross Domain Information Disclosure Vulnerability (CVE-2014-0293) MS Rating: Important

    An information disclosure vulnerability exists in Internet Explorer that could allow an attacker to gain access to information in another domain or Internet Explorer zone. An attacker could exploit the vulnerability by constructing a specially crafted webpage that could allow an information disclosure if a user viewed the webpage. An attacker who successfully exploited this vulnerability could view content from another domain or Internet Explorer zone.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0267) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0269) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0270) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0272) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0273) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0274) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0275) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0276) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0277) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0278) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0279) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0280) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0281) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0283) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0284) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0285) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0286) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0287) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0288) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0289) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0290) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  2. MS14-011 Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (2928390)

    VBScript Memory Corruption Vulnerability (CVE-2014-0271) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

  3. MS14-007 Vulnerability in Direct2D Could Allow Remote Code Execution (2912390)

    Microsoft Graphics Component Memory Corruption Vulnerability (CVE-2014-0263) MS Rating: Critical

    A remote code execution vulnerability exists in the way that affected Windows components handle specially crafted 2D geometric figures. The vulnerability could allow a remote code execution if a user views files containing such specially crafted figures using Internet Explorer. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

  4. MS14-008 Vulnerability in Microsoft Forefront Protection for Exchange Could Allow Remote Code Execution (2927022)

    RCE Vulnerability (CVE-2014-0294) MS Rating: Critical

    A remote code execution vulnerability exists in Forefront Protection for Exchange. An attacker who successfully exploited this vulnerability could run arbitrary code in the security context of the configured service account.

  5. MS14-009 Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2916607)

    POST Request DoS Vulnerability (CVE-2014-0253) MS Rating: Important

    A denial of service vulnerability exists in Microsoft ASP.NET that could allow an attacker to cause an ASP.NET server to become unresponsive.

    Type Traversal Vulnerability (CVE-2014-0257) MS Rating: Important

    An elevation of privilege vulnerability exists in the Microsoft.NET Framework that could allow an attacker to elevate privileges on the targeted system.

    VSAVB7RT ASLR Vulnerability (CVE-2014-0295) MS Rating: Important

    A security feature bypass exists in a .NET Framework component that does not properly implement Address Space Layout Randomization (ASLR). The vulnerability could allow an attacker to bypass the ASLR security feature, after which the attacker could load additional malicious code in the process in an attempt to exploit another vulnerability.

  6. MS14-005 Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2916036)

    MSXML Information Disclosure Vulnerability (CVE-2014-0266) MS Rating: Important

    An information-disclosure vulnerability exists that could allow an attacker to read files on the local file system of a user or read content of web domains where a user is currently authenticated to when the user views specially crafted web content that is designed to invoke MSXML through Internet Explorer.

  7. MS14-006 Vulnerability in IPv6 Could Allow Denial of Service (2904659)

    TCP/IP Version 6 (IPv6) Denial of Service Vulnerability (CVE-2014-0254) MS Rating: Important

    A denial of service vulnerability exists in Windows in the IPv6 implementation of TCP/IP. An attacker who successfully exploited this vulnerability could cause the affected system to stop responding.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

The Mask

      No Comments on The Mask

 

The Mask 1.png

Modern cyberespionage campaigns are regularly defined by their level of sophistication and professionalism. “The Mask”, a cyberespionage group unveiled by Kaspersky earlier today, is no exception. Symantec’s research into this group shows that The Mask has been in operation since 2007, using highly-sophisticated tools and techniques to compromise, monitor, and exfiltrate data from infected targets. The group uses high-end exploits and carefully crafted emails to lure unsuspecting victims. The Mask has payloads available for all major operating systems including Windows, Linux, and Macintosh.

An interesting aspect of The Mask is the fact that they are targeting the Spanish-speaking world and their tools have been specifically designed for this. The targets appear to reside mainly in Europe and South America.

The longevity of the operation, the access to highly sophisticated tools, and the precise and targeted nature of the victims indicate this is a very professional, well organized team with substantial resources.

Targeting the victim
The Mask typically infects the victim with a highly targeted email. Using the lure of a CV (resume) or political content, the attachments observed have been in the form of malicious PDF or Microsoft Word documents. The following is a sample of some of the attachment names used:

  • Inspired By Iceland.doc
  • DanielGarciaSuarez_cv_es.pdf
  • cv-edward-horgan.pdf

Upon opening the document, the recipient is presented with what looks like a legitimate document, however a malicious remote access Trojan (RAT) is also installed, allowing full remote access to the compromised computer. Once compromised, The Mask can then install additional tools for enhanced persistence and cyberespionage activities.

Cyberespionage – a professional suite
The Mask has a suite of tools at its disposal. One tool in particular distinguishes this group from typical cyber operations. Backdoor.WeevilB, a sophisticated cyberespionage tool that is modular in nature, has a plugin architecture and has a myriad of configuration options. This tool is reminiscent of those associated with other sophisticated campaigns such as Duqu, Flamer, and MiniDuke. However there is no evidence that The Mask is associated with these campaigns.

The default install boasts nearly 20 modules purpose built for intercommunication, network sniffing, activity monitoring, exfiltration, and rootkit capabilities.

The Mask 2.png

Figure. Some of The Mask’s modules

The plugin architecture allows for additional modules to be downloaded and loaded on the fly. The Trojan can log activity in all the major browsers and has a comprehensive list of file extensions to gather information on. The types of documents targeted by the Trojan are:

  • Word, PDF, Excel
  • Encrypted files, PGP keys, encryption keys
  • Mobile backup files
  • Email archives

The information can then be securely exfiltrated to attacker controlled servers using the HTTPS protocol.

The data-stealing component provides clues as to The Mask’s targets. It searches for documents in Spanish-language pathnames, for example “archivos de programa”, indicating that their targets are running Spanish-language operating systems.

Conclusion
Cyberespionage campaigns conducted by professional teams are increasingly common. Numerous espionage operations spanning years have been highlighted over the last few years. Examples include Flamer, MiniDuke, and Hidden Lynx. The Mask joins this notorious list but also shows how the targets of these sophisticated campaigns are becoming increasingly diverse. Coinciding with these campaigns has been the emergence of companies who develop tools for use in espionage campaigns. Companies such as Hacking Team and Gamma International provide remote access suites that offer sophisticated surveillance capabilities. All of this serves to highlight how the geographical and technical boundaries of cyberespionage are expanding.

Protection
Symantec has the following detection in place for this threat.

We also provide network protection with the following Intrusion Prevention Signature:

System Infected: Trojan.Weevil Activity

Tiylon: ???????

      No Comments on Tiylon: ???????

史上最悪の銀行強盗は、2005 年にブラジルで起きたものです。この事件で、銀行強盗団は鋼鉄と強化コンクリートでできた厚さ 1.1m もの壁に穴を開け、紙幣が保管されている 3.5 トンものコンテナを運び出しました。このとき、約 1 億 6,000 万ブラジルドル(3 億 8,000 万米ドル相当)が盗み出されています。

一方、最近の強盗は壁に穴を開けたりせずに金銭を盗み出します。自宅でコンピュータの前でくつろぎながら銀行を襲えるのです。サイバー犯罪によって、企業は百万ドル単位の財政的な損害を被っています。シマンテックのホワイトペーパー「State of Financial Trojans 2013(金融機関を狙うトロイの木馬の 2013 年における概況)」(英語)でも、オンラインバンキングを狙うトロイの木馬の急増が指摘されています。ZeusSpyeye などの一般的なマルウェアを別にすると、サイバー犯罪者がオンラインバンキングを狙って最近よく使っているのは、Tiylon というマルウェアです。このトロイの木馬は、MITB(Man-in-the-Browser)攻撃を使って、オンラインバンキングサイトでユーザー認証とトランザクション承認を傍受します。

標的型攻撃による最初の感染
Tiylon は、スパム対策フィルタをすり抜けるために、短い電子メールの添付ファイルとして送られてくるのが普通です。オンラインバンキングを狙うトロイの木馬(Zeus など)を使う大部分のスパム攻撃と異なり、Tiylon の電子メールは標的型攻撃の一部となっています。シマンテックの遠隔測定によると、この攻撃では世界のいくつかの地域でオンラインバンキングユーザーが狙われていますが、特に英国、米国、イタリア、オーストラリア、日本に攻撃が集中しています(図 2)。

Fig1_8.png

図 1. 悪質なファイルが添付されている Tiylon の電子メール

この脅威は、ダウンローダ、メインコンポーネントファイル、設定ファイルという 3 種類のファイルで構成されています。

ダウンローダファイル
ダウンローダはロードポイントとして機能し、メインコンポーネントファイルをインストールする機能を持ちます。ダウンローダが実行されると、コンピュータのシリアル番号からシステム情報が構成され、攻撃者が用意したコマンド & コントロール(C&C)サーバーへの接続が確立されます。接続が確立すると、以下のレジストリキーが作成されます。

  • Windows XP の場合:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
  • Windows 7 の場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”

ダウンローダは次に、explorer.exe と svchost.exe にコードをインジェクトし、悪質な活動を開始します。

メインコンポーネントファイル
メインコンポーネントファイルは、Tiylon のダウンローダファイルによってダウンロードされ、復号されます。このコンポーネントは、C&C サーバーから設定ファイルを収集して、攻撃のパラメータを指定します。また、レジストリ設定を操作してコンピュータとブラウザのセキュリティを低下させる機能も備えています。また、これはユーザーと金融機関の Web サイトとの通信を傍受するコンポーネントでもあります。

主として以下のような機能を持っています。

  • Web インジェクション攻撃を実行する
  • キーストロークを記録する
  • スクリーンショットを取得する
  • FTP サーバーと RDP サーバーを起動する
  • リモートデスクトッププロトコル(RDP)を開始する
  • 証明書を読み取る
  • ファイルをダウンロードして実行する
  • サービスを作成する
  • オペレーティングシステムの API をフックしてネットワークデータを盗み出す
  • 他のプロセスにコードをインジェクトする
  • ログオフして再起動するか、侵入先のコンピュータをシャットダウンする
  • Web ブラウザに対してプロセスインジェクションを実行する

Tiylon は、インストールされているアプリケーションとディレクトリを調べて検出をすり抜けようと試みます。また、コンピュータが仮想マシンかどうかを判定するために、プロセスリストも確認します。C&C サーバーは、悪質な活動を検出できる環境を見つけると、そのコンピュータの IP アドレスを使用禁止扱いとして、他のユーザーへの感染を試みます。検出をすり抜ける確率を高くするために、シマンテック製以外のウイルス対策ソフトウェアに対して強制的に例外を設定する場合もあります。マルウェアのコード自体が不明瞭化されており、複数のパッケージングサイクルがあることからも、解析が困難になっています。

攻撃の発生期間
Tiylon の攻撃が起きたのは、2012 年 1 月 1 日から 2013 年 10 月 1 日の間です。

Table1_0.png

表 1. Tiylon による攻撃の国別の件数

Fig2_0.gif

図 2. Tiylon による攻撃の件数を国別に示したアニメーション

シマンテック製品をお使いのお客様は、以下のウイルス対策定義と IPS 検出定義で Tiylon の攻撃から保護されています。

ウイルス対策:

IPS:

脅威から保護するために、最新のソフトウェアパッチと検出定義を適用することをお勧めします。今回の Tiylon の場合は特に、お使いの電子メールクライアントに対応したスパム対策ソリューションをインストールし、疑わしい添付ファイルは開かないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????Safer Internet Day??????????????????

      No Comments on ????????????Safer Internet Day??????????????????

safer_internet_day.png

10 月の全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month)や、2 月のインターネット安心デー(Safer Internet Day)に限らず、日常的にオンラインの安全性を意識することは常に大切です。日常生活へのテクノロジの浸透が進み続けている今、自身の情報やデジタル ID を確実に管理するためのセキュリティ機能や設定を使用してください。

時代はソーシャル
今日のインターネットで最も大きい潮流は、ソーシャルです。今この瞬間にも私の友人たちは、Pinterest に結婚式のアイデアをピンする、Instagram にカフェラテの写真を投稿する、Snapchat で今日の服装を送る、Foursquare でレストランにチェックインする、Vine で飼い猫の動画を投稿する、Facebook で赤ちゃんの写真を共有する、Twitter で『ウォーキング・デッド』プレミアの予想を投稿するといった行為に勤しんでいます。こういったサービスは、人気が高くなればなるほど、詐欺やスパム、フィッシング攻撃の標的となる頻度も高くなります。

設定の確認
シマンテックセキュリティレスポンスは、各種のソーシャルネットワークやソーシャルアプリのプライバシー設定とセキュリティサービスを十分に理解しておくことを推奨しています。

  1. 公開か非公開か。デフォルトでは、多くのソーシャルサービスでは更新情報を公開するよう推奨されています。プロフィールを公開にするか非公開にするかを全体設定として選択するサービスがほとんどですが、さらに詳細なオプションで投稿ごとに公開か非公開かを設定できるサービスもあります。投稿する前に、各サービスでプライバシー設定を確認してください。
  2. 強いパスワードとパスワードの使い回し。サービスごとに強いパスワードを使い、複数のソーシャルネットワークで同じパスワードを使い回さないようにしてください。
  3. 利用できる場合には 2 要素認証を設定。Facebook や Twitter など一部のサービスには、アカウントのセキュリティ強化対策として 2 要素認証が提供されています。サービスにログインするにはパスワードを入力するのが普通ですが、これはユーザーがすでに知っている情報です。2 要素認証を利用すると、ユーザーの手元にある情報も必要になります。通常、これはランダムに生成される数値すなわちトークンの形で提供され、SMS やサービス専用のモバイルアプリ内の乱数生成機能を通じて携帯電話に配信されます。したがって、パスワードが漏えいした場合でも、生成された 2 要素認証トークンがないと犯罪者はログインすることができません。

敵を知る
ソーシャルネットワークやソーシャルアプリのユーザーにとって最大の敵は、ソーシャルアカウントを乗っ取ってスパムを拡散し、アンケートの記入やアプリのインストールを求めてくるスパマーや詐欺師です。

  1. 無料提供は無料ではない。詐欺師の多くは、アンケートに答えたり、アプリをインストールしたり、あるいはソーシャルネットワークで投稿を共有したりすると無料のデバイスやギフトカードを獲得できると謳ってユーザーを誘導しようとします。それほどうまい話はあるはずもなく、話に乗ってしまうと、個人情報を与えてしまうことになりかねません。
  2. フォロワーや「いいね」を集める。フォロワーや「いいね」の数を増やそうとすれば、その代償を払わされるのが常です。偽フォロワーに対する料金を請求されるか、アカウント情報を差し出してソーシャルボットネットの一部に組み込まれてしまうのがオチです。そこまでする意味のある行為ではありません。
  3. 話題のトピックは悪用の温床。スポーツイベントや人気スター有名人の死亡記事人気テレビのシーズンまたはシリーズの最終回、あるいは最新製品の発表まで、詐欺師やスパマーは常に話題を先取りし、ユーザーを陥れるための会話にそれを盛り込もうと狙っています。これはもう避けられないものと諦めて、リンクを不要にクリックしないように用心してください。
  4. 自分の画像や動画なのか。パスワードを狙う詐欺師は、知らず知らずのうちにパスワードを渡してしまうよう巧みにユーザーを誘います。それがフィッシングです。リンクをクリックして、ソーシャルネットワークサービスのログインページと思われる Web ページに進んだとしても、うっかりパスワードを入力しないでください。アドレスバーをよく見ると、「Twitter」あるいは「Facebook」という単語を含む長い別の URL になっていませんか。ブラウザで新しいタブを開いて、twitter.com や facebook.com と手動で入力し、すでにログインしていないかどうか確認してみてください。たいていの場合は、すでにログイン状態のはずです。

知識は力なり
新しいソーシャルネットワークサービスやソーシャルアプリが人気を集めて主流になったとき、詐欺師やスパマーがそれを黙って見逃すことはありません。手間を惜しまずに、各サービスで提供されているプライバシー設定やセキュリティ機能を理解することが、オンラインでの安全とセキュリティの向上の第一歩です。また、情報を狙っている相手や、情報を狙ってユーザーを欺こうとするそのさまざまな手口を知れば、リンクをクリックするとき、投稿を共有するとき、あるいはパスワードを入力するときのそれぞれで、安全かどうかを適切に判断できます。

各種ソーシャルネットワーク上の友人や家族にもこのブログを共有して、注意を呼び掛けてください。

最新のソーシャルネットワーク詐欺に関する情報は、Twitter で @threatintel をフォローするか、セキュリティレスポンスブログをご購読ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Día de Internet Seguro – Protegiendo tus Redes Sociales

      No Comments on Día de Internet Seguro – Protegiendo tus Redes Sociales

safer_internet_day.png

Sea el Día de Internet en mayo o el Día de Internet Seguro en febrero, siempre es importante proteger nuestra información cuando estamos conectados en Internet. A medida que la tecnología se incorpora en nuestra vida diaria, existen configuraciones y opciones de seguridad que pueden utilizarse para garantizar que nuestra información e identidad digital estén bajo control.

Vivimos en un mundo social

En Internet, la fuerza más dominante hoy día es la social. En este momento, muchos amigos míos están compartiendo fotos con ideas para bodas en Pinterest, editando y compartiendo fotos de alimentos en Instagram, intercambiando imágenes de vestidos por redes sociales, haciendo check-in en restaurantes con la aplicación Foursquare, grabando videos cortos de sus mascotas con Vine, compartiendo fotos de sus hijos recién nacidos en Facebook o tuiteando sobre el estreno de la nueva temporada de The Walking Dead o los estrenos en cartelera. Así, a medida que esta forma de comunicarnos y estos servicios se hacen cada vez más populares, también se vuelven un objetivo más frecuente de intentos de fraudes cibernéticos, spam y phishing.

Conoce tus configuraciones

Symantec Security Response aconseja a los usuarios que se familiaricen con las configuraciones de privacidad y los servicios de seguridad que ofrece cada red social y las aplicaciones que usan, a continuación algunos puntos importantes.

  1. ¿Público o privado? Por default, muchos de estos servicios invitan al usuario a compartir sus noticias de manera pública. Algunos ofrecen privacidad como una configuración global para hacer un perfil público o privado, mientras que otras dan más opciones, permitiendo de esta manera hacer las publicaciones individuales públicas o privadas. Asegúrate de revisar estas configuraciones antes de hacer alguna publicación o aceptar los términos del servicio.
  2. Contraseñas seguras y reutilización de contraseñas. Utiliza una contraseña segura para cada servicio y asegúrate de no reutilizar o repetir contraseñas en tus redes sociales.
  3. Si es posible, implementa una doble autenticación. Algunos servicios como Facebook y Twitter ofrecen una autenticación de dos factores como una medida de seguridad adicional para tu cuenta. Normalmente, para iniciar sesión en un servicio, ingresamos una contraseña, que es algo común que la mayoría de los usuarios utiliza. Al habilitar una autenticación de dos factores, además de una clave, se introduce un dato que tenemos solo nosotros, generalmente en forma de un número generado aleatoriamente, o token[i] que pueden enviarse a nuestro teléfono móvil por SMS, o un generador de números aleatorio dentro de los servicios de la aplicación móvil. De esta manera, si nuestra contraseña está en riesgo, el ladrón necesitará el token de autenticación de dos factores generado antes de iniciar sesión, lo que hace más difícil que alguien entre a nuestra cuenta.

Conoce a tu enemigo

Los grandes enemigos de los usuarios de redes sociales y aplicaciones son los creadores de spam y estafadores cibernéticos que quieren secuestrar nuestras cuentas de correo o redes sociales para enviar correos no deseados, para lograrlo, buscan convencernos para completar encuestas o instalar aplicaciones y así capturar nuestra información, por ello toma en cuenta lo siguiente.

  1. Las cosas gratis no son gratis. Muchos estafadores intentarán seducirte con la idea de que puedes ganar accesorios o tarjetas de regalo gratis si completas una encuesta, instalas una aplicación o si compartes una publicación en tu red social. Mediante estas técnicas y así de fácil son muchos los usuarios que podrían revelar o compartir su información personal.
  2. ¿Quieres más seguidores y “Me gusta”? Siempre hay un precio que pagar al tratar de conseguir más seguidores o “Me gusta”. Ya sea pagando dinero para tener seguidores y/o “Me gusta” falsos, u otorgar voluntariamente los datos de la cuenta y convertirse de esta manera en un botnet[ii] social. Estos esquemas no valen la pena si ponen en riesgo nuestra información.
  3. Los trending topics son aprovechados para los engaños. Ya sean eventos deportivos, noticias sobre gente famosa o avisos sobre finales de temporada de series de televisión, los creadores de spam y los estafadores en línea saben lo que es popular y encontrarán la manera de incorporarse en la conversación para engañar a los usuarios a hacer lo que ellos quieren.  Esto se relaciona con la curiosidad humana, así que piensa dos veces antes de hacer clic en los vínculos o ligas incluidas en mensajes.
  4. ¿Esta foto o video es tuyo? Los estafadores quieren tu contraseña y harán todo lo posible para convencerte de que se las entregues sin notarlo. Esto se denomina phishing. Si haces clic en un link y lo te lleva a un sitio web que parece una página de inicio de sesión de una red social, no escribas tu contraseña y mejor revisa la barra de dirección para asegurarte de que no sea solo un URL largo que tiene la palabra Twitter o Facebook en él. Abre una nueva ventana y escribe en la barra de navegación la dirección twitter.com o facebook.com para ver si tu sesión sigue activa y asegurarte de que estás entrando en la página correcta.

Conocimiento es poder

Comprendamos que cuanto más populares sean los nuevos servicios de redes sociales y las aplicaciones, los creadores de spam y los estafadores estarán más cerca de ellos. Si nos tomamos el tiempo para entender las configuraciones de privacidad y las características de seguridad adicionales que ofrecen estos servicios, daremos el primer paso para estar más seguros y protegidos en línea. Además, si sabemos quién solicita nuestra información y conocemos las distintas maneras de engaños para robar nuestros datos, podremos decidir mejor en qué ligas hacer clic, qué publicaciones compartir y dónde es seguro teclear o ingresar nuestro nombre de usuarios y/o contraseña.

¿Quieres ayudar a otros usuarios de redes sociales? Comparte esta publicación con amigos y familiares que también participan en las redes sociales que utilices.

[i] Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

 

[ii] Botnet es igual a hablar de acciones maliciosas que se materializan a través de un recurso delictivo, y que en esencia siempre supone una actitud hostil de parte de quien las administra.

Banclip ? ShadesRat ????????????

      No Comments on Banclip ? ShadesRat ????????????

Figure_2.png

1 月 23 日、CERT Polska はブログを投稿し、ポーランドのユーザーを標的として最小限の労力でオンラインバンキングを狙うマルウェアについて報告しました。同ブログでは、このマルウェアの一部のサンプルで使われていたハッシュも紹介されています。シマンテックはこれを受けて、今回のマルウェアの新しい名前を Trojan.Banclip として用意しました。シマンテックの遠隔測定結果を見ると、このマルウェアの拡散状況と、攻撃者のそれ以外の目的について詳しく理解することができます。これはまた、マルウェアスキャンサービスに関する誤解を解くきっかけにもなります。

関連する活動
2014 年 1 月 14 日、シマンテックは、Trojan.Banclip の亜種がポーランドの Web サイト zeus[削除済み].cba.pl からダウンロードされていることを記録しました。その後、少なくとも 6 つのマルウェアサンプルがこの Web サイトからダウンロードされています。次のグラフは、拡散されたマルウェアの 1 日当たりの検出数です。

Figure1_8.png

図. zeus[削除済み].cba.pl による 1 日当たりの感染数

確認されている 6 つのサンプルには、Trojan.Banclip の他の亜種がいくつかと、W32.Shadresrat(別名 BlackShades)のコピーもありました。W32.Shadresrat は「販売されている」RAT であり、攻撃者がこれを使えば被害者のコンピュータを完全に制御できるようになります。zeus-[削除済み].cba.pl からダウンロードされた W32.Shadesrat のサンプルは、コマンド & コントロールサーバーとしても zeus-[削除済み].cba.pl を使っていました。このような二重の使い方から、マルウェアを拡散している犯人と、マルウェアを使って被害者のコンピュータを攻撃している犯人とは同一だと推測できます。もう一方のマルウェア Trojan.Banclip も、同じ攻撃者によって拡散および利用されていると思われます。これは、両方のマルウェアに狙われている標的が主にポーランドのユーザーであることからも見て取れます。

悪質なサーバーからダウンロードされることが確認されているのは、以下のサンプルです。

  • 0bec288addbe72c20fd442b38dab4867
  • 2b0198b52012adce1ad5c5a44ee1c180
  • 387fb206eb014525b9a805fbba4b2318
  • 3bf9e6fd9c20e06d0769c7a84ae21202
  • 6712b0888415fb432270f4d4dbec47a3
  • f8987a4dd66edf76f1bbf41578c35a05
  • f8dd3554e53160fec476bb8016ea12a9

検出
CERT Polska は、このマルウェアの検出率が低いようだとブログで指摘しています。これは VirusTotal のスキャン結果に基づく見解ですが、テストに VirusTotal を使うのは理解できるものの、その結果は見かけほど明確ではないと思われます。

今回の場合、Trojan.Banclip ファイルが検出されていたのは間違いなく、シマンテック製品をお使いのお客様は保護されています。上のグラフに示されている期間に、この脅威は、シマンテックの評価技術により Suspicious.Cloud.2 または Suspicious.Cloud.9 という検出名で検出されていました。評価技術は、ファイルのダウンロード元の Web サイトの評価など、さまざまな変数を使ってマルウェアを検出するため、ファイルをただスキャンするだけで検出結果を再現できるわけではありません。

シマンテック製品には、実行時やネットワークへの接続時にマルウェアを検出する、その他の検出技術も搭載されています。それらすべてがユーザーを保護するために役立っていますが、そういったシステムも単純なスキャン結果には反映されません。十分に保護するためには、このような高度な機能を有効にしておくことが重要です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Tiylon: A Modern Bank Robber

      No Comments on Tiylon: A Modern Bank Robber

The biggest bank robbery of all time was identified in Brazil in 2005. In this case, a gang broke into a bank by tunneling through 1.1 meters of steel and reinforced concrete and then removed 3.5 tons of containers holding bank notes. This heist resulted in the loss of about 160 million Brazilian dollars (US$380 million).

Robbers today, however, don’t have to bother with drilling through walls to steal money. They can rob a bank while sitting comfortably at home behind a computer. Thanks to cybercrime, organizations have suffered financial losses in the order of millions. The Symantec State of Financial Trojans 2013 whitepaper shows that banking Trojans are becoming more prevalent. Apart from other more common malware such as Zeus and Spyeye, one of the most popular financial malware that cybercriminals currently use is a threat called Tiylon. This Trojan uses a man-in-the-browser (MITB) attack to intercept user authentications and transaction authorizations on online banking sites.

Initial infection by targeted attack
Tiylon typically arrives as an attachment in the form of a short email to attempt to evade antispam filters. Unlike most spam campaigns associated with financial Trojans (like Zeus), Tiylon emails are part of a targeted attack. Symantec telemetry shows the attack targets online banking users  in several different regions around the world, with a particular focus on the UK, US, Italy, Australia, and Japan (Figure 2).

Fig1_8.png

Figure 1. Tiylon email with a malicious attachment.

The threat consists of three different files: a downloader, a main component file, and a configuration file.

Downloader file
The downloader acts as a load point and is responsible for the installation of the main component file. When the downloader executes, it constructs system information derived by the computer’s serial number and establishes a connection to the attacker’s command-and-control (C&C) server. When the connection is established, a registry key is created.

  • Windows XP:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
  • Windows 7:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”

The downloader then injects code into explorer.exe and svchost.exe to initiate malicious activity.

Main component file
The main component file is downloaded and decrypted by the Tiylon downloader file. This component collects a configuration file from the C&C server to specify the parameters of the attack. The component also manipulates registry settings to reduce the security of the computer and browser. This is also the component that intercepts communications between the user and financial institution websites.

Core functionalities include the following:

  • Performs Web injection attacks
  • Logs key strokes
  • Captures screenshots
  • Starts FTP and RDP servers
  • Starts Remote Desktop Protocol (RDP)
  • Reads certificates
  • Downloads and executes files
  • Create services
  • Hook operating system APIs in order to steal network data
  • Inject code into other processes
  • Log off, restart, or shut down the compromised computer
  • Perform process injections into Web browsers

Tiylon attempts to evade detection by inspecting directories and installed applications. It also tries to find out if the computer is a virtual machine by checking the process list. If the C&C server finds any environment that could detect malicious activities, it may ban the computer’s IP address and then try to infect other users. It may also force some non Symantec antivirus software to set exclusions, helping the threat avoid detection. The malware code itself is obfuscated and has several packing cycles, which complicates analysis.

Timeline of attacks
The Tiylon attacks occured between January 1, 2012, and October 1, 2013.

Table1_0.png

Table 1. Tiylon attack numbers by country

Fig2_0.gif

Figure 2. Animation showing Tiylon attack numbers by country

Symantec protects customers against Tiylon with the following anitvirus and IPS detections:

AV:

IPS:

Symantec recommends users to have the most up-to-date software patches and definitions in place to protect against threats. In this particular case, we suggest installing an antispam solution for your email client and refrain from opening suspicious attachments.

?????????????????????????????????????

      No Comments on ?????????????????????????????????????

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

figure1_16.png
図 1. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 30 日付)

figure2_15.png
図 2. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 31 日付)

悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

ファイル(kskzjmtypb.exe)がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

シマンテックは、このマルウェアを Trojan Horse として検出します。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。