Like all fathers in the world, I want the best for my children, including the ability to leverage the latest in technology. In today’s world, my children need to understand technology not only to be competitive in their education and careers but also in many cases to develop and maintain active social lives. However, with these capabilities come risks – risks that my children are often not aware of or prepared to deal with. I am in the lucky position to know a lot of these risks due to my daily work in IT, and nearly every day I am scared about the ignorance and lack of knowledge from many parents I am talking to. As parents, it is our responsibility to ensure our children understand these risks and how to protect themselves. Therefore I want to explain the top three threats to our children and how we can help them stay safe online.

TOP THREE THREATS

To protect your children, you have to first understand the dangers they face online. By understanding these dangers, you and your children will be able to work together better to defend against them.

1. Strangers: Dangerous strangers are one of the most common threats most parents think of. These are individuals who establish relationships with your children in order to take advantage of them. Such individuals may attempt to befriend your children or pretend to be children themselves.
2. Friends: Cyber bullying is a growing problem on the Internet and one that as a parent you may underestimate. Bullying has always existed, but the Internet amplifies the issue as bullies can post harassing messages to the entire world and even hijack your child’s identity online. In addition, bullies can remain anonymous on the Internet, making them harder to track down and stop.
3. Themselves: In today’s world of social networking, children can be their own worst enemy. Anything they post is not only accessible to the entire world but once posted may be difficult or even impossible to remove. What your children may not realize is how these postings can impact their future. It became standard practice for universities or hiring organizations to review the social networking activities of student candidates or new hires to gain a better understanding of their potential. If your children have anything embarrassing or illegal posted about them, it may be held against them. In addition, highly personal information can be used by strangers - or even by friends - to target or harm them.

PROTECTING YOUR CHILDREN

Now that you understand the key risks, here are steps you can take to defend against them.

• Education: The most important step you can take is education. No single technology or computer program is going to solve all the dangers your children face online. Make sure you are always talking to them about their online activities, and stay current with what they are doing. In addition, create an environment where your children feel comfortable coming to you with questions or problems they may have online.
• Dedicated Computer: Have a separate computer just for your children. This ensures that if they do accidentally infect their computer, your online accounts, such as online banking, are not affected or compromised. In addition, keep the children’s dedicated computer in a public, high-traffic area so that you can monitor their online activities. Finally, make sure each child has and uses his own non-administrative account on the computer. This will allow you to more easily track what each child is doing on the computer.
• Rules: Create a set of rules you expect your children to follow when online. Also, consider how the rules will be enforced and possible consequences for violating the rules. Review this set with your kids and then post it as a document by their computer or in some other visible area. This way your children will know and understand your expectations.
• Monitoring: Children are by nature trusting and curious. Unfortunately, as parents we know that this can sometimes lead to dangerous or painful situations. So monitor your children’s activities; they simply do not realize how dangerous the world can be. Help them to identify issues and discuss these issues together so that they can build a safe online presence. Most security software like Norton Internet Security has already parental controls that help you to monitor their activities, or you can simply add programs that give you greater monitoring capabilities.
• Filtering: In addition, you may want to filter your children’s online activities, such as restricting which websites they can visit. This is especially important for younger children, as it protects them from accidentally accessing dangerous or unwanted content. Just like monitoring, most computers have basic parental controls that enable you to filter their activities, or you can add programs like Norton Internet Security that give you greater capabilities. However, as children grow older filtering becomes less effective. Not only do children need greater access, such as for school or work, but they will be also accessing the Internet with devices you do not control, such as computers in libraries, at a friend’s house, or at school. This is why ultimately education is the most important step you can take.

In particular, I see parents protecting the notebook or desktop at home, but don’t do anything on the kid’s smartphone. I had the same dilemma when my teenage daughter got a full featured Android smartphone. After some research and evaluations I found a very accurate solution:

1. Install an app locker that will allow you to lock each app individually with a master code, like Settings or Play Store. I use App Lock which does everything I need, but there are a few others in Android Play Store or Apple App Store that also work well.
2. Install Norton Online Family. It is free of charge in the standard version and works on Windows, Mac, Android and iOS. After creating a Norton account you can setup profiles for your kids, block or setup warnings on web sites, define time restrictions, do whitelisting or blacklisting of websites, setup monitor and warning notifications, etc. I know your kids won’t like the idea to be monitored by their parents. My daughter didn’t like the idea. Therefore I talked to her and showed her what I can actually see in the system, which is less intrusive than she was thinking. So now she is OK with it.
3. If you think malware like viruses, trojans and spam doesn't affect smartphones, you are wrong. In particular on Android platform, malware is exponentially growing (i.e. see https://www-secure.symantec.com/connect/blogs/linux-kernel-exploit-ported-android). Therefore you should install a smartphone security software like Norton Mobile Security to avoid becoming a victim of malicious applications. In addition, I always recommend that you should only use reputable marketplaces for downloading and installing applications.

If you need further information or guidance, please do not hesitate to contact me for any further question.

Hello 

when i upgraded Netbackup from 6.5 to 7.5 many customers came up with dll hanging problems, so when we terminate them , installation successfully started , so Symantec tech note was greatly help ful for me

error

"Please terminate any other NetBackup processes and rerun installation again." and "ERROR: Warning the following processes are still running that need be shutdown. These processes have NetBackup dlls loaded which need to be replaced"

Failed to copy file from C:\Program Files\VERITAS\\NetBackup\bin\admincmd\NetBackup.dll to C:\Program Files\VERITAS\\NetBackup\bin\NetBackup.dll

Error was: The process cannot access the file because it is being used by another process.

Solution

寄稿: Avdhoot Patil

サッカーのクラブチームや有名選手、関連イベントを狙うのは、どうやらフィッシング詐欺師の習性のようです。詐欺師は卑劣な行為を繰り返しており、特にサッカーを標的にしています。今回、目を付けたのは、レアル・マドリード C.F. です。スペインのマドリードに本拠を置く同クラブは、世界で最も裕福なサッカークラブの 1 つであり、お数多くのファンを抱えています。

図. 偽のフィッシング Facebook ページ。レアル・マドリードとクリスティアーノ・ロナウド選手の画像が使われている。

この図にあるように、フィッシングページは、レアル・マドリードを強調したデザインのページコンテンツで、ユーザーに Facebook のログイン情報を入力するよう求めます。このページのタイトルは「Facebook Real Madrid Login」で、背景には同クラブのクリスティアーノ・ロナウド選手の画像が使われています。ユーザーがログイン情報を入力すると、このフィッシングサイトからレアル・マドリードの正規の Facebook コミュニティページにリダイレクトされます。正規のページにリダイレクトするのは、正当なログインだと思わせるためです。このフィッシングサイトの手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪の被害者になってしまいます。

たくさんのファンが付いている有名選手やサッカーチームを利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 6 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を入力しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
• 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
• 偽の Web サイトや電子メールを見かけたら報告する（Facebook の場合、フィッシング報告の送信先は phish@fb.com）。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

マルウェア作成者は、新しい脆弱性が一般に公開されると、すぐにそれを悪用しようとします。最近 Performance Counters for Linux（PCL）で見つかった、Linux Kernel Local Privilege Escalation Vulnerability（Linux カーネルのローカル特権昇格の脆弱性）（CVE-2013-2094）は、現在さまざまなプラットフォームで悪用されていますが、ついに Android オペレーティングシステム上で動作するように手が加えられました。

Android オペレーティングシステムに詳しくない方のために付け加えると、Android はオープンソースの Linux オペレーティングシステムをベースにしています。つまり、Linux カーネルベースの脆弱性が見つかると、その多くが Android デバイスでも悪用される可能性があるのです。ただし、Android デバイスでも種類が違えば、使われている Linux カーネルのバージョンも異なるため、ある特定の脆弱性の悪用の影響を受けるデバイスは限られるでしょう。

特権昇格の脆弱性の悪用は、サイバー犯罪者に侵入先のデバイスの完全制御を許してしまう可能性があるので特に危険です。Android オペレーティングシステムは通常、すべてのアプリケーションをサンドボックス化するため、どのようなアプリケーションでも、重要なシステム操作を実行したり、他のインストール済みのアプリケーションに干渉したりすることはできません。特権昇格の脆弱性を悪用したマルウェアの例としては、他のアプリケーションのデータにアクセスするもの、アンインストールを妨害するもの、マルウェア自身を隠すもの、さらには Android のアクセス許可モデルをすり抜けて、ユーザーの同意を得ることなくプレミアム SMS メッセージの送信などの操作を実行するものなどが、これまでに確認されています。

2011 年に Android.Rootcagerに関するブログでも説明しましたが、特権昇格の脆弱性を突いた悪用はすぐにマルウェアに組み込まれるため、今回の脆弱性の悪用を組み込んだ Android マルウェアも近いうちに登場するでしょう。

シマンテックでは今後も、脆弱性を悪用しようとする脅威の状況を監視し続けます。この悪用の影響を受けるすべての Android デバイスに対してパッチが提供されるまでは、悪質なアプリケーションの被害を受けないためにも、アプリケーションをダウンロードしてインストールする際は、信頼できるマーケットプレイスを選ぶようにしてください。

お使いの Android デバイスが何らかの脅威に感染していると思われる場合は、ノートン モバイルセキュリティに最新の更新をダウンロードして、完全スキャンを実行してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

This article originally ran on StateScoop on June 11, 2013

Whenever I ask state and local government IT managers if they're using virtualization, the answer is “yes” nearly 100 percent of the time.

But when I alter that question slightly and ask if they're virtualizing mission-critical applications, the “yes” percentage falls close to zero.

Essentially, these managers are saying: Sure, we're happy to leverage virtualization, just not for the operations we care about.

Logically, this is a bit of an odd position to take. If system components were children, would you really buy food for your youngest daughter Storage that you wouldn't feed to your eldest son Project Management?

Then again, government IT operations are to a large degree driven by risk tolerances. And when they run the risk-benefit equations, customers often find that the risks of critical application virtualization (reduced reliability and manageability of services) outweigh the benefits.

The trouble is: these risk-benefit equations fail to account for new technologies and strategies.

 
It is true that historically, we’ve had trouble gaining visibility into virtual environments—which is, naturally, essential for identifying and debugging malfunctions before they escalate.

However, over the past year and a half, we've seen groundbreaking solutions arise for getting better optics inside virtual machines. And using these tools, government organizations should feel a lot more comfortable moving their mission-critical applications to the virtual environment.
 
This is particularly important because the aggregate computing power of state and local governments is very often underutilized. (Frequently, servers dedicated to running a single application won’t even attempt to share excess power with other CPUs in the environment.)

The common perception is that when adding a new application, IT must purchase a new, dedicated CPU to support it. But quite frequently—with a little planning—the existing unutilized CPU power in an environment is more than adequate.

Another common fear is that servicing or upgrading CPUs will compromise the performance of the services they power. But again, we have tools today that can provide robust, real-time failover of virtualized mission-critical services and applications. With the right tools and management structures in place, there’s simply no reason for hardware swapping—or the peaks and valleys of service use—to impact the performance or resiliency of virtualized applications.
 
That said, it’s incumbent on IT managers to design data centers, critical services, and applications to accommodate these inevitable change operations (both planned and unplanned). It’s also important for IT managers to build data centers with maximum flexibility—so that resiliency can be preserved even when using different vendor platforms and system components.
 
A lot of government IT managers believe they have to standardize with a single vendor in order to achieve that resiliency. But it’s a myth—and an expensive one.

According to Gartner, organizations spend 30 percent more when locked into a single vendor. And in the future, these IT managers won’t be able to upgrade to cheaper, more effective technologies from alternate vendors. So in essence, they’re paying more to limit their own options.

The point is, we have the tools today to help governments reap the benefits of mission-critical app virtualization (plus lower costs and greater flexibility through vendor competition) without sacrificing one ounce of reliability or manageability.

So go ahead and run those risk-benefit equations one more time. And if you find any unnecessary coddling—now’s the time to make a change.

Friedrich Nietzsche, a German philosopher, once said that, “without music, life would be a mistake.” This resonates with me, as someone with a profound love and appreciation for music. Like many fans, I’m an avid concert and festival attendee. Just last year, I attended a number of music festivals, from Coachella to Rock The Bells.

Last year’s Coachella music festival sold out quickly. While my friends and I managed to secure tickets, not everyone was so lucky. Shortly after ticket sales ended, I observed a Facebook fan page offering “free tickets” to users who liked the page. It had close to 10,000 likes but contained little information. I started warning friends that the page was a scam. The page was eventually taken down, with no free tickets awarded after all.

These types of online ticket scams may not seem common, but that perception is precisely why an offer like this—whether through social networking or email—may not arouse suspicions.  

Symantec recently conducted a global survey to explore fans’ online and digital behaviors associated with concerts, festivals, and sporting events. We found that nearly one in five people personally purchased, or know someone who purchased, a ticket that did not provide all the access it promised. More than half (58 percent) of problematic tickets originated from online marketplaces.

Smartphones also play an important role in a fan’s overall festival and event experience. Some festivals offer mobile applications with event information, such as a map of the festival grounds and set times for various artists. Our survey also found that 78 percent of fans use their smartphones to take photos and videos.

At last year’s Coachella festival, my friend had her purse stolen. In addition to losing her credit cards and identification, she lost her iPhone. She reached out to me, as someone she can count on for advice on security and technology. Unfortunately, she had not turned on the Find My iPhone app, so we called her service provider to report her phone as stolen and deactivate it. She was without a phone for the rest of the festival, which was a bit frustrating for her. When asked what upset her most about having her phone stolen, she didn’t hesitate to respond, “Losing all of the photos I had taken this weekend.”

They say a picture is worth a thousand words. But ask my friend, and she’ll tell you those pictures were priceless.

Upon receiving her replacement iPhone, my friend immediately set up the Find My iPhone app. She started backing up her photos regularly and made sure the password on her phone was strong.

Symantec recommends password protecting your phone with a strong password and, if your phone supports it, enable remote tracking to locate a lost phone. Otherwise, install security software that offers remote tracking and wiping functionality. Back up your data regularly and be wary of free ticket scams on social networks.

These are just a few of the easy yet important steps you should take before heading out to a concert or a festival. In the event that your smartphone is lost or stolen, this can help prevent unauthorized access, give you the ability to remotely wipe your device, and ensure the memories you captured at the event won’t be lost forever.

Most people are familiar with the concept of hidden costs. From building a house to getting a pet, there are always unanticipated expenses beyond the purchase price. Migrating to the cloud is no different. With 88 percent of SMBs now at least discussing cloud services, you’re probably well aware of all the benefits: speed, flexibility and the cost savings of a subscription model. But, we’ve found that many SMBs don’t always follow best practices when moving to the cloud and can end up taking on hidden costs, which counter many of these benefits or remove them completely.

Symantec’s recent report, Avoiding the Hidden Costs of the Cloud looks at some of the unforeseen costs SMBs have experienced in cloud deployments. Here’s a quick rundown of some of the relevant findings:

• 7 in 10 SMBs have experienced rogue (unapproved by owner or IT) cloud deployments within the last year, resulting in issues such as the exposure of sensitive information (reported by 40 percent)
• Among SMBs who reported rogue cloud deployments (more about that below), more than one-third (36 percent) had confidential information exposed, and more than 20 percent faced account takeover issues, defacement of Web properties, and stolen goods or services.
• As a consequence of mismanagement and complexity, more than one-third of SMBs have lost data in the cloud and most have experienced at least one data recovery failure in the cloud.

Rogue clouds, the first issue uncovered by the survey, happen when a well-meaning employee seeks to boost productivity without the “hassle” of going through IT or the business owners – we also call this shadow IT. What’s the harm? Imagine your sensitive information such as product specs or customer information residing beyond the control of your company. Although this issue is far from rare, it does illustrate that employees want and enjoy using cloud services to get their jobs done more efficiently. However, employees don’t understand that they are creating risks and added costs for their companies.

To curb rogue cloud deployments, you should consider a “pick one” approach. Meaning, you should identify what it is that users need and standardize on a solution that meets their needs. If users need file sharing, collaboration or social media, choose a cloud solution that addresses that need and bless it, certify it, implement controls on it and let employees use it. Once you’ve given users what they need, do not allow competing cloud services.

SMBs also need to properly educate employees on policies. By making employees aware of not only the policies but also why they are important, you can ensure employees know how and when to use cloud services efficiently and securely.

For SMBs ready to move to cloud-based services or just beginning to consider it, below are five tips to consider to help ensure a seamless move when picking your cloud service provider:

1. Understand the Provider’s Security Controls: Every organization’s security needs and expectations are different so it’s important to understand how the vendor can meet those needs. The Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR), which is a publicly accessible registry that documents the security controls provided by various Infrastratructre as a Service (IaaS), Platform as a Service(PaaS), and Software as a Service (SaaS) offerings, is a good place to start. The searchable registry enables users to review the security practices of providers, which will help lead to a better informed purchasing decision. Also, check the vendor’s certifications, references and investigate case studies with organizations similar to your own.
2. Know the Provider’s Data Backup Practices: Know how the cloud provider backs up data and in the worst-case scenario, what would happen if they went out of business or if you wanted to move data to another provider. Get a feel for the provider’s storage reputation, their track record of uptime, the number and location of their data centers and redundancy of their infrastructure.
3. Secure Good SLAs: The best way to ensure good service is with solid Service Level Agreements (SLAs) with clear contractual language. Many vendors promise 100% SLAs but few are linked to financial penalties for underperformance. Look for vendors who publish their performance and have clear financial penalties if they don’t meet SLAs.
4. Evaluate the Human Team: The value of the people behind a cloud service should not be underestimated. Beyond being staffed with cloud specialists who are available 24x7, consider whether your chosen vendor’s specialists can meet your organization’s specific needs.  For instance, if you’re looking for a cloud-based security provider, does the vendor leverage a combination of technology and people to proactively identify new threats globally and flag them for at-risk customers?
5. Test the Service: One benefit of cloud services is that they have free trialware that is generally easy to deploy. Most vendors offer this to prospective customers. Start small with the trial and once satisfied, you can expand the service to include confidential data and other mission-critical systems.

The cloud offers significant advantages over traditional IT models. But in order to benefit from the agility of the cloud and turn it into a competitive advantage, SMBs need to understand the challenges and plan intelligently from the start – the cost of failure can have a big impact on your business. With limited budgets and fewer IT resources to respond to problems, SMBs can’t afford to learn the hard way about the hidden costs of clouds.

今月のマイクロソフトパッチリリースブログをお届けします。今月は、23 件の脆弱性を対象として 5 つのセキュリティ情報がリリースされています。このうち 19 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

• ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
• ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
• 未知の、または疑わしいソースからのファイルは扱わない。
• 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
• 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 6 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Jun

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

1. MS13-047 Internet Explorer 用の累積的なセキュリティ更新プログラム（2838727）

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3110）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3111）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3112）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3113）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3114）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3116）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3117）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3118）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3119）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3120）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3121）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3122）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3123）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3124）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3125）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer スクリプトデバッグの脆弱性（CVE-2013-3126）MS の深刻度: 緊急

   Web ページのデバッグ中に Internet Explorer のスクリプト処理が不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が Internet Explorer における現在のユーザーのコンテキストで任意のコードを実行できる場合があります。攻撃者は Internet Explorer を介して、この脆弱性の悪用を目的として特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3139）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3141）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

   Internet Explorer のメモリ破損の脆弱性（CVE-2013-3142）MS の深刻度: 緊急

   Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

2. MS13-048 Windows カーネルの脆弱性により、情報漏えいが起こる（2839229）

   カーネルの情報漏えいの脆弱性（CVE-2013-3136）MS の深刻度: 重要

   Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルアドレスから情報漏えいを起こす可能性があります。

3. MS13-049カーネルモードドライバの脆弱性により、サービス拒否が起こる（2845690）

   TCP/IP の整数オーバーフローの脆弱性（CVE-2013-3138）MS の深刻度: 重要

   TCP 接続中に Windows TCP/IP ドライバがパケットを正しく処理しない場合に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となるシステムが応答を停止する可能性があります。

4. MS13-050 Windows 印刷スプーラコンポーネントの脆弱性により、特権が昇格される（2839894）

   印刷スプーラの脆弱性（CVE-2013-1339）MS の深刻度: 重要

   プリンタが削除されたときに Microsoft Windows 印刷スプーラがメモリを処理する方法に、特権昇格の脆弱性が存在します。

5. MS13-051 Microsoft Office の脆弱性により、リモートでコードが実行される（2839571）

   Office のバッファオーバーフローの脆弱性（CVE-2013-1331）MS の深刻度: 重要

   Microsoft Office が、特別に細工された Office ファイルを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocusポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

ITMS 7.5 Release Preview Release Announcement 06/13/13

Announcement Details The IT Management Suite 7.5 Release Preview has been released to authorized Beta customers.

Highlights - UI Performance improvements – console up to 15 times faster! - Cloud-enabled Management - Expanded security options - Dynamic summary reporting for software delivery tasks and policies with one-click retry for any failed tasks - Legacy Agent Communication mode - Mac management improvements, including Mac imaging - SIM: improved upgrade interface - More flexible deployment options - Additional pre-boot capabilities - Addition of CMDB functions (custom resources, resource mapping) to all products - Simplified and enhanced IT Analytics reporting

Download Location and Documentation Log in with (or create) your SymBeta account: https://symbeta.symantec.com/callout/?callid=DBE58... Then go to Resources > Downloads.

Japanese one-click fraud apps on Google Play made their debut at the beginning of the year and have now become a regular on the market as new variants appear on an almost daily basis. I was curious to see whether the scammers had attempted to target other mobile platforms, so I did some investigative work. The result of which was I didn’t find any one-click fraud on other platforms, but I did came across a dodgy app in the Apple App Store that uses a strategy that is similar to one-click fraud apps.

Once opened, the app accesses certain URLs and displays content from them within the app. The app itself pretty much acts as a frame for the fraudulent site. The particular app leads to fake dating services, called “sakura” sites in Japan, rather than one-click fraud apps that attempt to fool users into paying for an adult video service.

The app was introduced on the App Store as a game and certainly does not look like it is related to a dating service on the English page.
 

Figure 1. English version on the App Store
 

However, the introduction on the Japanese page suggests that the app may have something to do with pornography. The page also states that users need to be over 18 years of age and that the app is available for a free download for a limited time only.
 

Figure 2. Japanese version on the App Store
 

Once installed and launched, the app’s appearance resembles the App Store.
 

Figure 3. Supposedly downloadable apps
 

By turning off the network connection on the device and then reopening the app, no content is displayed in the app because it could not download it from the Internet.
 

Figure 4. Result of no network connection on the device
 

When the non-existent apps within the app are opened, the default browser on the device opens various dating service sites that are all hosted on the same domain. Interestingly, the domain has been known to host the Android version of the same dating scam as well.
 

Figure 5.“Sakura” dating site used in the scam
 

Once users sign-up for the service, they will soon be bombarded with messages from non-existent people interested in meeting them. The messages are actually sent from people hired by the operators of the dating service; this type of person is known colloquially in Japan as a “sakura.” The ultimate goal of the sites is to trick users into purchasing points to continue the online conversations. There is little chance that the users will ever be able to physically meet anyone on the site. Hence, this type of site is generally known as a “sakura” site in Japan. The email accounts the victims used to sign up to the site may also end up receiving spam from various dating services.

The offending app is clearly in violation of the App Store policy for various reasons and has been removed from the store. How could the app have been approved in the beginning? Because the app simply acts as a frame, different content, perhaps game related, could have been used during the approval process. As this is big business for the scammers, they devise various strategies to spread their scam. Users need to be vigilant wherever they may be downloading their apps from.

The following video shows how this scam works (note that an Android device was used to capture the video):
 

The time between discovery of a vulnerability and the emergence of an exploit keeps getting shorter—sometimes a matter of only hours. This increases pressure on IT managers to rapidly patch production systems in conflict with configuration management and best practices for quality assurance. Many organizations struggle to keep up with the constant release of new patches and updates.

Last Tuesday, June 11, 2013, Microsoft released a security bulletin (MS13-051) which covers a number of vulnerabilities. One of the vulnerabilities has reportedly been exploited in targeted attacks. Attackers can leverage this vulnerability by sending a specially crafted attachment as part of a spear phishing campaign.

Microsoft Office PNG File CVE-2013-1331 Buffer Overflow Vulnerability (CVE-2013-1331)—a remote stack-based buffer overflow vulnerability in Microsoft Office that allows remote code execution. It is confirmed to affect Microsoft Office 2011 for Mac and Microsoft Office 2003 for all Windows platforms.

Symantec currently has the following detections in place for this vulnerability:

Antivirus Signature

• Trojan.Mdropper

Intrusion Prevention Signature

• Web Attack: Microsoft Office CVE-2013-1331 2
• System Infected: Trojan Backdoor Activity 12

We continue to monitor this threat to improve coverage and will provide any relevant updates when possible. Symantec strongly advise users to update their antivirus definitions regularly and ensure the latest Microsoft patches are installed:

• Update for Office 2003
• Update for Office for Mac 2011

日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。

このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。

App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。
 

図 1.英語版の App Store
 

一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。
 

図 2.日本語版の App Store
 

アプリをインストールして起動すると、そのデザインは App Store に似ています。
 

図 3.ダウンロード可能なように見えるアプリ
 

デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。
 

図 4. デバイスがネットワークに接続されていないときの表示
 

このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。
 

図 5. 詐欺で使われた出会い系の「サクラ」サイト
 

サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。

この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。

以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

脆弱性が発見されてから悪用が出現するまでの時間は、ますます短くなっています。ときには、数時間ということさえあります。そのため、IT マネージャは実働システムへのパッチ適用を急がされ、品質保証に必要な設定管理やベストプラクティスに抵触してしまいます。新しいパッチや更新を常にリリースし続けることに四苦八苦している企業も少なくありません。

今月の第 2 火曜日、2013 年 6 月 11 日に、Microsoft 社は多くの脆弱性を対象とするセキュリティ情報（MS13-051）を公開しました。報告によると、その脆弱性のひとつが標的型攻撃に悪用されています。攻撃者は、スピア型フィッシング攻撃の一環として、特別に細工した添付ファイルを送信してこの脆弱性を悪用できてしまいます。

Microsoft Office の PNG ファイルに存在するバッファオーバーフローの脆弱性（CVE-2013-1331）、すなわち Microsoft Office に存在するリモートスタックベースのバッファオーバーフローの脆弱性によって、リモートでコードが実行されます。これは、Microsoft Office 2011 for Mac と、全 Windows プラットフォーム向けの Microsoft Office 2003 に影響することが確認されています。

シマンテックは現在、この脆弱性に対して以下の検出定義を用意しています。

ウイルス対策定義

• Trojan.Mdropper

侵入防止シグネチャ

• Web Attack: Microsoft Office CVE-2013-1331 2
• System Infected: Trojan Backdoor Activity 12

シマンテックは保護対策を強化するために、この脅威を継続的に監視し、対応ができしだい、該当の更新を提供する予定です。ウイルス定義対策を定期的に更新し、以下の Microsoft 製品の最新パッチをインストールすることをお勧めします。

• Office 2003 用の更新プログラム
• Office for Mac 2011 用の更新プログラム

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

国際クリケット評議会（ICC）のチャンピオンズトロフィー 2013 が、現在イングランドとウェールズで開催されています。グループマッチはすでに始まっており、決勝戦は 6 月 23 日に予定されています。これまでにもシマンテックは、ICC ワールドトゥエンティ 20やクリケットワールドカップを狙ったさまざまなスパムメールを確認しています。予想どおり、ICC チャンピオンズトロフィー 2013 の詐欺メールが、Symantec Probe Network で検出され始めています。

419 詐欺（ナイジェリア詐欺）は、テキストベースの電子メール、.doc ファイル、PDF ファイルの形で届きます。今回の詐欺メッセージは、ICC UPDATE.doc という名前の .doc ファイルとして添付されており、カムリソラーラの新車、85,000 ユーロ相当が当選したと書かれています。これは典型的な 419 詐欺です。この詐欺メールによると、当選者の電子メールアドレスはある福引きで集められ、日本にある本部で行われた最終抽選に送られたことになっています。賞品を手に入れるためと称して、ユーザーは名前、電話番号、住所、職業などの個人情報の入力を要求されます。
 

図 1. .doc ファイルが添付された 419 詐欺メール
 

図 2. 詐欺メールの添付ファイルの内容
 

図 3.賞品を受け取るために個人情報を入力するよう誘導する 419 詐欺
 

送信元が正規のものでない限り、このような電子メールの中の URL はクリックしないようにしてください。スパム対策シグネチャを定期的に更新して、個人情報が漏えいしないよう保護することも忘れないようにしてください。シマンテックでは、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、スポーツイベントにちなんだスパム攻撃を監視しています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Mention PKI or ‘Client Certificates’ to many people and it may well conjure up images of businesses busily protecting and completing their customers’ online transactions, yet such certificates are to be found throughout our daily lives, in any number of flavours; when we sign into a VPN; use a bank card at an ATM, or a card to gain access to a building; within Oyster public transport smart cards, used in central London. These digital certificates are even to be found in petrol pumps, the robots on car assembly lines and even in our passports.

In Continental Europe and many so-called ‘emerging countries’, the use of client certificates  is particularly widespread, with governments issuing ID cards that have multiple uses, such as to pay local taxes, electricity bills and for drivers’ licenses. And the reason to see why is simple – client certificates play a vital role in ensuring people are safe on line. As the name indicates, they are used to identify a client or a user, authenticating the client to the server and establishing precisely who they are.

Server or SSL Certificates perform a very similar role to Client Certificates, except the latter is used to identify the client/individual and the former authenticates the owner of the site. Server certificates typically are issued to hostnames, which could be a machine name (such as ‘XYZ-SERVER-01’) or domain name (such as ‘www.symantec.com’). A web browser reaching the server, and validates that an SSL server certificate is authentic. That tells the user that their interaction with the web site has no eavesdroppers and that the web site is exactly who it claims to be. This security is critical for electronic commerce, which is why certificates are now in such widespread use.

How do they do that? In practice, a web site operator obtains a certificate by applying to a certificate provider with a certificate signing request. This is an electronic document that contains all the essential information: web site name, contact email address and company information. The certificate provider signs the request, producing a public certificate, which is served to any web browser that connects to the web site and, crucially, proves to the web browser that the provider issued a certificate to the person he believes to be the owner of the web site. Before issuing a certificate, however, the certificate provider will request the contact email address for the web site from a public domain name registrar and check that published address against the email address supplied in the certificate request, ensuring the circle of trust has been closed.

Moreover, you can configure a web site so that any user wishing to connect is required to provide a valid client certificate, and valid user name and password. This is usually referred to as ‘two-factor authentication’ – in this instance, ’something you know’ (password) and ’something you have’ (certificate).

For those engaged in transactions on the web, certificates mean an end to anonymity and instead provide assurance that this is someone you can trust; that they are who they say they are. In an online world where our safety is being challenged constantly, such reassurance is invaluable.

For more information and resources visit our website security white paper resource website.

Hey Guys,

Recently I came across a case where the one of our customer was facing an issue on restore of SharePoint List that contained custom columns.

Before

After

I tried reproducing it in house but I could not, then I asked for output of spprobe2010.exe, from the output I could see that the customer has upgraded SharePoint to cumulative pack - 14.0.6134.5000.

I upgraded my SharePoint setup to same cumulative pack and tested again and voila!!! The issue is reproduced at my setup. I investigated further and found that there are some underlying SQL changes in the cumulative pack.

The fix to this has been provided in an ET 3202205.

Regards,

Gaurav Kaushal

Les Managed Security Services Symantec permettent la détection des incidents de sécurité à partir des logs d’équipements, de serveurs et de postes de travail.

L’efficacité de la détection d’attaques ciblées résulte de la coordination des forces du service :

• Collecte globale de tous les logs

• Moteurs d’analyse avancés

• Corrélation avec les informations provenant du Global Information Network de Symantec

• Réévaluation des incidents par des analystes experts en fonction du contexte

• Notification dans les 10 minutes suivant la détection d’un incident critique

Voici par exemple de quelle manière a été traité le cas réelW32.Morto :

W32.Morto est un vers qui se répand en scannant le réseau pour trouver des machines acceptant des connexions RDP (Remote Desktop Protocol).

Dès sa découverte, MSS a implémenté des méthodes de détection pour identifier W32.Morto chez les clients MSS disposant de sondes IDS.

En outre, d’autres moyens de détection suivants ont été mis en œuvre :

• Hot IP Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des firewalls par MSS

• Web Security Monitoring Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des proxys par MSS

• Brute Force Signatures : Les tentatives répétées et manquées d’attaque par brute force pour deviner un mot de passe sur des comptes administrateurs sont détectées par MSS

• Aggressive Scan Signatures : Les connexions depuis des machines infectées vers les machines du réseau en RDP sont également détectées par MSS

En 24h, MSS a détecté plus de 120 infections potentielles chez les clients MSS.

Cela démontre la force des services MSS de Symantec :

• Importance du Global Intelligence Network : Avec près de 200 millions d’outils et équipements anti-malware installés, Symantec a accès à une gigantesque base de connaissance sur les menaces, en temps réel.

• Importance de l’implication des analystes experts en sécurité : dans ce cas précis, 61% des incidents potentiels avaient été identifiés comme des faux positifs. Il est très difficile d’identifier des incidents sans confronter les indices d’attaques au contexte technique par les analystes.

• Importance de la couverture des équipements périmétriques aux postes de travail : dans ce cas, 87% des détections valides provenaient d’événements liés aux logs de firewall. C’est pour cette raison qu’il est important de combiner logs d’IDS et autres logs (firewall, proxy, serveurs…)

• Importance de recevoir TOUS les logs, sans filtrage préalable : Si les logs sont filtrés à la source, il y a un risque non négligeable de manquer un flux comme ce flux RDP qui était naturellement accepté en tant que flux interne.

Pour en savoir plus :

http://www.symantec.com/business/theme.jsp?themeid=confidence-in-managed-services

Symantec is excited to announce that our certified integration with SAP HANA will be available to our customers in two weeks on June 28th, as this is the official release date for the new NetBackup 7.5.0.6!

SAP HANA is a high performance In-Memory Database (IMDB) that takes Business Intelligence and Analytics to a whole new level.  Companies can do real-time analytics on huge amounts of data with lightning speed.  What used to take weeks to church through so much information has been whittled down to minutes.  But with so much data, how do you back it up?

NetBackup has become the first vendor to certify with SAP HANA’s BACKINT process.  This means that SAP HANA Studio which manages the HANA database can stream backups live to NetBackup.  There are many benefits to this method over the dump-to-disk method all other vendors must do.  Here are some important points to know:

• Certified is different than “supported”.  If a vendor says supported, they are simply doing the dump-to-disk method and don’t have the streaming integration.
• Streaming integration with BACKINT is important because SAP HANA will always have an updated catalog that is aware of each backup, and streaming also bypasses the unnecessary step of backing up the data from disk.
• Disk based backups are much slower than live streaming, and the data is stale.
• The NetBackup integration is easy—you just install the NetBackup SAP HANA agent on the SAP HANA appliance and license it!
• Nothing changes for the HANA admin or NetBackup admin.  They don’t have to learn anything new.  It’s an easy solution to manage.
• A disaster recovery strategy is NOT a replacement for a backup strategy.  They complement each other.  Make sure your customers know that DR replication doesn’t account for corruption or human error, and those types of changes get carried over with DR.  Backups provide the ability to overcome such issues, as well as many other benefits.

Stay tuned for more official information and documentation as the June 28th date approaches.

Contributor: Hiroshi Shinotsuka

Malware authors are always seeking new ways to hone their craft. As cybercriminals are facing a multitude of preventative technologies from Symantec and users are becoming more security conscious, it is becoming increasingly difficult for the bad guys to win.

Recently, during research, we came across an oddly named sample, Word13.exe. Upon first glance, it appears to be a digitally signed file from Adobe.
 

Figure 1. Word13.exe file signed by Adobe
 

Figure 2. Fake digital signature properties
 

But upon closer inspection we found something very interesting.
 

Figure 3. Fake signature and certificate
 

It’s fake, as the “Issued By” field says "Adobe Systems Incorporated" - Adobe is a VeriSign customer. Also, in the certificate information, we see that the CA Root certificate is not trusted - another dead giveaway.
 

Figure 4. Legitimate Adobe signature and certificate
 

Symantec has protection in place and detects this file as Backdoor.Trojan.

Backdoor.Trojan will execute and inject itself into iexplore.exe or notepad.exe and start a back door function.

It may create the following files:

• %UserProfile%\Application Data\ aobecaps \cap.dll
• %UserProfile%\Application Data\ aobecaps \mps.dll
• %UserProfile%\Application Data\ aobecaps \db.dat

It connects to the following command-and-control (C&C) server on port 3337:

• Icet****ach.com 

This back door may then perform the following actions:

• Steal user and computer information
• Create folders
• Create, download, delete, move, search for, and execute files
• Capture screenshots
• Emulate mouse function
• Steal Skype information

To ensure that you do not become a victim of this threat, please ensure that your antivirus definitions are always up-to-date and that your software packages are also regularly updated. Always double check the URL of the download that is being offered and, if applicable, check the certificate and signature just to be safe.