Tag Archives: Trojan.Gen

European automobile businesses fall prey to Carbon Grabber

Cybercriminals target automotive companies in the UK, the Netherlands, Germany, and Italy with Infostealer.Retgate.
Read more…

Spam Campaign Spreading Malware Disguised as HeartBleed Bug Virus Removal Tool

At the beginning of April, a vulnerability in the OpenSSL cryptography library, also known as the Heartbleed bug, made headlines around the world. If you haven’t heard of the Heartbleed Bug, Symantec has published a security advisory and a blog detailing how the Heartbleed bug works.

As with any major news, it is only a matter of time before cybercriminals take advantage of the public’s interest in the story. Symantec recently uncovered a spam campaign using Heartbleed as a way to scare users into installing malware onto their computers. The email warns users that while they may have done what they can by changing their passwords on the websites they use, their computer may still be “infected” with the Heartbleed bug. The spam requests that the user run the Heartbleed bug removal tool that is attached to the email in order to “clean” their computer from the infection.

This type of social engineering targets users who may not have enough technical knowledge to know that the Heartbleed bug is not malware and that there is no possibility of it infecting computers. The email uses social and scare tactics to lure users into opening the attached file.

One warning sign that should raise suspicion is that the subject line, “Looking for Investment Opportunities from Syria,” is totally unrelated to the body of the email.  

Heartbleed Bug 1.png

Figure 1. Heartbleed bug removal tool spam email

The email tries to gain credibility by pretending to come from a well-known password management company. The email provides details on how to run the removal tool and what to do if antivirus software blocks it. The attached file is a docx file which may seem safer than an executable file to users. However, once the docx file is opened the user is presented with an encrypted zip file. Once the user extracts the zip file, they will find the malicious heartbleedbugremovaltool.exe file inside.

Heartbleed Bug 2.png

Figure 2. Encrypted zip file

Once heartbleedbugremovaltool.exe is executed, it downloads a keylogger in the background while a popup message appears on the screen with a progress bar. Once the progress bar completes, a message states that the Heartbleed bug was not found and that the computer is clean.

Heartbleed Bug 3.png

Figure 3. Popup message

After the fake removal tool gives a clean bill of health users may feel relieved that their computers are not infected; however, this couldn’t be further from the truth as they now have a keylogger recording keystrokes and taking screen shots and sending confidential information to a free hosted email provider.

As detailed in the official Symantec Heartbleed Advisory, Symantec warns users to be cautious of any email that requests new or updated personal information, and emails asking users to run files to remove the Heartbleed bug. Users should also avoid clicking on links in suspicious messages.

Symantec detects this malware as Trojan.Dropper and detects the downloaded malicious file as Infostealer.

Symantec.cloud Skeptic heuristics engine is blocking this campaign and detecting it as Trojan.Gen.

???????????????????????????

      No Comments on ???????????????????????????

Fake AV 1 edit.png

寄稿: Joseph Graziano

ソーシャルエンジニアリングスパムの新たな手口として、ユーザーを欺いてコンピュータ上でマルウェアを実行させようとする巧妙な手法が出回っています。今回マルウェア作成者が使っているのは、ウイルス対策ソフトウェア企業からの電子メールに偽装する手口です。エンドユーザー各自で重要なシステム更新をインストールする必要があると説明したうえで、ウイルス対策ソフトウェアの修正パッチを装ったファイルが添付されています。この電子メールは、Cryptolocker Trojan のように最近メディアを賑わせた新しい脅威を特に想定して、検出定義がまだ用意されていないかもしれないというユーザーの不安につけ込みます。この手のソーシャルエンジニアリングは、ユーザーを誘導して添付ファイルを開かせ、実際には何がインストールされるのかを深く考えないまま修正パッチと称するマルウェアをインストールさせようとするのが特徴です。

シマンテックが確認した電子メールの件名は多岐にわたりますが、なかには著名なセキュリティ企業の名前も使われています。

  • AntiVir Desktop: Important System Update – requires immediate action(AntiVir Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avast Antivirus: Important System Update – requires immediate action(Avast Antivirus: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • AVG Anti-Virus Free Edition: Important System Update – requires immediate action(AVG Anti-Virus Free Edition: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avira Desktop: Important System Update – requires immediate action(Avira Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Baidu Antivirus: Important System Update – requires immediate action(Baidu Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Cloud Antivirus Firewall: Important System Update – requires immediate action(Cloud Antivirus Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • ESET NOD32 Antivirus: Important System Update – requires immediate action(ESET NOD32 Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Kaspersky Anti-Virus: Important System Update – requires immediate action(Kaspersky Anti-Virus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • McAfee Personal Firewall: Important System Update – requires immediate action(McAfee Personal Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton AntiVirus: Important System Update – requires immediate action(ノートン アンチウイルス: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton Internet Security: Important System Update – requires immediate action(ノートン インターネットセキュリティ: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton 360: Important System Update – requires immediate action(ノートン 360: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Symantec Endpoint Protection: Important System Update – requires immediate action(Symantec Endpoint Protection: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Trend Micro Titanium Internet Security: Important System Update – requires immediate action(Trend Micro Titanium Internet Security: 重要なシステム更新のお知らせ – 緊急に対応が必要です)

件名は異なっていても、添付された zip ファイルに悪質な実行可能ファイルが含まれている点は変わりません。

マルウェアが実行されると、networksecurityx.hopto.org に接続して別のファイルがダウンロードされます。このマルウェアは、ozybe.exe というプロセスを使ってタスクを実行します。

 

保護対策と基本的なセキュリティ対策(ベストプラクティス)

これらの電子メールや類似の電子メールは、Symantec Email Security.cloud の Skeptic スキャナによって、エンドユーザーに届く前に遮断されます。また、シマンテックは、この攻撃に関連するファイルを以下の定義名で検出します。

ソーシャルエンジニアリングスパムによる攻撃の被害者にならないように、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 知らない相手から送信された電子メールの添付ファイルは開かない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake AV Software Updates Are Distributing Malware

Contributor: Joseph Graziano
A new clever way of social engineering spam is going around today that is attempts to trick users into running malware on their computers. The methods malware authors are using include pretending to be from various antivir…