ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫全体表示

記事検索
検索

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Javaを10月にリリースされた最新版「6 Update 29」にしておかないとヤバイ

 別に有名なとこではないですが、だいぶ前から同一攻撃者にハッキングされたまんま完全放置状態の一般サイトを見てたら、12月3日深夜に新しいインラインフレームタグ<iframe>がページ内に挿入されました。

  イメージ 1

  イメージ 2

 ここで指定されてる.infoドメインは一般サイトを訪問しただけで強制的に読み込まされますが、手動でアクセスしてみると、.inドメインのページへそのままリダイレクトして、↓ほんの1行分のコードが降ってきました。単純に1つのJavaアプレット用ファイル(JARファイル)を読み込むだけの処理です。

イメージ 3

 このJARファイルを手動でダウンロードしてきて、いったい何するファイルなのか知るためオンラインスキャンサイトVirusTotalに放り投げてみました。するってーと、検出名に「CVE-2011-3544」の文字が!
www.virustotal.com/file-scan/report.html?id=f4d1cf5dd17fc94a2b62ef81e517a3f14b42f810066724429fd733d46e01bbd3-1322953310

 これは2011年10月にリリースされたJavaの定例更新「Version 6 Update 29」にて修正されたばかりの脆弱性です。Javaをちゃんと最新版に更新しておかないとヤバイヤバイ・・・。Javaはパソコンを購入した段階で最初からインストール済みの場合も多いので注意! ;)
修正されたばかりのJREの脆弱性を突く実証コード公開 (セキュリティ通信)
Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート (NTTデータ先端技術株式会社)
導入されてるJavaのバージョン確認ページ (オラクル)

http://(会社サイト).jp/
http://(個人サイト).web.fc2.com/
 ↓ ブラウザ内部で強制的に読み込まれる
http://****.info/
 ↓ 強制リダイレクト
http://◆◆◆◆.in/?site=15
http://◆◆◆◆.in/?e77d4a303cfeb5a8f253e280c62fdafe (JavaのJARファイル)
 ↓
ウイルス実行ファイルの強制発動!?
https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
バージョンチェックツールでウイルス対策♪

[追記...]
Java SE を対象とした既知の脆弱性を狙う攻撃に関する注意喚起 (JPCERT コーディネーションセンター)
Javaの既知の脆弱性(CVE-2011-3544)を悪用する攻撃を確認 (IBM Tokyo SOC)

開くトラックバック(0)

ワンクリック詐欺サイトから学ぶ 『ウイルスをどんどん実行させる方法』

イメージ 1

 
動画プレイヤーの実行準備が整いました。

実行ボタンをクリックして
動画再生してください。
[実行] [保存]
 ↑

保存(ダウンロード)された方
 左記ファイルを
 ダブルクリックして動画再生を
 行ってください。

orz

開くトラックバック(0)

「System Restore」ウイルスを配信してる一般サイトを訪問してみた。

 ハードディスクに重大なエラーがあるというような嘘の警告を示して解消するための”有償版”をクレジットカードで買うよう脅してくる偽パソコン診断ソフト「System Restore」ウイルスに感染した!、というTwitterのつぶやき投稿を先週の金曜日に見かけていたので、そこで指摘されてた日本の一般サイトを昨日訪問してみました。訪問したら、アダルトな内容を扱ってるサイトでしたが。 :)

イメージ 1

 ブラウザ内部では下のような感じで強制的に誘導されていきます。広告表示用ページに不正なIFRAMEタグが挿入されていて、たぶんサイト内の全ページがやられてるに等しい状態。普通の広告画像表示とともに、「System Restore」の実行ファイルを強制的に発動する処理まで読み込まれるようになってます。Ustreamの改ざん(?)と同型の攻撃コードでした。
http://***-***.com/ 〜
 ↓
http://ads.***-***.com/www/delivery/spcjs.php?id= 〜
 ↓
http://ads.***-***.com/www/delivery/spc.php?zones= 〜 <↑上の画像>
 ↓
http://(攻撃サイト).ce.ms/main.php?page=423b262d0a1a9f70 (エクスプロイトキット)
 ↓
http://(攻撃サイト).ce.ms/w.php?f=120&e=2 (ウイルス)
 この一般サイトを訪問したとしても下のソフトが最新状態になってれば、どのセキュリティソフトを使ってようとウイルス強制感染被害は100%起こりません。 ;)
・ Java/JRE
・ Adobe Reader
・ Adobe Flash Player
・ Windows Update

 「System Restore」は9月に投入されたウイルスですが、亜種の量産体制がものスゴい勢いなので、セキュリティソフトの純粋な定義データでの対応は少々厳しい状況。セキュリティ会社もスキャンエンジンを更新して汎用的に亜種を検知できるよう対処してるのがVisusTotalの結果を見ると分かるんですが、ある程度数社が対応すると検知できない新たな亜種が投入される”いたちごっこ”状態がずっと続いてます。感染する前に駆除されちゃってはお金を稼ぐチャンスを失ってしまうので攻撃者も頑張ってるわけで。 :(

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
System Restore が強制感染する原因ソフトをお手軽バージョンチェック♪

開くトラックバック(0)

偽セキュリティソフトPrivacy Protectionウイルスに感染してみた画像

とあるハッキング被害を受けてる日本語表記の一般サイトへアクセスし、強制インストールするようになってたウイルス検体の実行ファイル(exe拡張子)を手動で回収してきました〜。 :)

セキュリティ会社 Comodo が提供してる無料オンライン解析サイトにファイルを投げてみたところ、Windows PCを狙う偽セキュリティソフトPrivacy Protectionのようだったので、実際に手元で実行ファイルを起動して動作の確認を行いました。

投入されて24時間も経過てないため、とても新鮮ピチピチです。

camas.comodo.com/cgi-bin/submit?file=98d014185768eaefd29758646810b81ec785c71dfacf96451f64d9d1405fe711 (ウイルス解析)
www.virustotal.com/file-scan/report.html?id=dc5ec8d081d907aaf9a3581eec8db40ee98a09f1cafb571829a0925dd6c7b686-1320578638 (↓を吐くドロッパー)
www.virustotal.com/file-scan/report.html?id=16403753225daf0119ddba236075f5f570cae7009153cc5865f2b50754d91b81-1320580806 (Privacy Protection本体)

この一般サイトは個人運営のようですが、それなりに有名なのか「はてなブックマーク」の登録数はトップページで1,500件で、ブックマーク数3ケタに及ぶ個々のページもゴロゴロと存在するみたい。

全ページに不正な攻撃用JavaScriptコードが挿入されちゃっていて、ブラウザ内部でこんな感じで強制的に処理が行われます。 :(
http://***-***.net/ 〜
 ↓
http://*****.myftp.org/main.php?page=7dc34c4bf2100d19 (エクスプロイトキット)
 ↓
http://*****.myftp.org/w.php?f=16&e=2 (ウイルス)
このような侵害された一般サイトを運悪く踏んでしまっても下の4種が最新状態であるならウイルス対策ソフトを使ってようが100%感染被害は起こらずに済みます

(1) Java/JRE
(2) Adobe Reader
(3) Adobe Flash Player
(4) Windows Update

特に、後手後手対応のウイルス対策ソフトに依存してウイルス対策できてないユーザーさんまでも、知らないうちに勝手にマルウェアの被害に遭うことに…。

同じような手法でばら撒かれてるウイルスに感染しネット銀行から不正引き出し被害にあう人もいるそうでかなり注意しないと。 ;)

インチキ偽セキュリティソフト「Privacy Protection」
「SECUDRIVE Privacy Protection」(www.secudrive.jp)なる商品があるようですが、名前が被っただけで別モノです。

イメージ 1

イメージ 2

↑1番目の画像にある右下の偽ポップアップ通知「FIREWALL WARNING」が表示される時は、ゾンビの雄叫びみたいな音声が再生される演出があって、素でビビるwww

駆除削除方法
ひとまず激しい妨害行為を抑えるため、Privacy Protectionウィンドウの左下にある[Get full time protection now]をクリックして、2番目の画像のようにレジストコードを入力して購入状態へと故意に持ってきます。

メール部分はデタラメ文字列+半角「@」を付け足したものを入力してください。そして[Confirm activation]ボタン。
http://xylibox.blogspot.com/2011/11/privacy-protection.html

次に、タスクバーの通知領域にあるPrivacy Protectionアイコンで[右クリックメニュー]→[Exit]でプログラムを終了できます。

あとは手動でやるなら、privacy.exeファイルを見つけて削除、レジストリのRunキー部分にある項目の削除となります。
http://www.bleepingcomputer.com/virus-removal/remove-privacy-protection

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
Privacy Protectionウイルスに再び感染したくなかったら?

開くトラックバック(0)

動画サイトUstream改ざんか? 一時的にウイルス散布の模様 (2011年11月)

 チェコのセキュリティソフトavast!が動画サイトUstreamにて「HTML:Iframe-inf」ウイルスを検知したとか何とか。Twitterでも警告が出たというつぶやきが複数あがってますな。avast!の公式フォーラムでも正規の一般サイトということで誤検出(=False Positive)かどうか問い合わせる投稿があって、avast!の中の人が誤検出ではないと指摘してます。
HTML:Iframe-inf alert on UStream (False positive?) (avast! Forum)

 そのフォーラムには、改ざんコード解析サイトWepawetのリンクがのってるのでチェックしてみると、インドドメイン(.in)のページを読み込む不正なIFRAMEタグが確認できます。これをavast!はうまく検知したんですねぇ。 :)
wepawet.iseclab.org/view.php?hash=c20dccb8ee3251f39fd2ec63b57bd923&t=1320130821&type=js

 イメージ 1

 ブラウザ内部では下のような流れで誘導されていきます。ustream.tvのサーバーがやられていたのか、外部の広告サーバーがやられたのかはいまいち分からず。Wepawetを見る限りだと、ustream.tvのサーバー上っぽい?
http://www.ustream.tv/
 ↓
???
 ↓
http://stats1●in/ stream?1
 ↓
http://*****.info/main.php?page=9f96ffe81a24b66d (エクスプロイトキット)
 ↓
http://*****.info/w.php?f=16&e=2 (ウイルス)
 ウイルスの強制感染攻撃は既知の脆弱性を悪用して試みられてます。下のソフトが最新状態であれば、セキュリティソフトの種類まったく関係なしにウイルス感染被害は100%起こりません。 ;)
・ Java/JRE
・ Adobe Reader
・ Adobe Flash Player
・ Windows Update

https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
【ウイルス対策】 MyJVNバージョンチェッカでソフトのバージョン確認♪

開くトラックバック(0)

全112ページ

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • 物知りマン
  • Kerupani129
  • who
  • Cookies
  • ★ピサロ★
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ