ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫過去の投稿月別表示

2012年03月

← 2012年2月 | 2012年4月 →

全1ページ

[1]

Google画像検索経由でFlashbackウイルスに感染する恐れ 【Mac OS X】

 去年の2011年5〜6月にかけてMac OS X向け偽セキュリティソフトMacDefenderの配信キャンペーンが行われ、日本のMacユーザーにも複数の感染被害報告がでましたな。この配信キャンペーンがうまく成功した一番の原因は、感染経路の1つとして画像検索エンジンに不正なページを大量インデックスしていた攻撃者が参加していたことにあります。 ;)
Google・Yahoo画像検索でウイルス感染 (読売新聞)

 3月26日になって、この攻撃者がFlashbackウイルスの配信キャンペーンに参加するようになりました。Google(画像検索)の結果に登録されてる不正なページの画像をクリックすると、Mac OS X用攻撃ページに強制リダイレクトされウイルス感染攻撃が行われる形になります。(WindowsパソコンだとWindows用攻撃ページへ移動する)

 Mac OS X用攻撃ページの26日時点の様子は↓な感じでした。以前まであった動画サイトUstream(ustream.tv)を表面上ブラウザ上に表示する処理がなくなってます。ピンクの囲いが新たな処理の1つ。

イメージ 1

 そして、赤い囲いのJavaアプレットとして2つのファイルが用意されてます。「rh-*.jar」は Java for Mac のバージョンが「1.6.0_26」以下の場合に読み込まれるようになってます。
・ rh-*.jar 脆弱性CVE-2011-3544
・ al-*.jar

 そして、この記事を書いてる28日時点の最新の様子が↓。一時的なのかもしれませんが、「rh-*.jar」の処理がなくなり、Javaアプレットとして1つのファイルだけ読み込むようになってます。(画像上にカーソルを持って行くと拡大マークが出ます)

イメージ 2

 この「al-*.jar」ファイルは、Java for Mac が最新版「1.6.0_29」であっても読み込まれるようになってます。去年のこともあるので、リスクを低減するためブラウザの設定でJavaを切ってしまった方がいいような気がしますねぇ。(名前が似ていて混同されるJavaScriptの話でななくJava!)
目下のMacマルウェア (エフセキュア ブログ) Safariの設定
Java プラグイン利用ガイド (Firefox ヘルプ)

開くトラックバック(0)

Mac OS X Flashbackウイルス と Javaエクスプロイト (その2)

 Mac OS XをターゲットにMac for Javaの旧バージョンにある脆弱性を悪用しFlashbackマルウェアを強制的に送り込む脅威の続編です。 ;)
Mac OS X Flashbackウイルス と Javaエクスプロイト

 前回の記事を書いた当時のウイルス配信サイトにはJavaの脆弱性を悪用するための処理が2つ用意されていて、先月末にCVE-2008-5353を悪用する処理が消えCVE-2011-3544の処理一本になったと追記の情報で書いてましたが、これは一時的だったようで程無くして元に戻ってました。
・ rh-*.jar → CVE-2011-3544
・ cl-*.jar → CVE-2008-5353

 んで、今日17日に動きがあって新たに3つ目の処理が新たに追加されたのを確認しました。
・ al-*.jar → なんじゃこれ!?

イメージ 1

[追記...]
 「al-*.jar」はJava for Macの未修正の脆弱性を悪用するファイルでした。2週間近く誰も指摘しないとは思わなんだ・・・。 ;)
MacのFlashbackウイルス感染にJava脆弱性ゼロデイ攻撃、修正版リリース

開くトラックバック(0)

Twitterからウイルスサイトへ誘導... AVG Anti-Virus Free配布サイト???

 ネタ元のYahoo!知恵袋より。
twitterで知らない外国人からのリプライについて
お世話になります。twitterで知らない外国人からURL付のリプライをもらっていました。うっかり開いてしまいました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1183382506
 素のURLが掲載されていてとても危険ですが、さっそく突撃すると複数回リダイレクトされ最終的にこんなページヘ到達。無料ウイルス対策ソフトで知られるあの「AVG Anti-Virus Free」のページ!?!? でも、URLは.inなインドドメイン! ;)

イメージ 1

 この偽AVGページで配布されてる謎の実行ファイル「Anti-Virus2012.exe」を手動でダウンロードし、念のためウイルスチェックしてみると・・・。
http://www.virustotal.com/file/95d22113fdf319098f26fe4befe07a9fcc2fd03504561bcfb4f0328238365554/analysis/
 McAfee-GW-Edition(www.mcafee.com/japan/products/web_gateway.asp)がいちおう検知しちゃってますが、このファイルはRAR形式のパスワード付き自己解凍書庫になっていてアーカイブ内にウイルスが存在するにもかかわらず、パスワード保護の影響でセキュリティソフトのファイルスキャンでは検出できなくなってしまってます。

   イメージ 2

 「Anti-Virus2012.exe」ファイルをパソコン上で実行しパスワードの解除処理が内部で行われて初めてウイルス御大が出現するスタイルになってるんですねぇ。実際に実行後にドロップされる本体がこれ。
http://www.virustotal.com/file/a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5/analysis/
 手元でこれを起動してもなぜかプログラムがすぐに終了してしまうので、マルウェア解析器に放り投げると、当然ながらAVG Anti-Virusでも何でもなく「Windows Managing System」を名乗る偽セキュリティソフトでした。マイクロソフト風バリバリのデザインが何とも・・・。
http://camas.comodo.com/cgi-bin/submit?file=a6dcf7777d49eadb1cd67256fe24742bd5fee720b4aa3f2a5ec4e63b1b8ba6d5
http://siri-urz.blogspot.com/search/label/fakepav

開くトラックバック(0)

RLO拡張子偽装のウイルス JPEG画像ファイルに見せかける

 日本のとあるオンラインゲーム関連の掲示板に投稿されてたURL(アップローダーサイト)から入手した圧縮ファイル。ファイルを解凍してみたら中身はJPEG形式の画像ファイル・・・

  イメージ 1

 ・・・のように見せかけて、実際はRLO拡張子偽装が施された実行ファイル(ウイルス)です。ファイルの種類が「アプリケーション (.exe)」となっていて画像ファイルじゃないことが分かります。アイコン画像もきっちり偽装してありますな。 ;)

nicole-ray-felt-up-01Bind‮gpj.exe
www.virustotal.com/latest-report.html?resource=6fcf6352f3a0fa81e9bc75a88f419797

RLO拡張子偽装のワンクリウェア

開くトラックバック(0)

全1ページ

[1]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2 3
4 5 6 7 8
9
10
11 12
13
14 15 16
17
18 19 20 21 22 23 24
25 26 27
28
29 30 31
検索 検索
友だち(5)
  • ★ピサロ★
  • who
  • Cookies
  • Kerupani129
  • 物知りマン
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ