|
最近ぜんぜんチェックしてませんでしたが、マルウェア(ワンクリックウェア)を配信してるアダルト動画サイトを装った日本のワンクリック詐欺サイトにて、動画ファイルを装ったHTAファイルを実行してパソコンに感染させてみました。 [1] エッチな映像を再生する直前の規約同意のシーンです。 [2] 同意して再生ボタンを押すと、RLO拡張子偽装が施されたHTAファイルの起動を促されます。拡張子が「〜.wmv」となっていて表面上は動画のWMVファイルのように装わせてありますが、単なるHTAファイルです。この段階で怪しいと気づける人がいればいいのですが、引っかかる人の頭の中は卑猥な映像を見ることしかないのでどうにもならないのでしょう。 [3] ファイルを開くと、Windows Media Playerが起動してエッチな映像が数分間再生された後にパソコン画面の中央にポップアップ画像が出現します。「動画の続きを視聴しますか?」という質問で『続きを視聴』『取り消す』の2択となってます。 その下には「これより先に進みますと会員登録が完了し90日間定額制8,5000円の料金が発生します。なお登録と同時に登録確認画面が一定期間パソコン画面上に表示されます。また登録確認画面につきましては利用料金のご入会が確認できないと削除できません。」とあります。 [4] 『続きを視聴』ボタンを押してしまうと、これで無事にマルウェア(ワンクリックウェア)の感染状態となります。レジストリとタスクスケジューラの2ヶ所が不正に改ざんされ、「有料アダルトサイトへのご登録ありがとうございます」というポップアップ画像がパソコン画面の右下に出現し続けます。 ・ レジストリ → パソコンを起動した時に登録確認画面を表示させる目的で改ざんしてるようです。 ・ タスクスケジューラ → パソコンを起動してる最中に登録確認画面を継続的に表示させる目的で改ざんしてるようです。 [5] ポップアップ画像をクリックするとブラウザが開いて、料金や口座番号、請求の正当性を主張する説明ページが表示されます。通常利用価格85,000円が2日以内ならキャンペーン特別価格65,000円となっていて、早く払ってしまえば少し安く済むと錯覚させるワンクリック詐欺では定番の手法です。 ・ ワンクリック料金請求にご用心 (警視庁)
|
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
お疲れ様です。
RLOっぽく逆からファイル名を読ませてるのね。
[ 囲 ]
2012/7/11(水) 午後 6:43
3dc927b5f78a4813f97803dd6c2c8bdf
BitDefender Trojan.VBS.Startpage.DT 20120713
F-Secure Trojan.VBS.Startpage.DT 20120713
GData Trojan.VBS.Startpage.DT 20120713
ハッシュで判断しているらしく、他のIDでは検出できない模様。
検体再提出しました。
[ 囲 ]
2012/7/13(金) 午後 0:39
検出名が変わったようです。
3dc927b5f78a4813f97803dd6c2c8bdf
BitDefender Trojan.VBS.TVZ 20120714
Emsisoft Trojan.VBS.StartPage!IK 20120714
F-Secure Trojan.VBS.TVZ 20120714
GData Trojan.VBS.TVZ 20120714
Ikarus Trojan.VBS.StartPage 20120714
nProtect Trojan.VBS.Startpage.DT 20120713
[ 囲 ]
2012/7/14(土) 午後 0:56
現時点ではこんな感じっぽい
conf2
BitDefender Trojan.VBS.TVZ 20120714
Emsisoft Trojan.VBS.TVZ!IK 20120714
F-Secure Trojan.VBS.TVZ 20120714
GData Trojan.VBS.TVZ 20120714
Ikarus Trojan.VBS.TVZ 20120714
nProtect Trojan.VBS.TVZ 20120714
つづく
[ 囲 ]
2012/7/14(土) 午後 11:30
つづき
conf3
ClamAV HTML.Agent-27 20120713
Emsisoft Trojan.HTML.StartPage!IK 20120714
Ikarus Trojan.HTML.StartPage 20120714
Kaspersky Trojan.HTML.StartPage.t 20120714
McAfee-GW-Edition Heuristic.BehavesLike.HTML.Suspicious.B 20120714
さらみつづく
[ 囲 ]
2012/7/14(土) 午後 11:31
reg1
AntiVir HTML/Adultush.AY 20120714
BitDefender Trojan.VBS.Startpage.DT 20120714
Emsisoft Trojan.VBS.StartPage!IK 20120714
F-Secure Trojan.VBS.Startpage.DT 20120714
GData Trojan.VBS.Startpage.DT 20120714
Ikarus Trojan.VBS.StartPage 20120714
Kaspersky HEUR:Trojan.Script.Generic 20120714
McAfee-GW-Edition Heuristic.BehavesLike.VBS.Exploit.A 20120714
nProtect Trojan.VBS.Startpage.DT 20120714
おはり
[ 囲 ]
2012/7/14(土) 午後 11:32