日曜日, 7月 04, 2010

【マルウェア情報】日本国内のメールに添付されたマルウェアのレポート(6月)

今回日本全国に提供したメールフィルター環境から6月のマルウェアメールレポートを報告させて頂きます。場所は関西1台、関東に1台と東北協力された環境2台です。使ったメールフィルター製品は「K-SHIELD」メールセキュリティフィルターアプライアンスを使っております。今回のレポートを詳しく説明する為下記の画像をご覧下さい↓

「4月」「5月」のレポートを比べたら結構大きく変わりました。6月後半に出した警告/途中報告通り、6月は「javascriptマルウェア」の月です。昨月より沢山「javascriptマルウェア」をメールに添付されました。調査しましたら注意点は下記となります↓

1)種類について
発見されたjavascriptマルウェア種類の形は下記の種類です↓
1.1.「Redirector JavaScriptマルウェア」、その他のマルウェア名は「Trojan.JS.Redirector/TROJ_JSREDIR/JS_REDIR/Trojan:JS/Redirector」
1.2.ダウンローダーJavaScriptマルウェア、その他のマルウェア名は「Trojan-Dropper / Trojan-Downloader.JS /JS/Dldr.xxx」です。
↑上記javascriptマルウェアの詳細説明はこちらになります。

2)感染仕方について
2.1.exploitの情報(PCに感染仕方)を見たら、Adobeセキュリティホールが未だインストールされてませんPCはターゲットとなります。
2.2.exploitの実行仕方を見たら「PDF/画像ファイル/Flashファイル/HTML」ファイルをリック感染仕組みです。
2.3.感染仕組みを調査したら、感染仕組みは非常にトラックし難いです。良く考えたかと思われます。詰りこちらの仕組みです(現在迄この攻撃仕組みが未だ沢山発見されております)

3)次ダウンロードされるマルウェアについて
 javascriptマルウェアの最終目的はマルウェア感染で、マルウェアの種類は↓
 ・FakeAV/scareware/偽マルウェア対策の感染
 ・個人情報盗むトロイウイルスの感染
 ・偽インターネットセキュリティ警告の感染詐欺
 ・ボットネットのトロイの感染

4)何故javascriptマルウェア?
 何故かjavascriptマルウェアが急に流行ったのか? 回答は
 インターネット犯罪の人達に対しては沢山メリットがありますから、詰り↓
 4.1.javascriptマルウェアが検知し難いです。例えばこちらのウイルストータルのスキャン結果です(これはzbotからのjavascriptマルウェアサンプルでした)。そういう意味ではパターンマッチング経由フィルター製品、例えば様々メールフィルター製品に対してはjavascriptの検地率低いです。
 4.2.javascriptマルウェアをフロントに出せると、元の感染させたいマルウェア種類を隠すする事が出来ます。元の感染をさせたいマルウェア種類を直ぐに変更が出来ます。例えば下記の画像をご覧下さい↓
     
    ※↑javascriptマルウェア(Pegel, trojan.Redir,など)を発見された時にfakeav/scarewareマルウェアを発見されてます、ソースを調査したらjavascriptマルウェアに飛ばされるダウンロードリンク先でした。
 4.3.Adobe製品が便利ですがセキュリティ問題が沢山あります。
 4.4.どんなWindows PCにもjavaエンジンが持っています、javascriptを実行が出来ます。

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター
Public Compilation by 0day.jp

0 件のコメント:

コメントを投稿