|
とあるハッキング被害を受けてる日本語表記の一般サイトへアクセスし、強制インストールするようになってたウイルス検体の実行ファイル(exe拡張子)を手動で回収してきました〜。  セキュリティ会社 Comodo が提供してる無料オンライン解析サイトにファイルを投げてみたところ、Windows PCを狙う偽セキュリティソフトPrivacy Protectionのようだったので、実際に手元で実行ファイルを起動して動作の確認を行いました。 投入されて24時間も経過てないため、とても新鮮ピチピチです。 camas.comodo.com/cgi-bin/submit?file=98d014185768eaefd29758646810b81ec785c71dfacf96451f64d9d1405fe711 (ウイルス解析)
www.virustotal.com/file-scan/report.html?id=dc5ec8d081d907aaf9a3581eec8db40ee98a09f1cafb571829a0925dd6c7b686-1320578638 (↓を吐くドロッパー) www.virustotal.com/file-scan/report.html?id=16403753225daf0119ddba236075f5f570cae7009153cc5865f2b50754d91b81-1320580806 (Privacy Protection本体) この一般サイトは個人運営のようですが、それなりに有名なのか「はてなブックマーク」の登録数はトップページで1,500件で、ブックマーク数3ケタに及ぶ個々のページもゴロゴロと存在するみたい。 全ページに不正な攻撃用JavaScriptコードが挿入されちゃっていて、ブラウザ内部でこんな感じで強制的に処理が行われます。  http://***-***.net/ 〜 ↓ http://*****.myftp.org/main.php?page=7dc34c4bf2100d19 (エクスプロイトキット) ↓ http://*****.myftp.org/w.php?f=16&e=2 (ウイルス)このような侵害された一般サイトを運悪く踏んでしまっても下の4種が最新状態であるならウイルス対策ソフトを使ってようが100%感染被害は起こらずに済みます (1) Java/JRE (2) Adobe Reader (3) Adobe Flash Player (4) Windows Update 特に、後手後手対応のウイルス対策ソフトに依存してウイルス対策できてないユーザーさんまでも、知らないうちに勝手にマルウェアの被害に遭うことに…。 ■ インチキ偽セキュリティソフト「Privacy Protection」 「SECUDRIVE Privacy Protection」(www.secudrive.jp)なる商品があるようですが、名前が被っただけで別モノです。 ↑1番目の画像にある右下の偽ポップアップ通知「FIREWALL WARNING」が表示される時は、ゾンビの雄叫びみたいな音声が再生される演出があって、素でビビるwww ・ 駆除削除方法 ひとまず激しい妨害行為を抑えるため、Privacy Protectionウィンドウの左下にある[Get full time protection now]をクリックして、2番目の画像のようにレジストコードを入力して購入状態へと故意に持ってきます。 メール部分はデタラメ文字列+半角「@」を付け足したものを入力してください。そして[Confirm activation]ボタン。 ・ http://xylibox.blogspot.com/2011/11/privacy-protection.html 次に、タスクバーの通知領域にあるPrivacy Protectionアイコンで[右クリックメニュー]→[Exit]でプログラムを終了できます。 あとは手動でやるなら、privacy.exeファイルを見つけて削除、レジストリのRunキー部分にある項目の削除となります。 ・ http://www.bleepingcomputer.com/virus-removal/remove-privacy-protection |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
