ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫ウイルス (Mac)

 AppleのMac OS X向けのウイルスや偽セキュリティソフトについてのエントリーです。Mac OS X向けウイルスの種類は2011年5月時点で2ケタです。いつになったら3ケタに達しますかいな? ちなみに、Windows向けのウイルスは1日に万の単位が投入されてるそうです。 :(
 2011年5〜6月には偽セキュリティソフトの感染騒ぎが起きました。日本のMac OS Xユーザーにも初めてまとまった感染被害の報告がでています。2012年2月からはJava for Macの脆弱性を悪用したFlashbackマルエウェアの感染攻撃もありました。

 Macのウイルス感染攻撃で脆弱性の悪用があったソフト
○ Microsoft Office for Mac
○ Java for Mac

まずはSafariの危険な設定をオフにせよ!
Mac用ウイルス対策、アンチウイルスソフト(フリー&有償製品)
無料ウイルスファイル判定スキャン
記事検索
検索

全5ページ

[1] [2] [3] [4] [5]

[ 前のページ | 次のページ ]

Mac OS X Flashbackウイルス と Javaエクスプロイト

 今週になって、Appleのサポートフォーラム(英語)にMacのFinderやらメニューなどの項目表記がアルファベットと数字を組み合わせた意味不明な文字列に置き換わるという症状を訴える投稿が複数ポストされてます。環境が10.6 Snow Leopardというのが多いでしょうか。
https://discussions.apple.com/message/17662325
https://discussions.apple.com/message/17648803
https://discussions.apple.com/message/17652575
https://discussions.apple.com/message/17653508
https://discussions.apple.com/message/17649335
https://discussions.apple.com/message/17643296
https://discussions.apple.com/message/17640156
https://discussions.apple.com/message/17638393
https://discussions.apple.com/message/17635201
 これがOS X用トロイの木馬型ウイルスFlashbackの亜種に感染したことが原因ではないかという話になっとります。

 Flashbackは去年2011年9月からAdobe Flash Playerのインストーラーという名目で配信が始まり、年を越してもダラダラと配信は継続してましたが、今月2月から配信手法が切り替わって、Javaの旧バージョンにある脆弱性(最新版では修正済み)を悪用し強制的にMacマシンに送り込む手法になってるそうです。
Mac OS Xを狙った初のエクスプロイト (Dr.Web)

 んで、下の画像がセキュリティ会社Doctow Webのニュースでも紹介されてる配信サイトの現在のHTMLソース。 ;)

イメージ 1

 黄色の囲いは、フレームを使ってホンモノの動画サイトUstream(ustream.tv)をブラウザ画面いっぱいに表示。その裏で赤い囲いのJavaアプレットが読み込まれる処理になってます。このJavaアプレットファイルを落とそうと何回か試みてますが、コチラではどうにもダミーの404 not foundが返ってきて弾かれてしまいます。ファイル名からすると↓な目的?
・ rh-*.jar → CVE-2011-3544
・ cl-*.jar → CVE-2008-5353


[3月2日 追記...]
 現在の配信サイトはこんな感じになってます(上の画像の赤い囲いのとこ)。Javaの脆弱性を突く用のファイルが2種用意されてましたが、2月29日からCVE-2011-3544の処理一本になりました。これで十分攻撃OKってことなんでしょうかね? ;)

イメージ 2

開くトラックバック(0)

偽 Flash Player ウイルス for Mac 再来・・・

 Mac OS Xマシンを攻撃ターゲットに「Adobe Flash Player」のインストーラーを装ってバックドアウイルスを導入させようとする脅威が確認されてるとか。
Mac Flashback Trojan Horse Masquerades as Flash Player Installer Package (Intego Blog)
Flashback Mac Trojan poses as Adobe Flash update, opens backdoor (Sophos Blog)

 さっそく配信サイトへ訪問してみたら・・・

   イメージ 1

 7月の↓記事で紹介した時とまったく同じひな形を使ったインチキシーンがブラウザ上に表示されました。『Flash Player 10がエラーを吐き、最新版のFlash Player 11へアップデートしてください』と指示する偽アニメーションが表示されます。
Mac向けマルウェア配信キャンペーン再開! 次は偽 Flash Player

 このシーンが表示された直後にGoogle.comへそのまま強制転送されてしまったため、肝心の配信されてるウイルス検体は回収できませんでした。普通に日本IPアドレスだからダメなんかねぇ。 :(

開くトラックバック(0)

Mac向けマルウェア配信キャンペーン再開! 次は偽 Flash Player

 Mac向けインチキ偽セキュリティソフト「Mac Defender」ファミリー(Mac Guard、Mac Shield、Mac Protector、Mac Security)が先月6月まで話題になってましたが、何だか最近さっぱり音沙汰がなくなってしまいました。というのも、6月下旬にこの配信キャンペーンが終わっちゃたんですねぇ。

 新たなウイルス検体が投入されなくなったおかげで、Mac OS X(Snow Leopard以降)に内臓されてるウイルス検知機能「XProtect」の定義データを更新する配信作業も、そのタイミングとともに停止してたようです。 (↓ Resultsという項目のグラフ参照)
Mac malware 'explosion' missing in action (TUAW - The Unofficial Apple Weblog)

 んが、本日7月25日よりMac OS X向けにマルウェアの配信が再開されたっぽいのを確認してます。ブラウザ上に「Adobe Flash Player」がクラッシュした、なるエラー場面が出現して、「FlashPlayer-11-macos.zip」(FlashPlayer.pkg)なるファイルをダウンロードさせられます。

イメージ 1

イメージ 2

 マルウェアと思われるファイルをVirusTotalに放り投げた結果はコチラ。AVG が「Hosts」とな。
www.virustotal.com/file-scan/report.html?id=9469c1afe1a2031f082de610b026b5ed46fbbdd51a23871935034fdcc4086f45-1311595973
 内部を見る限り、Hostsファイルを改ざんする挙動があるようですねぇ。

  イメージ 3


[8月3日 追記...]
 エフセキュアが取り上げてます。これはGoogleウェブ検索とGoogle画像検索に登録されてる改ざんした一般サイトを踏み台にして配信されてます。
Macを狙う偽のFlash Playerインストーラが出現 (ITmedia)
Trojan:BASH/QHost.WB (エフセキュア ブログ)

 ちなみに、一番新しいバージョンは下のような処理になってます。新たに加わった矢印の行は攻撃者に感染を通知する用なん。 ;)

  イメージ 4

開くトラックバック(0)

画像検索経由で偽セキュリティソフト感染、続ネタ

 WindowsとMac OS XのユーザーをターゲットにGoogleなどの画像検索エンジン経由でウイルスや偽セキュリティソフトを感染させようとする脅威の続ネタ。まだ攻撃は継続していて、踏み台状態になってる日本の正規サイトもまだ複数ある感じ。

 たとえば、日本のJPドメインな「財団法人●●●協会」。キムタクがCMをやってたところの社長さんが代表を務めてる協会のようです。このサイト内の不正な踏み台用画像が約7千件ほど検索エンジンに登録されちゃってます。 :(

   http://farm6.static.flickr.com/5068/5891016690_cb9ae92545_z.jpg

 ところで、Mac OS Xユーザーが検索結果内の画像をクリックすると、今現在は下のような実際には存在しないURLアドレスに強制リダイレクトさせる処理が降ってきます。
<script>var url = "http://blog.unmaskbullshits.com/penis-sinegubko-was-found-shit-in-the-park-even-worst-than-previous-one-part-3213.html"; if (window!=top) {top.location.href = url;} else { document.location= url;}</script>
 最初は「なんじゃこれ?」でしたが、この脅威を手掛けてる攻撃者が、下のブログの中の人を卑猥なコトバで攻撃する内容になってるんですな、これ。この脅威の技術的な内部情報を6月29日にエントリーしたことを受けてのメッセージのようで。
Google Image Poisoning. What’s New in June? (Unmask Parasites. Blog.)
http://blog.unmaskparasites.com/
ロシアのセキュリティリサーチャー Denis Sinegubko氏のブログ

開くトラックバック(0)

Apple vs Mac Defender 検出対応のいたちごっこスタート

イメージ 1

 Appleのセキュリティアップデートによって駆除機能が備わったことで、検出対応をめぐる「cat and mouse game」(いたちごっこ)がスタートしたようで。インチキ偽ウイルス対策ソフト「Mac Defender」ファミリの感染キャンペーンで現在投入されてる最新亜種は「Mac Shield」という名前になってます。

MAC Defender
 ↓
Mac Security (MacSecurity)
 ↓
Mac Protector (MacProtector)
 ↓
Mac Guard (MacGuard)
 ↓
Mac Shield (MacShield)
https://s.yimg.jp/images/sicons/affiliate16.gif  私のおすすめ:
Macターゲットの偽セキュリティソフト関連記事

開くトラックバック(0)

全5ページ

[1] [2] [3] [4] [5]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • who
  • Cookies
  • ★ピサロ★
  • Kerupani129
  • 物知りマン
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

ふるさと納税サイト『さとふる』
11/30まで5周年記念キャンペーン中!
Amazonギフト券1000円分当たる!
数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!

その他のキャンペーン

みんなの更新記事
前へ 次へ