Tag Archives: Trojan.Zbot

???????????????????????????

      No Comments on ???????????????????????????

Fake AV 1 edit.png

寄稿: Joseph Graziano

ソーシャルエンジニアリングスパムの新たな手口として、ユーザーを欺いてコンピュータ上でマルウェアを実行させようとする巧妙な手法が出回っています。今回マルウェア作成者が使っているのは、ウイルス対策ソフトウェア企業からの電子メールに偽装する手口です。エンドユーザー各自で重要なシステム更新をインストールする必要があると説明したうえで、ウイルス対策ソフトウェアの修正パッチを装ったファイルが添付されています。この電子メールは、Cryptolocker Trojan のように最近メディアを賑わせた新しい脅威を特に想定して、検出定義がまだ用意されていないかもしれないというユーザーの不安につけ込みます。この手のソーシャルエンジニアリングは、ユーザーを誘導して添付ファイルを開かせ、実際には何がインストールされるのかを深く考えないまま修正パッチと称するマルウェアをインストールさせようとするのが特徴です。

シマンテックが確認した電子メールの件名は多岐にわたりますが、なかには著名なセキュリティ企業の名前も使われています。

  • AntiVir Desktop: Important System Update – requires immediate action(AntiVir Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avast Antivirus: Important System Update – requires immediate action(Avast Antivirus: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • AVG Anti-Virus Free Edition: Important System Update – requires immediate action(AVG Anti-Virus Free Edition: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avira Desktop: Important System Update – requires immediate action(Avira Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Baidu Antivirus: Important System Update – requires immediate action(Baidu Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Cloud Antivirus Firewall: Important System Update – requires immediate action(Cloud Antivirus Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • ESET NOD32 Antivirus: Important System Update – requires immediate action(ESET NOD32 Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Kaspersky Anti-Virus: Important System Update – requires immediate action(Kaspersky Anti-Virus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • McAfee Personal Firewall: Important System Update – requires immediate action(McAfee Personal Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton AntiVirus: Important System Update – requires immediate action(ノートン アンチウイルス: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton Internet Security: Important System Update – requires immediate action(ノートン インターネットセキュリティ: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton 360: Important System Update – requires immediate action(ノートン 360: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Symantec Endpoint Protection: Important System Update – requires immediate action(Symantec Endpoint Protection: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Trend Micro Titanium Internet Security: Important System Update – requires immediate action(Trend Micro Titanium Internet Security: 重要なシステム更新のお知らせ – 緊急に対応が必要です)

件名は異なっていても、添付された zip ファイルに悪質な実行可能ファイルが含まれている点は変わりません。

マルウェアが実行されると、networksecurityx.hopto.org に接続して別のファイルがダウンロードされます。このマルウェアは、ozybe.exe というプロセスを使ってタスクを実行します。

 

保護対策と基本的なセキュリティ対策(ベストプラクティス)

これらの電子メールや類似の電子メールは、Symantec Email Security.cloud の Skeptic スキャナによって、エンドユーザーに届く前に遮断されます。また、シマンテックは、この攻撃に関連するファイルを以下の定義名で検出します。

ソーシャルエンジニアリングスパムによる攻撃の被害者にならないように、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 知らない相手から送信された電子メールの添付ファイルは開かない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake AV Software Updates Are Distributing Malware

Contributor: Joseph Graziano
A new clever way of social engineering spam is going around today that is attempts to trick users into running malware on their computers. The methods malware authors are using include pretending to be from various antivir…

Cryptolocker ??????: ???????????????????

      No Comments on Cryptolocker ??????: ???????????????????

英国の国家犯罪対策庁(NCA)は先週、大量スパム攻撃によってきわめて多くのユーザーが Cryptolocker マルウェアの標的になっていると警告しました。

この警告によると、英国内で数百万人ものユーザーが悪質な電子メールを受け取っており、その主な標的は中小規模の企業のようです。

Trojan.Cryptolocker については最近のブログでも取り上げており、ランサムウェアに類する脅威の活発な進化の状況を報告しました。Cryptolocker は、侵入先のコンピュータ上のファイルを暗号化し、復号鍵を取引材料として身代金を要求する手口で増加しています。シマンテックは、『インターネットセキュリティ脅威レポート』の最新号で、このようなランサムウェアの急増を予測していました。
 

image1-b.png

図 1. Cryptolocker に誘導されるスパムメールの例
 

このスパム攻撃では、被害者を狙うさまざまなワナが使われています。たとえば、覚えのない番号から発信された音声メッセージや、未払いの請求書などに偽装した電子メールが確認されています。
 

image2_9.png

図 2. Cryptolocker に誘導されるスパムメッセージの別の例
 

悪質な添付ファイル自体はダウンローダであり、それを使って Trojan.Zbot など他の脅威が取得されます。それが最終的に Cryptolocker の感染を引き起こして身代金を要求します。
 

image3_9.png

図 3. 復号鍵に必要な支払いの要求画面
 

NCA の警告によると、2 枚の Bitcoin(2013 年 11 月 18 日時点で 653 ポンドに相当)を要求する Cryptolocker のサンプルが確認されています。シマンテックが解析したサンプルの中には、Bitcoin を 1 枚だけ要求するものもありました。

シマンテックの Email Security.cloud をお使いのお客様は、組み込みの Skeptic™ テクノロジにより、このスパム攻撃から保護されています。また、シマンテックはこれらのサンプルに対して以下のセキュリティシグネチャを用意しています。

検出名 検出定義のタイプ
Downloader ウイルス対策シグネチャ
Trojan.Zbot ウイルス対策シグネチャ
Trojan.Cryptolocker ウイルス対策シグネチャ
Trojan.Cryptolocker!g2 ヒューリスティック検出
Trojan.Cryptolocker!g3 ヒューリスティック検出
System Infected: Trojan.Cryptolocker 侵入防止シグネチャ

シマンテックでは、今後も Cryptolocker マルウェアの最新版に対して保護対策の提供を続けていきますが、お客様の側でも、万一 Cryptolocker に感染した場合に予想される損害を最小限に抑えるための対策として、ファイルを定期的にバックアップすることを強くお勧めします。組み込みツールを使ってファイルを復元する方法については、「Recovering Ransomlocked Files Using Built-In Windows Tools(ランサムウェアでロックされたファイルを Windows の組み込みツールで復元する)」(英語)と題したサポート記事を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cryptolocker Alert: Millions in the UK Targeted in Mass Spam Campaign

Last week, the United Kingdom’s National Crime Agency (NCA) warned that tens of millions of customers were being targeted by the Cryptolocker malware through a mass spam campaign.
According to the alert, millions of UK customers received maliciou…

Ransomcrypt: ??????

      No Comments on Ransomcrypt: ??????

トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。

Fig1_4.png

図 1. Trojan.Ransomcrypt.F の支払い要求画面

Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。

Fig2_2.png

図 2. Trojan.Ransomlock.F の感染分布図

初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。

Fig3_2.png

図 3. Ransomcrypt の DNS 要求

シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。

作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。

Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。

Fig4_0.png

図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン

メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。

マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。

Fig5_0.png

図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン

Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomcrypt: A Thriving Menace

      No Comments on Ransomcrypt: A Thriving Menace

While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…

Citadel ???????????

      No Comments on Citadel ???????????

寄稿: Piotr Krysiuk

6 月 5 日、Microsoft 社は金融業界および FBI との協力により、オンラインバンキングを狙う Citadel というトロイの木馬プログラムの活動を停止に追い込んだことを発表しました。この停止措置により、1,000 以上の Citadel ボットネットがオフラインになりました。

Citadel はオンラインバンキングを狙うトロイの木馬のひとつで、2011 年に登場しました。オンラインバンキングを狙う他のトロイの木馬と同様に、Citadel も、すべてが揃ったクライムウェアキットであり、ペイロードビルダー、コマンド & コントロール(C&C)サーバーのインフラストラクチャ、さまざまな銀行を標的にする設定スクリプトを攻撃者に提供します。Citadel は、金融業界を狙うトロイの木馬として大きな存在である Trojan.Zbot(Zeus)の末裔です。2011 年に Zeus のソースコードが漏えいした後で、犯罪者グループがそのコードを引き継ぎ強化する形で登場しました。

Citadel_Interface_598px_blurred.png

図 1. トロイの木馬 Citadel のインターフェース

先駆けとなった Zeus が広範囲に出回ったのに対し、Citadel はより「資金力のある」攻撃者を市場として対象にしています。SpyEye や、漏えいした Zeus のキットがわずか 100 ドルで取引されているのに対して、Citadel キットはロシアの地下フォーラムで通常 3,000 ドル前後で販売されています。Citadel のユーザーは、標的にしようとする銀行に合わせた Web インジェクションコードを購入するたびに、30 ~ 100 ドルを追加で支払う必要もあります。しかも、攻撃者に資金の余裕があったとしても、新規購入の場合には紹介が必要であり、厳格な審査プロセスがあります。

Citadel の感染は全世界に広がっていますが、過去 6 カ月で多数の感染が確認されているのは、オーストラリア、イタリア、米国でした。

Citadel_Propagation_522px.png

図 2. 2013 年 1 月から 6 月までの Citadel の感染件数

シマンテックは、Citadel ボットネットの活動停止という今回の報道を歓迎します。この停止措置で Citadel の脅威を完全に排除できるわけではありませんが、現在の活動が停止することは確かであり、攻撃者に対しても、その活動がいつも監視されているという明確なメッセージになったはずです。この脅威の排除にあたって官民の協力態勢が取られたことも称賛に値します。

金融業界を狙うトロイの木馬について詳しくは、シマンテックのホワイトペーパー(英語)をお読みください。シマンテックの最新のウイルス対策と侵入防止シグネチャを使用することで、Citadel の感染を防ぐことができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Citadel’s Defenses Breached

Contributor: Piotr Krysiuk

On June 5, Microsoft announced that they had worked together with members of the financial services industry and the FBI to disrupt the operations of a banking Trojan horse program called Citadel. The takedown operation resulted in over 1,000 Citadel botnets being taken offline.

Citadel is a banking Trojan that has been in existence since 2011. As with most banking Trojans, Citadel is a full crimeware kit, providing the attackers with payload builders, a command and control (C&C) server infrastructure, and configuration scripts to target various banks. Citadel is a descendant of that other behemoth of the financial Trojan world, Trojan.Zbot (Zeus). It came into existence after the Zeus source code was leaked in 2011, with criminal groups taking that code and enhancing it.

Citadel_Interface_598px_blurred.png

Figure 1. The Citadel Trojan interface

Citadel is aimed at a more “exclusive” attacker market than its more widespread predecessor, Zeus. The Citadel kit is sold through underground Russian forums and typically costs around $3,000, compared to $100 for the SpyEye and leaked Zeus kits. Citadel users will also have to fork out a further $30-$100 to purchase Web inject code for the banks that they wish to target. Additionally, even if attackers have that money to spend, there is a strict vetting process with referrals required for new purchasers.

Citadel infections have spread around the globe, but in the past six months the majority of infections have been in Australia, Italy and the US.

Citadel_Propagation_522px.png

Figure 2. Citadel infections from January to June 2013

Symantec welcomes news of the takedown of these Citadel botnets. While these takedowns may not eliminate the threat of Citadel completely, it certainly disrupts current campaigns and sends out a clear message to attackers that their actions are being monitored. Symantec also welcomes the cooperation between the public and private sector in taking action against this threat.

For more information about the world of financial Trojans, read our whitepaper. Symantec’s current antivirus and intrusion prevention signatures provide protection against Citadel infections.