涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

by¨レスポンスチ〖ム

ソ〖シャルエンジニアリングが己窃々

2011钳04奉06泣14:59

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　叉」はこの2泣ほど、スパムメ〖ルを拆して芹邵されたマルウェアが悸乖されているのを誊封している。

　この排灰メ〖ルメッセ〖ジおよびマルウェアは、泼に誊糠しいものではない。メッセ〖ジは刀で、デリバリサ〖ビスに簇息しているよう斧せかけている。これに藕烧されているのが、Trojanダウンロ〖ダを崔む刀刘ZIPファイルだ。

　このZIPファイルが悸乖されると、ユ〖ザは笆布のような茶烫を斧ることになる¨

DHL Express Services

　≈う〖ん、DHLからの井蜀が葡いているのか。トラッキングナンバ〖をチェックするのに、藕烧今梧を澄千した数がいいな。ちょっと略てよ。FedExからだったか々∽

　ユ〖ザは炊厉するだけでなく、寒宛してしまう。

Threat Solutions post by — Broderick

′′付矢へのリンク

≈CVE-2011-0609∽を蝗脱した苟封

2011钳03奉23泣11:55

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　筛弄に碍罢あるファイルを倡かせようと、苟封荚たちが泣塑の觉斗を网脱している。これらのケ〖スは、Flashエクスプロイトを燃うExcel藕烧ファイルを蝗脱したものだ。

　笆布は、そうした排灰メ〖ルのスクリ〖ンショットで、Contagioから捏丁された。

jnr

　簇息するXLSサンプルは笆布のハッシュを积つ¨

  •  4bb64c1da2f73da11f331a96d55d63e2
  •  4031049fe402e8ba587583c08a25221a
  •  d8aefd8e3c96a56123cd5f07192b7369
  •  7ca4ab177f480503653702b33366111f

　叉」はこれらを≈Exploit.CVE-2011-0609.A∽および≈Exploit:W32/XcelDrop.F∽として浮叫している。

　叉」が誊にした戮のサンプル∈md5:20ee090487ce1a670c192f9ac18c9d18∷は、贷梦の廊煎拉∈CVE-2011-0609∷を网脱する虽め哈みFlashオブジェクトを崔むExcelファイルだ。XLSファイルが倡かれると、これは鄂のExcelスプレッドシ〖トを山绩し、Flashオブジェクトを拆してエクスプロイトコ〖ドを倡幌する。

　このFlashオブジェクトは、笆布のシェルコ〖ドを崔むヒ〖プスプレ〖を悸乖することからスタ〖トする¨

heapspray

　妈办のシェルコ〖ドはExcelファイルに虽め哈まれた妈企のシェルコ〖ドに、悸乖をロ〖ドしパスするだけだ¨

shellcode

　妈企のシェルコ〖ドは、EXEファイル∈Excelファイルに虽め哈まれてもいる∷の豺粕、悸乖の舔充を蔡たす¨

second shellcode

　办数、Flashオブジェクトは、妈企のFlashオブジェクトをランタイムで侯喇し、ロ〖ドする¨

Flash

　この妈企のFlashオブジェクトが、票マルウェアの肩妥なエクスプロイトで、≈CVE-2011-0609∽を网脱してヒ〖プでシェルコ〖ドを悸乖する。叉」は办忍弄に票Flashオブジェクトを≈Exploit.CVE-2011-0609.A∽として浮叫している。

　途锰として¨この肩妥なエクスプロイトは、浮叫されるのを闰けようとして、このような妨で芹邵されたようだ。メモリでロ〖ドされるため、アンチウイルスエンジンがスキャンに网脱できる湿妄ファイルが赂哼しない。Excelファイルに肩妥なエクスプロイトをロ〖ドするFlashオブジェクトを虽め哈むことは、さらに苟封を保そうとする活みかもしれない。

　宫いなことに、碍罢のあるExcelファイルとその寥哈EXEファイルは、≈Exploit.D-Encrypted.Gen∽および≈Trojan.Agent.ARKJ∽として浮叫されている。

　しかし、Adobeが贷にこの廊煎拉に滦するパッチを给倡しているので、ユ〖ザはFlashプレイヤ〖をアップデ〖トすべきだ。拒嘿については、≈CVE-2011-0609∽に簇するAdobeのセキュリティアドバイザリを斧てほしい。

Threat Solutions post by — Broderick

′′付矢へのリンク

クラウドに驴眶のフィッシング

2011钳03奉10泣17:41

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　叉」は糠たなフィッシングの活みに柳而した。海搀は、Maybank∈マレ〖シアの肩蜗朵乖の办つ∷の≈ラッキ〖な∽カスタマが筛弄とされた。脱いられているのは诺房弄な缄恕だ。すなわち戮の茂かの涪嘎をよそおい、肌にカスタマに极尸のアカウントを澄千するよう妥懒し、≈Transaction Authorisation Code∽も涩妥であることを蛔い叫させることさえする。

maybankphishing (48k image)

　さらなる拇汉により、この排灰メ〖ルはスパムサ〖バに统丸することが尸かっているが、叉」に尸かったのはそれだけだ。その戮のトラックはすべて、康脚に保拭されている。

　フィッシングの活みには部ら糠しいところは痰いが、倡券庞惧柜件收でのフィッシングの瓢きは、呵夺笼裁しているようだ。介袋のアクティビティの磨塑客であるグル〖プは、フォ〖カスを糠しい辉眷に败したのだろうか々　おそらく揉らは、ロ〖カライズされれば、缠しげなリンクも浮叫をくぐり却け、屁れるチャンスが光まると雇えたのだろう。票孟拌のカスタマが、おそらくオンラインバンキングを呵夺梦ったばかりであるという祸悸を雇えても、光刨なソ〖シャルエンジニアリング缄恕に推白に苞っかかる材墙拉は光い。

　妄统がなんであれ、これらの壕到徽たちが罢哭することは办つだ。すなわち、垛を苍ぐために网脱できる擦猛ある攫鼠を缄に掐れる、ということだ。≈Browsing Protection∽のようなツ〖ルは、ユ〖ザを错副なサイトへのアクセスから瘦割する锦けとなるが、呵も紊い数恕は极尸の奥链に极ら勒扦を砷うことだ。ユ〖ザが娅に皖ちることを闰けるには、碍罢ある息面により奶撅悸乖されるトリックを梦っておく涩妥がある。

∈瓷妄客灭¨この淡祸のタイトルは付矢の≈Plenty of Phish in the Cloud∽に答づきました∷

′′付矢へのリンク

≈Trojan:Android/BgServ.A∽

2011钳03奉10泣17:26

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　Googleが、ここ眶泣粗に弹きた≈Trojan:Android/DroidDream.A∽による寒宛に滦借するセキュリティソリュ〖ションを给倡した。

　票ツ〖ルのトロイの腾窍步されたバ〖ジョンも叫附している∈叉」はこれを≈Trojan:Android/Bgserv.A∽として浮叫している∷。票トロイの腾窍の督蹋考い徒洒尸老が、Symantecのブログで给倡されている。

　塑湿滦トロイの腾窍バ〖ジョンの般いは、アプリケ〖ション攫鼠をチェックすることで澄千できる¨

≈Android Market Security Tool∽¨

android_market_security_tool_installation (121k image)

android_market_security_tool_installation (121k image)

≈Trojan:Android/Bgserv.A∽¨

trojan_android_bgserv_a_installation (129k image)

　コンテンツ/パッケ〖ジのスクリ〖ンショット¨

trojan_android_bgserv_a_comparison (114k image)

　いったんインスト〖ルされると、≈Trojan:Android/Bgserv.A∽はIMEIや排厦戎规など、ユ〖ザの排厦攫鼠を惩评する。この攫鼠は≈hxxp:// www. youlubg. com: 81 /Coop/request3.php∽にアップロ〖ドされる。

　海搀も、このマルウェアは面柜塑炮のネットワ〖クに泼步されているようだ。∈China Mobile Netに簇息するナンバ〖10086にコンタクトを艰り、≈cmnet∽という叹疚をAPNリストに赁掐し、糠たなAPNを蝗脱しているのだ。

　このマルウェアは、炊厉したデバイスで络翁のデ〖タ蝗脱を苞き弹こし、ユ〖ザに光驰な排厦瘟垛を草す材墙拉がある。

　督蹋考い爬¨この碍罢あるコ〖ドは、≈Android Market Security Tool∽にのみ扩嘎されているわけではないようだ。AegisLabのブログによれば、票屯のふるまいが戮のAndroidアプリケ〖ションでも附れるそうだ。

では。
Zimry

′′付矢へのリンク

Android惹トロイの腾窍アラ〖ト

2011钳03奉02泣18:33

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　≈Android Market∽で券斧されたトロイの腾窍步されたアプリケ〖ションに簇する呵夺のレポ〖トが、叉」の誊に伪まった。∈Androidpolice.comおよびRedditを拆して∷

　これらの碍罢あるアプリケ〖ションは、屯」なデベロッパ叹を蝗脱してアップロ〖ドされた。簇息アプリケ〖ションの窗链なリストは笆布にある¨http://pastebin.com/Ue8TfLgE

　≈androidpolice.com∽のレポ〖トによれば、碍罢あるアプリケ〖ションの办つをチェックしたところ、ル〖トアクセスを惩评するため、贷梦のエクスプロイト≈rageagainstthecage∽を崔んでいることが尸かった。このエクスプロイトは、≈Android 2.2∽およびそれ笆涟のバ〖ジョンで瓢侯することが梦られている。

　≈androidpolice.com∽のオリジナルのレポ〖トは、これら碍罢あるアプリケ〖ションが≈Android Market∽から贷に猴近されたことを山汤している。これは、票マルウェアをまだうっかりダウンロ〖ドしていないユ〖ザにとって、燎啦らしいニュ〖スだ。

　贷にダウンロ〖ドしてしまったユ〖ザは、Googleがリモ〖トでこれらアプリを猴近するのを略つ涩妥があるだろう。あるいは、缄瓢で猴近するか、だ。

　叉」は觉斗をモニタし鲁ける徒年だ。また构なる尸老のため、叉」はこれらトロイの腾窍步されたアプリケ〖ションのサンプルも玫している。もし碍罢あるサンプルをお积ちなら、叉」の≈Sample Analysis System∽に流ることを浮皮して暮ければ宫いだ。

では。
Zimry

纳淡¨≈pastebin∽のリンクはすでに铜跟ではない。Mashableおよび戮のニュ〖スサイトがリストを券山している。

′′付矢へのリンク

糠たなPjapps啊硷

2011钳03奉02泣10:38

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　黎孩、碍罢あるル〖チンでリパッケ〖ジされたAndroid脱Steamy Windowsアプリケ〖ションの面柜胳惹が券斧された。∈Symantecが紊い淡祸を非很している。∷

　糠たな啊硷を贷に侯喇しているところを斧ると、このマルウェアの侯荚∈たち∷は、このアプリケ〖ションを攻んでいるようだ。これは≈Trojan:Android/Pjapps.B∽として浮叫されている。

　票啊硷をざっと斧たところ、SMSの流慨、アプリケ〖ションのインスト〖ル、ブックマ〖クの纳裁、C&Cサ〖バからのコマンドの减け艰りなど、碍罢ある怠墙はほぼ恃わっていない。

　笆布に、≈Trojan:Android/Pjapps.A∽と≈Trojan:Android/Pjapps.B∽を孺秤したスクリ〖ンショットを部绥か刁げる¨

Trojan:Android/Pjapps.A

pjapps_a_installation (154k image)

Trojan:Android/Pjapps.B

pjapps_b_installation (143k image)

　そして笆布が尉啊硷のコ〖ドの办婶だが、汤らかに≈Pjapps.A∽∈焊∷がオリジナルバ〖ジョンであり、≈Pjapps.B∽∈宝∷が≈バ〖ジョン2∽であることが尸かる¨

pjapps_info (158k image)

　おそらく、呵も尸かりやすい恃构は、糠バ〖ジョンが≈极瓢弄にブ〖トでスタ〖トする∽ということだろう。

　これは叉」が斧たAndroidアプリケ〖ションの面で、介めてトロイの腾窍步されたものではない∈Trojan:Android/Adrd.A∷。しかし、Androidマルウェアが笼裁していること、そしてたぶん、それほど睹くべき祸ではないのだろうが、その面看は面柜であるらしいという、もう办つの名铬ではある。

　叉」のAndroid澜墒は、呵糠のデ〖タベ〖スアップデ〖トにより、これら企つの啊硷を浮叫している。

- 尸老はZimryによる。

′′付矢へのリンク

≈MBRファイルシステムインフェクタ∽の尸老

2011钳02奉17泣13:48

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　Portable Executable∈PE∷ファイルインフェクタウイルスを斧かけることは润撅に紊くあることだ。RAWファイルシステムを沸统したファイルインフェクタ、このケ〖スでは≈Master Boot Record∈MBR∷ファイルシステムインフェクタ∽は、もう警し牧しい。

　これには、PEインフェクタの数が侯喇の恬拆さが警なく、そしてより动盖で、倡券やコントロ〖ルがより推白だからという妄统もある。滦救弄にMBRインフェクタはより剩花で、サイズは62セクタ∈7C00H∷に嘎年されている。またエラ〖の途孟も警ない。すなわち、MBRファイルシステムインフェクタでの井さなミスやバグは、システムを弹瓢稍墙にするのだ。

　よって、いくつかの痰瘟ファイル鼎铜ネットワ〖クによって芹邵されているらしい≈Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)∽のようなMBRファイルシステムインフェクタは、办つのPortable Executableシステムファイルを筛弄にしているだけであっても、そしてその炊厉が办忍のウイルスファイルインフェクタと孺秤して帽姐であっても、孔庐に尸老することは擦猛があると蛔われる。

　≈Smitnyl.A∽は呵介に、RAWディスクアクセスを拆してMBRを炊厉させる。肌にそれを、ファイルインフェクタル〖チンを崔む碍罢あるMBRで弥き垂える∈セクタ〖32に瘦赂される∷。

茶咙1□2¨オリジナルのMBRを惧今き。パ〖ト1∈惧∷とパ〖ト2∈布∷
1: Overwriting original MBR

　なぜMBRファイルシステムインフェクタなのか々　おそらくは、それがWindows File Protection∈WFP∷をバイパスすることができるからだろう。WFPはプロテクトモ〖ドで瓢侯しているので、もし弥き垂えられれば、すべてのWFP瘦割ファイルは篓郝にリストアされる。

　インフェクタペイロ〖ドがサイズA00Hでセクタ39から倡幌される办数で、オリジナルのMBRはセクタ5に瘦赂される。このペイロ〖ドは、Windowsのクリティカルシステムファイル≈userinit.exe∽に惧今きされる。

茶咙3□4¨16渴恕による炊厉したMBR∈焊∷とオリジナルのMBR∈布∷
3: Hex view of infected MBR

茶咙5¨16渴恕によるMBRファイルシステムインフェクタル〖チン
5: Hex View MBR File System Infector Routine

茶咙6¨16渴恕によるUserinitインフェクタペイロ〖ド
6: Hex View Userinit Infector Payload

　なぜ≈Userinit∽なのか々　おそらくは、システムがスタ〖トすると极瓢弄にロ〖ンチされるプロセスの办つであり、システムスタ〖ト箕にマルウェアが极瓢弄に悸乖材墙になるためだろう。

　≈Smitnyl∽はブ〖トシ〖ケンスの呵介のステ〖ジから、Userinitを炊厉させる。これはMBRが0x7C00にロ〖ドされる狠、パ〖ティションテ〖ブル、さらにはブ〖トセクタのstarting offsetからアクティブパ〖ティションを卢年する。

　肌にマシンのファイルシステムタイプをチェックする¨

茶咙7¨ブ〖トセクタタイプの卢年
7: Determine Boot Sector Type

　NTFSファイルシステムが斧つかれば、マスタファイルテ〖ブル∈MFT∷を豺老し、∈MFTが赖しく豺老されると簿年して∷ディスク柒の≈Userinit∽の栏デ〖タを澄年するため、$ROOT (.)ファイルレコ〖ドの掳拉を粕んで$INDEX_ALLOCATION掳拉を玫す。≈Smitnyl∽は、userinit.exeが弥かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

茶咙8□9¨Userinit.exeの疤弥を泼年する。パ〖ト1
8: Locate Userinit.exe, Part 1

　このマルウェアは、userinit.exeファイルを斧つけるのに≈get_userinit_data_content_addr∽ル〖チンを蝗脱し、肌にExtended Write Function∈ファンクションナンバ〖 ah = 43H∷を蝗脱して、セクタ39でインフェクタペイロ〖ドを今き哈む。userinit.exe炊厉ル〖チンの粗、票マルウェアはoffset 0x28で炊厉マ〖カの赂哼も∈稿からより拒しく∷チェックする。

茶咙10□11¨Userinit.exeの疤弥を泼年する。パ〖ト2
10: Locate Userinit.exe, Part 2

　マシンが炊厉したMBRとともに、うまくブ〖トされると、userinit.exeは炊厉され、极瓢弄にロ〖ンチされるはずだ。炊厉したuserinit.exeを澄千する办つの数恕は、ファイルプロパティのチェックだ¨

茶咙12□13¨userinit.exeプロパティ。オリジナルと炊厉したもの
userinit.exe Properties, original

　宫いなことに、般いはかなり汤球だ。

　16渴山绩で、炊厉したファイルを斧てみよう¨

茶咙14¨炊厉したUserinit
14: Infected Userinit

　インフェクタル〖チンが、炊厉させる涟に炊厉マ〖カ0x55AAをチェックすると回纽したことを蛔い叫されるだろうか々　ではこれが悸乖される狠、部をしようとするのだろうか々　肩妥なペイロ〖ドはセクタ45にある、エンコ〖ドされた悸乖ファイルをロ〖ンチすることだ¨

茶咙15¨セクタ45のエンコ〖ドされた悸乖ファイル
15: Encoded Executable File at Sector 45

15: Encoded Executable File at Sector 45

　これはデコ〖ドを倡幌し、呵姜ペイロ〖ドをロ〖ンチする涟に、いくつかの洁洒を乖う¨

• 360safeアンチウイルスの赂哼をチェックする。もし斧つかれば、360safe IEブラウザプロテクションが痰跟にされる。

茶咙16¨360safe IEプロテクションˇレジストリキ〖チェック
16: 360safe IE Protection Registry Key Checking

16: 360safe IE Protection Registry Key Checking

• 簿フォルダに刀のexplorer.exeを侯喇する。これは、デコ〖ドされた悸乖ファイルだ。

茶咙17¨デコ〖ドされた悸乖ファイルによる刀Explorer
17: Fake Explorer with Decoded Executable

茶咙18¨デコ〖ドされた悸乖ファイルによる刀Explorer
18: Fake Explorer with Decoded Executable

• デコ〖ディング稿、ShellExecuteを蝗脱して≈%temp%\explorer.exe∽がロ〖ンチされる。これは炊厉を保すデコイとして脱いられる。票箕に、≈Winexec∽を蝗脱して塑湿の≈explorer.exe∽が悸乖される。

刀の≈explorer.exe∽を悸乖し、オリジナルの≈explorer.exe∽をロ〖ンチ
19: Execute fake explorer.exe and launch original explorer.exe

19: Execute fake explorer.exe and launch original explorer.exe

　洁洒が姜位すると、ペイロ〖ドがロ〖ンチされる。

茶咙20¨呵姜ダウンロ〖ダペイロ〖ド
20: Final Downloader Payload

　宫いにも、この呵姜ペイロ〖ドには部ら泼侍なところは痰い。帽なるダウンロ〖ダだ。炊厉した≈userinit.exe∽は、360safeのIEブラウザ瘦割を痰跟にし、それによりダウンロ〖ダがリモ〖トサ〖バ〖≈http://[...]∽からファイルを艰り叫すことが材墙になる。

抨蛊はLow Chin Yickによる。

′′付矢へのリンク

Trojan:Android/Adrd.A

2011钳02奉16泣17:46

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　2、3泣涟、ミッコが≈ADRD∽という叹の糠しいAndroid trojan∈叉」はこれを≈Trojan:Android/Adrd.A∽として浮叫している∷についてツイ〖トした。

　≈Adrd∽は、络婶尸が面柜のサ〖ドパ〖ティアプリケ〖ションプロバイダによる、いくつかのアプリケ〖ションにトロイの腾窍が慌哈まれてリパッケ〖ジされている觉轮で券斧された。これまでのところ、炊厉したアプリケ〖ションの络婶尸は、ウオ〖ルペ〖パ〖簇息のものだ。

　笆布は、炊厉したアプリケ〖ションの毋だ¨

　インスト〖ルされた≈Adrd∽が炊厉したアプリケ〖ションは、笆布のようなパ〖ミッションを绩すかもしれない¨

　これらのパ〖ミッションは、眉琐のスタ〖トアップ面に≈Adrd∽がそのル〖チンを倡幌することを材墙にし、ネットワ〖クデ〖タアクセスの钓材/敦贿といったデ〖タ儡鲁の恃构を乖う。パ〖ミッションの面には、SDカ〖ド、眉琐、Access Point Name∈APN∷肋年へのアクセスも崔まれる材墙拉がある。

　≈Adrd∽の怠墙には、笆布のようなリモ〖トホストへの构糠が崔まれるようだ。

- adrd.tax[..].net
- adrd.xiax[..].com

そして、眉琐の攫鼠、泼に柜狠败瓢挛刘弥急侍戎规∈IMEI∷と、败瓢裁掐荚急侍戎规∈IMSI∷を流慨する。流慨されるデ〖タは、DESで芭规步されている。

　リモ〖トホストはリンクのリストでリプライする。そのうちの办つを≈Adrd∽がランダムにセレクトし、柒垄するシンプルな宛眶ジェネレ〖タを蝗脱して儡鲁する。联买されたリンクが蛤慨を减けると、年盗貉みのサ〖チ矢机误を手し、≈Adrd∽がこれを借妄し、バックグラウンドで浮瑚を悸乖する。

毋¨
1. ≈Adrd∽の宛眶ジェネレ〖タは、リモ〖トホストから评られるリストの芹误を绩す眶を栏喇する。毋えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは悸狠、≈Adrd∽が蝗脱する浮瑚答洁を崔んでおり、毋は笆布の屯になる¨

http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a

≈Adrd∽はこれをバックグラウンドで借妄し、悸乖する。

　もう办つの怠墙は、≈myupdate.apk∽という叹のAPKをダウンロ〖ドすることで、これは/sdcard/uc /フォルダに瘦赂される。これはおそらく、アップデ〖トコンポ〖ネント脱だ。

　≈Adrd∽のネットワ〖クアクセスは、光庐デ〖タ蝗脱に芬がり、これは冯渡、光驰瘟垛へと冯びつく材墙拉がある。叉」は≈Adrd∽が≈cmnet∽、≈cmwap∽∈China Mobile Net∷、≈uniwap∽、≈uninet∽∈China Unicom∷に儡鲁しているのを澄千しており、≈Adrd∽は面柜のマ〖ケットにのみ芹邵されているようで、面柜のネットワ〖クにのみ泼铜なものである材墙拉がある。

- 尸老はZimry Ongによる。

′′付矢へのリンク

铜叹なら勒扦も脚い々

2011钳01奉31泣17:04

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　ユ〖ザがアンチウイルスプログラム叹から、刀湿か塑湿かを斧尸けることに墓けてきているため、ロ〖グウェアの侯荚は附哼、より络美な数羹に羹かっている。靠っ碰なプログラムのアイデンティティを硼み、极尸たちの刀の澜墒でそれを蝗脱しているのだ。呵夺あるロ〖グが、ユ〖ザが椽般いしてその刀AVを关掐するようしむけるべく、AVGのロゴと慨完拉の光い叹疚とを蝗脱しているのが券斧された。

　その刀澜墒は、戮のロ〖グウェアで蝗脱されている诺房弄なメソッドを悸刘していた。すなわち、システムをスキャンするふりをし、剩眶の碍罢あるファイルを券斧したと肩磨するのだ。痰瘟惹は怠墙が扩嘎されているため、それらのファイルを猴近するためには、ユ〖ザはフルバ〖ジョン∈刀の∷にアップグレ〖ドしなければならない。

　AVGのロゴを近けば、そのロ〖グのインタフェ〖スには、赖惮の≈AVG Anti-Virus Free Edition 2011∽と击ている疥は痰い。

刀湿
Fake AVG

vs.

塑湿

　しかし、票澜墒をよく梦らないユ〖ザは、この般いに丹づかず、塑湿の澜墒を掐缄していると雇える材墙拉もある。

　ちょっとしたアドバイスを办つ。捏丁傅に丹をつけること。たいていのアンチウイルス措度は、澜墒の痰瘟惹/トライアル惹をサイトで木儡捏丁している。よって、慨完できないチャネルはスキップし、木儡AVベンダから掐缄することだ。

′′付矢へのリンク

モバイルセキュリティˇティップス

2011钳01奉31泣11:16

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　≈CES 2011∽が、モバイルコンピュ〖ティングの踏丸に簇するプレビュ〖で海钳の穗を倡けた。おそらくNVIDIA Tegra 2などのデュアルコアCPUを烹很した、ハイスペックのスマ〖トフォンやタブレットがさらに驴くリリ〖スされることが袋略される。叉」の面には、≈LG Optimus 2X∽や≈Motorola Atrix 4G∽といった眉琐のSneak Peekに胎位されている荚もおり、これらが海煌染袋リリ〖スされることを粗般いなく弛しみにしている。

　デ〖タ瘟垛がより奥擦に、モバイルˇコンピュ〖ティングのテクノロジがよりパワフルになることで、モバイル怠达は井房のパソコンにより夺づいて乖く。さらに、ユ〖ザが词帽に朵乖の艰苞やオンラインショッピング、フライトの徒腆、舍檬のウェブブラウジングなどを乖うのを缄锦けするアプリケ〖ションが缄に掐りやすくなることで、ユ〖ザのスマ〖トフォンへの巴赂が裁庐される。

　モバイルˇコンピュ〖ティング客丹の光まりは、碍罢ある苟封に糠たな肉を倡いている。これは孺秤弄糠しい挝拌であるため、略ち减けているリスクに丹づいておらず、咳を奸る数恕がよくわからない客もいるだろう。そこで缄幌めとして、笆布にいくつか舔惟つティップスを刁げておこう¨

システムを撅にアップデ〖トする
　これを碰脸と蛔わないことだ。モバイルˇオペレ〖ティングシステムをアップデ〖トしておくことで、ユ〖ザは呵糠の怠墙を谍减できるだけでなく、セキュリティを奸る锦けともなる。パソコンと票屯に、システムを呵糠にすることは、饯赖されていないセキュリティホ〖ルや廊煎拉を网脱する碍罢ある苟封への松告となる。

眉琐にセキュリティˇアプリケ〖ションをインスト〖ルする
　モバイル怠达はミニコンピュ〖タ事みの怠墙を铜しているため、苟封や类硼の胎蜗弄な筛弄となる。そしてこうした觉斗は、フィジカルデバイスと崔まれるデ〖タを瘦割する涩妥を栏む。たとえばエフセキュアの≈Mobile Security∽アプリケ〖ションは、デ〖タを瘦割し、都耙から松告し、识己した、もしくは硼岂にあった眉琐を斧つける锦けとなる怠墙を捏丁している。

クリックし毗缅する眷疥に丹を烧ける
　改客攫鼠やクレジットカ〖ド攫鼠を惩评するスキャムやフィッシングは、モバイルユ〖ザに滦するもっともアクティブな苟封となることが徒袋される。ソ〖シャルエンジニアリングの缄恕は、ユ〖ザに碍罢あるリンクをクリックさせたり、铜弊な攫鼠を捏丁させたりするために脱いられる。よって、ウェブサイトが≈https∽で幌まっていることを、怠泰攫鼠を掐蜗する涟に澄千することだ。

パブリックネットワ〖クでの睛艰苞を沟える
　パブリックネットワ〖クは铜弊で、デ〖タ瘟垛を泪腆する锦けとなる。しかし、极尸の排厦が儡鲁しているパブリックWi-Fiは、セキュアではないかもしれないことを看にとめておく涩妥がある。奥链を袋するため、宠瓢はブラウジングに扩嘎し、睛艰苞を乖うのは闰けることだ。

アプリケ〖ションのインスト〖ル、惩评は慨脱できるソ〖スから乖う
　スマ〖トフォンを疥铜することの弛しみ∈そして守网さ∷には、屯」なことができる驴禾なアプリケ〖ションが宠脱できるということがある。驴くのアプリケ〖ションが赂哼し、迫惟した、モニタ〖されていないチャネルを奶じて捏丁されている。极尸がインスト〖ルしたものに庙罢し、そのソ〖スに庙罢することだ。ソ〖スの面には、碍罢あるコンテンツを崔むリパッケ〖ジされたアプリケ〖ションを崔むものもあるかもしれない。

眉琐惧での称アプリケ〖ションのデ〖タアクセスのチェックを浆捶步する
　アプリケ〖ションの面には、ユ〖ザのデ〖タや改客攫鼠にアクセスするものもある。アプリケ〖ションの认跋嘲、誊弄嘲のアクセスに脱看すること。たとえば、SMS∈粕み今きおよび流慨∷やコ〖ル、排厦蘑エントリ、システムファイルにアクセスするゲ〖ムアプリケ〖ションは、なぜそんなアクセスが涩妥なのかと悼啼を炊じる涩妥があるだろう。アプリケ〖ションに滦して部らかの悼いがあるなら、インスト〖ルしてはいけない。

　海钳、叉」はモバイルの都耙に糠たに弹きる瓢羹を、さらに拇汉して乖く徒年だ。モバイルセキュリティに簇する呵糠の拇汉冯蔡やニュ〖スに庙誊して瓦しい。

--Zimry Ongの抨蛊による。

′′付矢へのリンク

觅いCPUはマルウェア松告に霹しい々

2010钳11奉24泣23:38

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　ラボでは髓泣、部它もの悼わしいバイナリを胺っている。客粗の甫垫荚の孺秤弄井さなグル〖プが、このような翁を艰り胺える停办の数恕は、もちろんオ〖トメ〖ション步だ。叉」のマルウェアサンプル瓷妄システムにインポ〖トされたサンプルはスキャンされ、尸梧され、簿鳞茨董で悸乖される。淡峡が侯喇され、叉」客粗が尸老する。

　マルウェア侯荚は、アンチウイルスのベンダが呵糠の啊硷のライフスパンを苟封するため、オ〖トメ〖ション步と簿鳞步を蝗脱する祸を梦っている。∈それが、揉らが髓泣驴眶の啊硷を侯喇する妄统だ。∷翁が驴いことに裁えて、驴くのマルウェアの啊硷は、叉」のリサ〖チを烁げ、材墙な嘎り墓く浮叫されないようにするため、バ〖チャルマシン浮叫とアンチデバッギングコ〖ドも崔んでいる。

　箕には、揉らのアンチデバッギングはあまりに苟封弄で、嫡跟蔡溃涟ということもある。

　黎降、讳はデバッガの赂哼を浮叫するため、剩眶のメソッドを蝗脱しているZbot∈侍叹ZeuS∷の啊硷を尸老していた。デバッガが浮叫されると、ExitProcessが篓郝に钙びだし、碍罢あるコ〖ドは悸乖されない。このアンチデバッグトリックは墓らく梦られているものだが、その办つには烫球い甥侯脱がある。

　笆布がアセンブリコ〖ドだ¨

IDA

　呵介に、RDTSC∈Read Time-Stamp Counter∷インストラクションが悸乖される。タイムスタンプカウンタは、称クロックサイクル惧で猛が笼裁する。カウンタの光疤の32ビットはEDXにロ〖ドされ、スタック惧にプッシュされる。肌に、2擅粗悸乖を匿贿するSleep∈0x7D0∷が钙び叫される。呵稿にRDTSCが浩び悸乖され、攻罢の32ビットはスタックに瘦赂された猛と孺秤される。猛が霹しければ、すなわちRDTSCが悸乖される悸乖されるたびに、EDXが票じ猛を减けとるなら、サンプルはデバッガが赂哼しているに般いないと冉们する。これは、警なくとも2擅粗に2^32クロックサイクルが弹き、EDXの猛が笼裁しなければならないという簿年に答づいている。

　これは、サンプルはCPUが2GHz笆惧で瓢侯すると鳞年していることを罢蹋している。咐い垂えれば、2GHz笆布のCPUでは、サンプルはデバッグされているかのように慷る神い、悸乖を面贿し、システムに炊厉しないということだ。讳はこのサンプルをIBM T42∈1.86GHz∷ノ〖ト惧でテストしたが、票システムはスピ〖ドが觅かったため、炊厉を闰けることができた。

　Zbotのアンチデバッギング松告のもう办つ侍の烫球い甥侯脱は、票サンプルが炊厉させることの叫丸るどんなコンピュ〖タも、ボットの光擦なコレクションに姜わるということだ。もしかしたら、Zbotをばらまいている息面には、泼佰な捡蹋があるのだろうか々

　この淡祸はレスポンスチ〖ムのTimoによる。

′′付矢へのリンク

鼠桂された苟封サイト— - セキュリティツ〖ルの呵糠のトリック

2010钳10奉20泣15:38

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　苟封サイトをブロックするFirefoxの墙蜗を网脱して、稍赖なアンチウイルスアプリケ〖ション≈Security Tool∽が糠たなトリックを活みている。票アプリケ〖ションが、睛墒をプッシュするのにFirefox Update Flash怠墙を蝗脱したのは、それほど涟のことではない。

　海搀、稍脱看なユ〖ザがペ〖ジにアクセスすると、端めて塑湿らしく斧えるFirefoxのブロックペ〖ジが山绩される。

Reported Attack Page

　しかしこれは、奶撅のブロックペ〖ジではない。ブラウザをアップデ〖トするため、インスト〖ルが乖えるダウンロ〖ドを捏丁しているという爬で泼侍なのだ—

Reported Attack Page

　燎啦らしいでしょう々　それで、稍脱看なユ〖ザは≈ff_secure_upd.exe∽をダウンロ〖ドし、稍赖なAVをインスト〖ルすることになるかもしれない。

　悸狠は…スクリプトがブラウザで钓材されると、≈Download Updates—∽ボタンをクリックする涩妥さえない。ただユ〖ザに稍赖なAVをオファ〖するのだ¨

Reported Attack Page

　そして≈Cancel∽をクリックしても、それを雕容する。

Reported Attack Page

　冯渡、ユ〖ザはFirefoxをアップデ〖トすべき、ということだろうか々　そして、票アプリケ〖ションはもう办刨ダウンロ〖ドする企刨誊の怠柴を涂える爬で床络だ。

　乳迄なのは、票ペ〖ジが≈苟封ペ〖ジの面には、肝罢に铜巢なソフトウェアを芹邵しているものもある∽という掘灌を崔んでいることだ。≈どちらを联买するか、笆布のボタンをクリックして布さい∽という掘灌を裁えても紊かったかもしれない。

　糠たな燎啦らしいトリックだがかなり溉漏だ。そして惧缄く乖くかもしれない。よって、≈Firefox∽ブロックペ〖ジを斧たら康脚に。塑湿のペ〖ジはユ〖ザに、部かをダウンロ〖ドするよう楼したりはしない。笆布は、塑湿のFirefoxブロックペ〖ジの嘲囱だ¨

Reported Attack Page

　どこかアラニスˇモリセットの参の办つを蛔い叫させる…

纳淡¨呵络嘎萎奶させることを誊回し、Webサイトは斧たところ、≈Google Chrome∽脱のブロックペ〖ジも脱罢しているようだ¨

Malware Detected!

　海搀、稍赖なAVファイル脱に≈chrome_secure_upd.exe ∽というファイル叹を蝗脱している。

　呵稿に、侍のサイトからPhoenixエクスプロイトキットをロ〖ドするペ〖ジ柒にiframeがある。

　∈この纳裁攫鼠のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik— :)∷

　抨蛊はChristineおよびMinaによる。

′′付矢へのリンク

この茶咙が恃なのがわかりますか々

2010钳10奉06泣16:02

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　おめでとう、ICICI Bankのペ〖ジとそのURLが圭っていないのに丹づきましたね—　もう办爬、お丹づきになったかもしれないのは、Step 1の粗般いだ。悸狠のログインペ〖ジでは、ユ〖ザは赖しいURLであるかどうか澄かめるよう楼されるからだ。これら2つの般いを近けば、尉数のペ〖ジは票じものに斧える。

　すべては、狼垛丛烧の获呈があると奶梦する、インドの疥评狼渡からの排灰メ〖ルで幌まった。より慨完炊を笼すため、≈From∽アドレスはなりすまされていた。それからどうなるかご赂梦だろう。リンクをクリックし、千沮攫鼠を掐蜗すると、碍呸息面が仆脸、あなたの朵乖庚郝にアクセスする。

　どのような给鼎怠簇も、排灰メ〖ルを拆して怠泰拉の光い乖瓢をとったり、怠泰デ〖タを汤らかにするよう楼したりはしないことは、撅に看に伪めておきたい。このケ〖スでは、羌狼拷桂をする狠に涩妥とされる攫鼠がすべて箭礁されている。インドの疥评狼渡のサイトでは、このフィッシングの活みについて焚桂しており、ユ〖ザにこのようなメ〖ルを痰浑するようにアドバイスしている。

　インドの粕荚には、∈もしまだならば∷疥评狼の拷桂を撕れないよう拷し惧げる。

　この攫鼠を大せてくれたKandruとVenuに炊颊する。

′′付矢へのリンク

フィッシング踏侩のアラ〖ト—

2010钳08奉30泣13:13

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　部荚かが浩び、叉」になりすまそうとしており、笆布のような排灰メ〖ルを流慨している¨

From: Account Support
Date: Saturday, August 28, 2010 4:33 AM 
To: none
Subject: Account Alert!!!

An HTK4S virus has been detected in your Email Account, and your email account has to be upgraded immediately to our new F-Secure HTK4S anti-virus/anti-Spam version 2010 to prevent damage to the email and important files in your email account. You are therefore required fill the columns below to enable us verify your email account or your email account will be suspended temporarily from our services. 

Username:
Password:
Date of Birth:
Telephone Number: 

Copyright© Customer Care Center 2010 All Rights Reserved.

　こうしたメ〖ルは痰浑し、妥滇されている拒嘿に炳じないで瓦しい。≈F-Secure HTK4S anti-virus/anti-Spam∽という叹の澜墒は赂哼していないし、叉」が杠狄に滦して、このようなひどい矢烫のメ〖ルを流るようなことは痰い。

′′付矢へのリンク

痰瘟iPadへの2ステップから斌ざかる

2010钳08奉12泣21:00

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　赖木なところ、リンクをクリックすることで痰瘟の部かを惩评したことが部搀あるだろうか々　いや…スパムやトロイの腾窍、スパイウェアは、痰瘟の部かとはカウントしない。

　叉」は黎孩、アプリケ〖ションテスタに、痰瘟でiPadをプレゼントするという壕到を券斧した。汤らかにこのサイトは、iPadアプリケ〖ションテストプログラムに徊裁するよう客」を投い哈み、票サイトのオ〖ナ〖がSMS瘟垛のチャ〖ジとアフィリエ〖トプログラムから网弊を评るという慌寥みだ。票プログラムに徊裁するには、≈テスタ∽は2つのステップを窗位することが妥滇される。

iPad scam website

ステップ1¨Twitterコネクト。≈テスタ∽は极尸のTwitterアカウントにログインし、≈Keep it to hend∽という叹のアプリケ〖ションが、极尸の攫鼠にアクセスできるようにすることが滇められる。

iPad scam Twitter

　すると、テスタの艇客は≈iPadAppsTesting∽Webサイトへのリンクを崔んだつぶやきを减けとり、≈Jennt0kvqt∽という糠しいフォロワ〖が、艇客茫をフォロ〖することになる。

iPad scam, Twitter spam

　ではJennとは茂なのか々　揉谨のペ〖ジを斧ても络した祸は尸からない。揉谨の继靠へのリンク∈サイトに徊裁するよう茂かを艰り肌いだ客に鼠椒を涂えるアダルトサイトにアクセスさせる∷と、笺闯のありふれたつぶやきがあるのみだ。

ステップ2¨ボタンをクリックして判峡を窗位し、テスタは戮のサイトに投瞥される。

　iPadを惩评するための剂啼に搀批すると、肌に啡掠排厦の戎规を掐蜗し、1降粗に2つのSMSを减けとることに票罢するよう滇められる。SMSは1塑につき8マレ〖シアリンギットかかる。

iPad scam SMS

　冯渡のところ、腆芦されたiPadはまだ澄千されておらず、テスタはTwitterスパムとバカバカしいSMSメッセ〖ジの瘟垛で庞数に孰れることになる。

　抨蛊はChoon Hongによる。

′′付矢へのリンク

Firefox/Flashアップデ〖トを刘うロ〖グAV

2010钳07奉28泣17:48

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　稍赖な任卿荚たちは、ロ〖グウェアをユ〖ザのシステムに病し哈む狠の蝗い概されたトリックに、税きてしまったようだ。これまでのトリックは、焚桂、そして肌に刀のAVへと魂る、刀スキャンペ〖ジだったのだが。

　附哼、それはFirefoxの≈Just Updated∽ペ〖ジとなっている。Firefoxブラウザをアップデ〖トすると、すぐに山绩されるこのペ〖ジを梦っているだろうか々　そして、呵介にFirefoxをオ〖プンした箕に々　そんな恶圭だ。しかし、もちろん皖とし逢がある。Firefoxがアップデ〖トされたとしても、Adobe Flash Playerはアップデ〖トされていないと、ユ〖ザに桂げるメッセ〖ジがあるのだ。そのため、まだアップデ〖トの涩妥があるという。悸に舔に惟つ…

Firefox Update

　そしてユ〖ザは部もクリックする涩妥がない。ペ〖ジがロ〖ドされるとすぐに、ダウンロ〖ドダイアログボックスが附れるからだ…

Binary

　ユ〖ザがファイルを悸乖すると…　お齐厉みの碍しきロ〖グAVが…

Security Tool

　どういうわけか、稍赖な息面はFirefoxかFlash Playerかを疯められなかったようだ…　そのため尉荚を警」ということになったのだろう。

庙¨この碍罢あるサイトは贷にブロックされており、票ロ〖グはエフセキュアの呵糠デ〖タベ〖スアップデ〖トで浮叫されている。

　抨蛊はレスポンスチ〖ムMina & Christineによる。

′′付矢へのリンク

WoWアカウントフィッシング

2010钳07奉26泣12:49

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　≈World of Warcraft∽のアカウントは、プレイヤ〖のレベルに炳じて、フィッシャ〖にとって垛のなる腾となり评る。ゲ〖ム柒アイテムには见妥があり、悸狠のキャッシュで卿倾されることが材墙なため、WoWアカウントは客丹のあるフィッシングタ〖ゲットとなっている。

　エフセキュアのResponse Labのアナリストが黎孩、Blizzard∈WoWのクリエイタ〖∷から、アカウント澄千をするようにという排灰メ〖ルを减けとった。办斧、そのメ〖ルは、塑湿のソ〖スから丸たメ〖ルのようだった。≈From∽アドレスを斧て瓦しい。悼わしいところは部も痰い。

　排灰メ〖ルの柒推をさらに粕むと∈惧の茶咙をクリックすると橙络茶咙がご枉暮ける∷、部かおかしい炊じがする。このアカウントの澄千は、Blizzardと簇息のない嘲婶サイトで乖わねばならないのだ。メ〖ルには覆螟な矢恕ミスが驴い。

　さらに拇べてみると、票メ〖ルは改客のメ〖ルアカウントから流慨されていることが尸かった。フィッシャはSMTPリレ〖苟封を蝗脱して、≈From∽アドレスのなりすましを乖っているため、票メ〖ルはBlizzardからのものに斧えるのだ∈布の茶咙をクリックすると橙络茶咙がご枉暮ける∷¨

　Blizzardのゲ〖ム、泼にWoW、Starcraft IIおよびDiablo IIIのアカウントは附哼、Battle.netにより胺われている。アカウントの恃构には、窗链な澄千プロセスが涩妥とされ、その狠、铜跟なIDが捏绩される涩妥があることに庙罢して瓦しい。

Battlenet TOC

　フィッシャ〖はますます腑くなっており、揉らのソ〖シャルエンジニアリングは、より躬摊になり浮叫が岂しくなっている。さらに庙罢し、やみくもに链てのソ〖スを慨完しないことはユ〖ザの勒扦だ。

′′付矢へのリンク

チャックˇノリスˇスパムデキシング

2010钳07奉06泣15:39

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　この降琐、叉」のラボはスパムデキシングを奶じ、チャックˇノリスの客丹を网脱して泼年サイトの浮瑚エンジンˇランキングを刁げようとするスパムボットˇアプリケ〖ションを斧つけた。これは浮瑚冯蔡を兵厉するのに网脱され、浮瑚エンジンをだまして、浮瑚冯蔡のリストの惧疤にサイトをランキングさせるものだ。

　このスパムボットˇインスト〖ラは≈Application:W32/Spambot.A∽として浮叫されており、PEファイルをインスト〖ルに皖とし、肌にspambot.plとしてリストされたウェブサイトに儡鲁しようとする。このサイトは、PHPボ〖ドˇフラッド、チャットˇフラッド脱の屯」なプログラムを任卿し、そのアプリケ〖ションを≈あなたのサイトを浮瑚冯蔡で光疤にランキングさせる呵光のアプリケ〖ション∽と离帕している。

ChuckNorris (10k image)

　≈チャックˇノリス∽というストリングは、ユ〖ザがエントリ〖ˇサ〖チを悸乖する狠、冯蔡ペ〖ジのハイライトで年盗される驴くのストリング∈络婶尸はポ〖ランド胳∷の办つだ。キ〖ワ〖ドのハイライトに裁え、票アプリケ〖ションは排灰メ〖ルˇアドレスの箭礁や、クリックの极瓢步、泼年のサイトにトラフィックを瞥くためのサイト惧のクロ〖ルなどにも蝗脱される材墙拉がある。

′′付矢へのリンク

≈エフセキュアインタ〖ネットセキュリティ 2011 ベ〖タ∽を给倡

2010钳06奉15泣19:48

ツイ〖ト

fsecure_response

クアラルンプ〖ル券

by¨レスポンスチ〖ム

　エフセキュアの≈インタ〖ネットセキュリティ 2011 ベ〖タ∽がダウンロ〖ド材墙になった。

Internet Security 2011 Beta

　ベ〖タˇテスタは、6カ奉粗、票ソフトウェアを网脱でき、ファイナルˇリリ〖スに羹け罢斧を揭べる怠柴が评られる。

　糠怠墙のうち、ラボの斧豺で呵络のものと雇えられているのは≈ディ〖プガ〖ド 3∽テクノロジで、これはクラウドˇベ〖スのレピュテ〖ションˇシステム、舍第唯、ソ〖ス、钳勿などを网脱している。

　その冯蔡、叉」が梦らないか、慨脱しないものは、巢をなす笆涟にブロックされることになる。

　笆布は≈删擦が年められていない∽サイトから、≈レアな∽ファイルがブロックされている屯灰を绩すスクリ〖ンショットの办毋だ。これは、まだ糠しく、删擦が年められていないサイトが、しばしば侯喇されるレアなインスト〖ルˇファイルを蝗脱するという、お齐厉みのマルウェア/スケアウェアのシナリオだ。

Internet Security 2011 Beta