2009年3月26日木曜日

自身をマルウェアに感染させるための「How To」ビデオ


以前私たちは、サイバー犯罪者達がマルウェアに乗っ取られたWebサイトに犠牲者を誘導するためにYouTubeの Video Annotationsの機能を使っていることについて話しました。今日はYouTubeや他のソーシャルメディアサイトで使われている別の手法についてお話します。

マルウェアの配布者達は、自ら進んでマルウェアWebサイトを訪れ自身のコンピュータを感染させてしまう犠牲者を獲得するための、説明調の「How to」もののビデオを作成しています。 

犠牲者がサイトを訪れるとすぐに、偽のソフトウェアAdware/SystemSecurityのインストールへ誘導されます。

これらのタイプの詐欺を回避する一番良い方法は、あなたのコンピュータにその製品をインストールする前にそれを調査することです。時には、単純なGoogle検索をするだけで、あなたは修復にかかる数百ドルものコストを節約することができるのです。 

Blackhat SEOを使った偽セキュリティキャンペーン

Posted by Oscar Cavada

私たちは、また別のBlackhat SEOキャンペーンが Pandora Softwareからの偽アンチマルウェア製品の配布の促進に使われているのを観測しました。

Blackhat SEOは、犯罪者達が、サーチエンジンをだまして正規のサイトより上位に彼らのコンテンツを表示させるために使われる手法です。詳しくはこちら

(ハイジャックされた検索の1例)

リンクにアクセスすると、犠牲者を偽のアンチマルウェアサイトへリダイレクトし、悪意あるソフトウェアのダウンロードおよびインストールをユーザーに促します。


ハイジャックされた検索用語のサンプル[全てのリスト]

Cinderella Full Story In Script
Swollen Throat Rash Chest Pains Symptoms
Body Aches All Over And Extreme Fatigue
Candy Bar In Illustrator
Humerous Marriage Definitions
Art Ideas For Babies
Possesive Worksheet
Free Online Scan Malware
Proxy Which Allows Java
Cd Key Do X Blades
Swollen Lymph Nodes And Dry Cough
How To Write Law In Graffiti
Index Of Best Songs
Keys Of Digi Tv
Free Space Crafts For Preschoolers
Execution Of Women Video
Labeled Diagram Of A Foot
Facebook Skins Free
Ear Infections And Sore Muscles

----
This post has been written by Sean-Paul Correll.

2009年3月18日水曜日

Panda USB 用AutoRunワクチン



Microsoft Windowsオペレーティングシステムは、USBドライブやCD/DVDのような新しい外部記憶媒体装置がPCに挿入された際にる時、どのような動作を行うべきかを理解把握するため、リムーバブルドライブ上のからAUTORUN.INFを使用します。

AUTORUN.INFファイルは、通常リムーバブルメディアのルートディレクトリに位置し、コンテンツや、リムーバブルドライブやサイズやコンテンツのリムーバブルドライブやそのボリュームに記述に関連付けて表示されるアイコンへの参照情報、コンテンツの詳細に関する記述を含むのに加え、ユニットがマウントされた取り付けられた時に自動で実行すべきプログラムの定義づけも可能なコンフィグレーションファイルです。


セキュリティコミュニティから広く非常に批判を受けているこの機能の問題は、コンピュータに新しいドライブが挿入されるとすぐ感染することによって拡散するマルウェアに使われてしまうことです。

マルウェアは、ドライブ内にで悪意のある実行ファイルをコピーしAUTORUN.INFファイルを書き換えることでこれを達成し、Windowsは、ドライブがマウント取り付けられると即座にすぐに、ただしそして静かに悪意あるファイルを開くのです。直近最近の例では、W32/Sality、W32/Virutas、さらに、脆弱性の悪用やネットワークシェア、USBドライブをも介して拡散する W32/Confickerワームがあります。
Microsoft AutoRunに起因したマルウェア関連の問題の数が非常に多いため、私たちは”Panda USBワクチン”というユーザーコミュニティのための無料ユーティリティを作成しました。
使い方や詳細はこちらをご覧ください。


※最新情報はこちら: Panda Research Blog(英文)

2009年3月16日月曜日

2008年、世界中で1000万人以上が、アクティブなID詐欺の被害に

- PandaLabsの調査は、ID詐欺マルウェアの憂慮すべき世界的な感染率を明らかにした

- ID詐欺マルウェアに感染したPCは、2008年においてQ2からQ4にかけて800%増加した


Panda Security は、企業のマルウェア分析と検知の研究所であるPandaLabs によって行われたID 詐欺マルウェアに関する包括的な調査結果を発表しました。

2008 年における6,700 万台のコンピュータの分析に基づき、PandaLabs は世界のインターネット人口の1.1%がID 詐欺マルウェアの活動にさらされていたことを明らかにしました。

Panda Security のオンラインマルウェアスキャニングサービスであるActiveScan から推測した結果、昨年世界中で1,000 万人以上のユーザーがアクティブなID 詐欺ベースのマルウェアに感染していたことがわかりました。(1)

民間調査機関の最近のある研究発表によると、米国での1 件あたりのID 詐欺事件の平均被害金額は496 ドルであり、マルウェアからのID 詐欺のリスクの総額は、米国だけで合計15 億ドルと推測しています。(2)

下記はオンラインID 詐欺の進化に関するPandaLab の主な調査結果のハイライトです:

・ 2008 年1 年間にスキャンされた全PC の1.07%は、Banker Trojans のようなID 詐欺関連のアクティブなマルウェア(スキャン中メモリ上に常駐しているもの)に感染していた

・ 感染していたPC の35%は、最新のアンチウイルスソフトがインストールされていた

・ ID 詐欺関連のマルウェアに感染したPC の数は、2008 年上半期と比較し下半期は800%の増加となった

・ PandaLabs は過去14 ヶ月の傾向に基づき、2009 年を通して感染率が1ヶ月あたり更に336%増加すると予測している

アクティブなマルウェアとは、PC のメモリ上にロードされ、プロセスとして実際に動作しているマルウェアを意味します。例えば、オンラインサービス(ショッピング、ネットバンク、ソーシャルネットワーキングなど)を利用する種類のID 詐欺マルウェアに感染したPC のユーザーは、何らかの方法で既に個人情報を盗まれています。米連邦取引委員会(Federal Trade Commission : FTC)によると、ID 詐欺の被害者が問題解決に費やす平均時間は30 時間です。(3 )
Panda Security の予測した感染率に基づくと、ID 詐欺関連のマルウェアだけで、費やされる累積の時間は9,000 万時間に及ぶと見積もられます。

この調査は、この種類のマルウェアに感染していたPC の35%が最新版のアンチウイルスソフトを使用していたという驚くべき結果を明らかにしました。

アンチウイルスラボは、毎日大量のマルウェアサンプルを受け取っており(PandaLabs においては1 日あたりの新サンプルの数は30,000 個)、アンチウイルスベンダーは、毎日現れる圧倒的なボリュームに対応するために、絶えず自社のサービスのアップデートを行っています。PandaLabs のようなアンチウイルス検知のラボは、自動検出および分類能力において進歩を遂げています。これら監視の改善やクラウドベースの検出技術のような新しい検出方法は、個人ID 盗難のインシデントのリスクやそれに関連するコストを軽減しました。グローバルに活動しているいくつかの銀行では、特にブラジルにおいて、電子トークンやバーチャルキーボードを使ったバンキング認証を変更するなどの対策を行いましたが、米国においてはこれらの取り組みが採用されるのが遅かったのです。

「この特定の種類のサイバー犯罪の背後にある巨大なビジネスに煽られ、この悪質なID 詐欺マルウェアは、2009 年において毎月336%増加すると予測しています。」とPandaLabs のテクニカルディレクターであるLuis Corrons 氏は述べています。「我々はID 詐欺マルウェアの危険を認識し、時間とお金の両面における深刻な潜在的損失から自分自身を保護しなければなりません。」


2008 年1 月から2009 年2 月におけるこの増加や、ID 詐欺とBanker Trojan に感染したPC の相関関係をご覧頂けます(増加率についてのPandaLabs の今年の予測も含む): http://farm4.static.flickr.com/3561/3340793945_1782d9fb0e_m.jpg

Banker Trojan は、銀行や彼らの顧客からユーザーのアカウント情報を盗むために特別に作成されたマルウェアです。Trojan は、精巧さを増しており、彼らがインターネット経由で攻撃できる銀行のリストを、今すぐ簡単にアップデートして拡大することができるようになっています。PandaLabs によると、ユーザーのシステムに侵入するために最も広まっているBanker Trojans のトップファミリーは以下の通りです:

Trj/Cimuz
Trj/Sinowal
Trj/Bankolimb
Trj/Torpig
Trj/Goldun
Trj/Dumador
Trj/Spyforms
Trj/Bandiv
Trj/SilentBanker
Trj/PowerGrabber
Trj/Bankpatch
Trj/Briz
Trj/Snatch
Trj/Nuklus
Trj/Banker

これらのBanker Trojan の最も多い発信国は、中国とロシアで、韓国とブラジルからのこれらの脅威の発信も増加しています。

Banker Trojans の発信国に関するチャートはこちら: http://farm4.static.flickr.com/3565/3341624488_c393093820_m.jpg


Banker Trojan 以外のTrojan などその他の一般的なID 詐欺マルウェアは、個人情報同様に、チャット、ゲームやアプリケーションからユーザー名やパスワードを盗むものです。Banker Trojan 以外の最も一般的な種類のID 詐欺マルウェアは以下の通りです:

Trj/Lineage
W32/Lineage.worm
Trj/Legmir
Trj/Wow
W32/Wow.worm
Trj/MSNPassword
Trj/PassStealer
Trj/QQPass

Trojan に関する更に詳しい情報は、最新のPandaLabs ブログの記事をご覧下さいhttp://pandalabs.pandasecurity.com/archive/Bank-details-uncovered.aspx


----

(1) 2008 年における北米および世界のインターネットユーザー人口の推測に基づく数値: 世界の10 億人のユーザーおよび北米222,141,961 人、ADSL 普及率76%を基に計算された。出典: http://www.internetworldstats.com

(2) 2009 年ID 盗難調査報告: (2009 Identity Fraud Survey Report: Identity Fraud on the Rise But Consumer Costs Plummet as ProtectionsIncrease) http://www.javelinstrategy.com/

2009年3月10日火曜日

Twitterのスパマーを見つける方法

これは本物のTwitterアカウントとスパマーのアカウントを区別するためのビジュアルテストです。

それはとても簡単。
アカウントが最近作られていて既に多くをフォローしているのに対しフォローされているのがわずかだったり、ユーザー名がナンセンス(例えばランダムな文字の組み合わせ)なもの、WebセクションにTinyurl(URLを短くするサービス)のようなサービスのURLがある、などはほとんど確実にスパマーです。
そのほか、かなりセクシーで衝撃的な女性の写真が表示されていたら(なぜか男性の写真はほとんど使われません。女性がトラップに落ちるようなことが少ないからでしょうか?)、それがスパマーだということが確実です。

ここに二つのスパマーのTwitterアカウントの例があります:











私たちは最近Twitterにおけるスパムのいくつかの例を発見しました、それらはほとんど全く同じ自己紹介で更にはメッセージも同じというケースでした。これは典型的なスパミングのテクニックがTwitterに応用されていることを意味します。

2009年3月7日土曜日

Spotifyの穴


Spotifyは、オンラインで音楽を聴くためのアプリケーションです。

このアプリケーションが真新しいからといって、まだ攻撃されないという訳にはいきません。事実、彼らは初めてのいじめに苦しんでいます。先週、攻撃者のグループが彼らのプロトコルをクラッキングして情報にアクセスし、クライアントのパスワードを取得するために、emailアドレス、誕生日、郵便番号などを使いました。こういったデータは、私たちは通常どんなWebサイトでも要求されます。

コンピュータセキュリティベンダーの推奨にもかかわらず、このようなデータはユーザーが通常パスワードを作るのに用いられます。パスワードはだいたい、誕生日+郵便番号、emailアドレス+誕生日、もしくは単に誕生日だったりします。更に悪いことには、emailアカウントやアプリケーション、実際のオンラインバンキングへのアクセスするためのユニークパスワードでさえも。これは、もし何かひとつを失ったら全てを失うことを意味します。

注意をすることは、脅威に立ち向かうためのベストプラクティスなのです。

2009年3月6日金曜日

マルウェアWebサイトのメタタグ:2

昨日私たちは、マルウェアをホストしているサイトの作成者達が、サーチロボットに見つからないようにサイトへどのようなメタタグを追加するかについてお話しました。
今日は、私たちはまったく正反対なケースをお話します。たとえば次のURLを見てみましょう: http://malwa<'blocked>.com

このWebサイトのソースコードでは、以下のタグを見つけることができます。

・ FOLLOW属性は、Webサイトに含まれるリンクが、サーチエンジンに辿られることを許可するタグです。


・ALL属性は、サーチエンジンが、全てのファイルに完全にインデックスを付け収集することを許可するタグです。

・INDEX属性は、サーチエンジンが、Webサイトにインデックスを付け収集することを許可するタグです。

一般的に、この種類のWebサイトの作成者は、マルウェアを広く素早く拡散させたがります。これは、彼らがサイトにメタタグを追加するかしないかを決定する理由です。インデックスロボットが、インデックスを付けたり、リンクを辿りやすくするからです。これによって、ユーザーがサーチエンジンでクエリを作る(検索をかける)と、悪意のあるWebサイトにアクセスし易くなり、結果としてユーザーのコンピュータが犯罪者達のサイトでホスティングされたマルウェアに感染してしまうことになります。

2009年3月5日木曜日

マルウェアWebサイトのメタタグ

インデクシングロボットという、Webサイトを巡回・追跡し、それらのコンテンツをデータベースに格納し、他のWebサイトへのリンクを辿って行く自動プログラムがあります。偽のアンチマルウェア作成者は、普通は彼らのWebサイトのコードにタグを追加しないか、あるいはWebサイトがこのようなサーチロボットによってインデックスを付けられるように追加します。これによって、それらのサイトはよりアクセスされ易くなり、幅広くマルウェアを拡散できるようになります。しかし最近、私たちは全く正反対の方法を証明するケースを発見しました。サイトが気付かれずに済むようにタグが追加されていたのです。

例として以下のURLを挙げましょう: 「http://<'blocked>akedpics.blogspot.com 」

ビデオを見るためにこれをクリックすると、私たちは以下のURLにリダイレクトされ、
http://<'blocked>pomp.com/index.php?q=Adrienne-Bailon-Naked-Pics
さらにhttp://crack-<'blocked>.com (*) に、
最後にhttp://fast<'blocked>.com/xplays.php?id=40004へリダイレクトされ、
”Adware/MSAntiSpyware2009”として検出されたviewtubesoftware.40004.exeをダウンロードすることになります。

(*) このURLは、場合によって、私たちを異なるマルウェアホスティングサイトへランダムにリダイレクトします。


このURLのコードを見ると 、
http://fast<'blocked>.com/xplays.php?id=40004、
以下のタグを見つけることができます:

1.'noindexタグを記述すると、サーチエンジンはWebサイトにインデックスを付けることができなくなります(検索結果に出なくなる)。

2.'nofollowタグを記述すると、サーチエンジンはページ内のリンクをスキャンしなくなります。

3.'noarchiveタグを記述すると、Webサイトがデータベースに保管されるのを妨げます。

このようなテクニックは、マルウェアアナリストやアンチウイルスベンダーの仕事をより難しくすることを目的にしているように見えます。それらは、サーチエンジンにおいて特別なパラメータのクエリを作成することで動作するURLブロッキングのようなテクニックによって感染を防ぐというプロアクティブな防御を妨げるのに使われているのです。

2009年3月4日水曜日

我々はマルウェアの急増に対応できるのか?

最近、私たちはBanker Trojansの急増に関する最新のレポートを発表しました。昨今、膨大な数のマルウェアがWeb上に流通していますが、それらのほとんどが金銭または個人情報を不正入手することに関連した脅威でした。レポートはこちら

流通しているマルウェアの数は、過去数年間にわたって指数関数的に急増しています。2007年には、私たちは過去17年間に受け取った総数を超える数のマルウェアサンプルをたった1年間で受け取りました。2008年は、7~8百万のマルウェアを受取るだろうと私たちは予測していましたが、実際には最終的に15百万以上に達しました。

サンプルの爆発的増加について完全に理解するためには、あなたはまず、この新しく、そしてますます複雑化しているマルウェアの特性について理解する必要があります。
おそらく既にご存じのとおり、私たちはもう、何千台ものコンピュータを感染させることで評判を得ることを目的としたウイルス作成者達によって引き起こされる大規模型感染を目の当たりにすることはめったにありません。
そのかわり、今日のマルウェア作成者達は、金銭の獲得にのみ焦点を絞っています。サイバー犯罪者達の最近のゴールは、自分たちの製作物から最大限の利益を獲得することなのです。

これが、昨年1年間を通じて見られたマルウェアの種類の進化です。

2009年2月にPandaLabsが受け取ったマルウェアの種類


PandaLabsブログで私たちが何回か発表したとおり、今日、この種のサイバー犯罪の背後には、巨大な非合法のビジネスが存在しており、犯罪組織は個人情報やデータの窃盗から多くの収益を生み出しています。

雪崩のように押し寄せるこれらのマルウェアと、私たちがどうやって戦うことができたかについて、皆様にもそのほんの一部を垣間見ていただき、情報を共有したいと思います。

以前業界で使われていたモデルは、研究に関わる技術者がラボで受け取ったマルウェアサンプルを手動で検査していたため、時が経過するにつれて、明らかに維持できなくなってきていました。
マルウェアの数が増加していく割合を前にして、

「私たちはどうやってクライアントのニーズに応えることができるだろうか?」
「対応にどれくらいの時間を要するだろうか?」
「クライアントを保護し続けることが本当にできるだろうか?」
「これからたった数年の間に、これら全てのマルウェアサンプルを分析する技術者がいったい何人必要になるのだろうか?」

といった疑問が生じました。

2006年、私たちは他社と同じように働き続けるのを止めることに決め、私たちが”コレクティブインテリジェンス”と呼んでいる手法の実行を開始しました。

私は、これについて過度に技術的詳細を説明する方向へは行きたくありませんが(これについて本当に興味をお持ちの方は、我々が2008年前半に発表したホワイトペーパーをダウンロードできます: こちら。)、私たちが基本として行ったのは、マルウェアを自動的に検出して分類し、修正するためのシステムを開発することでした。この取り組みは、全プロセスが”クラウド”で行われることによって、ユーザーのシステム上では最小限の負荷で完全にリアルタイムな保護を提供するものです。そしてその2年後の今日、私たちは自社の製品へのこのテクノロジーの搭載を始めました。

- 私たちは、17百万以上のマルウェアを分類していた。
- 私たちは、1日におよそ25,000種類のマルウェアサンプルを受け取っている。コレクティブインテリジェンスによって、私たちはそれらの99.37%について自動で分析/分類することが可能になった。
- 私たちの現在のレスポンスタイムは、2年前と比べ30分の1に短縮された。

現在、多くの企業が”クラウドコンピューティング”について語り始めていますが、2年以上前から私たちがこのテクノロジーを実行していたというのは驚くべきことです。将来、流通するマルウェアの数が増加し続けていくことが明らかな中、そのコンセプトが既に立証されているコレクティブインテリジェンスのスケーラビリティのおかげで、私たちが新しいマルウェアの動向に立ち向かっていくことを可能にします。

さらに、プロセスのほとんどを”クラウド”で行なうため、我々のソリューションが、クライアントのコンピュータに負荷をかけずに、新種のマルウェアを即座に検出してクライアントを守ることができる、ということも、私たちがこのテクノロジーを開発する上での重要な目的のひとつでした。

最後になりますが、私たちはセキュリティベンダーとして、ユーザーに提供しなければならないこれらの技術的な対応とはまた別に、こういった犯罪活動を報告し、公共機関を支援したり、世間一般の認識を高めることによって、ラボで日々受け取っているマルウェア達の背後に存在するものを止めることに手を尽くさなければならないと思います。

けれども、これはまた別の記事で。

2009年3月2日月曜日

偽のCodec - 違いを見つけてみよう

2月末に、私たちはかなりの数の悪質な偽のCodecを受け取りました。そのため私たちは、以下のイメージの違いを見つけるというちょっとしたゲームを提案します:
http://pandalabs.pandasecurity.com/blogs/images/PandaLabs/2009/02/27/fakecodecs.gif
















これらの全ての亜種はAdware/VideoPlayとして検出されています。これらの振る舞いは似通っており、プログラムをインストールすると、通常matrix(ランダムな数字).exeまたは、bootmatrix.exeという名前ファイルが実行されます。このファイルはリムーバブルドライブに自身のコピーを作成し、さらに、それらがアクセスされた際に自動的にに実行されるためのautorun.infを作成したりすることによって感染を拡げます。

このファイルは、cookieやパスワード、プロファイル、emailアカウントなどのようなブラウザに格納されたデータを収集して、指定されたリモートアドレスに接続してこれらの情報を送信します。
この2月中にわれわれの受信ボックスが受け取ったマルウェアサンプルの数は、前月と比較しておよそ400%増加しました。

このひどいマルウェアの一種は、DiggYouTubeを使って配布されていたものと同じようなものです。