September 7, 2010 - A heat wave has hit Russia hard. It has gotten worse and has led to forest fires. Extremely high temperatures across western Russia have reached 35 degrees Celsius (95 degrees Fahrenheit), causing death and creating the worst drought since 1972. Read more

September 6, 2010 - Symantec has been tracking a recent phishing email attack that is targeting the users of a number of prominent global banking institutions. In this phishing attack it was observed that the spammers are using meaningless, random email headers—possibly in an Read more

September 1, 2010 - In previous blogs we have discussed how malware can exploit a search engine’s indexing features in order to spread malicious content. Recently we have observed a massive compromise of websites under the .ch and .nl top-level domains, aimed Read more

August 30, 2010 - Symantec often utilizes honeypots to acquire new samples and observe attacks in the wild. Many threats encountered on honeypots are related to botnets. However, on a rare occasion a honeypot may encounter a targeted attack. In these cases the attacker Read more

August 27, 2010 - In this blog we continue our analysis of the recently discovered Tidserv variant that is capable of infecting 64-bit Windows operating systems. While we gave a quick overview of the threat yesterday, today we’re going to talk more about Read more

August 27, 2010 - Symantec has observed a new spam tactic being used in which fake surveys are seeking users' opinions or views on features provided by their social networking site. The sample shown below is one such spam email targeting Facebook: Read more

August 26, 2010 - Backdoor.Tidserv first came to light in back in 2008 as a Trojan that uses an advanced rootkit to hide itself. Since then, Symantec has seen many changes to Tidserv and we have documented a number of the changes in Read more

August 24, 2010 - Language spammers are quick to adapt all English spam tricks. We often see them apply various spam methods, such as the insertion of randomized characters, digits, or symbols into header and body text or the sending of spam messages as Read more

August 24, 2010 - Strange stories of celebrities' deaths resulting from plane crashes or car accidents have suddenly erupted in the spam ring. The intention of distributing such false news is to spread viruses using HTML or zipped attachments. This is one more in Read more

August 19, 2010 - In the past couple of months, Symantec has observed phishing attacks on legitimate automotive sales brands that are based in the UK and the USA. These brands help customers to sell new and used vehicles such as cars, motorbikes, etc. Read more

August 18, 2010 - It's fairly well known that different types of malware can "kill" security products in various ways. These kinds of malware are known as retroviruses. In order to step things up a notch, some risks are utilizing legitimate software uninstallers Read more

August 17, 2010 - 典型的な 419 詐欺（いわゆるナイジェリア詐欺）のメールとしては、宝くじの当選通知や、近親者に関する内容、あるいは偽の儲け話などが一般的です。災害や、ユーザーの同情を誘うようなニュースに結びつけたストーリーを偽造するスパマーも多く見られます。最近の標的型の詐欺手法では、ユーザーの Web サイトに対して DDoS 攻撃をしかけると脅迫する内容も作られるようになっています。 この新しいスパム手法では、スパマーが DDoS 攻撃を実行できるくらい巨大なネットワークを所有するハッカーであると称し、200 ドルを支払わない場合には DDoS 攻撃によって Web サイトをダウンさせるとユーザーを脅迫します。スパムメールに記載されているドメイン名は正当なものですが、その登録日が古くなっています。メール本文には意図的なスペルミスが含まれますが、これはコンテンツベースのスパム対策フィルタを回避するための工夫です。 この標的型攻撃では、「宛先」はドメインに登録されている連絡先情報に記載されたメールアドレスです。「件名」は「Hosting - Important Updates and Information（ホスティング - 重要なアップデートのお知らせ）」などの形式をとり、ホスティングサービスプロバイダから送信されたメールを装っています。 このスパムメールの例を以下に示します。ここに述べたような方法で個人情報や金銭を詐取しようとする試みは、詐欺攻撃ではごく一般的です。不明な送信者からのメールは無視するようにし、詐欺攻撃を防ぐシマンテック製のメッセージセキュリティソリューションをお使いいただくことを推奨します。シマンテックでは、このような攻撃を厳重に監視し、読者の皆さまに最新の情報を提供しています。 備考: 寄稿者である Gautham Govind 氏に感謝します。 Read more

August 17, 2010 - In a typical 419 scam message, we usually see lottery winning notifications, mentions of next of kin, or fake business offers. Often we observe spammers creating fake stories tying in with disasters or news linked to users' emotions. In a Read more

August 16, 2010 - Symantec has recently observed phishing websites spoofing courier service brands. There were primarily three brands targeted and fraudsters were attempting to steal customers’ login credentials. So what’s in the login credentials of courier service brands that fraudsters can take advantage of? Read more

August 16, 2010 - A few days ago we came across an interesting application in the Android Market, which we’ve decided to detect as AndroidOS.Tapsnake. Why are we detecting this? A cursory read through the description doesn’t tell us much, other than it’s Read more

August 14, 2010 - これまで、ファイル共有アプリケーションを使って他のコンピュータに広がる脅威は多く見られました。一般的に、このような脅威の手口は、侵入したコンピュータをスキャンして、これらのプログラムの共有フォルダを探し、存在する場合はその共有フォルダに、よく使われる検索ワード（人気のある海賊版ソフトウェア、ゲーム、クラックなど）を模倣した名前で自分自身をコピーするというものです。 W32.Changeup は既存のファイル共有アプリケーションをスキャンせず、通常とは異なる動作をします。eMule という有名なアプリケーションを実際にインストールし、そのアプリケーションを使って、ユーザー検索でよく使われる名前を模倣した数万個のファイル名でそのアプリケーションを共有させるのです。次に、もっと詳しく見ていきましょう。 感染 Changeup がコンピュータに侵入する方法はいくつかあります。これまでに、Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability （Microsoft Windows でショートカットの LNK/PIF ファイルが自動的に実行される脆弱性）を悪用する方法、リムーバブルドライブやネットワークドライブを介して広がる方法のほか、P2P アプリケーションから知らないうちにダウンロードされる方法が確認されています（W32.Changeup の特徴の詳細については、以前のブログ記事をご覧ください）。通常、コンピュータにはまず非常に小さなサイズの実行可能ファイルが入り込み、この実行可能ファイルから Changeup C&C サーバーに接続して、データ本体（特に、Backdoor.Tidserv、Downloader.Harnig、Trojan.FakeAV などの系列の脅威）を追加ダウンロードします。 共有 データ本体が入り込んでも、ウィンドウは表示されず、脅威が活動している兆候も見られません。しかしプロセスリストを見れば、何が行われているかがわかります。画像 1: データ本体がインストールされ、eMule がサイレント実行されています。 脅威がサイレントインストールされ、eMule が起動されています。共有中のファイルが格納されているフォルダを見ると、この脅威が何をしようとしているかは一目瞭然です。 Read more

August 13, 2010 - We have seen many threats that use file-sharing applications in order to spread to other computers. Typically these threats would scan a compromised computer for the shared folders of these programs, and if found would copy themselves into those folders Read more

August 13, 2010 - Symantec Security Response is currently monitoring a wave of email spam that contains a threat detected by Symantec as Trojan.Zbot. This Trojan arrives as a zip attachment in an email that purports to contain a legitimate attachment, such as Read more

August 13, 2010 - Following an industry conference, I find it a good practice for me to reflect back on what I learned and observed and see how I can apply it to my current work. At the conference there is so much to Read more

August 11, 2010 - We all know spammers follow holidays and news events closely, given that spam volumes always increase before upcoming events. In the Chinese culture there are a lot of holidays based on the lunar calendar and various traditions. The most recent Read more