|
動画プレイヤーの実行準備が整いました。
実行ボタンをクリックして 動画再生してください。 [実行] [保存] ↑ 保存(ダウンロード)された方 左記ファイルを ダブルクリックして動画再生を 行ってください。 orz
|
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
過去の投稿月別表示
-
詳細
全1ページ
[1]
|
ハードディスクに重大なエラーがあるというような嘘の警告を示して解消するための”有償版”をクレジットカードで買うよう脅してくる偽パソコン診断ソフト「System Restore」ウイルスに感染した!、というTwitterのつぶやき投稿を先週の金曜日に見かけていたので、そこで指摘されてた日本の一般サイトを昨日訪問してみました。訪問したら、アダルトな内容を扱ってるサイトでしたが。  ブラウザ内部では下のような感じで強制的に誘導されていきます。広告表示用ページに不正なIFRAMEタグが挿入されていて、たぶんサイト内の全ページがやられてるに等しい状態。普通の広告画像表示とともに、「System Restore」の実行ファイルを強制的に発動する処理まで読み込まれるようになってます。Ustreamの改ざん(?)と同型の攻撃コードでした。 http://***-***.com/ 〜 ↓ http://ads.***-***.com/www/delivery/spcjs.php?id= 〜 ↓ http://ads.***-***.com/www/delivery/spc.php?zones= 〜 <↑上の画像> ↓ http://(攻撃サイト).ce.ms/main.php?page=423b262d0a1a9f70 (エクスプロイトキット) ↓ http://(攻撃サイト).ce.ms/w.php?f=120&e=2 (ウイルス)この一般サイトを訪問したとしても下のソフトが最新状態になってれば、どのセキュリティソフトを使ってようとウイルス強制感染被害は100%起こりません。  ・ Java/JRE ・ Adobe Reader ・ Adobe Flash Player ・ Windows Update 「System Restore」は9月に投入されたウイルスですが、亜種の量産体制がものスゴい勢いなので、セキュリティソフトの純粋な定義データでの対応は少々厳しい状況。セキュリティ会社もスキャンエンジンを更新して汎用的に亜種を検知できるよう対処してるのがVisusTotalの結果を見ると分かるんですが、ある程度数社が対応すると検知できない新たな亜種が投入される”いたちごっこ”状態がずっと続いてます。感染する前に駆除されちゃってはお金を稼ぐチャンスを失ってしまうので攻撃者も頑張ってるわけで。  |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
とあるハッキング被害を受けてる日本語表記の一般サイトへアクセスし、強制インストールするようになってたウイルス検体の実行ファイル(exe拡張子)を手動で回収してきました〜。 セキュリティ会社 Comodo が提供してる無料オンライン解析サイトにファイルを投げてみたところ、Windows PCを狙う偽セキュリティソフトPrivacy Protectionのようだったので、実際に手元で実行ファイルを起動して動作の確認を行いました。 投入されて24時間も経過てないため、とても新鮮ピチピチです。 camas.comodo.com/cgi-bin/submit?file=98d014185768eaefd29758646810b81ec785c71dfacf96451f64d9d1405fe711 (ウイルス解析)
www.virustotal.com/file-scan/report.html?id=dc5ec8d081d907aaf9a3581eec8db40ee98a09f1cafb571829a0925dd6c7b686-1320578638 (↓を吐くドロッパー) www.virustotal.com/file-scan/report.html?id=16403753225daf0119ddba236075f5f570cae7009153cc5865f2b50754d91b81-1320580806 (Privacy Protection本体) この一般サイトは個人運営のようですが、それなりに有名なのか「はてなブックマーク」の登録数はトップページで1,500件で、ブックマーク数3ケタに及ぶ個々のページもゴロゴロと存在するみたい。 全ページに不正な攻撃用JavaScriptコードが挿入されちゃっていて、ブラウザ内部でこんな感じで強制的に処理が行われます。 http://***-***.net/ 〜 ↓ http://*****.myftp.org/main.php?page=7dc34c4bf2100d19 (エクスプロイトキット) ↓ http://*****.myftp.org/w.php?f=16&e=2 (ウイルス)このような侵害された一般サイトを運悪く踏んでしまっても下の4種が最新状態であるならウイルス対策ソフトを使ってようが100%感染被害は起こらずに済みます (1) Java/JRE (2) Adobe Reader (3) Adobe Flash Player (4) Windows Update 特に、後手後手対応のウイルス対策ソフトに依存してウイルス対策できてないユーザーさんまでも、知らないうちに勝手にマルウェアの被害に遭うことに…。 ■ インチキ偽セキュリティソフト「Privacy Protection」 「SECUDRIVE Privacy Protection」(www.secudrive.jp)なる商品があるようですが、名前が被っただけで別モノです。 ↑1番目の画像にある右下の偽ポップアップ通知「FIREWALL WARNING」が表示される時は、ゾンビの雄叫びみたいな音声が再生される演出があって、素でビビるwww ・ 駆除削除方法 ひとまず激しい妨害行為を抑えるため、Privacy Protectionウィンドウの左下にある[Get full time protection now]をクリックして、2番目の画像のようにレジストコードを入力して購入状態へと故意に持ってきます。 メール部分はデタラメ文字列+半角「@」を付け足したものを入力してください。そして[Confirm activation]ボタン。 ・ http://xylibox.blogspot.com/2011/11/privacy-protection.html 次に、タスクバーの通知領域にあるPrivacy Protectionアイコンで[右クリックメニュー]→[Exit]でプログラムを終了できます。 あとは手動でやるなら、privacy.exeファイルを見つけて削除、レジストリのRunキー部分にある項目の削除となります。 ・ http://www.bleepingcomputer.com/virus-removal/remove-privacy-protection |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
チェコのセキュリティソフトavast!が動画サイトUstreamにて「HTML:Iframe-inf」ウイルスを検知したとか何とか。Twitterでも警告が出たというつぶやきが複数あがってますな。avast!の公式フォーラムでも正規の一般サイトということで誤検出(=False Positive)かどうか問い合わせる投稿があって、avast!の中の人が誤検出ではないと指摘してます。 ・ HTML:Iframe-inf alert on UStream (False positive?) (avast! Forum) そのフォーラムには、改ざんコード解析サイトWepawetのリンクがのってるのでチェックしてみると、インドドメイン(.in)のページを読み込む不正なIFRAMEタグが確認できます。これをavast!はうまく検知したんですねぇ。 wepawet.iseclab.org/view.php?hash=c20dccb8ee3251f39fd2ec63b57bd923&t=1320130821&type=js
ブラウザ内部では下のような流れで誘導されていきます。ustream.tvのサーバーがやられていたのか、外部の広告サーバーがやられたのかはいまいち分からず。Wepawetを見る限りだと、ustream.tvのサーバー上っぽい? http://www.ustream.tv/ ↓ ??? ↓ http://stats1●in/ stream?1 ↓ http://*****.info/main.php?page=9f96ffe81a24b66d (エクスプロイトキット) ↓ http://*****.info/w.php?f=16&e=2 (ウイルス)ウイルスの強制感染攻撃は既知の脆弱性を悪用して試みられてます。下のソフトが最新状態であれば、セキュリティソフトの種類まったく関係なしにウイルス感染被害は100%起こりません。 ・ Java/JRE ・ Adobe Reader ・ Adobe Flash Player ・ Windows Update |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
|
■ 三菱重工 − TSPY_DERUSBI.A about-threats.trendmicro.com/malware.aspx?language=us&name=TSPY_DERUSBI.A
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanSpy%3AWin32%2FDerusbi.A www.virustotal.com/file-scan/report.html?id=8cf2d764a4ba4292ed582b22e4660f2523ed87fc305d2d4f2a664f71c6929a52-1313026931 www.virustotal.com/file-scan/report.html?id=756b534e23b76ac603b096177ee59f664a2ba0d092bb0e418ea06603946301bb-1313026948 ■ 衆議院 − 具体名の情報なし (新種のトロイの木馬)
■ 日本の在外公館 − BKDR_AGENT.MOF about-threats.trendmicro.com/malware.aspx?language=us&name=BKDR_AGENT.MOF
■ 世界中の化学・軍事関連企業(日本も1PC) − PoisonIvy/Backdoor.Odivy
www.symantec.com/security_response/writeup.jsp?docid=2011-082404-0239-99
www.virustotal.com/file-scan/report.html?id=b1265af083abf24dd800d022dd7c2d39e8285397fc9d57a2bbe3f5bbf8d1ec0b-1320141630 www.virustotal.com/file-scan/report.html?id=c7c0e961e6e60c5c07b09280f2f2c628596dfece7b748561763da5ccbd404bb4-1320134537 |
>
- コンピュータとインターネット
>
- インターネット
>
- その他インターネット
全1ページ
[1]
