ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

記事検索
検索

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Twitterからウイルスサイトへ誘導... AVG Anti-Virus Free配布サイト???

 ネタ元のYahoo!知恵袋より。
twitterで知らない外国人からのリプライについて
お世話になります。twitterで知らない外国人からURL付のリプライをもらっていました。うっかり開いてしまいました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1183382506
 素のURLが掲載されていてとても危険ですが、さっそく突撃すると複数回リダイレクトされ最終的にこんなページヘ到達。無料ウイルス対策ソフトで知られるあの「AVG Anti-Virus Free」のページ!?!? でも、URLは.inなインドドメイン! ;)

イメージ 1

 この偽AVGページで配布されてる謎の実行ファイル「Anti-Virus2012.exe」を手動でダウンロードし、念のためウイルスチェックしてみると・・・。
http://www.virustotal.com/file/95d22113fdf319098f26fe4befe07a9fcc2fd03504561bcfb4f0328238365554/analysis/
 McAfee-GW-Edition(www.mcafee.com/japan/products/web_gateway.asp)がいちおう検知しちゃってますが、このファイルはRAR形式のパスワード付き自己解凍書庫になっていてアーカイブ内にウイルスが存在するにもかかわらず、パスワード保護の影響でセキュリティソフトのファイルスキャンでは検出できなくなってしまってます。

   イメージ 2

 「Anti-Virus2012.exe」ファイルをパソコン上で実行しパスワードの解除処理が内部で行われて初めてウイルス御大が出現するスタイルになってるんですねぇ。実際に実行後にドロップされる本体がこれ。
http://www.virustotal.com/file/a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5/analysis/
 手元でこれを起動してもなぜかプログラムがすぐに終了してしまうので、マルウェア解析器に放り投げると、当然ながらAVG Anti-Virusでも何でもなく「Windows Managing System」を名乗る偽セキュリティソフトでした。マイクロソフト風バリバリのデザインが何とも・・・。
http://camas.comodo.com/cgi-bin/submit?file=a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5
http://siri-urz.blogspot.com/search/label/fakepav

開くトラックバック(0)

RLO拡張子偽装のウイルス JPEG画像ファイルに見せかける

 日本のとあるオンラインゲーム関連の掲示板に投稿されてたURL(アップローダーサイト)から入手した圧縮ファイル。ファイルを解凍してみたら中身はJPEG形式の画像ファイル・・・

  イメージ 1

 ・・・のように見せかけて、実際はRLO拡張子偽装が施された実行ファイル(ウイルス)です。ファイルの種類が「アプリケーション (.exe)」となっていて画像ファイルじゃないことが分かります。アイコン画像もきっちり偽装してありますな。 ;)

nicole-ray-felt-up-01Bind‮gpj.exe
www.virustotal.com/latest-report.html?resource=6fcf6352f3a0fa81e9bc75a88f419797

RLO拡張子偽装のワンクリウェア

開くトラックバック(0)

Mac OS X Flashbackウイルス と Javaエクスプロイト

 今週になって、Appleのサポートフォーラム(英語)にMacのFinderやらメニューなどの項目表記がアルファベットと数字を組み合わせた意味不明な文字列に置き換わるという症状を訴える投稿が複数ポストされてます。環境が10.6 Snow Leopardというのが多いでしょうか。
https://discussions.apple.com/message/17662325
https://discussions.apple.com/message/17648803
https://discussions.apple.com/message/17652575
https://discussions.apple.com/message/17653508
https://discussions.apple.com/message/17649335
https://discussions.apple.com/message/17643296
https://discussions.apple.com/message/17640156
https://discussions.apple.com/message/17638393
https://discussions.apple.com/message/17635201
 これがOS X用トロイの木馬型ウイルスFlashbackの亜種に感染したことが原因ではないかという話になっとります。

 Flashbackは去年2011年9月からAdobe Flash Playerのインストーラーという名目で配信が始まり、年を越してもダラダラと配信は継続してましたが、今月2月から配信手法が切り替わって、Javaの旧バージョンにある脆弱性(最新版では修正済み)を悪用し強制的にMacマシンに送り込む手法になってるそうです。
Mac OS Xを狙った初のエクスプロイト (Dr.Web)

 んで、下の画像がセキュリティ会社Doctow Webのニュースでも紹介されてる配信サイトの現在のHTMLソース。 ;)

イメージ 1

 黄色の囲いは、フレームを使ってホンモノの動画サイトUstream(ustream.tv)をブラウザ画面いっぱいに表示。その裏で赤い囲いのJavaアプレットが読み込まれる処理になってます。このJavaアプレットファイルを落とそうと何回か試みてますが、コチラではどうにもダミーの404 not foundが返ってきて弾かれてしまいます。ファイル名からすると↓な目的?
・ rh-*.jar → CVE-2011-3544
・ cl-*.jar → CVE-2008-5353


[3月2日 追記...]
 現在の配信サイトはこんな感じになってます(上の画像の赤い囲いのとこ)。Javaの脆弱性を突く用のファイルが2種用意されてましたが、2月29日からCVE-2011-3544の処理一本になりました。これで十分攻撃OKってことなんでしょうかね? ;)

イメージ 2

開くトラックバック(0)

JavaとAdobeを更新してないパソコンが偽セキュリティソフトに強制感染

 偽セキュリティソフト型ウイルスの強制感染の話をブログやTwitterで相変わらず見かけますね〜。ヒドイ目にあったという話や駆除方法をブログで書いてる方がいますが、肝心の感染原因について触れてない所も多くちゃんと対策できてるのか心配。中には、検出できなかったセキュリティソフトのせいにして役に立たなかったと文句を垂れてる人も・・・。 ;)

 ↓の4つが完璧に更新されていれば、偽セキュリティソフト型ウイルスが強制インストールされるなんてな状況はほぼ100%起こりません。旧バージョンに存在する欠陥を悪用して強制インストールされるので、そこを塞いじゃえば完璧なわけですが、セキュリティソフトは更新作業を代わりにやってくれません。セキュリティソフトをインストールするだけでウイルス対策ができてると思い込んでる人だけ地獄を見ます。

☆ Java 6 Update 31 ← 今月2月更新
☆ Adobe Reader 10 ← 先月1月更新
☆ Adobe Flash Player 11.1.102.62 ← 今月2月更新
☆ Windows Update ← 毎月更新

 困ったことにハッキングされウイルスを撒いてる日本の一般サイトが複数あるので、そこから新鮮なウイルス検体を入手できて有り難いやら有難くないやら。偽セキュリティソフトは目に見て感染が分かるけれど、感染に気づかない情報搾取系のSpyEye/Zeusウイルスを撒いてるところも少なからずあるのでホント恐ろしや・・・。

□ Internet Security & Smart Protection 2012

      イメージ 1

      イメージ 2

□ FakePoliceAlert/Trojan:Win32/Ransom.FL
 Yahoo!知恵袋でも感染者が駆け込んでる感じですが、”フランス警察”を名乗ってパソコンを人質にとり身代金を要求してくるウイルス。フランス語で書かれた請求画像がパソコンの画面いっぱいに表示されWindowsにロックを掛けられ何もできなくなります。↑の普通の偽セキュリティソフトが可愛く見えるぐらいの衝撃度。 :)

    イメージ 3

開くトラックバック(0)

RLO拡張子偽装のワンクリウェア WMV動画ファイルに見せかける

 とあるウイルス(ワンクリウェア)配信型のワンクリック詐欺サイト。

 20歳以上+規約同意で「はい」ボタンを押して”動画再生”ボタンを押すと、ファイルを実行するかどうか尋ねるブラウザの確認ダイアログが表示されます。一般的なワンクリック詐欺だと「〜.hta」(HTMLアプリケーション)という拡張子になってるはずですが、ここのファイルの拡張子は動画形式の「〜.wmv」(Windows Media Video)になってます。

    イメージ 1

 ところが、これはUnicodeの制御文字(RLO)を悪用し拡張子を偽装する手法が使われてるんですねぇ。本当は「〜.hta」ファイルであるにも関わらず、見た目が「〜.wmv」ファイルになってしまってます。仕組みについては↓
ファイル名に細工を施されたウイルスに注意! 見た目でパソコン利用者をだます手口 (情報処理推進機構)

拡張子偽装ファイル:
MovieID_vhbMfLHnPcNR8Un8FutZqUVnhU3i0BlQ‮vmw.EI_noisreV.hta

 実際のところ、エッチな映像見たさにウイルスを自らの意思で実行しちゃうような人は、拡張子すら目にも入らずホイホイとクリックしちゃってデスクトップ画面から料金請求ポップアップ画像がサッパリ消えない状態になってるのが現実なんでしょうけど。 ;)

開くトラックバック(0)

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • Kerupani129
  • Cookies
  • who
  • ★ピサロ★
  • 物知りマン
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
実質2000円で特産品がお手元に
11/30までキャンペーン実施中!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ