2010年4月28日水曜日

マルウェアはどの言語を話せる?

Posted by Olaiz


マルウェアは普通、影響を受けたコンピュータやユーザーと"コミュニケーション"を取るために英語を使います。人々が他の国の人々とコミュニケーションを取る時と同じように。

もちろん例外もあります。例えばブラジルの銀行のユーザーだけに影響を及ぼすBanbraファミリーに属するトロイの木馬のように、マルウェアが特定の国に影響を及ぼすために作られているような場合もあるからです。(この場合はポルトガル語ですね)

そして、更には MSNWorm.IE として検出されるメッセンジャーワームのケースのように、相手に合わせて多言語を使い分けるマルウェアのケースも見られます。

このワームは、写真を見させようとするインスタントメッセージを送り、ワームがダウンロードされるリンクを含んでいます。

以下は、このワームが、影響を受けたコンピュータのOSの言語に合わせて"話す"ことができる異なる言語です。

  • English: seen this??
  •        look at this picture
  • Spanish: mira esta fotografia
  • Portuguese: olhar para esta foto
  • French: regardez cette photo
  • German: schau mal das foto an
  • Italian: guardare quest’immagine
  • Dutch: bekijk deze foto
  • Sweedish: titta pσ min bild
  • Danish: ser pσ dette billede
  • Norwegian: se pσ dette bildet
  • Finish: katso tΣtΣ kuvaa
  • Slovenian: poglej to fotografijo
  • Slovak: pozrite sa na tto fotografiu
  • Chzech: podφvejte se na mou fotku
  • Polish: spojrzec na to zdjecie
  • Romanian: uita-te la aceasta fotografie
  • Hungarian: nΘzd meg a kΘpet
  • Turkish: bu resmi bakmak

意図している目的はただひとつ、より多くのユーザーに到達することで、この手法によって幅広く配布することを確実にしています。

語学を勉強することは役に立たないと言ったのは誰でしたっけ?

マルウェア(の作者)にとっても、日本語や中国語、韓国語はやっぱり難しいようですね....

2010年4月23日金曜日

アンチウイルスの誤検知が偽アンチウイルスを配布するために使われるという皮肉

Posted by Olaiz


どんな言い訳でもマルウェアを配布するためには良い言い訳です...。これはサイバー犯罪者が考えるかもしれないことです。BlackHat SEO攻撃を行うためにMcAfeeの誤検知問題を使ったように。

実際に、もしあなたが以下のグループのキーワードのいずれかを検索に使ったら、多分驚くでしょう。

  • Mcafee Update
  • Mcafee Virus
  • Mcafee 5958
  • Mcafee Virus Scan Free Download
  • Mcafee Virus Protection Free Download
  • Mcafee Virus Library
  • Mcafee Virus Scan Enterprise
  • Mcafee Virus Definition
  • Mcafee Virus Database
  • Mcafee Virus Removal
  • Mcafee Virus Scan Plus
  • Mcafee Virus List
  • Svchost.exe Virus
  • W32 Wecorl.a McAfee

表示された結果は、Adware/CleanUpAntivirus として検出される偽アンチウイルスがダウンロードされるWebサイトへリダイレクトします。

多くのユーザーがこの問題によって影響を受けており、彼らは解決策を探すためにおそらく検索エンジンを使います。というわけで、サイバー犯罪者達はこれを利用しています。

この問題をどのように解決するのか知りたがっている影響を受けた全ユーザーに、少なくとも当面の間は、直接McAfeeのWebサイトにアクセスすることと、検索エンジンを使って情報を探さないことをおすすめします。

Macはアイスランドの火山灰に影響されない

Posted by Luis Corrons



アイスランドの火山噴火とヨーロッパにおける航空網の混乱を利用したBlackHat SEO攻撃について、Asier Martinez と私がいくつか発見したことを共有したいと思います。
先日書いたように、もし検索結果に表示された悪意あるリンクのひとつをクリックすると、あなたは偽アンチウイルスソフトサイトに誘導されます。
しかし、あなたのブラウザは本当は何をしているのでしょう?これはあなたのブラウザが実行するスクリプトです。

ご覧のとおり、これは初めにあなたがMacを使っているかどうかをチェックしています。もし使っている場合は、ムービーサイトへリダイレクトされます。もちろんリンク元の参照があるので彼らは若干の追加収入を得ることができます。また一方で、あなたがFirefoxかChromeまたはその他のブラウザを使っているかどうかをチェックします。
この場合における全てのリダイレクションが、先日のブログ記事のような偽アンチウイルスサイトに誘導するにあたっても、犠牲者のシステムに従って異なる脆弱性を利用するために使うことができます。もしあなたがWindowsやLinuxを使っているなら、偽アンチウイルスを入手してしまうでしょう。けれどもMacでは、ムービーを買うことができました...

なぜこのページは検索結果のトップに表示されるのでしょう?
検索エンジンは、トップのポジションを決定するために異なる方法を使い、サイバー犯罪者達はこれらのシステムを悪用しようとします。
次のあなたの心に浮かぶ次の疑問は、「では、GoogleやYahoo、Microsoftは、Webページが偽アンチウイルスに使われていることがわからないほどバカなのか?」
いや、彼らにはできるのです。そしてわかるとすぐに悪意あるページとしてブロックやマークをしようとしますが、彼らは最初の瞬間にはその問題を認識できません。それには正当な理由があります。例えばGoogleロボットがいつ犯罪者達のページにアクセスするかを犯罪者達はわかっています。その場合に、彼らは偽アンチウイルスや他のどのマルウェアをも配布しないWebサイトを表示します。

実際に、もしあなたがブラウザで悪意あるURLを入力しても、あなたは偽アンチウイルスのサイトに辿り着きません。これは大したニュースではなく、ユーザーがGoogleを使って表示された結果を何でもクリックするということを知っていて、犯罪者達は通常このようにしているのです。
どのようなWebサイトが検索エンジンにインデックスを付けているのでしょうか?さて、以下に私が先日書いた内容のスクリーンショットをご覧頂けます。



これらのWebサイトはどのように作られたのでしょうか?それは、全く同じ検索エンジンから得られる情報を使って自動的に作られています。

2010年4月20日火曜日

火山と灰とマルウェア

Posted on 04/19/10 by Luis Corrons


アイスランドの火山、エイヤフィヤトラヨークトル(Eyjafjallajokull)の噴火が航空網の混乱を引き起こした時、私は同僚のことを思い出しました。彼らはセキュリティイベント"BlackHat Europe"のためにバルセロナにいました(火山の「おかげ」で彼らの多くはまだそこにいますが...)。

さて一方で、私たちが毎日見ている検索エンジンを使った典型的な攻撃について考えました。けれども私は今回ある賭けをしました。「火山の名前を使ったSEO攻撃は無いに賭ける」
今のところ思った通りで、誰も火山の正確な名前を知らないように見えます。私がこの記事を書いている間、簡単に探したところ、4つのメディアで4つの異なる名前を確認しました。

  • Eyjafjoll
  • Eyjafjallajokull
  • Eyjafjalla
  • Eyjafjallajokull

そしてこれは、その名前を検索した時の悪意あるリンクの結果です。

  • Eyjafjoll - 1件
  • Eyjafjallajokull - 0件
  • Eyjafjalla - 0件
  • Eyjafjallajokull - 0件

だいたい私が合っていたようです。少なくとも一番目と二番目の名前については合っています。(一番目が間違った名前で二番目が正しい名前)

とにかく、このニュースに関連したワードを検索する時、多くの悪意ある検索結果が出てくることに煩わされずに済んでいると思いませんか?

今回の攻撃においてサイバー犯罪者達に使われるワードは、今のところ以下の通りです。(英語の場合)

  • Iceland Volcano News
  • Iceland Volcano Images
  • Iceland Volcano Eruption
  • Iceland Volcano Video
  • Icelandic Volcano
  • Iceland Volcano Satellite Image
  • Iceland Volcano 2010
  • Volcano in Iceland
  • South Iceland Volcano 2010
  • Volcano 2010
  (Volcano=火山)

これらのリンクをどれでもクリックすると、コンピュータにインストールさせようとする異なる偽アンチウイルス(rogueware)から、それぞれ異なるWebサイトにリダイレクトされます。



2010年4月9日金曜日

1,980円のカード型パッケージ版限定発売開始しました

カード型パッケージの Panda Internet Security 2010 (1年3ライセンス版)を限定販売開始しました。

  • 1年間3台までご利用可能な個人ユーザー向け統合セキュリティ製品(定価7,995円)を75%OFFの1,980円(税込)で限定販売

  • クリアファイルにもなるPandaオリジナルのクリアバッグ付きも

【ラインナップ】
  • 限定版カード型 Panda Internet Security 2010 1年3ライセンス 【オリジナルクリアバッグ(1枚)付きセット】: 1,980円
  • 限定版カード型 Panda Internet Security 2010 1年3ライセンス: 1,980円
  • Panda Security オリジナル クリアバッグ型クリアファイル 3枚入り: 480円

詳細はこちら