【Dr.WEB】Windowsを狙うLinuxトロイの木馬

現代におけるITの世界では、あるOS向けに設計されたアプリケーションやゲームが、後に別のOSに適用される例がしばしば見受けられます。一方で、そのようなケースはマルウェアにおいては非常にまれであり、中でもLinux向けに設計されたマルウェアがWindowsを感染させる例はほとんど見られませんでした。しかしながら、近頃Doctor Webによって解析された検体は、そのような事例を代表するものでした。

2014年5月、Doctor WebではDDoS攻撃を行うLinuxトロイの木馬について報告しました。解析を行ったウイルスアナリストによって、このトロイの木馬は中国のウイルス開発者によって設計されたものであることが明らかになり、さらに、ここ最近発見された新たな亜種には従来のものと大きく異なる変更が加えられていることが確認されました。それらの亜種はWindowsに対してDDoS攻撃を行います。

そのようなプログラムの1つであるTrojan.DnsAmp.1は、実際のところ、Windowsと互換性のあるLinux.DnsAmpです。このトロイの木馬はWindowsサービス Test My Test Server 1.0を装ってシステム上にインストールされ、その実行ファイルはvmware-vmx.exeという名前でシステムフォルダ内に保存されます。起動されるとTrojan.DnsAmp.1は感染させたコンピューターに関する情報を犯罪者のサーバーに送信し、DDoS攻撃を実行するためのコマンドを待ちます。また、悪意のある別のプログラムをダウンロード・実行する機能も備えています。Doctor Webのリサーチャーによって解析されたコードから、Trojan.DnsAmp.1はLinux.DdoSおよびLinux.BackDoor.Gatesの開発者によって製作されたものであることが示唆されています。Trojan.DnsAmp.1の動作についての詳細はこちらの記事をご覧ください。

Doctor Webウイルスアナリストによって取得されたデータによると、6月5日から8月13日の間に、このトロイの木馬ファミリー(主にLinux.BackDoor.Gates)によって行われたDDoS攻撃の数が最も多く確認された国は中国(2万8,093件)、次いで米国となっています。以下の図はその地域別分布を表しています。

Dr.Webウイルスデータベースには既にこの脅威のシグネチャが追加されているため、Dr.Webアンチウイルスに保護されたシステムに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=769&lng=ja&c=2

【Dr.WEB】ブラウザを装うトロイの木馬クリッカー

サイバー犯罪者は利益を得るために、一般的な詐欺からトロイの木馬の拡散、個人情報の窃盗およびそれらの不正使用まであらゆる手段を尽くしています。これらサイバー犯罪の中でも特徴的なものとしてクリック詐欺があげられますが、今回、 Trojan.Click3.9243などの特別なマルウェアが使用されていることが確認されました。

クリック詐欺の多くは、本物のユーザーがサイトを訪れてペイパークリック広告をクリックしたように装い、広告主から支払いを得るというものです。このような詐欺には、標的となるコンピューター上に密かにインストールされた特別なソフトウェアが使用される場合があります。今回Doctor Webによって発見されたそのようなプログラムの1つにTrojan.Click3.9243があります。

このトロイの木馬は、ウイルス開発者との連携によってセキュリティエキスパートの間で悪名高いInstallmonster(別名Zipmonster)からAd Expert Browserを装って拡散されています。その使用許諾契約には、ユーザーがネットサーフィンを行っている間にAd Expert Browserによって広告が表示される場合がある旨が記載されていますが、Trojan.Click3.9243の本当の目的を考えるとその可能性は低いことが分かります。

感染させたコンピューター上で起動されると、Trojan.Click3.9243は隠されたWindowsデスクトップを作成し、様々なwebページを開いて広告をクリックするために必要なプロセスを開始します。

このトロイの木馬は、その動作が実際の人物によって行われた操作であるかのように装う機能を持っています。そのような動作には、サイト内のスクロールやマウスポインターの動きがあり、さらに、埋め込まれたコードを使用して動画を再生すると、本物のユーザーの操作を妨げないよう音声を無効にします。

また、Trojan.Click3.9243は動作の過程で、感染したコンピューター上で実行中のプロセスのリスト、およびシステムのCPU負荷についての情報を犯罪者のサーバーへ送信します。

このトロイの木馬のデジタル署名について解析を行った結果、Trojan.Click3.9243の開発にはTrojan.Zadved.1の開発者が関わっている可能性があるとウイルスアナリストによって結論付けられました。Trojan.Zadved.1についてはこちらのウイルスレビューをご覧ください。

Doctor Webでは、疑わしいサイトからソフトウェアをインストールせず、最新のアンチウイルスを使用することを推奨しています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=764&lng=ja&c=2

【フィッシング対策協議会】セゾンNetアンサーをかたるフィッシング

セゾンNetアンサーをかたるフィッシングメールが出回っています。

■メールの件名
【重要:必ずお読みください】セゾンNetアンサーご登録確認

■詳細内容
1. 2014/08/12 10:30 現在 フィッシングサイトの停止を確認しておりますが、類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトにてアカウント情報 (クレジットカード番号、有効期限、生年月日、セキュリティコード、メールアドレス、NetアンサーID、Netアンサーパスワード) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■フィッシングサイトのURL
http://www.●●●●.com/WebPc/USA0202UIP01SCR/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/saison20140811.html

夏季休暇前にセキュリティの確認を、IPAが注意喚起

独立行政法人情報処理推進機構(IPA)は6日、夏休みの長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。システム管理者や企業内の一般利用者、家庭での利用者、スマートフォンやタブレットの利用者向けに、休暇中や休暇明けに注意すべき点や対策を紹介している。

システム管理者向けの対策としては、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、デバイスの盗難・紛失時の連絡体制などの対応手順が明確になっているかを再確認することを挙げている。

また、管理しているサーバーやPCについて、OSやソフトウェアに修正プログラムを適用し、最新のバージョンに更新することや、セキュリティソフトの定義ファイル(パターンファイル)を最新の状態にすることを求めている。8月13日には、マイクロソフトの月例セキュリティ更新プログラムが公開される予定となっている。

このほか、業務用のPCやスマートフォン、タブレットを組織外に持ち出す場合のルールを明確にして従業員に再徹底すること、組織の情報システムにアクセスできる権限が適切に割り当てられているかを再確認すること、業務関係の情報取り扱いルールを徹底すること、業務で使用しているID・パスワードを他のサービスで使い回していないかを確認することなどを対策として挙げている。

企業など組織内の一般利用者に対しては、インターネットバンキングにおいてウイルス感染による法人口座の不正送金被害が急増しているとして、OSやソフトウェア、セキュリティソフトを常に最新の状態に保つことを挙げている。特に、休暇中に電源を切っていたPCは、セキュリティソフトの定義ファイルが古いままになっていることがあるため、メールの送受信やウェブの閲覧前に、定義ファイルを更新することを求めている。

また、特定の企業や組織を装ってウイルスメールを送りつける標的型攻撃も多発しているため、少しでも不自然だと感じたメールの添付ファイルやリンクは開いたりクリックしたりしないよう注意している。

家庭でPCを使用する際の対策としては、企業内での利用と同様にウイルス感染によるインターネットバンキングの不正送金被害が増えているため、OSやソフトウェア、セキュリティソフトを常に最新の状態に保つとともに、乱数表などの第二認証情報をすべて入力するよう求める画面には情報を入力しないよう注意している。

また、自身が管理していないUSBメモリなどの外部記憶媒体は自身のPCに接続しないことや、必要なデータはバックアップしておくこと、業務関係のデータを扱ったことのあるPCでファイル共有ソフトを使わないこと、SNSなどでリンクや短縮URLを不用意にクリックしないこと、複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更することなどを対策として挙げている。

スマートフォンやタブレットを利用する際の対策としては、アプリの中には内部の情報を窃取するものが存在するため、個人利用のデバイスを業務に利用している場合は、所属する組織の業務規程に従うことや、アプリインストール時のパーミッションの一覧に必ず目を通すこと、パスワードロック機能を有効にすること、セキュリティアプリを導入することなどを求めている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140808_661477.html

【Dr.WEB】Amazonからのメールを装って拡散されるトロイの木馬

Eメールによるマルウェアの拡散は、犯罪者によって最もよく使用される手法の1つです。Doctor Webでは、危険なトロイの木馬を含んだEメールの大量送信が2014年6月26~27日に確認され、それらはAmazonからのメールを装ったものでした。

6月26日を境に、多くのユーザーがAmazonからの注文確認メールを装った偽のメールを受け取るようになりました。このメールには、注文の詳細を確認するために添付のファイルを開くよう記載されています。メッセージは英語で書かれ、現在知られている限り、注文日と番号を除いてすべて同じ文面になっています。

Hi,
Thank you for your order. We'll let you know once your item(s) have dispatched. You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.

添付されているZIPアーカイブには、ウイルス開発者らによってSmoke Loaderと呼ばれているBackDoor.Tishop.122マルウェアの実行ファイルが含まれています。このトロイの木馬は感染させたコンピューター上に悪意のある別のソフトウェアをダウンロードすることで、アンチウイルスによって保護されていないシステムをマルウェアの巣窟へと変化させます。BackDoor.Tishop.122は起動されると、サンドボックスまたは仮想マシンの存在を確認するためにスキャンを開始し、ハードディスク上のフォルダに自身のコピーを作成します。続けて、自動実行に関与するWindowsレジストリブランチ内に自身を登録し、複数のシステムプロセスに自身のコードを挿入します。さらに、システムがインターネットに接続されている場合は、悪意のある他のプログラムのダウンロードと起動を試みます。

実際に商品を購入していない限り、注文内容の詳細を記載したファイルの添付された、未知の送信者からのEメールを開かないよう十分に注意することが推奨されます。そのようなメールはすぐに削除するようにしてください。BackDoor.Tishop.122はDr.Webアンチウイルスソフトウェアによって検出されるため、Doctor Webのユーザーに危害が及ぶことはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=750&lng=ja&c=2

不正送金マルウェア感染者にISPから通知、FBIのシステムで感染端末を特定

マルウェア感染を原因とするネットバンキング不正送金事件の多発を受け、総務省は18日、官民連携によるマルウェア対策プロジェクト「ACTIVE」を通じ、注意喚起を実施すると発表した。通信ログをもとにマルウェア感染者を特定し、警告メールをプロバイダー経由で送信するという。

 近年増加している不正送金事件の多くは、「Game Over Zeus(GOZ)」と呼ばれるマルウェアが原因とされている。これに感染したユーザーが正規のオンラインバンキングサイトへアクセスすると、偽のログイン画面が表示され、気付かずに認証を済ませた場合、結果として不正送金が実行されてしまう。また、ボットネットとしての性質も備えている。

 GOZ撲滅に向けては、米国連邦捜査局(FBI)と欧州刑事警察機構(ユーロポール)が共同で作戦を展開。サーバーを押収したり、関係者を起訴するなどの対応を進めている。一方で、被害抑止にあたっては、マルウェアそのものを実際に駆除する必要もある。

 総務省および警察庁によると、FBIなどが開発したシステムを使うことで、GOZ感染端末は特定できるという。総務省ではGOZ撲滅作戦に協力するため、ACTIVEを推進する一般財団法人日本データ通信協会 テレコム・アイザック推進会議と連携。感染者情報をプロバイダーに提供し、個別に駆除要請などを通知する。

 ACTIVEは「Advanced Cyber Threats response InitiatiVE」の略で、国内の大手プロバイダーやセキュリティ企業が参画しているプロジェクト。なお、マルウェア感染通知は、ACTIVEに参画しているプロバイダーの会員に対して実施される。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140718_658699.html

不正送金ウイルスがアップデート、国内カード会社20社を標的に

株式会社セキュアブレインは16日、金融機関を狙う不正送金ウイルスにおいて、国内のカード会社を攻撃対象とする更新が行われたことを確認したとして、注意喚起した。

 今回、攻撃対象として確認されたカード会社は、イオンカード、出光カード、NTTグループカード、エポスカード、OMCカード、オリコカード、JCBカード、JP BANKカード、セゾンカード、TS CUBICカード、DCMX、日産カード、ポケットカード、Honda Cカード、三井住友VISAカード、三菱UFJニコス、UCSカード、ライフカード、楽天カード、りそなカードの20社。

 通称「VAWTRAK」または「Papras」と言われるウイルスにおいて、攻撃対象の変化が観測された。このウイルスは、感染したPCから攻撃対象のインターネットバンキングにアクセスがあった場合、画面を改ざんし、情報を窃取する。以前から銀行だけでなくカード会社数社も攻撃対象となっていたが、改ざんを行うJavaScriptの配信元サーバーが停止したため、改ざんや情報の窃取は行われていなかったという。

 しかし今回、ウイルスの設定情報が更新されたことで、国内のカード会社20社が攻撃対象となっていることをセキュアブレインで確認した。感染PCから攻撃対象のページにアクセスすると、偽画面の表示などを行うJavaScriptを読み込み、画面の改ざんや情報の窃取を行う。

 セキュアブレインでは、「銀行だけでなくカード会社も攻撃対象になっていることを認識する必要がある」とし、エンドユーザーにおける防御策として、ウイルス対策ソフトを使用し、ウイルス定義ファイルを最新の状態にすること、また、使用しているカード会社の正規の画面を把握し、異変に気付くよう警戒心を持つことを挙げている。

 なお、このウイルスに感染すると、カード会社のウェブサイトのログインフォームで入力したID・パスワードが攻撃者のサーバーに送信された上で、カード番号、有効期限、セキュリティコードなどを入力させる画面が表示されるという。

 セキュアブレインによれば、カード会社の多くは通常、1つの画面でセキュリティコードまでの入力を求めることはないため、そのような画面が表示された場合は入力を停止すること、また、この画面が出る前に入力したID・パスワードはすでに攻撃者のサーバーに送信されているため、そのような場合はすぐに変更するよう呼び掛けている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140716_658302.html

【フィッシング対策協議会】ODNをかたるフィッシング

ODN(Web メールサービス)をかたるフィッシングの報告を受けています。

1. 2014/07/14 14:00 現在 フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. フィッシングメールには2つのタイプが見つかっております。
1つ目はメール本文にEメールやユーザー名、パスワードなどを記入をさせてメールでの返信を促すタイプ(画像1)になります。
2つ目は、フィッシングサイトへ誘導されるタイプ(画像2)になります。メール本文中の「ここで確認」にリンクが張ってあり、フィッシングサイトへの誘導が報告されています。

3. このようなフィッシングサイトにてログインに必要な情報(ログインIDやパスワードなど)を入力しないように注意してください。

4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://8-ktroad-ne-jp.●●●●.com

「Dailymotion」で改ざん被害か、閲覧者がマルウェアサイトにリダイレクト

動画共有サイト「Dailymotion」で6月28日、ページ改ざん事例が確認されたことを、Symantec が自社セキュリティ情報ブログを通じて発表した。 Dailymotionのウェブサイトにアクセスすると、攻撃ツールが設置された外部ページへリダイレクトされ、さらにブラウザーや拡張機能の脆弱性を突かれた場合、マルウェアが強制的にインストールされてしまう可能性がある。なお、7月3日の時点でリダイレクトは発生していないという。

Symantec調べによる国別影響範囲。北米ほどではないものの、日本にも一定の影響があったようだ

Dailymotionは、Alexa調べの著名サイトランキングで100位以内に含まれる。攻撃者は、この人気に乗じたとみられ、米国と欧州において相当の影響があるとSymantecは分析している。

Symantecの分析によると、攻撃者はDailymotionのウェブサイトにiframe要素を潜り込ませ、一般ユーザーを外部サイトへ勝手にリダイレクトさせていた。リダイレクト先のページには「Sweet Orange Exploit Kit」と呼ばれる攻撃ツールが設置されており、表示なども非常に紛らわしいという。

Sweet Orange Exploit Kitはユーザー側の閲覧環境を解析し、脆弱性を探す。ここでInternet Explorer(CVE-2013-2551)、Flash(CVE-2014-0515)、Java(CVE-2013-2460)の脆弱性が発見されると、今度はマルウェアの「Trojan.Adclicker」がユーザー側端末にダウンロードされる。結果、クリック支払い型広告の収益が攻撃者へもたらされることになる。

SymantecではSweet Orange Exploit Kitを2013年に検出しており、ウイルス対策ソフトなどでの対策も完了している。なお、Dailymotionのウェブサイトでは、今回の事例に関する発表は特に行われていない。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140704_656553.html

【Dr.WEB】アンチウイルス機能を備えたトロイの木馬

Doctor Webでは、幅広い機能を搭載したマルチコンポーネントトロイの木馬Trojan.Tofseeの分析を行いました。このトロイの木馬はスパムを配信する目的で設計されたものですが、そのモジュールの1つは感染させたコンピューターから他のマルウェアを削除するなど、特殊な機能を備えています。

コンピューターを保護するためのアンチウイルスソフトウェアのインストールを怠り、その結果としてシステムがマルウェアに感染してしまうというケースがありますが、そのマルウェアがTrojan.Tofseeであった場合、ユーザーはある意味ラッキーだったと言えるでしょう。このトロイの木馬はスパムを配信するほか、システムから他の脅威を非常に効果的に駆除してくれるからです。

Trojan.Tofseeは Skypeやソーシャルメディアサイト、リムーバブルメディアなど様々な方法で拡散されます。Skypeを使用した拡散では、犯罪者は従来のソーシャルエ ンジニアリング手法を用い、他人には見られたくないようなプライベートな動画や写真がインターネット上で公開されているとユーザーに信じ込ませます。古く から用いられているものであるにも関わらず、現在でも多くのユーザーがこの手口に陥っています。

Trojan.Tofseeは、 SkypeのほかTwitter、Facebook、VKontakteからの拡散を行うための特殊なモジュールを犯罪者のサーバーからダウンロードしま す。モジュールによって送信されるメッセージは設定ファイル内のテンプレートに従って生成されます。ソーシャルネットワーキングサイトのユーザーに対して 送信されるメッセージには、それぞれの国の言語が使用されます。

メッセージには、ユーザーの見られたくない動画や写真にアクセスするためのリンクが含まれています。しかし、このコンテンツを見るためにユーザーはブラウザプラグインをダウンロードするよう促され、実際にはこのプラグインがTrojan.Tofseeです。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=746&lng=ja&c=2