「心のこもった」スパムにご用心

McAfee Labsは、偽のウイルス対策ソフトの実行ファイルをダウンロードするようユーザーを誘導する、新たなスパムメールキャンペーンを発見しました。送られているメッセージは以下の通りです。

<strong>Subject: A very warm invitation to you
(心のこもった招待状)

本文:

Hello,
(こんにちは。)

Hope your week has been wonderfull well. I would like to extend a very warm invitation to you to the Verbum Dei Missionary Festival this Sunday, September 19.
(すばらしい1週間を過ごしていることと思います。さて、今週日曜日、9月19日のVerbum Dei Missionary Festivalにあなたをご招待します。)

With a lot of support and collaboration from groups of people we work with in the Bay Area, an international spread of food will be served at the festival. Besides the spread, cultural and folkloric performances, music, games for children, and activities will be part of the day’s programme.
(フェスティバルでは、湾岸地域で一緒に作業しているグループの多くの支援と協力により、世界中の料理が振る舞われます。料理以外にも、さまざまな文化や民族のパフォーマンス、音楽、子供向けのゲーム、アクティビティーが予定されています。)

This once a year event brings all of our friends and family from around the Bay Area, an expression of the internationality of our community, mission and work here. At the same time, the festival is also a fund-raising initiative open to all, which is important for us in the ongoing Verbum Dei mission here in the Bay Area.
(この年1回のイベントには、湾岸地域から私たちのすべての友人と家族が集まり、湾岸地域のコミュニティー、布教団、活動の国際性を反映しています。同時に、湾岸地域で現在行われているVerbum Dei布教活動に従事している私たちにとって重要なことですが、このフェスティバルは誰でも参加できる募金集めのためのイベントです。)

I really look forward to your coming to be able to catch up more. More details are in the attached invitation, I hope the directions woul be helpful in navigating the way to the St. Thomas More parish.
(是非フェスティバルにご参加いただき、いろいろな話をお聞きいただければと思います。詳細は添付の招待状をご覧ください。St. Thomas More教区への道順がお役に立てばと思います。)

With joy and peace to you,
(あなたに喜びと平和が訪れますように。)

Collin Vaughan

添付ファイル: #####vacation.html
(これが最も一般的なファイル名ですが、#####.xls.html、#####wachovia summons.html、#####randolph-revisedplans.htmlなどの名前が使われていることもあります)

添付ファイルはすべて同じで、numerouno-india.comドメインにあるWebページにリダイレクトする、コード化されたJavaScriptが格納されています。

アクセス先のページからscaner-g.cz.ccドメインのページにリダイレクトされます。また、ページには、arestyute.comドメインのページをターゲットにしたiframeが組み込まれています。リダイレクト先のドメインでは、よくある偽のウイルス対策スキャンのアニメーション画像が表示され、実行ファイルをダウンロードするよう指示されます。

偽のスキャン画像

ダウンロードを促すメッセージ

実行ファイルで使われるアイコン

iframeにより、Java Development Toolkitのエクスプロイト(CVE-2010-0886)をはじめ、CVE-2007-5659、CVE-2008-2992、CVE-2010-0188など、Adobe FlashやPDFの脆弱性をターゲットにしたエクスプロイトを含む、さまざまなエクスプロイトに誘導されます。

これらのエクスプロイトのペイロードはパスワードを盗み出すトロイの木馬で、ランダムな名前のフォルダとファイルを使って%AppData%フォルダに自身をコピーし、起動時にファイルをロードするレジストリRUNキーを作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “{608F1285-57B7-C631-DE51-8A99508CC7A9}” = “C:\Documents and Settings\Administrator\Application Data\Ezudi\oqek.exe”
    パスワードを盗むこのトロイの木馬は、iexplorer.exeプロセスに自身を挿入し、多くの大手金融機関をターゲットにします。また、ohmaebahsh.ru、eexiziedai.ruの2つのドメインにアクセスします。
  • この偽のウイルス対策の実行ファイルは、SensitivityがVery Low以上で動作しているGlobal Threat IntelligenceのFile Reputationで検出されました。
  • 最初のドメイン(numerouno-india.com)は、TrustedSource、SiteAdvisorで赤にレーティングされています。
  • 2番目のドメイン(arestyute.comおよびscaner-g.cz.cc)は、TrustedSource、SiteAdvisorで赤にレーティングされています。
  • 3番目のドメイン(ohmaebahsh.ruおよびeexiziedai.ru)は、数週間前からTrustedSource、SiteAdvisorで赤にレーティングされています。
  • 最新のウイルス定義ファイルでは、以下の名前で検出されます。

extra.datリクエストページを利用することにより、最新のシグネチャをダウンロードできます。これらは、ベータ版のウイルス定義ファイルで提供されています。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速