top links
top shadow		  
lft_mid
Google logorgt_mid
homeswitchstoreEARTHLINK TOOLSMEMBER CENTERtab_rgt
DIAL UPHIGH SPEEDwirelessbusinessextras

Security Blogs Security Response | Symantec Connect Community
Video Screencast Help
Search Video Help Close Back
to help
New in the Rewards Catalog: Vouchers for "Symantec Technical Specialist" and "Symantec Certified Specialist" exams.

Security Response

ワールドコンテンツショーを狙うロシアのスパマー
Samir Patil | 12 min ago | 0 comments

この調査にご協力いただいた Anand Muralidharan 氏に感謝します。

全世界のテレビ局が参加する、第 14 回 International Exhibition and Forum, World Content Show(ワールドコンテンツショー国際展示フォーラム)が、2012 年 2 月 7 日から 9 日までロシアで開催されます。この展示会では、テレビ業界と電気通信業界における最新の技術とトレンドが披露されます。

大手メディア企業が大挙して参加するこの技術展示会を、スパマーも見逃すはずはなく、開催時期を狙って大量のスパムを送りつけています。少しでもユーザーの関心をひこうとして、あるスパムメールでは、このイベントで人気を呼びそうな内容を紹介しています。インタラクティブなコンテンツ、抽選会、著名業界人やスターたちの出演予定、華麗な音楽プログラムといった具合です。

ロシア語で書かれた今回のスパムの一例として、シマンテックが確認したメールを以下に挙げます。

ロシア語によるこのスパム攻撃では、以下のような件名が確認されています。

  • 件名: Российские и иностранные телеканалы на фестивале World Content Show-2012
    件名の翻訳: ロシア国内外のテレビ局が集う、ワールドコンテンツショー 2012開催
  • 件名: World Content Show-2012

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、...

Read more
Infostealer.Offsupload: 20,000+ Archives Containing Stolen Data Uploaded to Third Party File-Sharing Site
Stephen Doherty | 4 hours 6 min ago | 0 comments

Upwards of 20,000 stolen archives have been uploaded to a third party file-sharing site from hosts infected with a new threat called Infostealer.Offsupload. The following heatmap indicates the U.S. is the primary target of infection, however, only a few countries worldwide have managed to avoid the affect of this threat.

Infostealer.Offsupload is being used as part of a blended threat. The initial stage of the attack is an email purporting to come from FedEx with a malicious attachment: “FedEx_Invoice.exe”.

Once executed, this Trojan (detected as Trojan.Gen.2) contacts a command-and-control (C&C) server in order to...

Read more
Android.Bmaster: A Million-Dollar Mobile Botnet
Cathal Mullaney | 8 hours 30 min ago | 0 comments

Introduction

We recently came across a new piece of Android malware, first highlighted by NC State’s Xuxian Jiang, and began investigating the command-and-control (C&C) servers associated with the threat. The malware was discovered on a third party marketplace (not the Android Market) and is bundled with a legitimate application for configuring phone settings. Trojanized applications are a well known infection vector for Android malware, as they allow malware to be distributed while retaining the appearance of a legitimate application.

Analysis of these servers indicate the total number of infected devices connected to the botnet over its entire life span numbered in the hundreds of thousands. The number of infected devices on a given day able to generate revenue was 10,000 to 30,000 on average, enough to potentially net the...

Read more
Russian Spammers Eye World Content Show
Samir Patil | 12 hours 27 min ago | 0 comments

Thanks to Anand Muralidharan for their assistance with this research.

Televison channels across the world are set to be at the 14th International Exhibition and Forum, World Content Show, held Feb 7- 9, 2012, in Russia. The exhibition showcases the latest technologies and trends in the TV and telecommunication industry.

This techno-fair will be attended in large numbers by leading media businesses, and spammers don’t want to miss the opportunity to circulate spam around the event. In a bid to catch the reader’s attention, one such spam email reveals some appealing facts about the event, such as Interactive Elements, Prize Drawings, Performance of Popular Leader/Star, and Colorful Musical Concerts.

Here is an example of this Russian spam observed by Symantec:

Here are the subject...

Read more
確定申告の先手を取った Web 攻撃
Samir Patil | 20 hours 42 min ago | 0 comments

2012 年 2 月 6 日午前 3 時に、シマンテックセキュリティレスポンスは、今年の米国の確定申告の時期を狙った悪質なリンクが含まれるスパムを確認しました。同日午前 6 時から午後 1 時までにスパム量が突出し、Blackhole ツールキットを利用したサイトへの URL が、重複を含まず 200 種類以上も識別されています。

Blackhole ツールキットは、被害者のコンピュータのさまざまな脆弱性を標的にしてコンピュータを危殆化します。シマンテック製品をお使いのお客様は、スパム対策、ウイルス対策、IPS シグネチャという多層型の保護で保護されています。悪質な Web サイトからダウンロードされるペイロードは、Trojan.Zbot として検出され、IPS はこの Web 攻撃を Web Attack: Blackhole Toolkit Website 14 および Web Attack: Blackhole Exploit Kit Website 11 として検出します。

このスパムでは、アカウント情報を確認するためにリンクをクリックするよう求められます。そのようなスパムの一例を次に示します。

...

Read more
Web Attack Ahead of Tax Season
Samir Patil | 07 Feb 2012 | 0 comments

At 3 AM, on February 6, 2012, Symantec Security Response observed spam carrying malicious links which target the upcoming tax season. The spam volume spiked between 6 AM and 1 PM, identifying over 200 unique URLs which lead to a Blackhole toolkit.

A Blackhole toolkit compromises the machine by targeting various vulnerabilities on the victim's machine. Symantec protects our customers with multiple-layer protection of antispam, antivirus, and IPS signatures. The payload downloaded from the malicious website is detected as Trojan.Zbot, for instance, and IPS detects this web attack as “Web Attack: Blackhole Toolkit Website 14” and “...

Read more
スーパーボウルに便乗するスパムにご注意
Samir Patil | 05 Feb 2012 | 0 comments

スーパーボウルを観戦するのに薬などいらないはずですが、スパマーとしては、ぜひとも必要ということにしたいようです。NFL が 1 年間の頂点を決める第 46 回スーパーボウルが明日開催されますが、予想にたがわずスパマーたちも、熱狂的なフットボールファンを狙って自分たちの熱いゲームを繰り広げようとしています。

スーパーボウルに関連するスパムとしては、以下のような件名が確認されています。

件名: Super Bowl [BRAND NAME] Sale(スーパーボウル [ブランド名] 特別セール)
件名: Super Bowl Special(スーパーボウル開催記念)
件名: Super Bowl(スーパーボウル)
件名: Super Bowl 2012 - You win no matter which team does!(スーパーボウル 2012 - どちらが優勝しても勝つのはあなた!)

シマンテックが発見したスパムサンプルは、オンライン医薬品販売の宣伝でした。メールには、注文書を送るだけでジェネリック医薬品の詰め合わせを無料でもらえると書かれています。

このスパムサンプルにあるリンクをクリックすると、次のようなオンラインの医薬品販売サイトに移動します。

これとは別に、SUV などの新車を史上最低価格で提供すると謳うスパムサンプルも見つかっており、この特別割引はスーパーボウルの開催週限定とされています。

メッセージ中のリンクをクリックすると宝くじのサイト(以下の画面例)にリダイレクトされ、...

Read more
Purchases From This Super Bowl Sale Will Not Take You Anywhere
Samir Patil | 04 Feb 2012 | 0 comments

You may not need pills to watch the super bowl but spammers feel that this definitely  is an occasion to do so! The most exciting annual championship of the NFL -  the Super Bowl XLVI - starts tomorrow. And as expected, spammers are playing a different ball game with the crazy Super Bowl fans.

Spam related to Super Bowl  can be spotted with the subject listed below:

Subject: Super Bowl [BRAND NAME] Sale
Subject: Super Bowl Special
Subject: Super Bowl
Subject: Super Bowl 2012 - You win no matter which team does!

One such spam sample that we discovered promotes an online pharmacy. The email offers a free generic combo pack after placing medical orders with them.

The link in the spam sample goes to the following online pharmacy site:

Another...

Read more
サーバーサイドポリモーフィック型の Android アプリケーション
Symantec Security Response | 02 Feb 2012 | 0 comments

Windows の世界では、かなり以前からサーバーサイドポリモーフィズムの技法を使ってコンピュータに感染する手口が全世界で確認されてきました。これはつまり、ファイルがダウンロードされるたびに、異なるバージョンのファイルを作成して従来のシグネチャベースの検出をすり抜けようとすることを意味します。最近、この同じ手口が、ロシアの Web サイトでホストされている悪質な Android アプリケーションにも使われていることが判明しました。シマンテック製品では、この亜種をすべて Android.Opfake として検出します。Opfake をホストしているサイトにはリンクかボタンが設置され、それを使うと人気の高い Android ソフトウェアの無料版をダウンロードできることになっていますが、実際にダウンロードされるのは悪質なパッケージです。

このアプリケーションは、ダウンロードされるたびに少しずつ自動的に形態を変えます。それだけでなく、数日ごとに手動でも変更が加えられているところから、作成者は現在もこのマルウェア群の保守にいそしんでいると考えられます。

Opfake がサーバーサイドポリモーフィズムに利用している手法は、可変データによる変更、ファイルの並べ替え、ダミーファイル挿入の 3 つです。以下、それぞれのケースを見ていくことにします。

1 つ目は可変データを使ったケースです。2 つのダウンロードファイルの CRC を比較すると、意味のある変更は "res/raw/data.db" の部分にしかないことがわかります。META-INF にも変更されているファイルがありますが、これにはパッケージのシグネチャデータが含まれているので、res/raw/data.db が変更された事実が反映されているにすぎません。

...
Read more
Server-side Polymorphic Android Applications
Symantec Security Response | 01 Feb 2012 | 0 comments

For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. We are now seeing this same technique being used for malicious Android applications hosted on Russian websites. We detect all of these variants as Android.Opfake. The sites hosting Opfake include either links or buttons that can be used to download the malicious packages that are purporting to be free versions of popular Android software.

The applications morph themselves automatically in a few ways every time the threat is downloaded. In addition, manual modifications are also made every few days indicating that the malware authors are actively maintaining this malware family.

Opfake...

Read more

Technical Support

Symantec.com

Store

Community Stats

Total Content Items
Members
258,195