今度はAppleのiPadを使った誘導

Posted on 01/28/10 by Olaiz

数日前に我々が、Google Nexus Oneやハイチ大震災がマルウェアの配布にどのように使われていたかという問題について、似たような記事を書いたので、この記事はみなさんにはおそらく馴染みがあるのではないでしょうか。
我々はもう一度、今度はApple社製の新しいデバイス、iPadを使った新しいBlackHat SEO攻撃に対して警告しなければなりません。

もしあなたが、Googleでこの新しいデバイスに関するある情報を探すなら、偽アンチウイルスがダウンロードされる悪意あるWebサイトに誘導する検索結果を見つけるでしょう。（現在のところ英語サイトの場合に限られますが）

下記のイメージに表示された結果は悪意あるWebサイトに属しており、あなたは検索結果の最初のページにこれらを見つけることができるでしょう。

地獄からの天使、というよりマルウェアの天使・・・

Posted on 01/27/10 by José Julio Ruiz de Loizaga

最近我々は、古典的な目的を持った新しいワームに遭遇しました。それは、W32/Mseus.Aとして、二つのお友達W32/Mseus.A.worm 、Rootkit/Mseus.Bと一緒にかわいらしい集団として検出されました。

非常に興味深いのは、それがどのようなソーシャルエンジニアリングを使ってユーザーをだまそうとしているかです。今回のものは、MENSA(高いIQを持つ人の団体)のメンバーとして認定されるかどうかのチェックで、ユーザーの自尊心に訴えかけます。

マルウェアが動作すると、異なるファイルをコンピュータにドロップします。そのひとつはIQテストで、それが動作すると次のようなスクリーンを表示し、このテストの目的、Mensaとは何か、この組織についての詳細情報を私達に説明します（チェコ語です）。


あなたがこのテストで素晴らしい結果を達成しても、その喜びは、どんな種類のマルウェアがあなたのコンピュータにインストールされてしまったかを知るまでの一時的なものとなるでしょう。

映画"エクソシスト"でも言われたように、「悪魔はあなたの中に」あります。「あなたはウイルスやワームを持っており、我々が(対策を）売ってあげます。」と言われるのです。

このウイルスはMBR(マスターブートレコード）の最初の50KBを 0（ゼロ）で上書きしますが、これを行うまでに7日から10日間待ち、一方その間にリムーバブルドライブ経由で自身を拡散させようと試みます。
MBRの悪夢はもう終わったと思っていましたが、それはまだ私達の中に残っていました。

奇妙なことは、この攻撃の最初のターゲットがオートバイクラブだったことで、おそらくそのために自身の名前を“The Hell Angels（地獄の天使）”から“The Malware Angels（マルウェアの天使）”に変えたのでしょう。しかし、もしこれがホーマーシンプソンズクラブだったら、“The Malware Satans（マルウェアの悪魔）”だったでしょうね。

(注: アニメ、シンプソンズ に、Homer Simpsonが歌う“Satan you're my lady, hit me with you're pitchfork thing” という歌があります。http://www.youtube.com/watch?v=YjPRyd9cZgo
正直翻訳している私にも何を言わんとしているのか良くわかりません。スミマセン）

このウイルスに関する詳細情報はこちら

In English:
http://www.pandasecurity.com/homeusers/security-info/217269/Mseus.A

MS10-002 Exploit Constructor（脆弱性利用htmlファイル自動生成プログラム）

Posted on 01/27/10 by Luis Corrons

人間は、一般的に多くの場合において少し怠ける傾向があります。サイバー犯罪者達も人間であり、従って怠け者です。

私と同業のAndrew Chang 氏(AhnLab)は、彼らが中国のアンダーグラウンドのWebサイトで見つけたMS10-002 Exploit Constructor（脆弱性利用htmlファイル自動生成プログラム）を私に送ってくれました。
これを実行して左下のボタンをクリックすると、脆弱性を利用するexploitを含むHTMLファイルを取得できます。もし、あなたが中国語が理解できれば、それが"暗黒工作組"（Dark Techniques Working Group）というようなことを言っているのがわかると思います。



結果として入手したHTMLファイルは、そのURL上でタイプしたファイルをダウンロードし、c.exeとして保存し実行します。まだこれをチェックしているところなので、もし何かわかったらこの記事をアップデートします。

ブログコメントスパム用ハニーポット

Posted on 01/26/10 by Luis Corrons

最近の最も一般的なマルウェア配布方法のひとつは、脆弱性利用、マルウェア、偽アンチウイルス、その他の詐欺などをホストする悪意あるサイトへ誘導するコメントをブログに書き込むスパムです。
いくつかの種類のPanda Blogs (PandaLabs, Panda Research, Panda Cloud Antivirus Blogなど) に届く、膨大なボリュームのスパムコメントの分析をするために、PandaLabs の Iker は、Wordpress のコメントスパム対策プラグインであるAkismetを修正して、"ブログコメントスパムのハニーポット" を開発しました。
このハニーポットは、Akismetがスパムとして検出したものを基本的に全てXMLへ書き込みます。それをPandaLabsで処理することによって全てのリンクがフォローされ、マルウェアや脆弱性利用、強制ダウンロードなどを検出することができます。

もしあなたが Wordpress ブログを持っていて、あなたの罠にはまったスパムを分析のためにPandaLabsに送って頂けるのであれば、この"ブログコメントスパム用ハニーポット"をダウンロードしてインストールしてください。

Thanks to Iker for all his work on spam research.

悪意あるつぶやきがクリック課金詐欺ソフトウェアにリンク

Posted on 01/16/10 by Sean-Paul Correll

昨年我々は、Twitter上で流行の話題を使って悪意のあるサイトへリンクした数千のつぶやきを自動で生成することによって、マルウェア活動のために最適化された広範囲の攻撃を観測しました。
この攻撃ではどのリンクでもクリックすると、偽セキュリティプログラムをコンピュータにインストールさせて警戒心の無い被害者をだますために作られた典型的な偽セキュリティソフトサイトへ誘導されていました。



今日、我々はTwitter上でマルウェアの問題がいまだに存在しているのを確認しましたが、今回は、クリック課金(PPC)詐欺ソフトウェアが偽セキュリティソフト攻撃を後部座席に押しやって前面に出てきました。

リンクのクリックは実行ファイルへと犠牲者を誘導し、アクセスされると、バックグラウンドでサイバー犯罪者のために広告収入を生み出すサイトへの数千のコネクションを作成します。

私は一歩先に進んで、この活動におけるマルウェアのクイックデモンストレーションビデオをまとめました。

Panda Cloud AntivirusのWindows 7対応正式認定

Panda Cloud Antivirusが、Windows 7（32ビット及び64ビット）対応についてMicrosoft社より正式に認定を受けたことをお知らせします。

詳細はこちら


Panda Cloud Antivirus 無料ダウンロード

Google Nexus Oneを狙ったBlackHat SEO攻撃

Posted on 01/13/10 by Luis Corrons

数日前にGoogleは新しい自社ブランドの携帯電話、Nexus Oneを発表しました。
その数日後、我々は “buy Nexus One（Nexus One購入）”と検索した場合、約4,000件もの悪意あるリンクが表示されることを発見しました。
それらのリンクのどれかをクリックすると、典型的な偽アンチウイルスサイトに行きます。
それはLivePcCareと呼ばれる偽アンチウイルスプログラムによってあなたのコンピュータを感染させようと試みます。検索する時は気をつけましょう。また、少なくとも無料のWebフィルタリングツールなどを使いましょう。

追記: 6件の検索結果のうち、一番目と二番目を含む5件は悪意あるリンクでした。

PandaLabs年間マルウェアレポート: 2009年はマルウェア作成の新記録、 2500万の新種が出現

• PandaLabsは、2009年1年間に過去20年間の歴史における総数より多くのマルウェアを分析・分類しました。Pandaは現在4000万のマルウェアサンプルのナレッジベースを保有しており、毎日平均55,000個の新種のサンプルを受信しています。
• バンキングトロイと偽アンチウイルスが脅威ランキングのトップを占めました。一方従来型のウイルス（例Conficker、Sality、Virutasなど）も昨年再び流行が見られました。
• マルウェアを仕込んだWebサイトを使った、Facebook、Twitter、YouTube、DiggなどのソーシャルネットワークやSEO攻撃は、悪意あるコードを拡散させようとするサイバー犯罪者達に好んで用いられました。
• 年間を通して政治的動機のサイバー攻撃の報告件数が激増しました。
• PandaLabsの2009年度年間マルウェアレポートはこちらから（英語）。

Panda Securityのマルウェア研究所であるPandaLabsは、年間マルウェアレポートを発表しました。

このレポートは、2009年のITセキュリティに関する主なインシデントやイベントについて概説したものです。それによると、この12ヶ月間に見られたもっとも顕著な傾向は新種のマルウェアが大量に作成されたことです。Pandaの歴史過去20年間に受け取った数の合計が1500万種であったのに対し、わずか1年で2500万種の新種の脅威が作成されました。

最新の脅威の活動の大波には、多数の偽アンチウイルスプログラム(rogueware)と同様に、無数のバンカートロイ(約66%)の新種サンプルが含ま れています。レポートはさらに、以前絶滅寸前だった従来型のウイルス(Confickerや Sality、ベテラン選手のVirutasのような)の復活にも警告を発しています。
2009年はスパムも非常に活発で、全emailトラフィックの92％がスパムとして確認されました。潜在的犠牲者をだますため、これらのemailを開けさせるために使われるトリックは、時事問題やドラマティックなニュース記事を利用することにフォーカスしており、それらはSEO攻撃にも同様に応用される傾向がみられました。このように、我々はセレブリティのスキャンダルや死(本当かフィクションかに関係なく)、新型インフルエンザ、政治家の不名誉なビデオなどに関するジャンクメールの波を見てきました。またPandaLabsは、スパムが異なる産業界にどのようにインパクトを与えたかも追跡し、自動車産業と電気産業が、またそれに続いて政府機関がいかにもっとも悪い影響を受けたかについても明らかにしました。　

マルウェアの流通経路に関しては、Facebook、Twitter、YouTube、Digg等を主としたソーシャルネットワークや、ユーザーをマルウェアを仕込んだWebサイトへ直接誘導するSEO攻撃がサイバー犯罪者 達のお気に入りの方法となり、彼らは収益を増やすためにアンダーグラウンドビジネスモデルを強固なものにしていきました。

昨年はさらに、政治的な動機及び目的によるサイバー攻撃関連のニュースの数が増加しており、これがもはやSF映画やテロリストの陰謀の領域ではなく、今まさに現実になっていることを示しています。

最後に、2010年の間に流通しているマルウェアの数は更に成長し続けるだろうとPandaLabsは予測しています。Windows 7は必ずハッカー達の興味を惹きつけ新しいマルウェアを作成させることになり、またMacへの攻撃も増加するでしょう。最後にレポートは、政治的動機による攻撃により多く遭遇することになると思われると予測する一方、引き続き今年も携帯電話ウイルスの年にはならないであろうと結論付けています。

ニュース記事
http://www.ps-japan.co.jp/pressrelease/n84.html