AutoItScript→VBScriptによる検出回避とか 2014年01月09日07:00 ツイート hiroki_iwa1 オフィシャルコメント  by：岩井 博樹 2013年8月頃よりマルウェア開発者らのコミュニティ内でマルウェアをVBScriptへ変換を依頼するなどのスレッドを見かけるようになりました。 下図は一例で、或るRAT（Remote Administration Tool）をVBScriptへ変換して欲しい、といった依頼のものです。 既存のマルウェアをわざわざ他の開発言語で作り直す主な理由として、 ・一時的なセキュリティ対策ツールの回避 ・VBScriptなどのスクリプト言語ではエンコード処理が容易 ・スクリプト言語への変換、公開により別の開発者が登場し、機能面などで機能向上が期待 などが挙げられます。 いずれにせよ、マルウェア開発者側にこのような動きがあるということは

政府の署名鍵で署名されたマルウェア 2011年11月14日23:23 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 証明書とCAは今もホットな話題だ（Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい）。 我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。 こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書（およびパスフレーズ）を盗む

Windowsリモートデスクトップワーム「Morto」が拡散 2011年08月28日22:23 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。 同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。 「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを

iPhoneは実際のところ1日に2度、Appleにあなたのロケーションを送信している 2011年04月21日16:30 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン フォレンジックリサーチャのAlex Levinsonが、iPhoneの所在地をマッピングする方法を発見した。情報はiPhoneにあるロケーションキャッシュファイルから得られる（Library/Caches/locationd/consolidated.db）。 実際には、同ファイルはユーザのトラベルヒストリを含む。 このファイルには、iPhone上のサードパーティのアプリによってアクセスできないことは注意すべきだ。そのためには、ルート権限が必要だからだ。しかし、同ファイルは標準的なiPhone同期の間、PCやMacにコピーすることができ、そこから利用できる。 昨日、セキュリティリサーチャのP

やっぱり出てきた！Androidボット 2011年01月06日12:00 ツイート hiroki_iwai オフィシャルコメント  by：岩井 博樹 「これは結構ヤバいのでは！？」と話題の「Geinimi」。 昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。 現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。 今回、配布されているサイトの内の１つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける（？）アップロード職人がアップしたものに含まれていました。 ＃サイトの信頼度は別として・・・ 恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。 （そもそも、このアプリケーション自体が拾い物の可能性が大きい

iPhone Webアプリで発信者番号をスプーフィングする 2010年11月17日02:48 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。 以下は「SpoofCard」というアプリケーションだ： 「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。 しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。 とはいえ、「SpoofCard」をAppleのサイトで見付けるこ

Twitter onMouseOverスパム 2010年09月23日03:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 昨日のTwitter onMouseOverワームは、Magnus Holmによって始まった。 彼のバージョンのonMouseOverワームは、拡散はしたものの削除することができた。そしてこれは単に拡散しただけだったので、Holmは自分のワームは無害だったと考えている。昨年登場したインターネットワームの作者の多くも、同じように考えていた。 残念なことに、「無害な」ワームは遠からず無害なままではなくなる。Matt Gascoigne、別名@matstaによって書かれた、よりアグレッシブなonMouseOverワームがすぐに登場した。 以下は、現在は停止されている彼のTwitterアカウントのスクリーンショットだ： 彼のツイートのフィー

Facebookの新しいスパムワーム 2010年09月07日08:46 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 頭の良いスパマーが、自動複製リンクを可能にするFacebook脆弱性を発見した。これまで典型的なFacebookスパムは、拡散するのに若干のソーシャルエンジニアリングを使用する必要があった。 しかしこのケースでは、アプリケーションスパムリンクのいずれかをクリックするだけで、ユーザのWallにアプリケーションを「シェア」することができる。 以下がサーチ結果だ： サーチ結果のそれぞれが、「via Mobile Web（Mobile Webを介して）」投稿されていることに注意して欲しい。これは一般的なバグが利用されていることを示唆している。あるいは、おそらくスパマーが、メインサイトよりも一般的により反応がはやいという理由で、m.facebookを

「JailbreakMe 2.0」がPDFエクスプロイトを使用 2010年08月03日19:33 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 「jailbreakme.com」で入手できるiOSドライブバイ・ジェイルブレイク（昨日の記事を参照）は、PDFエクスプロイトを使用している。ハードウェア/ファームウェアの様々なコンビネーションに対する20のPDFファイルが、同サイトのルートからサブディレクトリに置かれている。 以下は、コードのスナップショットだ。 Charlie Millerが、Twitterで以下の発言をしている： 「jailbreakme.comエクスプロイトについて把握し始めた。非常に素晴らしい仕事だ。これがAppleのセキュリティアーキテクチャをいかに無効にするかを考えると恐ろしい。」 我々がテストしたところ、同PDFファイルはWindo

チャック・ノリス・スパムデキシング 2010年07月06日15:39 ツイート fsecure_response クアラルンプール発  by：レスポンスチーム この週末、我々のラボはスパムデキシングを通じ、チャック・ノリスの人気を利用して特定サイトの検索エンジン・ランキングを挙げようとするスパムボット・アプリケーションを見つけた。これは検索結果を汚染するのに利用され、検索エンジンをだまして、検索結果のリストの上位にサイトをランキングさせるものだ。 このスパムボット・インストーラは「Application:W32/Spambot.A」として検出されており、PEファイルをインストールに落とし、次にspambot.plとしてリストされたウェブサイトに接続しようとする。このサイトは、PHPボード・フラッド、チャット・フラッド用の様々なプログラムを販売し、そのアプリケーションを「あなたのサイトを検索

F-Secure PC Booster ベータ 2010年06月29日20:18 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン エフセキュアのベータ・ページで、新製品のベータ版がダウンロード可能になった。 「F-Secure PC Booster」は、Windows PCのパフォーマンスを最適化し、古い不要ファイルなどをクリーンアップする。 ぜひお試し頂きたい！　新製品に関する皆さんのフィードバックを頂ければ幸いだ。 ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ミッコ・ヒッポネン」カテゴリの最新記事

Mac OS X スパイウェア 2010年06月03日23:29 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 火曜日、Mac向けセキュリティソフト会社のIntegoが、「OSX/OpinionSpy」と名付けたMacベースのスパイウェアを発見したとブログに掲載した。 Integoの言葉を引用すれば：「OSX/OpinionSpyは、MacUpdateやVersionTracker、Softpediaといったサイトで配布されているアプリケーションやスクリーンセイバーによりインストールされる。」 我々が3月に言ったことだが、Macは概して安全であるが、よりセキュアであるという意味ではない：「家が比較的安全な地域にあるからと言って、理論的に、強盗に対してよりセキュアであるとは言えない。今日のMacは大部分が、たまたま比較的安全なオンライン環境の中に存在しており

Twitter攻撃 2010年05月20日20:37 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン Twitter上で新たなマルウェアが進行中だ。 かなり大量の偽アカウントが、ポピュラーなハッシュタグと「あはは、これまで見た中で最高に面白いビデオだ（haha this is the funniest video ive ever seen）」というテキストを含んだメッセージを送信しているのだ。 TwitterでTrending Topicsを探すと、これらのメッセージを目にすることになる。 ツイート内のショートリンクは、「pc-tv.tv」内のページを示しており、これはJavaエクスプロイトを使用して、システムにキーロガーとBanking Trojanのコンボをドロップする。 この攻撃は、同ページのソース・コードを見るだけで、非常に簡単にフォローできる：