Tag Archives: virus

‘Worst virus ever’ POSTCARD hoax still circulating

During the Christmas holidays, my mother received this email from a well-meaning friend. Since her daughter works for the most trusted security company in the world, she immediately asked me about the authenticity of the message. Here’s the email: Subject: VIRUS COMING ! Hi All, PLEASE FORWARD THIS WARNING AMONG FRIENDS, FAMILY AND CONTACTS! You […]

The Gray-zone of malware detection in Android OS

Does the title of this blog post have a mysterious meaning? Not exactly. In this first part about the gray-zone of Android malware detections, I will introduce the Android:SecApk, a detection regarding the protection that the App Shield (Bangcle) offers to Android applications (.apk). This detection has a big sample set that is still growing. […]

INFOGRAPHIC: Love shouldn’t spam your inbox, it should spam your heart

Love is in the air! People are going out to buy boxes of chocolates and flowers for their loved ones, preparing for romantic dinners, and some are hoping that a secret admirer will confess their love. Some seek help from the Internet to make Valentine’s Day as romantic as possible and since many people check […]

??????????????????????????

      No Comments on ??????????????????????????
しばらくその存在を忘れられていた Xpiro グループのファイルインフェクタが、華々しく、しかも今回はいくつかの悪質な機能を搭載して戻ってきました。今回の亜種は 32 ビットファイルに感染するだけでなく、感染の対象を 64 ビットファイルにまで広げています。この感染はクロスプラットフォームに影響(32 ビット版の Xpiro の亜種が 64 ビット版の実行可能ファイルにも感染でき、その逆も可能)し、持続的です。しかもこのウイルスは、ブラウザセッションを監視する拡張機能を Firefox と Chrome に追加することによって、情報窃盗の機能も拡張されています。
 
クロスプラットフォームの感染と持続性
クロスプラットフォームの感染はこれまでにも例がありましたが、広く拡散しているインフェクタでこの機能を実装したのは、Xpiro が初めてです。今回の新しい亜種は、以下のアーキテクチャで実行可能ファイルに感染できます。
  • Intel 386(32 ビット)
  • Intel 64(64 ビット)*
  • AMD64(64 ビット)
Xpiro の作成者は、今まで以上に多くのコンピュータへの感染を狙っており、持続性も備えたこのクロスプラットフォームの感染機能を実装しようとあらゆる手段を講じています。
 
これまでのファイルインフェクタは、他の実行可能ファイルに感染することで拡散し、持続性は考慮していませんでした。今回の亜種は、巧みな手法でこの両方を達成しています。まず、win32 のサービスをすべて列挙し、そのサービスファイルへの感染を試みます。次に、ユーザーのデスクトップフォルダとスタートメニューフォルダにあるすべてのリンクファイル(.lnk)をたどって、標的のファイルに感染します。リンクファイルが選ばれるのは、コンピュータの最初の起動時にシステムまたはユーザーによって実行される可能性が最も高く、したがって後続の再起動時にも持続するからです。最後に、固定ドライブ、リムーバブルドライブ、ネットワークドライブを含めた C から Z のドライブにある実行可能ファイルに感染します。
 
* Intel 64 ビットのファイルは今回の亜種に感染しますが、コードにバグがある関係でファイルが破損します。シマンテック製品はこのようなファイルを検出して正常な状態に修復します。
 
情報窃盗機能の拡張
Xpiro の最終的な目的は、侵入先のホストから情報を盗み出すことです。この目的こそ変わっていませんが、手口はさらに目立たなくなっています。コンピュータ上で実行された Xpiro インフェクタは、実行可能ファイルに感染するだけでなく、Firefox や Chrome の拡張機能を追加します。Firefox の拡張機能は表示されませんが、Chrome の拡張機能は「Google Chrome 1.0」という名前なので、正常な拡張機能として通用し、その存在が隠蔽されてしまいます。Firefox の拡張機能は、たとえば以下のような処理を実行できます。
  • 拡張機能の存在を隠蔽する
  • ブラウザのセキュリティを引き下げる
  • ユーザーのインターネット活動を監視する
  • ログを盗み出す
  • ブラウザを所定の URL にリダイレクトする
インストール後に Firefox の新しいインスタンスを開くと、新しいアドオンがインストールされたことは示されますが、拡張機能としてリストには表示されません。
 
xpiroblog_fig1.png
図 1. 感染前の拡張機能リスト
 
xpiroblog_fig2.png
図 2. 感染後の拡張機能リスト
 
Xpiro 拡張機能が自身をリストから隠蔽しているため、感染前と感染後に表示される拡張機能の数は変わりません。また、ブラウザ設定を変更してブラウザのセキュリティも引き下げます。
 
xpiroblog_fig3.png
 
図 3. 引き下げられたブラウザのセキュリティ
 
ユーザーがブラウザまたはその拡張機能を更新しようとしても、更新は実行されません。これは、Xpiro が URL を 127.0.0.1(ローカル IP アドレス)に書き換えるためであり、設定が変更されてマルウェアとしての存在が露呈してしまうことを避けるための手口です。
 
xpiroblog_fig4.png
図 4. Xpiro によって更新が無効化される
 
この隠ぺいされている拡張機能は、本来であればブラウザで表示される多くのセキュリティ警告を無効にします。また、有効なときにはフィッシング対策機能を提供するセーフブラウジング機能も一部も無効にします。
 
Xpiro はブラウザにおける HTTP 活動をすべて監視し、リモートサーバーにアップロードします。次に、以下のリストを所定のサーバーからダウンロードします。
  • 標的の URL
  • リダイレクト先 URL
このリストにある標的の URL のいずれかにユーザーがアクセスすると、拡張機能によって、リダイレクト先のリストにある URL にリダイレクトされます。リダイレクト先の URL は広告ページや、別のマルウェアをダウンロードするページです。
 
Xpiro の攻撃は、機能のアップグレードによって持続性と秘匿性が向上し、何より重要なことに、クロスプラットフォームで実行可能ファイルに感染します。他の種類のインフェクタも、Xpiro を模倣して機能強化と複数プラットフォームに対する拡散を狙って、高度な機能を実装することが予想されます。もちろん、シマンテックはこうした高度な脅威からデータや情報を保護することをお約束します。シマンテックは、Xpiro グループの今回の亜種を W32.Xpiro.D および W64.Xpiro として検出し、破損したファイルの修復も行います。ウイルス定義を常に最新の状態に保つようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

First Widespread Virus Cross-infection

After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …

First Widespread Virus Cross-infection

After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …

Facebook virus empties bank accounts

A dangerous Trojan named ZeuS is making its way among Facebook users. This old Trojan horse has infected millions of computers over the years, stealing banking credentials and other personally identifiable information. Zeus can lie dormant on infected computers until the unsuspecting victim logs into their bank’s website. Once you’re logged in, cybercrooks can steal […]

(Code) Size Doesn’t Matter: Happy Easter and Enjoy Some Brilliant Computer Art

One thing that disturbs me is how people classify some malware by how surprising large the file is, how many libraries it uses, etc. In many cases, this just means the malware has inefficient code and all the tools are available to easily convert the binaries back into human-readable pseudocode. Let’s look back a bit Read more…

Shady Surfing: Online Ads 182x More Likely than Adult Websites to Infect Your PC

Wait…what! You heard it right: According to a recent security report, Internet users are 182 times more likely to get a virus from clicking on online ads than visiting an adult website. At first glance, this sounds extremely counterintuitive (and it is). In theory, wouldn’t your risk go up when visiting shady sites? Yes and Read more…