Tag Archives: Security Response

Waledac ???? 2012 ?????????????????

      No Comments on Waledac ???? 2012 ?????????????????

最近、あるボットネットの亜種(Kelihos)が再出現したという報告が何件かありました。シマンテックでは、これを W32.Waledac.C として検出しています。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログホワイトペーパーで取り上げられています。従来の Waledac は、侵入先のシステムを利用してスパムを送信するスパムボットネットとして悪名をはせてきました。このスパム攻撃の狙いは通常、リンクを含むスパムによって自身を拡散させることにあり、そのリンク先は多くの場合(例外もあります)悪質な Web サイトにホストされている Waledac のバイナリファイルです。今回の亜種 W32.Waledac.C もスパムメールを送信しますが、ちょっとした工夫が加えられています。

あるスパム攻撃では、ロシア国内のメールアドレスだけを標的として以下のようなメールが送信されていました。

メールの翻訳(概要訳)

「Rospres は今年、開設 5 周年を迎えます。

私たちは一貫して、入手できるかぎりの最新情報を完全な形でお伝えしようと努めてきました。今後も愛読者のみなさまのために尽力するつもりです。これからも当社 Web ポータルへのアクセスをお忘れなく。http://www.rospres.com/ へのアクセスを心より歓迎します。

みなさまのご多幸をお祈りします、Rospres より」

スパムメールに書かれている Rospres.com のリンク先は、Rospres.com のサイトに掲載されている、以下の図のような中傷記事です。このスパムメールに書かれたリンクが脅威の拡散に使われているという証拠は見つかっていません。Rospres.com のサイトには、政治家や財界人などロシア国内の著名人について中傷的と思える記事が多数掲載されています。

この記事で取り上げられているのは、オリガルヒ(ロシア新興財閥)のひとりに数えられる資本家であり、今年 3 月のロシア大統領選の無所属候補でもあるミハイル・プロホロフ氏です。今回の Waledac スパムによる攻撃が、Rospres.com サイトの宣伝を目的としているのか、それとも大統領選候補の個人的な中傷を狙っているのかは明確になっていませんが、W32.Waledac.C の亜種を操っているマルウェア集団の正確な動機を曖昧にする機能は果たしているようです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Office ????????????????

      No Comments on Office ????????????????

寄稿者: 中山雄克

先日、標的型攻撃に関して取得したファイルを調べていたところ、妙なファイルセットが目に止まりました。それらのファイルを分析してみると、2 つのファイルがセットになって、今までに一般に確認されていない脆弱性を悪用するものであることが判明しました。Microsoft はこの問題を認識しており、MS11-073 を適用したユーザーは完全にセキュリティ保護されると発表しています。

これらのファイルが一般的な標的型攻撃と異なる点は、Microsoft Word の文書ファイルと .dll ファイルがペアになっていることです。通常、標的型攻撃に必要となるのは、マルウェアを投下するファイル 1 つのみです。このペアは、電子メールに添付されたアーカイブファイル内に隠れて標的に送られる可能性が高いと思われます。電子メールで送られたアーカイブに文書ファイルが含まれていることは珍しくありませんが、.dll ファイルが電子メールで送られてくることはあまりないでしょう。

この脆弱性の悪用では、Word の文書ファイルに埋め込まれた ActiveX コントロールが使用されます。Word 文書を開くと ActiveX コントロールによって fputlsat.dll が呼び出されますが、このファイルの名前は、Microsoft Office FrontPage Client Utility Library で使われる正規の .dll ファイルと同じです。この悪用に成功すると、マルウェアがシステム上に投下されます。.dll ファイルが機能するには、ファイル名が fputlsat.dll でなければならないので、電子メールで文書ファイルとともにこの名前のファイルが送られてきた場合は警戒が必要です。悪用に成功すると、fputlsat.dll が削除され、Thumbs.db ファイルと置き換えられます。攻撃者が Thumbs.db を使う理由は、サムネイルビューの使用時に Windows によって作成される共通ファイルがこのファイル名であるためです。また、このファイルは、デフォルト設定ではコンピュータの標準ビューに表示されません。

シマンテックでは、この文書ファイルを Trojan.Activehijack として検出しています。この攻撃で悪用されている脆弱性についての詳細がわかり次第、その更新情報を提供する予定です。ユーザーの方々は、特に理由がない限り、電子メールに添付された .dll ファイルには用心してください。また、標的型攻撃を受けるリスクを低減するため、MS11-073 のパッチと最新のパッチをすべて適用することをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????

      No Comments on ???????????????

2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。

このスパム攻撃で確認されたヘッダーの例を以下に示します。

差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services(UPS カスタマーサービス)”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>

件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)

差出人: “Post Express Support(Post Express サポート)” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report(Post Express レポート)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office(Post Express オフィス)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>

件名: Post Express Office. Package is available for pickup. NR03909(Post Express オフィス: 集荷準備中 NR03909)
件名: Post Express Office. Delivery refuse. NR4245855(Post Express オフィス: 配送拒否 NR4245855)
件名: Post Express Office. Track your parcel. NR06678(Post Express オフィス: 荷物追跡 NR06678)
件名: Post Express Office. Error in the delivery address. NR4061172(Post Express オフィス: 送付先住所の間違い NR4061172)
件名: Post Express Office. Get the parcel NR31215(Post Express オフィス: 荷物 NR31215 をお受け取りください)

受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。

UPS tracking number.exeTrojan.FakeAV として検出)
UPS notify.exeBackdoor.Cycbot として検出)
Post_Express_Label.exeTrojan.Sasfis として検出)

以下に、スパムの例を 2 つ示します。


 

シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。

上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????? Android ???

      No Comments on ?????????????????? Android ???

Android.Walkinwat は、非正規のサイトから不正にファイルをダウンロードしたユーザーを懲らしめようとする脅威です。この種の脅威がモバイル環境で確認されたのは初めてです。

図 1: トロイの木馬によって表示されるメッセージ

Android.Walkinwat は、Android マーケットで入手できる「Walk and Text」というアプリケーションの、存在しないバージョン(V 1.3.7)として公開されており、北米とアジアの有名なファイル共有 Web サイトで見つかっています。このアプリケーションがこれらの地域で意図的に拡散されたのは、脅威の作成者がダウンロード数を増やし、少しでも多くのユーザーにメッセージを送るためだったとも、Walk and Text の発行者を非難するためだったとも考えられます。

このアプリケーションを実行すると、アプリケーションに対する侵入とクラッキングが進行中であるかのように見えるダイアログボックスが表示されますが、実際にはその間に、重要なデータ(名前、電話番号、IMEI 情報など)を収集して外部サーバーに送信しようとしています。

図 2: バックグラウンドで実行される処理

また、リストにあるすべての連絡先に、次のような SMS メッセージを送信します。

図 3: リストのすべての連絡先に送信される SMS メッセージ

注目すべきなのは、このトロイの木馬が Android.Walkinwat の LicenseCheck と呼ばれるルーチンで上記の処理を実行しているということです。これは本来、正規のアプリケーションがライセンス管理に使うルーチンであり、海賊版を排除するために Android プラットフォームで利用できるライセンス検証ライブラリ(Licensing Verification Library)と組み合わせて使われます。悪質なコードの作成者は、海賊版を防ぐために推奨されている別の対応策も使い、アプリケーションを不明瞭化するという手間もかけています。

図 4: LicensingService ルーチンと LicenseCheck ルーチン

アプリケーションは最後に、電話料金の請求書を忘れずに確認するようにというメッセージを表示し、Android マーケットからこのアプリケーションの正規版を購入するオプションも提示します。

図 5: 脅威によって表示される最後のメッセージ

海賊版防止のメッセージを送信する手段として、正義による制裁という形が使われるケースは初めてではありませんが、モバイル機器では初めての出現例となりました。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Facebook ??????????????? XSS ???

      No Comments on Facebook ??????????????? XSS ???

Facebook で新しく見つかったクロスサイトスクリプト(XSS)の脆弱性は、パッチ修正されないまま現在も広く悪用されており、ユーザーのウォールに自動的にメッセージが投稿されています。この脆弱性は、これまでも小規模に使われていましたが、今ではさまざまなグループに広く使われはじめ、特にインドネシアでは何も知らないユーザーによって、感染したメッセージが何千回も投稿されています。

この脆弱性は、JavaScript のフィルタリングが十分でないことが原因で、モバイル API バージョンの Facebook に存在します。悪質な意図で作成した iframe 要素に JavaScript を埋め込むか、http-equiv 属性の refresh 値を利用して、JavaScript を含む URL にブラウザをリダイレクトするなどの方法で Web サイトに組み込むことができます。Facebook にログインしたユーザーが、このような要素を含むサイトにアクセスすると、任意のメッセージがそのユーザーのウォールに自動的に投稿されます。ユーザー自身の操作はまったく必要なく、クリックジャックのような仕掛けもありません。感染した Web サイトにアクセスするだけで、攻撃者が選んだメッセージが投稿されてしまいます。このようなメッセージが Facebook 全体にごく短時間で広まってしまったのも当然と言えるでしょう。なかには、感染した Web サイトへのリンクを投稿し、ユーザー間に XSS ワームを拡散するメッセージもあります。

悪いことに、この攻撃は簡単に作り変えることができるため、すでに何十という模倣犯が異なるメッセージで新しい攻撃を開始していることが確認されています。

この問題は Facebook のセキュリティチームに報告済みであり、修正対応が進められています。

この攻撃は、Facebook で SSL オプションが有効でも無効でも動作するので、今のところ、使わないときは Facebook からログアウトするか、セキュリティツールを使って保護するか、または感染サイトへのアクセスを遮断するようにしてください。たとえば、Firefox ブラウザの NoScript 拡張機能を使うと、この XSS ワーム攻撃を検出することができます。

更新: この XSS 脆弱性に対するパッチ修正を実施したと Facebook から報告がありました。また、Facebook は現在、この攻撃によって生じた損害の修復も進めているところです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????

      No Comments on ???????????????????

シマンテックセキュリティレスポンスは最近、一見して無害そうなプログラムがさまざまな URL でホストされていることを確認しました。このプログラムファイルが異例だったのは、多くのシマンテックユーザーが同じファイルを解析のために送信してきたという事実です。

このプログラムの基本的な動作は、職業適性アンケートに回答させたうえで、次のいずれかの URL にユーザーをリダイレクトするというものです。

hxxp://groupinc-upland.biz/registration/1
hxxp://artby-group.biz/registration/1
hxxp://artby-gorup.net/registration/1
hxxp://callisto-ltdco.net/registration/1
hxxp://kresko-group.biz/registration/1
hxxp://kresko-group.net/registration/1
hxxp://targetmarket-groupllc.net /registration/1
hxxp://neoline-llc.net/registration/1
hxxp://neoline-groupco.cc/registration/1

適性テストのダウンロードと回答を行わずに、これらのページをただ閲覧することはできません。

このプログラムは、登録ページにアクセスするための一意の URL を生成します。

このプログラムで気になる点は、入力を求められる情報の仔細さです。

100 ドルの特典と引き換えに、オンラインバンキングの口座情報として URL、ログイン名、パスワードまで要求されます。

最後のステップでは、入力したアドレスに電子メールが送信され、契約に合意したうえで身分証明か公共料金請求書のスキャンコピーをアップロードするように求められます。

契約書には、この仕事の目的が次のように記載されています。

「The Contractor undertakes the responsibility to receive payments from the Clients of the Company to his personal bank account, withdraw cash and to effect payments to the Company’s partners by Western Union or MoneyGram money transfer system within one (1) day(契約者は、当社の顧客からの支払いを個人の銀行口座で受け取り、現金を引き出したうえで、Western Union または MoneyGram の送金システムを利用して 1 日以内に当社のパートナーへの支払いを実効させる責任を負うものとする)」

また報酬についても触れられています。

「The Contractor is engaged by the Company on terms of thirty-days (30) probationary period. During the probationary period the Company undertakes to pay to the Contractor the base salary amounting to 2300 USD per month plus 8% commission from each payment processing operation. After the probationary period the Company agrees to revise and raise the base salary to 3000 USD.(契約者は、30 日間の試用期間を条件として当社と契約する。試用期間中、当社は 1 カ月当たり 2,300 米ドルの基本給と、支払い処理操作 1 件ごとに 8% の手数料を契約者に対して支払うものとする。試用期間の終了後には、3,000 米ドルを上限として基本給の見直しと昇給を行うことに当社は合意する。)」

そして、オンラインバンキングの口座情報を入力すると特典の 100 ドルが手に入るということを思い出してください。

いわゆるマネーミュールは、取引の分け前を手に入れ、残りの現金を第三者の口座に送金します。このような行為は不正であり、これまでにも多くの例で、法的に責任を問われる結果になっています。

http://www.theregister.co.uk/2010/09/30/zeus_money_mules_charged/

http://www.wired.com/beyond_the_beyond/2010/10/the-zeus-money-mules-the-federal-complaints/

この詐欺行為が行われている間、重要な情報はすべて HTTPS ではなく HTTP で送信されているので、銀行口座情報は平文で送信されている点にも注意が必要です。

一般的に、ユーザー自身が意図して取引を開始した場合を除いて、個人情報(パスワードや銀行口座などの情報)は誰とも、またどんなサイトでも共有すべきではありません。個人情報の入力が必要なページにアクセスする場合でも、URL に HTTPS が含まれているかどうかを調べて、サイトが暗号化を利用していることを確認してください。また、ブラウザに鍵マークが表示されていれば、SSL が使われていることがわかります。

シマンテックでは、このアンケートアプリケーションを Fakesurvey として検出します。

http://jp.norton.com/security_response/writeup.jsp?docid=2011-032307-1016-99&tabid=2

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Trojan.Dysflink“????” ???????????

      No Comments on Trojan.Dysflink“????” ???????????

        Trojan.Dysflink是一种盗取QQ用户信息的木马。该木马会监控系统特定文件夹(STARTMENU, COMMON_STARTMENU, DESKTOP, COMMON_DESKTOPDIRECTORY, PROGRAM_FILES, PERSONAL)中后缀名为.lnk的文件,也就是我们常说的快捷方式,并替换这些.lnk文件。

        .lnk文件被替换前后的截图:

        被替换的快捷方式使木马在系统重启后仍然可以有机会被运行。同时,木马运行后依然会将原始的目标程序打开,令用户不容易察觉到中毒。

        病毒运行后,会在系统中添加如下文件:
ROOT:Program Filesqcat
ROOT:Program Filesqcatqcat.ini
ROOT:Program Filesqcatqsetup.exe
ROOT:Program Filesqcattmpdata
ROOT:Program Filesqcattmpdata*.lnk

        同时,该木马会在qcat.ini中记录被替换修改的.lnk文件的信息。tmpdata中存放的则是原始的被替换的.lnk文件,如下图所示:

        木马会寻找QQ程序进程,并将窃取的QQ用户机密信息发送到http://7[REMOVED]m.com:81/dd/dd/qq.asp

        目前,赛门铁克已发布针对Trojan.Dysflink的病毒定义,可有效协助用户抵御此类病毒的攻击。

        Thanks to Jerry Jing for the technical analysis.

??PDF?????????“????”??

      No Comments on ??PDF?????????“????”??

        上周,Adobe发布了安全更新(APSB10-15),可防范之前利用PDF进行的社会工程学攻击(CVE-2010-1240)。不过,随着补丁的发布,攻击者再次聚焦这类攻击,并研究补丁的破解方式。因此,我们担心类似攻击有可能再次发生。
 
        大家知道我们常用的PDF文档阅读软件Adobe Reader包含了很多强大的功能,其中之一便是令PDF可以执行或者打开一个目标文件,包括可执行文件(.exe)。但为了防止恶意程序乘虚而入,文件只有在用户许可的情况下才能打开或运行。如图一:
 

                                                           (图一)
 
        然而,这样一个防范功能竟也被攻击者所利用。开头提到的基于社会工程学的攻击便是其中一种。攻击者会构造一份特别的PDF文件,其内容可能包括用户感兴趣的话题。当PDF文件被打开时,会跳出一个窗口,提示这是一个加密的文档,需要点击窗口中的“打开(open)”才能阅读(如图二所示)。若用户一旦点击打开,内嵌在PDF中的恶意代码便会被激发并运行。

                                                            (图二)
 
        Symantec 数月前已发布针对此类攻击的病毒定义Bloodhound.PDF.24,可有效防止此类攻击的发生。同时,用户也应尽快根据官方指示将Adobe Reader更新至9.3.3 以上版本。

????????????????

      No Comments on ????????????????

        上网搜索信息使我们日常生活中经常使用的功能。互联网快捷的速度、全面的知识,令我们在弹指间便能找到需要的答案。而针对搜索的木马也应运而生,Trojan.Bamital就是赛门铁克安全响应中心近期检测到的此类木马病毒。用户如果使用被其感染的计算机对网络内容进行搜索,该木马会篡改搜索引擎的返回结果。
 
        运行后,Trojan.Bamital首先会释放一个DLL文件%UserProfile%Local SettingsApplication DataWindows Server<random 6 letters>.dll,并且创建注册表键值HKEY_CURRENT_USERSoftware<random 10 letters>”<random 10 letters>” = “[BINARY DATA]”。被释放的DLL文件从该注册表键值读取有害的代码来运行。同时,它还会关闭计算机的系统还原功能,并且将有害代码注入到多个进程,这些进程包括:cmdagent.exe,fssm32.exe,fsorsp.exe,avp.exe,iexplore.exe,firefox.exe,opera.exe
explorer.exe等。被注入的恶意代码会挂钩系统函数,监视浏览器向搜索引擎发送的数据包,修改搜索引擎的返回结果,并将一些广告链接添加到搜索结果中。
 
        该木马通过偷渡式下载进行传播。因此,建议用户不要轻易访问可疑网站;浏览网页前,可以使用“诺顿网页安全”(http://safeweb.norton.com/)分析将要访问网页的安全性。赛门铁克安全响应中心已发布针对该病毒的病毒库定义,请用户及时更新您的安全软件病毒定义库以抵御该病毒威胁。

????“????”???W32.Mabezat.B

      No Comments on ????“????”???W32.Mabezat.B

        W32.Mabezat.B是一种蠕虫病毒,其最大的特点是传播方式多种多样,用户稍有不慎就可能使计算机受到该蠕虫感染。运行时,该蠕虫首先会开启用户计算机中的自动播放功能,并且设置隐藏系统属性文件以避免被用户发现。
 
        W32.Mabezat.B主要通过以下方式进行传播:

  1. 拷贝自身到移动存储设备并写入autorun.inf;
  2. 把自身拷贝到开有网络共享的计算机,并重命名为一些大家熟悉的文件名,如My documents.exe,Readme.doc.exe等;
  3. 把自己作为附件通过垃圾邮件发送出去,并将附件命名为office_crack.rar、RecycleBinProtect.exe等以诱使用户点击;
  4. 把自身拷贝到%UserProfile%Local SettingsApplication DataMicrosoftCD Burning目录,这样用户在做刻录操作时就会自动把病毒刻录到光盘上;
  5. 感染用户计算机中的可执行程序。感染后的文件被检测为W32.Mabezat.B!inf。

        因此,建议用户关闭计算机的自动播放功能;在打开移动存储设备前先对其进行安全扫描;尽量不要使用网络共享;不要轻易打开来历不明的邮件及其附件;及时更新安全软件病毒定义库以抵御该蠕虫病毒的威胁。