エフセキュアブログ

Trojan-Downloader:W32 を含む記事

Wonknu:第3回ASEAN・米国サミットにスパイ

 このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。

 クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。

Redirection Traffic
リダイレクトされたトラフィック

 ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。

 Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。

Wonknu Cert
Wonknuの証明書

 このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。

  • GetsSysteminfo – バージョン情報の取得
  • GetDiskInfo – ディスクドライブの情報の取得
  • GetFileList – ディレクトリ一覧の取得
  • DownloadFile – ファイルのダウンロード
  • UpFile – ファイルのアップロード
  • RunExeFile – 実行ファイルの起動
  • FileData – ファイルへのデータの書き込み
  • DelFile – ファイルの削除
  • NewDir – ディレクトリの作成
  • CmeShell – シェルからのコマンドの実行
  • プロセスの終了
  • プロセスの列挙

 我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。

Signed downloader
署名されたダウンローダ

 このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。

 このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。

Downloader Code
ダウンローダのコード

 加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。

URLおよびIPアドレス:
43.240.119.40:443
http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar
http://43.240.119.35/arc/Jquery.js
http://178.79.181.246/microsoft/Java_Down.exe
http://178.79.181.246/microsoft/jquery.js
https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar
the 3rd ASEAN Defence Ministers' Meeting.exe
c:\programdata\kav.exe
Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426
068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A
Trojan-Downloader:W32/Wonknu.B

エフセキュア、「2014年下半期脅威レポート」日本語版を公開

エフセキュアは毎半期、セキュリティ脅威に関する世界的な状況をまとめた「脅威レポート」を発刊、一般公開しています。このたび、2014年の下半期についての脅威レポートの日本語翻訳版を制作し、提供を開始いたしました。

日本での脅威の傾向

2014年下半期にエフセキュア製品のユーザから当社監視システムに報告された、日本での脅威の統計は次のような順になりました。

  1. Worm:W32/Downadup
  2. Trojan:W32/Autorun
  3. Exploit:JS/NuclearEK
  4. X97M.Laroux
  5. Exploit:JS/AnglerEK
  6. Exploit:SWF/Salama
  7. Exploit:Java/Majava
  8. Trojan:HTML/Kilim
  9. Trojan-Downloader:W32/Dalexis
  10. Trojan:JS/Fbook

Downadup:WindowsのMS08-067の脆弱性を悪用するワームで、インターネット、リムーバブルメディア、およびネットワーク共有を介して拡散します。過去7年間、常に世界全体に蔓延しています。

Autorun:多くの場合、感染したリムーバブルメディアとハードドライブを介して感染が拡大するワームのファミリーです。データを盗む、バックドアをインストールするなどの有害な操作を実行することができます。

2014年下半期脅威レポートの日本語版は、こちらでご覧いただけます。
http://news.f-secure.com/ThreatReport2014H2

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

多言語サポート:ありふれたスパムではない

 我々は今年の頭頃、Fareitスパムの急増に遭遇した。Fareitとは、ZeusやCryptowallの配送に使われるダウンローダである。

 最近になって、また別の、スパムに使われるダウンローダに気付いた。このダウンローダのスパマーは、ユーザに正規のメールだと信じ込ませるために、一層の労力を払ったように見受けられる。

 ある最近のスパムは偽のKLM eチケットだった。エールフランスKLM社のセールス&サービスセンターから送信されたように装っている。

klm_eticket_ready

 しかし、このスパマーは単純に英語を話す人に対し、気を配っただけではなかった。ここ最近、ポーランド語で送られた同じスパムも相当数目にした。

 たとえば以下のメールは、ポーランドを拠点とするオンライン決済サービス企業、dotpay.plから表面上は送付されている。

dotpay_blurred_ready

 おまけにこのメールはポーランドの有名ISPを使っている。

nowy_kontrakt_listopad_ready

 そしてスパマーの言語スキルもこれで途切れたかと考えた正にその時、フィンランドをテーマにしたスパムのサンプルを入手した。

lomake_ready

 文法は十分に納得のいくもののように見える。題名と添付ファイルにさえ正確なフィンランドの用語が用いられている。それのみならず、使用されているメールアドレス「suomi24.fi」というのは、フィンランドでもっとも人気のあるWebサイトの1つである。

 より効果的な詐欺を実施するために、スパマーは明らかにメッセージのカスタマイズに関する研究も行っている。標的とする国や人々の言語を使用するのみならず、人気のあるメールやサービスの提供者を用いることさえ実現している。

 これらのスパムのペイロードは、Wauchosというトロイの木馬型のダウンローダだ。

 以下にWauchosの最近のファイル名を挙げる。

attachments_ready

 2つのサンプルの添付ファイルについては、http://www.google.com/webhpへの接続を試みることで、Wauchosはインターネット接続について確認する。

 以下のネットワーク接続を行う。

• http://188. 225.32.207/ssdc32716372/login.php
• http://188. 225.32.208/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://188. 225.32.209/ssdc32716372/file.php
• http://92. 53.97.194/ssdc32716372/file.php
• http://46. 28.55.113/ssdc32716372/file.php

 また以下からトロイの木馬を追加的にダウンロードする。

• http://auto*.it/*/jeve.exe
• http://dd*.ru/old.exe

 これらのメールで見かけたWauchosのバリアントは、双方ともに情報を盗むZbotもしくはCridexをダウンロードする。

 当社ではこれらファミリーをTrojan-Downloader:W32/Wauchos、Trojan-Spy:W32/Zbot、Trojan:W32/Cridex.として検知する。

政府の署名鍵で署名されたマルウェア

  証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。

  我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。

  こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗むことで、別人としてコードに署名可能にする。

  我々は先頃、盗まれた証明書で署名されたサンプルを発見した。ファイルプロパティは以下の通り:

Publisher: Adobe Systems Incorporated
Copyright: Copyright (C) 2010
Product: Adobe Systems Apps
File version: 8, 0, 12, 78
Comments: Product of Adobe Systems

  そして署名情報は:

Signer: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
Signing date: 5:36 24/08/2011

  「mardi.gov.my」はマレーシア政府の一部であることが分かった。マレーシア農業研究開発研究所だ。マレーシア当局から受けとった情報によれば、この証明書は「かなり以前に」盗まれたものだ。

mardi-cert

  このマルウェア自体は、「Adobe Reader 8」を悪用した後にドロップを行う、悪意あるPDFファイルを介して拡散されている。マルウェアは「worldnewsmagazines.org」という名のサーバから更に悪意あるコンポーネントを追加ダウンロードする。今度は「www.esupplychain.com.tw」という組織によってではあるが、これらコンポーネントのいくつかも署名されている。

  マルウェアの署名付きコピーが発見されるのは、それほど良くあることではない。政府に属する公式鍵で署名されているケースは更に珍しい。

  この特定のマルウェアはもはや、署名からそれほど利益を得ていない。「mardi.gov.my」証明書は9月末に期限切れになったためだ。

  マレーシア政府は、同ケースについて報告を受けている。

  我々はこのマルウェアを「Trojan-Downloader:W32/Agent.DTIW」として検出している。MD5ハッシュは「e9f89d406e32ca88c32ac22852c25841」だ。

Krebs/Danchevトロイの木馬がアダルトサイトをプッシュ

  徹底したマルウェア分析は、現実の状況により、制限されることが多々ある。

  我々が分析するトロイの木馬の多くは、さらなるインストラクションのため、リモートサーバに接続しようとする。我々はここまでで、そのソフトウェアが合法的なものではなく、カスタマのコンピュータでインストールされないよう、ブロックすべきだと分かる。それ以上、そのソフトウェアを調べる必要な無い(それにしばしば、サーバはオフラインだ)。しかし、そのトロイの木馬が、リモートマスタにアクセスするだけである場合、それは何をするのだろうか?

  我々は孤立したネットワークでマルウェアをテストするため、オートメーションを使用している。通常、実際のインターネット接続でマルウェアのテストをすることは無い。世界のネット市民へのエクスポージャーを制限したいからだ。しかし時折、我々の興味をひくケースがあり、手動のテストを行うことがある。

  たとえば先週の木曜日に記事にした、以下のミューテックスを作成するトロイの木馬などだ:

DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED

  我々が最初、このトロイの木馬に遭遇した際、そのサーバ「fatgirlsloveme.com」はオフラインで、2日後に始動した。

  そこで我々はWindows 7テストコンピュータを設定して「Trojan-Downloader:W32/Agent.DTBM」に感染させ、インターネットに接続し、「Internet Explorer」を開いた。

  Bingで検索すると、ポップアップウィンドウが開き、以下のWebサイトをプロモートした:

www.russiansexbrides.com

  ロシアのセックスブライド?

  アダルトサイトのポップアップ?

  もう少し興味深いものを期待していたのに。あーあ…

  同サイトはマーケティング活動の一部として、アフィリエイトを使用しているようには見うけられない。このトロイの木馬の作者が、サイトオーナーであるThunder Road社とどのような関係があるのかは不明だ。

www.russiansexbrides.com Whois

  同トロイの木馬はまだ広まっていないが、エフセキュアカスタマの統計では、それが現在インザワイルドでアクティブであることが分かっている。

セキュリティに関して誰かがKrebsを嫌っている

  エフセキュアラボでは、自動化したサンプル分析を実行する、多数のシステムの設計、構築を行い、利用している。

  そのオートメーションの一部が、さまざまなキーワードで怪しいコードをモニタする。何故キーワードでモニタするのか? マルウェアの作者には、コードに隠れメッセージをひそませるのが好きな者がいるからだ。

  例えば、「Virus:W32/Divvi」は「Mikko cut ur ponytail」というストリングを含んでいる。明らかに我らがミッコ・ヒッポネンを指している。

  多くのマルウェア作者も、「チャック・ノリス」といった語を使用し、自分達のコードにポップカルチャーへのリファレンスを含ませている。

  我々はデビット・ハッセルホフをテーマにしたリモート管理ツール(RAT)に出くわしたことさえあった。

The Hoff

  「Fraud-News.com」が先頃ハッキングされ、ミッコとBrian Krebsがクレジットカード詐欺で逮捕されたという、偽記事が掲載された。

Fraud-News

  当然、我々は到着するサンプルを「Krebs」というキーワードでモニタし始めた。

  そして何かを発見するのに、それほど長い時間はかからなかった。

  「Trojan-Downloader:W32/Agent.DTBM (SHA-1: 20dba9e7730094341f327194f67b43bd751dd9cf) 」は、以下のミューテックスを作成している:

DANCHODANCHEV_AND_BRIANKREBS_GOT_MARRIED

  うーん、アナリストでZDNet.comブロガーのDancho Danchevを、我々のウォッチリストに追加した方が良さそうだ…

  このトロイの木馬はイン・ザ・ワイルドだが、それほど行き渡ってはいない。エフセキュアのアンチウイルスは、シグネチャ検出を追加する前でも、挙動のヒューリスティックに基づいてこれをブロックする。

  Threat Responseチームによるさらなる分析によれば、同トロイの木馬はfatgirlsloveme.com(whois)に接続しようとする。このサイト/サーバは、2日前にはオンラインではなかったが、プロキシは現在、アクティブであるようだ(ドイツでホスティングされている)。

  我々は分析を継続する。

  「油断のない集中した」オートメーションも。

そう、「Fotos_Osama_Bin_Laden.exe」はマルウェアだ

  我々はオサマ・ビンラディンの死に便乗しようとする、初のマルウェアサンプルを入手したところだ。

  「Fotos_Osama_Bin_Laden.zip」というファイルが、電子メールを介して送信されている。このアーカイブは「Fotos_Osama_Bin_Laden.exe (md5: d57a1ef18383a8684c525cf415588490)」というファイルを含んでいる。

Fotos_Osama_Bin_Laden.exe / Osama bin Laden

  もちろん、このファイルが亡くなったビンラディンの写真を表示することは無い。そのかわりに、「Banload」ファミリーに属するバンキングTrojanを実行する。これは自身を(「msapps\msinfo\42636.exe」として)システムにインストールし、ユーザのオンラインバンキング・セッションを(BHOを介して)モニタし、ユーザの支払いを不正なアカウントにリダイレクトしようとする。

  我々はこれを「Trojan-Downloader:W32/Banload.BKHJ」として検出している。

  一般的なアドバイスとして:みなさんが、ビンラディンの死に関する写真やビデオをオンラインで見つける見込みはなさそうだ。しかし、それらを検索しようとすれば、確実にマルウェアサイトに導かれるだろう。ご用心を。








LNK脆弱性:Chymine、Vobfus、SalityおよびZeus

  悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。

  しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。

  以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「Trojan-Downloader:W32/Chymine.A」および「Worm:W32/Vobfus.BK」となっている。

  Chymineは新しいキーロガーだ(.Aバリアントから見ることができる)。これはLNK脆弱性を使用して感染させるが、付加的な.LNKファイルを作成して拡散はしない(よってワームベクタは無い)。Chymineを発見したのはESETの人々だ。

Chymine

  Vobfusは常にショートカットを使用するより古いファミリーで、ソーシャルエンジニアリングと組み合わされる。この最新のバリアントは、機能を増やすのみだ。Microsoftの研究者Marian Raduが、Vobfusファミリーの命名者だ。

  今日のニュースには、Sality(ポピュラーなポリモーフィックウイルス)とZeus(ポピュラーなボットネット)が含まれている。我々はSalityサンプルと、拡散ベクタとして使用されるLNKファイルをジェネリックに検出する。

  Zeusの亜種は、「Security@microsoft.com」からのものに見えるメッセージを含み、「Microsoft Windows Security Advisory」というタイトルを持つ電子メールの添付ファイルとして検出された。

  以下が本文だ:

Hello, we are writing to you about a new Microsoft security advisory issue for Windows. There is a new potentially dangerous software-worm, attacking Windows users through an old bug when executing .ICO files. Although this is quite an old way of infecting software, which first was used in 1982 with Elk Cloner worm, the new technique the new worm is using is more complicated, thus the speed and number of attacs has strongly increased. Since you are the special Microsoft Windows user, there is a new patch attached to this e-mail, which eliminates the possibility of having you software infected. How to install: open an attached file

  Zeusは防止するのに取り組みがいのある脅威で、この亜種を検出したベンダはまだ多く無い。我々は現在、検出を追加しているところだ。幸いなことに、使用されるエクスプロイトは多くのベンダが検出しており、すべては犠牲者にパスワードで保護したzipファイルを開けさせ、lol.dllをCのルートにコピーさせるソーシャルエンジニアリングに依存している。何故ならばこのパスは、エクスプロイトが動作するために既知でなければならないからだ。

  我々は今回のZeusの亜種が、それほど成功するとは考えていない。

偽の訴訟通知攻撃

  数日前、悪意あるRTFが添付されたメールに遭遇した。架空の訴訟通知メッセージが含まれているものだ。

  同メールは会社名には言及しておらず、標的型というよりは、無差別型の手法をとっている。

  今日、あるセキュリティ・ブロガーが我々(そして他の人達に)、彼の所に来た以下のメールを転送してくれた:

To Whom It May Concern: On the link bellow is a copy of the lawsuit that we filed against you in<br />court on March 15, 2010. Currently the Pretrail Conference is scheduled for April 15th,<br />2010 at 10:00 A.M. in courtroom #12. The case number is 3478254. The reason the lawsuit was filed<br />was due to a completely inadequate response from your company for copyright infrigement that our client<br />Danilison Inc is a victim of. www.marcuslawcenter.com

  現時点で、この添付書類はMarcus Law Center(以下MLC)へのリンクに置き換えられているようだ。

  MLCサイトに障害が起きているのか、単に完全な偽物なのか、見極めることは難しい。同サイトの企業情報ページのテキストは、あるニューヨークの弁護士サイトの内容を大幅に流用しているが、「良心的な」盗用である可能性もある。

  いずれにせよ、エフセキュアのブラウザ保護機能が、安全のため、悪意あるファイルをホスティングしているサブ・ディレクトリをブロックしている。

  このRTFファイルは、トロイの木馬型ドロッパ(Trojan-Dropper:W32/Agent.DIOY)として作用する埋め込みオブジェクトを含んでおり、これはダウンローダ(Trojan-Downloader:W32/Lapurd.D)をドロップし、次に中国南部に位置するサーバへと接続しようとする。

  我々が確認した以前の添付ファイルも、中国のサーバに接続しようとしていた。

  追記:SANS Diaryによれば、いくつかの.eduサイトが、似たようなメッセージを受けとっているそうだ。

  そのドメイン「touchstoneadvisorsonline.com」は、同じRTF(.doc)ファイルをホスティングしている。

2010年を目前に、マルウェアの新年度がやってくる

  今年のNew Yearマルウェアの最初の徴候は、つい先日、すでに見つかっているが、我々が現在確認しているものは「Happy New Year 2010」と祝い、「Trojan-Downloader:W32/Agent.MUG」へと導くFast-Fluxドメインにリンクしている。このトロイの木馬は、さらなるマルウェアをインストールしようとするものだが、それが指し示すコンテンツは、少なくともこの投稿の時点ではまだオンラインに無いようだ。

  デジタルな新年の挨拶を読む際には、今年も注意した方が良い。

  F-Secure Labsは読者の皆さんが、楽しい、そしてマルウェアの無い新年を迎えることをお祈りする。

ブリタニー・マーフィSEO

  取り急ぎ以下のことをご報告する:ハリウッドのセレブリテイ、ブリタニー・マーフィがこの日曜に急死し(BBCのレポートはこちら)、このトピックでの検索が急上昇した。そしてもちろん、SEO攻撃が登場した。

  悪意ある検索結果のリンクをクリックしたユーザは、その人をうろたえさせて偽のAVソフトウェアをダウンロードさせるべく、恐ろしいメッセージを表示するWebサイトへとリダイレクトされる:

  偽AVのスクリーンショット:

brittanymurphyseo_1

brittanymurphyseo_2

  我々はこの偽AVが「Trojan-Downloader:W32/Fakevimes.T」であることを検出した。

  全く標準的なSEO攻撃だ - しかし、この件に関するニュースを探しているかもしれない人にとっては、警告の価値があるだろう。

---
投稿はWebSecurityのChu Kianによる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード