Tag Archives: Infostealer

Spam Campaign Spreading Malware Disguised as HeartBleed Bug Virus Removal Tool

At the beginning of April, a vulnerability in the OpenSSL cryptography library, also known as the Heartbleed bug, made headlines around the world. If you haven’t heard of the Heartbleed Bug, Symantec has published a security advisory and a blog detailing how the Heartbleed bug works.

As with any major news, it is only a matter of time before cybercriminals take advantage of the public’s interest in the story. Symantec recently uncovered a spam campaign using Heartbleed as a way to scare users into installing malware onto their computers. The email warns users that while they may have done what they can by changing their passwords on the websites they use, their computer may still be “infected” with the Heartbleed bug. The spam requests that the user run the Heartbleed bug removal tool that is attached to the email in order to “clean” their computer from the infection.

This type of social engineering targets users who may not have enough technical knowledge to know that the Heartbleed bug is not malware and that there is no possibility of it infecting computers. The email uses social and scare tactics to lure users into opening the attached file.

One warning sign that should raise suspicion is that the subject line, “Looking for Investment Opportunities from Syria,” is totally unrelated to the body of the email.  

Heartbleed Bug 1.png

Figure 1. Heartbleed bug removal tool spam email

The email tries to gain credibility by pretending to come from a well-known password management company. The email provides details on how to run the removal tool and what to do if antivirus software blocks it. The attached file is a docx file which may seem safer than an executable file to users. However, once the docx file is opened the user is presented with an encrypted zip file. Once the user extracts the zip file, they will find the malicious heartbleedbugremovaltool.exe file inside.

Heartbleed Bug 2.png

Figure 2. Encrypted zip file

Once heartbleedbugremovaltool.exe is executed, it downloads a keylogger in the background while a popup message appears on the screen with a progress bar. Once the progress bar completes, a message states that the Heartbleed bug was not found and that the computer is clean.

Heartbleed Bug 3.png

Figure 3. Popup message

After the fake removal tool gives a clean bill of health users may feel relieved that their computers are not infected; however, this couldn’t be further from the truth as they now have a keylogger recording keystrokes and taking screen shots and sending confidential information to a free hosted email provider.

As detailed in the official Symantec Heartbleed Advisory, Symantec warns users to be cautious of any email that requests new or updated personal information, and emails asking users to run files to remove the Heartbleed bug. Users should also avoid clicking on links in suspicious messages.

Symantec detects this malware as Trojan.Dropper and detects the downloaded malicious file as Infostealer.

Symantec.cloud Skeptic heuristics engine is blocking this campaign and detecting it as Trojan.Gen.

??????????????????????????

      No Comments on ??????????????????????????
2014 年 3 月 7 日以降、情報を盗み出す目的のマルウェアが添付された新しいスパム攻撃が確認されています。スパムメールは、通常、多数のユーザーに送信されるものですが、今回の攻撃は、日本のオンラインショッピングサイトの管理者に狙いを絞っているようです。
 
攻撃者が今回のように特定のユーザーを標的にする理由はさまざまです。多くのオンラインストアは、Web サイト上で連絡先の情報が公開されており、サイトをクロールして電子メールアドレスを簡単に収集できるので、容易に標的として狙うことができます。企業のアカウント情報を入手して、ストアで管理されているデータを盗み出す目的とも考えられます。あるいは、ショッピングサイトに侵入し、ストアへの訪問者に対してさらに攻撃を仕掛けようとしているのかもしれません。
 
Infostealer.Ayufos として検出されるこのマルウェアは、情報を盗み出すトロイの木馬としては基本的なものですが、攻撃者が狙っているデータをほぼ何でも盗み出すように作成されており、以下のような機能を持っています。
 
  • スクリーンショットを取得する
  • キーストロークを記録する
  • クリップボードのデータを取得する
  • 複数のアプリケーションのアカウント情報を盗み出す
  • ある電子メールアカウント宛てに、取得した情報を SMTP で送信する
 
ただし、詐欺の手法としてはあまり手が込んでおらず、電子メールにはごく短い数行の文と添付ファイルがあるだけです。実行可能ファイルが添付されているという事実を隠そうともしていません。典型的なスパム攻撃の場合、攻撃者は実行可能ファイルを画像ファイルなどに偽装して、正規の電子メールを装うものです。今回の攻撃を仕掛けた攻撃者は、ごく一部のコンピュータに侵入することだけを狙っていたか、あるいは騙されやすいユーザーがあちこちにいると期待したに違いありません。
 
email_figure1.png
図 1. スパムメールのサンプル。届いた商品が破損していたと主張して交換を求めている
 
Infostealer.Ayufos の初期のサンプルは昨年の 12 月に特定されていますが、それ以降に確認されている亜種はほんの少しです。日本のオンラインストアを狙う亜種だけでなく、英語圏のストアを標的とするものもあります。
 
email_figure2.png
図 2. 添付したソフトウェアの確認を求めるスパムメッセージの例
 
email_figure3.png
図 3. 英語圏のストアを標的にしたスパムメッセージの例
 
スパムを使ってオンラインストアを狙う攻撃は毎日のように見つかるわけではありませんが、今回の攻撃が例外ということでもありません。サイバー犯罪者は常に進化し、狙った相手の油断につけ込もうと戦略を練り続けています。今回の攻撃者が、再度ユーザーを狙うことはほぼ間違いありません。オンラインストアを運営している場合は、不明な送信者からの迷惑メールの取り扱いに注意してください。また、国や地域にかかわらず、基本的なセキュリティ対策(ベストプラクティス)に従うようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Online Stores Targeted with Information-Stealing Trojan

A new spam campaign with an information-stealing malware attachment has been circulating since March 7, 2014. While spam emails are typically sent to many people, in this campaign, the spammer has limited their targets to administrators of online Japanese shopping sites.
 
The attacker may have targeted these recipients for various reasons. As most online stores provide contact details on their Web page, they become easy targets since their email addresses can be easily harvested by crawling sites. The attacker could also have targeted the recipients to get the companies’ account details in order to steal data maintained by the stores. The attacker may have also wanted to compromise the shopping sites in order to carry out further attacks against the store’s visitors.
 
The malware, detected as Infostealer.Ayufos, is a basic information-stealing Trojan horse that is built to steal practically any data that the attacker requires. It has the following capabilities:
 
  • Captures screenshots
  • Logs keystrokes
  • Acquires clipboard data
  • Steals account credentials for several applications
  • Sends the acquired information to an email account using SMTP
 
The attacker does not appear to have put too much effort into this scam. The email merely contains a couple of basic sentences along with the attachment. The attacker doesn’t try to hide the fact that they have attached an executable to the message. In typical spam campaigns, attackers disguise the executable as an image file to make it appear legitimate. The attacker behind this campaign must have either aimed to compromise only a handful of computers or they hoped that there were enough gullible recipients out there.
 
email_figure1.png
Figure 1. An example of the spam email, which claims that the sent item is broken and requires a replacement to be sent back
 
Symantec identified earlier samples of Infostealer.Ayufos in December of last year, but we have seen a handful of variants ever since. The variants have not only targeted Japanese online stores, but stores for English-speaking regions as well.
 
email_figure2.png
Figure 2. An example of a spam message which asks the user to check the attached software
 
email_figure3.png
Figure 3. An example of spam messages targeting English-speaking regions.
 
While we don’t see attackers targeting online stores with spam campaigns every day, this occurrence is certainly not extraordinary. Cybercriminals continue to evolve and modify their strategies to catch their targets off guard. There is almost no doubt that this attacker will target users again. Online store owners should be wary when handling unsolicited emails sent from unknown senders and should follow best security practices regardless of the region.

Malformed FileZilla FTP client with login stealer

Beware of malformed FileZilla FTP client versions 3.7.3 and 3.5.3. We have noticed an increased presence of these malware versions of famous open source FTP clients. The first suspicious signs are bogus download URLs. As you can see, the installer is mostly hosted on hacked websites with fake content (for example texts and user comments […]

Fallout from Nuclear Pack exploit kit highly toxic for Windows machines

In recent days, the avast! Virus Lab has observed a high activity of malware distributed through exploit kits. Most cases of infection are small websites which usually provide adult entertainment, but there was also news about one of the top 300 visited websites being infected. Infection chains ended dropping a final payload in a form […]

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?? Facebook ??????????????????????

      No Comments on ?? Facebook ??????????????????????
寄稿: Daniel Regalado Arias
 
フィッシング詐欺師は、フィッシングの餌に目新しさを加えるために偽のアプリケーションを導入することがよくあります。フィッシング詐欺で使われている、ある新しい偽アプリを調べてみることにしましょう。この事例でも詐欺師はログイン情報を盗み出そうとしていましたが、データ窃盗の手段として、フィッシングの餌だけではなくユーザーの個人情報を収集するマルウェアも使われていました。フィッシングサイトは Facebook のログインページに偽装しており、無料の Web ホスティングサイトをホストとして利用していました。
 
figure1_0.png
図 1: Facebook ログインページの外観と同じように見せかけているフィッシングサイト。
 

サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。

 

シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。

  1. マルウェアは 2 つの実行可能ファイルで構成され、どちらも同じ処理を実行する。
  2. ファイルはレジストリの run キーに追加され、再起動のたびに実行される。
  3. マルウェアはキーロガーを仕掛け、被害者の入力をすべて追跡しようとする。
  4. 次に、www.google.com に ping を送ってインターネット接続があるかどうかを確認する。接続がある場合、マルウェアは収集したすべての情報を攻撃の電子メールアドレスに送信する。
  5. シマンテックが確認したところ、このアドレスは 3 カ月前から無効になっているため、マルウェアは現在、攻撃者に更新情報を送信できない状態である。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするとき、アドレスバーの URL を確認し、間違いなく目的の Web サイトのアドレスであることを確かめる。
  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL 証明書で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Use Malware in Fake Facebook App

Contributor: Daniel Regalado Arias
 
Phishers frequently introduce bogus applications to add new flavor into their phishing baits. Let’s have a look at a new fake app that phishers are leveraging. In this particular scam, phishers were tryin…

Java Autorun ??? Java.Cogyeka?? 3 ??

このブログシリーズの第 1 回第 2 回でお伝えしたように、Java.Cogyeka は autorun.inf ファイルを使って拡散し、追加のモジュールをダウンロードします。サーバーとの接続を確立するのが難しかったため 1 週間以上掛かってしまいましたが、シマンテックは Java アプリケーションベースのダウンロードされるモジュールを入手することに成功しました。ダウンロードされるモジュールは、メインモジュールと同様に、Zelix KlassMaster による不明瞭化によって自身を隠そうとします。ダウンロードされるモジュールを調べたところ、Java.Cogyeka の目的は侵入先のコンピュータ上にあるゲームから情報を盗み出すことだとわかりました。

標的となるゲーム
Java.Cogyeka が標的とするゲームは、Riot Games 社が運営している『League of Legends(リーグオブレジェンズ)』という無料オンラインゲームです。このゲームは無料ですが、追加のキャラクターやキャラクタースキンを実際のお金で購入することができます。Java.Cogyeka がこのゲームを狙うのは、このように現実の金銭取引があるためでしょう。

Infostealer
ダウンロードされたモジュールは、『League of Legends』のプレイヤーのアカウント情報とキーストロークを盗み出して、そのアカウントを自由に制御しようとします。Java.Cogyeka の目的は、このゲームに関連する情報を盗み出すことにありますが、キーストロークを盗む機能があるので、それ以外の情報も盗み出される恐れがあります。

キーストロークの窃盗
ダウンロードされたモジュールは、32 ビット版と 64 ビット版の 2 種類の DLL ファイルを投下します。このとき利用されるのは、メインモジュールでリムーバブルドライブのドライブ名を取得するときに使われたのと同じ手口です(Java.Cogyeka に関する最初のブログを参照)。Java システムでは、Java アプリケーションが他のプロセスからキーストロークを取得することが許可されていません。Java.Cogyeka はパスワードを盗み出すことができますが、それにはネイティブコールを必要とするため、Java アプリケーションから Windows DLL ファイルを投下します。

キーストロークとマウス操作を記録するために、フックタイプとして WH_KEYBOARD_LL と WH_MOUSE_LL が使われているときに SetWindowsHookEx API を使います。盗み出されたキーストロークとマウス操作は、リモートサーバーに送信されます。

Fig1_1.png

図 1. ダウンロードされたモジュールがキーストロークとマウス操作を盗み出す

アカウント情報の窃盗
Java.Cogyeka がキーストロークを盗み出すのは、『League of Legends』のプレイヤーからユーザー名とパスワードを取得するためです。しかし、ゲームのログインウィンドウにはプレイヤーのユーザー名を記憶しておくオプションがあるため、このオプションが選択されている場合、Java.Cogyeka はユーザー名を取得できません。この問題を回避するために、Java.Cogyeka はユーザーのアカウント情報が記録されているファイルも盗み出そうとします。

Fig2_0.png

図 2. 『League of Legends』のログイン画面

ユーザーのアカウント情報を盗み出すために、Java.Cogyeka はすべてのドライブ上で以下のフォルダを検索します。

  • Riot Games/League of Legends/RADS/projects/lol_air_client/releases

このフォルダの中に、「0.1.2.0.」のようにゲームのバージョン名が付いたフォルダがあります。Java.Cogyeka は、バージョンフォルダでそれらのフォルダを走査して、以下のパスを検索します。

  • deploy/preferences/global/global.properties

このファイルには、ゲーム設定のほか、ログインに使われるプレイヤーのユーザー名が記録されています。

盗み出した情報の送信
ダウンロードされたモジュールによって取得されたログイン情報は、TCP ポート 1087 で Jkl.no-ip.biz というドメインに送信されます。

このサーバー名はすでに無効化されており、現在はアクセスできませんが、このサーバー名とポート番号はモジュールにハードコード化されており、その点でコマンド & コントロールサーバーの名前やポート番号とは異なります。また、盗み出された情報は暗号化されます。

Fig3.png

図 3. 標的となったゲームが全世界でプレイされているので、マルウェアも世界各地で確認されている

まとめ
このブログシリーズでは、Java.Cogyeka の拡散機能および情報窃盗機能と、不明瞭化ツールを使ってセキュリティスキャナによる検出をすり抜ける方法について説明してきました。はっきり狙われているのは『League of Legends』というオンラインゲームですが、取得されたキーストロークとマウス操作を通じて、それ以外の情報も盗み出される恐れがあります。追加の Java モジュールをダウンロードすることから、Java.Cogyeka には自身を更新する機能もあるかもしれません。シマンテックは、このマルウェアについて今後も監視と調査を続ける予定です。

Java.Cogyeka が、USB による拡散機能を必要としている理由は不明なままです。このマルウェアの目的はオンラインゲームから情報を盗み出すことにあります。『League of Legends』は、ユーザーがゲームサーバーに接続してオンラインでプレイするタイプのゲームなので、もしかすると、インターネットカフェのコンピュータに感染することを狙っているのかもしれません。その場合、プレイヤーやインターネットカフェの管理者は、USB メモリを使う可能性があります。あるいは、ユーザーが友人と同じ場所でプレイすることも考えられ、ファイルを共有するために USB メモリを使う可能性もあります。Java.Cogyeka は、そのような状況を利用しようとしているのかもしれません。

シマンテックは、これらのファイルを Java.CogyekaJava.Cogyeka!autorunJava.Cogyeka!gen1 としてそれぞれ検出します。セキュリティソフトウェアは常に最新状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Java Autorun Worm, Java.Cogyeka (3 of 3)

As I wrote in parts one and two of this series of blogs, Java.Cogyeka uses an autorun.inf file to propagate and download an additional module. I was able to get the downloaded module, based on a Java application, even though it took over a week because of the difficulty in establishing a connection with the server. The downloaded module, like the main module, tries to protect itself through obfuscation with Zelix KlassMaster. After investigating the downloaded module, I discovered that the purpose of Java.Cogyeka is to steal information from a video game on the compromised computer.

The targeted game
The game being targeted by Java.Cogyeka is League of Legends, a free-to-play video game published by Riot Games. While the game is free-to-play, users can purchase additional characters and character skins with real money. Java.Cogyeka may target League of Legends because of these real money transactions.

Infostealer
The downloaded module attempts to steal the League of Legends player’s account information and keystrokes to gain control of their account. While the purpose of the threat is to steal information related to the League of Legends game, it may also steal additional information because of its keystroke-stealing capabilities.

Stealing keystrokes
The downloaded module drops two types of DLL files, a 32-bit version and a 64-bit version. This is done using the same technique that the threat uses for obtaining the drive letters of the removal drive in the main module, as described in the second Java.Cogyeka blog. The Java system does not permit Java applications to obtain keystroke information from other processes. The malware may steal passwords, but it needs a native call, so it drops the Windows DLL file from the Java application.

The SetWindowsHookEx API is used to log keystrokes and mouse operations while WH_KEYBOARD_LL and WH_MOUSE_LL are used as hook types. The stolen keystrokes and mouse operations are then sent to a remote server.

Fig1_1.png

Figure 1. Downloaded module steals keystrokes and mouse operations

Stealing account information
The malware steals keystrokes in the hopes of obtaining a player’s League of Legends user name and password. However, the League of Legends login window has an option to remember a player’s user name and, if a player has selected this option, Java.Cogyeka cannot obtain the player’s user name. To get around this, the malware also attempts to steal a file that contains the user’s account information.

Fig2_0.png

Figure 2. League of Legends login screen

To steal the user’s account information, the malware tries to search for the following folder on all drives:

  • Riot Games/League of Legends/RADS/projects/lol_air_client/releases

This folder contains a folder with the name of the version number of the game, for example “0.1.2.0.” The malware traverses folders at the version folder searching for the following path:

  • deploy/preferences/global/global.properties

This file contains the game settings as well as the player’s user name that is used to log in to the game.

Sending the stolen information
Once the downloaded module has obtained the login information, it sends it to the domain Jkl.no-ip.biz on TCP port 1087.

This server name has been deactivated and is no longer accessible. However, both the server name and port number are hardcoded into the module unlike the command-and-control server name and port number, and the stolen information is encrypted.

Fig3.png

Figure 3. Malware observed worldwide as the targeted game is played all over the world

Conclusion
In this series of blogs, I have discussed the propagation and information-stealing functions of Java.Cogyeka and how it uses an obfuscation tool to protect itself from detection by security scanners. While the malware has a specific target, the video game League of Legends, other information may also be stolen through the captured keystrokes and mouse operations. Java.Cogyeka may also update itself because it downloads an additional Java module. We will continue to observe and investigate this malware.

I am left wondering why the malware requires the USB spreading functionality. The purpose of this malware is to steal information from an online game. The League of Legends is a type of game whereby users connect to a game server in order to play online. There is a possibility that it attempts to infect computers at Internet cafés. In this case, game players or administrators of the Internet café may use a USB storage device. On the other hand, a user may play the game with his or her friends at the same place and use USB storage devices to share files. It is possible that the malware aims to take advantage of such a situation.

Symantec detects these files as Java.Cogyeka, Java.Cogyeka!autorun, and Java.Cogyeka!gen1. We recommend  that users keep their security software up to date.