無題なブログ

　だいぶ前から改ざん被害を受けてた、日本のとある一般サイトのトップページに不審なJavaScriptタグが挿入されたのを確認しました。インドドメイン（.in）のJSファイルを読み込むようになってます。

　で、このサイトに普通にブラウザでアクセスしてみると、ページのど真ん中におかしな謎のエラーダイアログが突然出現っ！

Firefox
　　

Chrome
　　

Internet Explorer （表示される位置がバグってて最下部）
　　

An error occurred while checking for updates: Installation failed. Please try again.
Error code = 0x00000000.

訳： 更新チェック中にエラー（インストール失敗）が発生しました。もう一度試してください。

　謎のエラーダイアログの右下に[OK]ボタンがあるので押してみると、「winsetup.exe」なる怪しい実行ファイルをダウンロードするようブラウザのポップが表示されます。はたしてこれをうっかり踏んじゃう人がどのくらいいますかい？

www.virustotal.com/file/da54e6d51e9aca38cb83b12d6754c84c021368bff2a0e78a3f85c9382089f720/analysis/1337651975/

　スマートフォンのAndroid端末だけターゲットとしたドライブバイダウンロード攻撃を確認したというニュースが。不正なインラインフレームが挿入されちゃってる一般サイトを訪問すると、APKファイルが端末に自動的にダウンロードされちゃうものの、提供元不明アプリをユーザー手動でインストールしなければ感染状態にならず。そこを突破するため、自らは「Update.apk」（com.Security.Update）と名乗ってる形。
・ Security Alert: Hacked Websites Serve Suspicious Android Apps (NotCompatible) （Lookout）
・ Website Injection-Campaign Used in Conjunction with an Android Trojan （Symantec）
・ Trojan Android.Notcompatible （Symantec）

　紹介されてる不正なインラインフレームタグに何か見覚えあるなぁと思ったら・・・これだっ！

　ここはWindowsパソコン向けにウイルスを撒いてた日本の一般サイト。CGI/PHPとか使えないFC2ホームページでレンタルされてるので、サイト管理者のパソコンがウイルスに感染しFTPアカウントが引っこ抜かれてハッキング。

　先月、ページの最後尾に不正なインラインフレームタグが挿入されたので、アクセスしてみたけれど特に何も降ってこず「何コレ？」程度でしたが。ブラウザのユーザーエージェントに「Andorid」の文字列が含まれてるとアクセスできるという情報なので、今アクセスしてみるもののコチラではダメ。

　ネタ元のYahoo!知恵袋より。

twitterで知らない外国人からのリプライについて
お世話になります。twitterで知らない外国人からＵＲＬ付のリプライをもらっていました。うっかり開いてしまいました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1183382506

　素のURLが掲載されていてとても危険ですが、さっそく突撃すると複数回リダイレクトされ最終的にこんなページヘ到達。無料ウイルス対策ソフトで知られるあの「AVG Anti-Virus Free」のページ!?!? でも、URLは.inなインドドメイン！

　この偽AVGページで配布されてる謎の実行ファイル「Anti-Virus2012.exe」を手動でダウンロードし、念のためウイルスチェックしてみると・・・。

http://www.virustotal.com/file/95d22113fdf319098f26fe4befe07a9fcc2fd03504561bcfb4f0328238365554/analysis/

　McAfee-GW-Edition（www.mcafee.com/japan/products/web_gateway.asp）がいちおう検知しちゃってますが、このファイルはRAR形式のパスワード付き自己解凍書庫になっていてアーカイブ内にウイルスが存在するにもかかわらず、パスワード保護の影響でセキュリティソフトのファイルスキャンでは検出できなくなってしまってます。

　　　

　「Anti-Virus2012.exe」ファイルをパソコン上で実行しパスワードの解除処理が内部で行われて初めてウイルス御大が出現するスタイルになってるんですねぇ。実際に実行後にドロップされる本体がこれ。

http://www.virustotal.com/file/a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5/analysis/

　手元でこれを起動してもなぜかプログラムがすぐに終了してしまうので、マルウェア解析器に放り投げると、当然ながらAVG Anti-Virusでも何でもなく「Windows Managing System」を名乗る偽セキュリティソフトでした。マイクロソフト風バリバリのデザインが何とも・・・。

http://camas.comodo.com/cgi-bin/submit?file=a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5
http://siri-urz.blogspot.com/search/label/fakepav

　日本のとあるオンラインゲーム関連の掲示板に投稿されてたURL（アップローダーサイト）から入手した圧縮ファイル。ファイルを解凍してみたら中身はJPEG形式の画像ファイル・・・

　　

　・・・のように見せかけて、実際はRLO拡張子偽装が施された実行ファイル（ウイルス）です。ファイルの種類が「アプリケーション （.exe）」となっていて画像ファイルじゃないことが分かります。アイコン画像もきっちり偽装してありますな。

・ RLO拡張子偽装のワンクリウェア

　偽セキュリティソフト型ウイルスの強制感染の話をブログやTwitterで相変わらず見かけますね〜。ヒドイ目にあったという話や駆除方法をブログで書いてる方がいますが、肝心の感染原因について触れてない所も多くちゃんと対策できてるのか心配。中には、検出できなかったセキュリティソフトのせいにして役に立たなかったと文句を垂れてる人も・・・。

　↓の４つが完璧に更新されていれば、偽セキュリティソフト型ウイルスが強制インストールされるなんてな状況はほぼ100％起こりません。旧バージョンに存在する欠陥を悪用して強制インストールされるので、そこを塞いじゃえば完璧なわけですが、セキュリティソフトは更新作業を代わりにやってくれません。セキュリティソフトをインストールするだけでウイルス対策ができてると思い込んでる人だけ地獄を見ます。

☆ Java 6 Update 31 ← 今月２月更新
☆ Adobe Reader 10 ← 先月１月更新
☆ Adobe Flash Player 11.1.102.62 ← 今月２月更新
☆ Windows Update ← 毎月更新

　困ったことにハッキングされウイルスを撒いてる日本の一般サイトが複数あるので、そこから新鮮なウイルス検体を入手できて有り難いやら有難くないやら。偽セキュリティソフトは目に見て感染が分かるけれど、感染に気づかない情報搾取系のSpyEye/Zeusウイルスを撒いてるところも少なからずあるのでホント恐ろしや・・・。

□ Internet Security ＆ Smart Protection 2012

　　　　　　

　　　　　　

□ FakePoliceAlert／Trojan:Win32/Ransom.FL
　Yahoo!知恵袋でも感染者が駆け込んでる感じですが、”フランス警察”を名乗ってパソコンを人質にとり身代金を要求してくるウイルス。フランス語で書かれた請求画像がパソコンの画面いっぱいに表示されWindowsにロックを掛けられ何もできなくなります。↑の普通の偽セキュリティソフトが可愛く見えるぐらいの衝撃度。