シマンテック】生存を続ける日本の Android マルウェア

2012 年は、日本で Android マルウェアが広く拡散した年 として記憶されることでしょう。そして、一部のマルウェ ア作成者が悪質な犯罪行為に対する処罰を免れた年として も知られるようになるかもしれません。
10 月 30 日、警視庁は Android.Dougalek の開発と拡散に 関与したとして、5 人のグループを逮捕しました。このグ ループの狙いは、Android デバイスに保存されている個人 情報を収集することでした。偶然ながら、京都府警も同じ 日に 2 人の男を、後日さらに 2 人を、同じように個人情報 の盗取を目的に Android.Ackposts の開発と拡散に関わっ たとして逮捕しています。シマンテックはこの知らせを歓 迎するとともに、警察当局のご尽力に称賛の意を表しま す。

http://www.symantec.com/connect/blogs/android-14

シマンテック】W32.Changeup - 何と呼んでもワームはワーム

先週、W32.Changeup という脅威の検出数が増加している ことをご報告しました。他のベンダーからも記事が公開さ れていますが、命名の規則はセキュリティベンダーごとに 異なっています。シマンテックの場合は、最初に発見され たときにこの脅威を W32.Changeup と命名しました。
他のベンダーでは、W32.Changeup の検出名は以下のよう になっています。
マイクロソフト: Worm:Win32/Vobfus.MD
マカフィー: W32/Autorun.worm.aaeh
トレンドマイクロ: WORM_VOBFUS
ソフォス: W32/VBNA-X
カスペルスキー: Worm.Win32.VBNA.b
ESET-NOD32: Win32/VBObfus.GH
命名規則は異なっていますが、ワームはどんな名前で呼ぼ うとワームです。そしてこのワームに限っては、下火に向 かう様子がありません。最近のデータでも、 W32.Changeup の影響は大きくなる一方です。

http://www.symantec.com/connect/blogs/w32changeup-4

ITmedia】Tumblrでウイルス投稿が大量流通、閲覧すると自動でリブログ

セキュリティ企業の英Sophosによると、感染したTumblrのブログには、すべて同じ内容の投稿が掲載された。投稿は男性の写真入りで「Dearest `Tumblr’ users」という一文から始まり、人種差別的な内容や、Tumblrユーザーのブログを中傷するような内容が含まれている。
問題の投稿は、Tumblrの「リブログ」機能を使ったワーム感染によって広がったとみられる。投稿内には、暗号化されたJavaScriptをiFrameに隠す形で悪質なコードが仕込んであり、ログオンしているユーザーがこれを閲覧すると、自動的に問題の投稿を自分のTumblrでリブログしてしまう仕掛けになっていたという。

http://www.itmedia.co.jp/enterprise/articles/1212/04/news032.html

シマンテック】Crisis: 進化したマルウェア

Windows とMac の各オペレーティングシステムに加え、 Windows Mobile デバイスも標的になります。標的となるコンピュータに特定のVMware 仮想マシンのイメージがインストールされている場合には仮想マシンにも侵入することができるため、ホストからゲストへの仮想マシン感染機能を持った最初のマルウェアと考えられています。
セキュリティ製品ベンダーや研究者の間では、イタリアのあるグループが法執行機関向けに販売する製品としてCrisis を開発したという意見もあります。実際、音声の録 音やアドレス帳情報の盗取などCrisis マルウェアの一部の機能は、極秘調査やスパイ活動に適しています。

http://www.symantec.com/connect/blogs/crisis

ITmedia】Autorunワーム、ユーザーをだます手口で再び感染急増

Autorun機能を悪用するワームは過去にもUSBメモリなどのリムーバブルメディア経由で感染を広げて問題になった。このためMicrosoftはCDとDVD以外のリムーバブルメディアを挿入しても、コンテンツが自動で実行されないようにするなどの対策を講じている。
しかし、新手のワームはソーシャルエンジニアリングの手口を組み合わせ、Facebookを利用したり、「Sexy.exe」「Porn.exe」といった名称のファイルを置いたりしてユーザーをだまし、クリックするよう仕向けているという。

http://www.itmedia.co.jp/enterprise/articles/1212/03/news024.html

シマンテック】詐欺データを追加する悪質なブラウザアドオン

フィッシング詐欺師は、ユーザーの個人情報を収集できる確率を少しでも高くしようと、さまざまな戦略を生み出し続けています。シマンテックは、こうしたフィッシングの動向に対して監視の目を怠っていません。2012 年11 月、ブラウザ用の悪質なアドオンをインストールさせようとするフィッシングサイトを確認しました。この悪質なアドオンがインストールされると、アドレスバーに正規のWebサイトのURL を入力してもフィッシングサイトに誘導されるようになります。フィッシングサイトのホスティングにはタイポスクワッティングドメインが使われ、金銭の詐取を主な目的として大手の電子商取引Web サイトが詐称 されています。

http://www.symantec.com/connect/blogs-25

トレンドマイクロ】Windows 8用偽ライセンスキー生成ツー ルを確認

「ADW_SOLIMBA」は、実行されると、偽のメッセージを表示し、 「OK」をクリックすると Webブラウザから Windows 8をダウン ロードするよう、ユーザに促します。一方、「JOKE_ARCHSMS」 は、Windows 8を有効する「アクティベータ」を装っています。 「ADW_SOLIMBA」のように、「JOKE_ARCHSMS」もまた画像を表示 し、特定の番号へSMSのメッセージ（以下、テキストメッセージ）を 送信すると Windows 8を起動することができるとユーザに思わせま す。さらに、「JOKE_ARCHSMS」は、以下のWebサイトへアクセス し、クリック詐欺を働きます。

http://blog.trendmicro.co.jp/archives/6319

シマンテック】W32.Changeup – 贈られ続ける悪質なおまけ

W32.Changeup には余計なおまけが付いています。システムがW32.Changeup に感染すると、新たなマルウェアがインストールされる場合があります。脅威の種類 は、Backdoor.Tidserv から Trojan.FakeAV、Backdoor.Trojan、Downloader Trojan までさまざまです。Downloader Trojan は、さらに別のマルウェアを侵入先のコンピュータにダウンロードします。
このワームはWindows のAutoRun 機能を利用して、自身をリムーバブルドライブやマップされたドライブにコピーします。

http://www.symantec.com/connect/blogs/w32changeup-3

トレンドマイクロ】“Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心

インターネット上には、”Adobe Reader” の未知および暗躍するゼロデイ脆弱性の情報が数多く存在しています。この情報には、Adobe のセキュリティ機能「サンドボックス」を回避する機能を含む要注意の機能があるため、当然のことながらユーザは注意しなければなりません。ただし、この状況に解決策がないわけではありません。
本ブログは、この脆弱性を利用するエクスプロイトの手法、またどのようなセキュリティ対策を実施できるかについてユーザに説明することを目的としています。
まずは脅威状況がどれほど深刻であるかということから理解していきましょう。

http://blog.trendmicro.co.jp/archives/6279

トレンドマイクロ】オンライン銀行を狙う不正プログラム 「Gozi-Prinimalka」による一連の攻撃調査報告

トレンドマイクロは、2012年10月16日、複数の米国の銀行を標的とした計画的な大規模な詐欺活動についての記事を公開しました。こ の一連の攻撃は、新たに開発された「Gozi-Prinimalka」を利用しており、この不正プログラムは、オンライン銀行を狙う不正プログラム「GOZI」と同様の振る舞いを行います。
アンダーグラウンドでは、この詐欺活動が中断されたとのうわさがありますが、トレンドマイクロでは、現在も積極的にこの事例の動向を監視しています。この中断がうわさかどうかにかかわらず、顧 客やユーザは、この一連の攻撃に対して適用可能な対応方法を持っておくことが最も重要です

http://blog.trendmicro.co.jp/archives/6271

ITpro】情報窃盗マルウエア 「PASSTEAL」、HTTPSでも油断禁物

今回は新たなマルウエアや攻撃手法についてのベンダーの解説をいくつか紹介しよう。パスワード復旧ツールを使って情報の窃盗を試みる新たなマルウエア「PASSTEAL」、バックドア型マルウエア「Backdoor.ADDNEW」、そしてサイバー犯罪者がWebサイトに埋め込んだ不正コードの寿命を延ばすために使う方法の3つだ。

まず「PASSTEAL」について。トレンドマイ クロがブログで注意を促している。画像ファイルを取得してリモートのFTPサーバーに送る「PIXSTEAL」と一部行動が似ているが、盗みの手口はだいぶ異なるという

http://itpro.nikkeibp.co.jp/article/COLUMN/20121121/438941/

トレンドマイクロ】ハリケーン「サンディ」に便乗する攻撃 NATOの特殊戦司令部を標的に

2012年10月下旬、米東海岸を襲った大型ハリケーン「サンディ」が影響を受けた地域に住む人々に壊滅的な被害をもたらしたのを目撃してから、数週間が経ちました。トレンドマイクロとセキュリティ業界は、標的に侵入するためのソーシャルエンジニアリングの手口としてサンディに便乗する詐欺行為や脅威を警戒してきました。
トレンドマイクロは、標的型攻撃やサイバー犯罪を追跡する過程 で、以下のキャンペーンを確認。それは、サンディによる混乱に乗じて2012年10月31日、複数のグループが「北大西洋条約機構特殊戦司令部（NSHQ）」を標的とするためにソーシャルエンジニアリング の手口としてこの事件を悪用していたようです

http://blog.trendmicro.co.jp/archives/6266

シマンテック】Windows 8 を標的にして Google Docs を悪用するマルウェア

当初は、Backdoor.Makadocs も従来と変わらない単純な バックドア型のトロイの木馬だろうと考えていました。 Backdoor.Makadocs はコマンド& コントロール（C&C） サーバーからコマンドを受け取って実行し、ホスト名やオ ペレーティングシステムのタイプといった情報を侵入先の コンピュータから収集します。しかし、このマルウェアの 作成者は侵入先のコンピュータでWindows 8 または Windows Server 2012 が稼働している可能性も考慮してい る、という点に注目する必要があります

http://www.symantec.com/connect/blogs/windows-8-google-docs

エフセキュア】Mac Revirに新亜種を発見

バックドアペイロードはImulerと呼ばれているが、我々はドロッパコンポーネントをRevirとして検出している。これは我々が昨年最初に同ファミリを発見した際、ドロッパは他のマルウェアをペイロードとするためにカスタマイズされるかもしれないと考えたためだ。しかしこれまでのところ、RevirとImulerは常に同時に使われている

http://blog.f-secure.jp/archives/50685531.html

@IT】進化論をたどるマルウェア作成ツール

ワークショップは、VMware上に攻撃者と被害者の仮想マシンを構築して行われた。マルウェア作成に利用したのは、「Shark」というトロイの木馬作成ツールだ。いくつか項目を入力するだけで、C＆Cサーバからコントロール可能なトロイの木馬ができあがる。ワークショップでは省略していたが、マルウェアが自身の痕跡を消し、対策ソフトによる検出を逃れるためのオプションも用意されている。

http://www.atmarkit.co.jp/ait/articles/1211/15/news128.html

シマンテック】モバイル向け有料サービスに誘導する Instagram スパム

スパマーはかなり前から、ソーシャルネットワークサイトを詐欺行為のために利用してきました。概して、サービスの利用者数が増えるほど、詐欺師の不正行為も増える傾向があります。そうした詐欺師が最近目を付けているのが、 写真共有サービスとして人気の高いInstagramです。

http://www.symantec.com/connect/blogs/instagram

ITpro】Skype、アカウント乗っ取りのおそれがある脆弱性を修正

米Microsoft傘下のSkypeは現地時間2012年 11月14日、パスワードリセット機能の脆弱性を修正したと発表した。複数の米メディアによると、同機能については、第三者にアカウントを乗っ取られる危険性のある不具合がWeb上で報告されていた。
Skypeは、この問題について14日早朝に通知を受けた。同日午前中、用心のためパスワードリセット機能を一時停止し、パスワードリセットのプロセスを更新して脆弱性を解決した。この問題の影響を受けたのは、同じ電子メールアドレスで複数のアカウントを登録している一部のユーザーで、同社では「少数」だとしている。

http://itpro.nikkeibp.co.jp/article/NEWS/20121115/437401/

シマンテック】Windows 8 でもランサムウェアの影響は不可避

サイバー犯罪者は、しばらく前からランサムウェアの収益性の高さに注目し始めています。その結果、各種のランサムウェアによる被害は急増しており、その傾向に歯止めがかかる気配もありません。
では、他のオペレーティングシステムに比べて、Windows 8 にはどのくらいの影響があるものでしょうか。この疑問に答えるために、シマンテックは現在確認されているラン サムウェアサンプルのいくつかを、デフォルトの Windows 8 環境で実行してみました。Windows 8 では満足に動作しないものもありましたが、ほどなく、あるランサムウェアの亜種（Trojan.Ransomlock.U）を使うと、 Windows 8 システムのロックに成功し、身代金を請求できる状態になることがわかりました。

http://www.symantec.com/connect/blogs/windows-8

東京SOC】2012年10月に公開されたJRE / JDKの脆弱性を悪用する攻撃を確認

先月（2012年10月）脆弱性情報[1]が公開されたJRE / JDKの脆弱性を悪用するドライブ・バイ・ダウンロード攻撃を実際に行っているサイトの存在をTokyo SOCにて確認いたしました。
確認の結果、攻撃が有効であり、実際にアクセスすることでランサムウェア（後述）に感染するリスクがあります。
現在のところTokyo SOCでは、国内組織をターゲットにしたこの脆弱性を悪用する攻撃は確認されていません。しかし、実際の攻撃がすでに行われていることから今後インターネット全体に攻撃が広がることが予想されるため、注意が必要です。

https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/java_20121112?lang=ja

日立】ウィルスに感染した企業の63.9％が対策を強化！

グラフからわかるように、コンピュータウィルスに遭遇した企業は47.2％と半数近くにのぼってい ます。
コンピュータウィルスに感染した企業は全体の 13.5%で、コンピュータウィルスに遭遇した企業のうち、28.6%が実際に感染しました。
対策を実施しているにも関わらず、なぜコンピュータウィルスに感染してしまうのでしょうか？

http://www.hitachi.co.jp/Prod/comp/soft1/itoperations/feat/column/sec_column02.html?banner_id=new121113b

(；・∀・)