TrendLabs | Malware Blog
「BKDR_REFPRON in New Mass Compromise」より
Aug 28, 2009 Det Caraig
トレンドマイクロのウイルス解析チームは、約5万5000の正規オンライン・ショッピング・サイトが大規模なWebサイト改ざんの被害を受けたと報告。第一報の段階では、アジアでは中国やインド、欧米ではカナダやイギリスのWebサイトで被害が確認されています。
続きを読むTrendLabs | Malware Blog
「BKDR_REFPRON in New Mass Compromise」より
Aug 28, 2009 Det Caraig
トレンドマイクロのウイルス解析チームは、約5万5000の正規オンライン・ショッピング・サイトが大規模なWebサイト改ざんの被害を受けたと報告。第一報の段階では、アジアでは中国やインド、欧米ではカナダやイギリスのWebサイトで被害が確認されています。
続きを読む
「More Zero-Day Exploits for Firefox and IE Flaws」より
Jul 21, 2009 Jovi Umawing
トレンドラボのシニア・ウイルス解析者 Joseph Reyes は、“Mozilla Firefox” および “Microsoft Internet Explorer(ActiveXコントロール)”のセキュリティホールを利用する不正スクリプトを確認しました。トレンドマイクロではこれら不正スクリプトをウイルスとして、以下のように警告を行っています。
ウイルス名 |
概要 |
このウイルスは”Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される(972890):CVE-2008-0015”のセキュリティホールを利用し、ほかのウイルスをダウンロードします。 |
|
このウイルスは、Webサイトにアクセスし、「JS_SHELLCODE.BV」をダウンロードします。また、”Mozilla Firefox バージョン3.5” のセキュリティホール「Mozilla Foundation Security Advisory 2009-41:Mozilla Firefox の JavaScript エンジン(Tracemonkey コンポーネント)に任意のコードが実行される脆弱性:CVE-2009-2477」を利用し、「WORM_KILLAV.AKN」をダウンロードします。 |
|
このウイルスは、「JS_FOXFIR.A」のコンポーネントです。ウイルスは、エクスプロイトコード(セキュリティホールの存在を実証するためのプログラム)を含み、Webサイトにアクセスして、「WORM_KILLAV.AKN」をダウンロードします。 |
|
このウイルスは、リモートサイトにアクセスして、「JS_SHELLCODE.BV」をダウンロードします。また、”Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される(973472):CVE-2009-1136” のセキュリティホールを利用します。 |
「OCW ActiveX Exploit Follows MPEG2TuneRequest’s Lead」より
Jul 14, 2009 Det Caraig
先日、「Microsoft Video ActiveX コントロールゼロデイにより「WORM_KILLAV」侵入」について報告したばかりですが、新たに、同社製品 “Microsoft Office Web コンポーネント” のセキュリティホールを利用したゼロデイ攻撃が確認されました。このセキュリティホールは、ActiveXコントロールであるオブジェクト “OCW 10” および “OCW 11” に存在します。これらのオブジェクトは、IE(Internet Explorer)でスプレッドシートを表示する際に利用されます。まるで次の同社の「Patch Tuesday」にタイミングを合わせたかのように、サイバー犯罪者もまた、この攻撃で自身の「更新版」をリリースしました。
![]() |
|
「MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites」より
Jul 9,2009 JM Hipolito
米国・韓国の大手Webサイトを襲った今回の分散型サービス拒否(DDoS)攻撃では、メールを介して感染活動を行うワームが、攻撃の主役となりました。
このワームは、トレンドマイクロの製品では「WORM_MYDOOM.EA」として検出され、メールの添付ファイルとして感染ユーザの受信箱に侵入します。ワームは、実行されると、自身をシステムサービス(WMI Performance Configuration および WmiConfig)として登録し、Windows起動時に確実に実行されるように設定します。そして、ワームは、コンポーネントファイルを作成し、このファイルをDDoS攻撃の標的リストと共に複数の感染コンピュータに拡散します。
次に、ワームは、感染コンピュータ上のIE(Internet Explorer)の<Temporary Internet Files>フォルダ内にある全ファイルからメールアドレスおよびドメイン名を収集します。ワームは、また、収集したドメイン名の先頭に、andrew、brenda、david、georgeといったユーザ名(詳細についてはこちら)を追記し、さらにメールアドレスを作成、追加します。このワームの脅威は、これだけではありません。ワームは、メールアドレス収集・追加作成だけにとどまらず、メール・サーバ・アドレスをも収集します。このサーバアドレスもメールアドレス同様、集めたドメイン名の先頭に特定の文字列を追記し、これにより、サーバアドレス収集が可能となります。ワームは、自身のSMTPエンジンを介してメールを送信する機能を備えており、自身のコピーをメールに添付し、上記の方法で作成したアドレスに送信することにより感染活動を実行します。ただし、コードには、「WORM_MYDOOM.EA」がメールにより拡散するように仕組まれていることが判明されていますが、トレンドラボでは、未だこのメールによる感染活動が成功裏に終わった検体を取得できていません。
トレンドマイクロのウイルス解析チームは、この不正プログラムおよび関連コンポーネントの正体を見破るために分析を続けており、有益な情報が入り次第、改めて投稿する予定です。
ワームは、ネットワーク分析ツールに関連したファイルを削除します。これにより、感染ユーザに気づかれることなく、DDoS攻撃ツールとして活動でき、標的とするWebサイトへのDDoS攻撃が可能となります(図1参照)。
![]() |
スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。
* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。 (さらに…)
続きを読む
「Zero-day MPEG2TuneRequest Exploit Leads to KILLAV」より
Jul 6,2009 Roland Dela Paz
7月7日早朝(日本時間)、トレンドラボは、Microsoft Video ActiveX コントロール(MsVidCtlオブジェクト)に存在するセキュリティホールを利用したゼロデイ攻撃(0-day attack)を確認しました。この攻撃により、およそ967の中国のWebサイトに不正スクリプトが組み込まれ改ざんされたと報じられています。この不正スクリプトは、ユーザを複数のWebサイトにリダイレクトし、最終的に、上記のセキュリティホールを利用する不正スクリプトを含む JPG ファイルをダウンロードします。このファイルは、トレンドマイクロの製品では「JS_DLOADER.BD」として検出されます。以下の画像は、「JS_DLOADER.BD」内の暗号化された不正コードのスクリーンショットです。
![]() |
|
「Spam Speculates Michael Jackson’s Murder」より
Jul 2,2009 Posted by Aljerro Gabon
キングオブポップことマイケル・ジャクソンの突然の死亡から1週間がたちますが、まだ正式な死因は発表されていません。そんな中、世間では死因に関する憶測は止まるところを知らないようです。スパム送信者は、この話題を見逃すはずはなく、スパム活動に多いに悪用されています。トレンドマイクロでは、マイケル・ジャクソン関連のスパムで「X-ファイル」と名乗る送信者からの「誰がマイケル・ジャクソンを殺したか?(Who killed Michael Jackson?)」という件名のスパムメールを確認しました。
このスパムメールの内容は、「マイケル・ジャクソンが殺害された」とほのめかし、メール内のURLをクリックすると殺害者についての情報を見ることができると説明しています。
![]() |
|
「Another Sex Tape, Another Malware Attack」より
Jun 24,2009 Posted by Jonathan Leopando
トレンドマイクロのソリューションアーキテクト、Rik Fergusonがトレンドマクロ関連ブログサイト「Countermeasures」で、Twitterユーザを標的にした新しい脅威を取り上げています(英語情報のみ:「Targeted Attack Designed to Infect Both Macs and PCs.」)。この攻撃の概要は以下のとおりです。
Twitterユーザ間ではよく知られている、ベンチャー投資家でコラムニストのGuy Kawasaki氏のTwitterアカウントがハッキングされ、不正な「tweet(つぶやき)」が投稿されました(図1参照)。その「つぶやき」には、リンクが含まれており、TVシリーズ「Gossip Girl」で知られる女優、Leighton Meesterのアダルトビデオが無料でダウンロードできると投稿されていました。このビデオテープ自体は、実際存在し、時期的にもぴったりでしたが、リンクは偽物でした。ユーザがリンクをクリックすると、複数の自動リダイレクトが発生し、結果として、アダルトビデオではなく不正プログラムをダウンロードするように誘導されます。
![]() |
|
「MSN Bot Plays on Controversy over Michael Jackson’s Death」より
Jun 26,2009 Posted by Jovi Umawing
ポップ界のキング、マイケル・ジャクソン(Michael Joseph Jackson)のショッキングな急死が報じられて間もなく、トレンドマイクロのシニアウイルス解析者Loucif Kharouniは、この話題に便乗した不正なリンクがWindows Live メッセンジャー / MSN メッセンジャー(以下 Messenger)にスピム(無差別に送信される迷惑メッセージ)として送信されていることを確認しました。このリンクは、マイケル・ジャクソンが息を引き取る直前の、病院での最期の瞬間に関する情報にリンクするようにと見せかけていました。以下は、不正なリンクを含む複数のテンプレートメッセージが表示されたMessengerにおける、会話ウインドウのスクリーンショットです。
![]() |
|
「Another Messy Mass Compromise Emerges」より
Jun 22,2009 Posted by Det Caraig
最近発生した大規模なWebサイト改ざん騒動(関連情報)の記憶がまだ新しいうちに、もう次の攻撃が確認されました。トレンドマイクロは、「Nine Ball」と呼ばれる、新たなWebサイト改ざん攻撃の出現に警戒を強めています。「Gumblar」という攻撃の名称は、攻撃で用いられた不正Webサイトの名称からとられましたが、「Nine Ball」も、攻撃に関連した不正Webサイト名にちなんでいます。ただ、「Nine Ball」攻撃の場合、ユーザが一連のリダイレクトを経てたどり着く不正Webページ(ランディングページ)が何百も存在し、ドメイン「Nine Ball」は、その1つにすぎません。 (さらに…)
続きを読む