【Dr.WEB】Androidのメモリカードデータを消去し通信をブロックする「荒らし」トロイの木馬

ホームコンピューターが台頭し始めた頃、悪意のあるプログラムの多くは実益を得るためではなく楽しむことを目的としたものでしたが、次第に利益の追求を目的とした設計へと変化を遂げてきました。現在では、マルウェアのほとんど全てが利益を得る目的で開発され、他の目的を持ったものは滅多に見られません。しかし、今回Doctor Webによって発見されたプログラムはそのような珍しいものでした。WindowsではなくAndroidスマートフォンやタブレットを標的とするこのプログラムはメモリカード上のデータを削除し、ポピュラーなメッセンジャープログラムのウィンドウをブロック、受信したSMSメッセージを読むことを不可能にすることから、ユーザーに対して大きな危害を与える脅威であると言えます。

Android.Elite.1.originという名前でDr.Webウイルスデータベースに追加されたこの新たなAndroidトロイの木馬は、所謂「荒らし」プログラムと呼ばれる珍しいカテゴリに属すものでした。通常、この種の悪意のあるアプリケーションは利益を得るためではなく、犯罪者がプログラミングスキルを披露したり、ある特定の事柄に関する意見を表明したりするため、または単純に悪戯を楽しむことや荒らし行為を目的に設計されています。また、通常これらのプログラムは様々なメッセージを表示させ、ファイルを破損させたり、感染したシステムの正常な動作を妨げたりします。今回発見されたAndroidトロイの木馬も正にそのような機能を備えたものでした。このトロイの木馬はゲームなどのポピュラーなアプリケーションを装って拡散されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=787&lng=ja&c=2

【フィッシング対策協議会】Facebook をかたるフィッシング

Facebook をかたるフィッシングサイトの報告がありました。

1. 2014/10/07 15:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (メールアドレス、電話番号、パスワードなど) を絶対に入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://●●●●.93.119/facebook.com/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/facebook_20141007.html

トレンドマイクロ、「bash」関連の診断ツール2種を無料公開

トレンドマイクロ株式会社は6日、UNIXベースのOSで広く利用されているシェル「bash」に見つかった脆弱性「Shellshock」(CVE-2014-6271)に対応する診断ツール2種を、IT管理者向けに無料公開した。

「ShellShock」脆弱性検出ツールは、自身の管理するウェブサイトにこの脆弱性があるかどうかを遠隔から診断できるツール。脆弱性の有無を判定することで、対策が必要なサーバーを割り出せるとしている。

「BashLite」不正プログラム検出ツールは、この脆弱性を突いてLinuxシステムに侵入する不正プログラム「BashLite」の感染の有無を診断するツール。感染していた場合は、すでに攻撃を受けており、早急な対処が必要だと判断できるという。

なお、トレンドマイクロでは、これらの無料ツールは、自分が所有するシステムに対するテスト用途にのみ使用することとしており、自分が所有しないシステムへの利用は禁止するとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20141007_670292.html

【Dr.WEB】Android.Locker.2.originランサムウェアに暗号化されたファイルを復元する無償のDr.Webユーティリティ

Doctor WebはAndroid.Locker.2.originランサムウェアによって暗号化されてしまったファイルを復号化するための無償のDr.Webユーティリティをリリースしました。このマルウェアはAndroidデバイスを感染させるとメモリカード上に保存された写真やドキュメント、動画、その他のファイルを暗号化し、デバイスの画面をロックして解除するために金銭を要求します。Dr.Web for Androidをご利用のユーザーは、Doctor Webテクニカルサポートまでご連絡の上、この脅威に対抗するためのユーティリティをリクエストすることが可能になりました。

5月に発見されて以来、Android.Locker.2.originはユーザーのデータを危険に晒してきました。感染したデバイス上で起動されると、このランサムウェアはメモリカード内で.jpeg、 .jpg、 .png、 .bmp、 .gif、 .pdf、 .doc、 .docx、 .txt、 .avi、 .mkv、 .3gp拡張子を持つファイルを探し、それらを暗号化してファイル名に.enc拡張子を加えます。次にデバイスの画面をロックし、解除するための金銭を要求するメッセージを表示させます。メッセージには、ユーザーによってアダルトコンテンツが配信されている旨が記載され、また、脅迫の効果を高めるために、デバイスのカメラで撮影されたユーザーの写真も加えられています。

この脅威に対する詳細な解析を行った結果、Doctor Webでは暗号化されてしまったファイルを高確率で復号化する特別なユーティリティを開発することに成功しました。これにより、ユーザーは犯罪者に対して金銭を支払う必要はなくなりました。

このユーティリティはメモリカード内で暗号化されたファイルを探し、そのうちの1つに対して復号化を試みます。成功した場合、暗号化された残りのファイルに対しても復号化を開始しますが、その前にそれらのファイルのバックアップをメモリカード上に作成したDrWebTempフォルダ内に保存します。復号化されたファイルは.enc拡張子無しで元のフォルダ内に置かれます。データの損失を防ぐため、ファイルのバックアップが保存されたDrWebTempフォルダは復号化が完了した後も削除されずに残ります。

お使いのデバイスがAndroid.Locker.2.originに感染してしまった場合、次の手順に従ってください。

  • 暗号化されてしまったファイルをご自身で復元しようとしないこと。
  • Doctor Webテクニカルサポートに連絡する(ファイルを送信する際に「修復依頼」を選択してください。このサービスを無料でご利用いただけます。)
  • トロイの木馬によって暗号化されたファイルをリクエストに添付する。
  • ウイルスアナリストからの返答をお待ちください。


この復号化サービスをご利用いただけるのは、テクニカルサポートサービスを含んだDr.Web for Android、Dr.Web Security Space、Dr.Web Anti-virusのいずれかの有償版ライセンスをご購入いただいたユーザーのみになります。

Android.Locker.2.originやAndroidを狙ったその他の脅威からお使いのモバイルデバイスを保護するため、最新のセキュリティ機能を搭載したDr.Web for Androidを是非ご購入ください。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=783&lng=ja&c=2

Apple、「bash」の脆弱性を修正するOS Xアップデートを公開

米Appleは29日、OS X向けのアップデート「OS X bash Update 1.0」を公開した。OS X Mavericks(10.9.5以降)、OS X Mountain Lion(10.8.5)、OS X Lion(10.7.5)の各バージョン向けプログラムが配布されている。

アップデートでは、UNIXベースのOSで使われているシェル「bash」に発見された脆弱性を修正する。

bashの脆弱性は幅広いOSに影響があり、OS Xにも影響があるが、Appleでは「デフォルトの設定であれば安全で、大多数のユーザーには脆弱性によるリスクはない」とするコメントを米メディア各社に寄せている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140930_669074.html

【Dr.WEB】Steamゲームのアイテムを盗む新たなトロイの木馬

現在も急成長を続けるオンラインゲーム市場は年間数十億ドルを売り上げ、高度な「仮想世界」を持つ多くのマルチプレイヤーゲームが世界各地のユーザーを惹きつけています。このような仮想世界ではプレイヤーがゲームアイテムを売買または交換する際に独自のシステムを使用することが多く、それらアイテムを実際の現金に交換することが可能なケースも見られます。Doctor Webは、ゲームプラットフォームSteamのプレイヤーからアイテムを盗む悪意のあるプログラムを発見しました。

Valve社によって運営されるゲームプラットフォームSteamでは、インターネット経由でゲームをダウンロード、アクティベートすることができ、またユーザーは、それらゲームのアップデートやその他のオンラインゲームに関するニュースを受け取ることができます。配信されるゲームアプリケーションには、Valve社によって開発されたもののみでなく、サードパーティの開発者によるものも含まれています。Steam上で提供されている多くのゲームでは、キャラクターの外見を変更するためのアイテムやプレイヤーが有利になるようなアイテムといった様々な仮想アイテムが使用され、それらの中にはSteamプラットフォーム向けの特別なサービス経由で現金と交換することが可能なものもあります。

2014年8月末、貴重なゲームアイテムが消えてしまったと訴えるユーザーからの書き込みが複数のゲームフォーラムで確認されるようになり、これらはTrojan.SteamBurglar.1としてDr.Webウイルスデータベースに追加されたトロイの木馬による被害であることが明らかになりました。このマルウェアはSteam上のチャットやフォーラムから、武器や購入可能なその他アイテムのスクリーンショットを開くよう促すメッセージと共に拡散されていました。メッセージの例として"Hello. I like your weapon. Can you swap for my knife + weapon? (Look screenshot my knife + weapon)"(「ハロー、いい武器だね。僕のナイフ+ウェポン(スクリーンショットを見てね)と交換しない?」)などがあり、スクリーンショット画像はTrojan.SteamBurglar.1によってユーザーのコンピューター上に表示されます。同時に、トロイの木馬はシステムのメモリ内でsteam.exeプロセスを探し出し、ゲームアイテムに関する情報を取得します。続けて'rare'、'immortal' 、'legendary'などのキーワードを使用して貴重なアイテムを識別してそれらを盗み、転売します。盗まれたアイテムは犯罪者の使用するSteamアカウントへ送られます。

Dr.Webウイルスデータベースには既にTrojan.SteamBurglar.1のシグネチャが追加されています。そのためDoctor Webアンチウイルスによって保護されたコンピューターに危害が及ぶことはありませんが、ゲームアイテムを売買するプレイヤーは、例えそれが数十ドルを払って魔法の剣を手に入れるだけであっても、未知の相手からの提案には十分に注意するようにしてください。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=779&lng=ja&c=2

【フィッシング対策協議会】三菱東京UFJ銀行をかたるフィッシング

三菱東京UFJ銀行をかたるフィッシングメールが出回っています。

■メールの件名
本人認証サービス

■詳細内容
1. 2014/09/19 14:30 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので引き続きご注意ください。

2. このようなフィッシングサイトにてアカウント情報 (ご契約番号、IB ログインパスワードなど) を絶対に入力しないように注意してください。

3. 誤ってアカウント情報を入力した場合には、三菱東京 UFJ 銀行の 「パスワードを入力してしまった」 「身に覚えのない出金があった」 などの緊急連絡先 (インターネットバンキング不正利用ご相談ダイヤル:0120-111-082) にお問い合わせください。
4. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

■サイトのURL
http://bk.mufg.jp.cff.●●●●.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/ufj20140919.html

【Dr.WEB】感染させたAndroidデバイス上でロック解除パスワードを設定する新たなランサムウェア

Androidを標的とするランサムウェアの増加傾向から、現在この方法は不正な利益を得るための手段として犯罪者の注目を集めていることが分かります。この種のプログラムのほとんどは、起動されると感染したデバイスをロックし、解除するために金銭を要求するという共通した動作が特徴です。しかしながら、今回Doctor Webによって発見された脅迫型トロイの木馬はデバイスをロックした上で金銭を要求するほか、OSの標準機能をアクティベートすることによってスクリーンのロック解除パスワードを設定する機能をも備えていました。さらに、このマルウェアはSMSを送信することができ、被害者に金銭的損害を与える可能性があります。

Android.Locker.38.originとしてDr.Webウイルスデータベースに追加されたこのマルウェアは、デバイスをロックした上でそれらを解除するための金銭を要求する、既に広く拡散されているランサムウェアファミリーに属するものでした。この脅迫型トロイの木馬はシステムアップデートを装って拡散され、起動されるとデバイスの管理者機能へのアクセス権を要求します。続けて、アップデートのインストールプロセスを模倣し、自身のアイコンをホームスクリーンから削除して感染が完了したことをリモートサーバーに報告し、その後の指示を待ちます。

デバイスをロックするためのコマンドはwebサーバーからのJSON要求として、またはset_lockコマンドを含んだSMS経由で送られます。Android.Lockerファミリーに属するその他のランサムウェア同様、Android.Locker.38.originもまたデバイスのスクリーンをロックし、金銭を要求するメッセージを表示させます。多くの場合、このメッセージは閉じることができません。

例えユーザーが管理者権限を剥奪することでAndroid.Locker.38.originを削除しようと試みた場合であっても、このトロイの木馬はさらに別の方法でロックを実行する機能を備えています。このことが、その他の同種の脅威からAndroid.Locker.38.originを際立たせる特徴となっています。

このトロイの木馬はOSの標準機能を使用してスクリーンをブロックし、デバイスをスタンバイモードにします。スクリーンのロックが解除されると、デバイスのメモリ内に保存されているデータが全て削除されることを示す偽の警告が表示されます。

選択されたアクションが確定されると、ランサムウェアは再度ロック画面を表示させ、ユーザーがスタンバイモードをトグルオフしようと試みた際にパスワード入力を要求する機能をアクティベートさせます。パスワードは常に「12345」の数字から成る組み合わせで設定されています。そのため、犯罪者が要求した金額を手に入れるまで(ロックはset_unlockコマンドによって解除されます)、またはユーザーがデバイスの設定をすべてデフォルトにリセットするまでスマートフォンやタブレットのロックが解除されることはありません。

また、デバイスをロックするほか、Android.Locker.38.originはSMSボットとしても動作することができます。犯罪者のコマンドに従って様々なメッセージを送信することで、ユーザーにさらなる金銭的被害を与える可能性があります。

Dr.Web Anti-virus for Androidによって保護されているデバイスは、この悪意のあるプログラムによる危害を受けることはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=777&lng=ja&c=2

【Dr.WEB】新しくなったDr.Web 10.0 for Mac OS Xで安全なインターネットアクセスを!

Doctor Webは、Dr.Web for Mac OS Xのバージョン10をリリースしました。Dr.Web 10.0 for Mac OS Xには新たなコンポーネントとして、HTTPトラフィックをスキャンしインターネットアクセスをコントロールするHTTPモニターであるDr.Web SpIDer Gate が加わりました。その他、複数のアップグレードが追加されました。

Dr.Web for Mac OS X に含まれるDr.Web SpIDer Gateは、すべてのポート上のトラフィックをリアルタイムでスキャンし、フィッシングサイトやその他の危険なサイトからユーザーを保護します。また、すべてのHTTP通信を監視します。これにより、ユーザーがMac上にマルウェアをダウンロードしてしまった際にも保護を提供することが可能です。さらに、Dr.Web SpIDer Gateは推奨されないサイトのブラックリストに基づいてインターネットアクセスを制限することもできます。

その他の新たな機能:

  • インストールされている、互換性のないソフトウェアを自動的に検出します。
  • スキャン中のシステムリソース消費が最適化されました。
  • 韓国語、トルコ語、チェコ語、ポルトガル語に対応するようになりました。


現在、Macに対する保護は緊急を要する課題となっています。Mac OS Xを狙った脅威の存在は今や現実のものであり、それらの脅威はAppleユーザーに対して時に大きな損害を与えています。

012年、Backdoor.Flashback.39によって感染した80万台を超えるMacから成る史上最大規模のボットネットが出現しました。このボットネットは現在も活動を続けており、13,000台のホストが含まれています。 Backdoor.Flashback.39は別の実行ファイルをインターネットからダウンロードし、感染したシステム上で実行する機能を備えています。

014年の2月には、新たなトロイの木馬Trojan.CoinThiefがDr.Webウイルスデータベースに追加されました。このマルウェアはMac OS Xを搭載したコンピューターから仮想通貨BitcoinおよびLitecoinを盗むよう設計されています。また、ポピュラーなブラウザで開いたwebページ上に迷惑な広告が定期的に表示される、という苦情がユーザーから寄せられています。

Dr.Web for Mac OS XはDr.Web Desktop Security SuiteおよびDr.Web Server Security Suiteのライセンスに含まれています。

バージョン10.0にアップグレードするには、新しいディストリビューションをダウンロードする必要があります。

製品を購入されたユーザーはDr.Web for Android、Symbian OS、Windows Mobileを無料でご利用いただけます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=773&lng=ja&c=2

【フィッシング対策協議会】Club NTT-Westをかたるフィッシング

Club NTT-Westをかたるフィッシングの報告を受けています。

1. 2014/09/05 16:00 現在フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される恐れもありますので注意してください。

2. このようなフィッシングサイトにてご契約回線名義、郵便番号や回線IDなどの情報を入力しないように注意してください。

3. 類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡ください。

サイトのURL
http://clube-●●●●.com/cn-w/entryLogin/

【ニュースソース】フィッシング対策協議会
http://www.antiphishing.jp/news/alert/clubnttwest20140905.html