こんにちは、ゲストさん
ウイルス・セキュリティ
詳細
|
フルスクリーン画面をドドーンと表示してWindowsパソコンを使えない状態にし、解放と引き換えにお金をせびってくるランサムウェア型のウイルス。 その攻撃者側の管理ページがあるってことで、中にちょっと入ってみました〜。  ダッシュボード 感染ボット 実際の感染ユーザーが拝むことになるロック画面がこちら。 『Your Computer has been locked!』ってことで、International Police Association(国際警察協会)を騙って要求してくる身代金は50ユーロ or 100ユーロ。支払手段は、日本では流通してないUkashクーポンかプリペイドカードPaysafecardというものです。 感染手段はドライブバイ・ダウンロード攻撃による問答無用の強制インストールだけど、感染ターゲットになってない日本国内のユーザーがこの画面を目にする機会は今んとこないです。
|
>
>
>
コメント(1)|
Windowsパソコンをターゲットにウイルスを強制的に感染させる経路として一番悪用されてるJava(JRE)のバージョン7系に未修正の脆弱性が見つかり、先週から標的型攻撃が始まってたようで騒ぎに・・・。Javaがバージョン7系だと最新版であっても対処されてないゼロデイ攻撃の状態です。 偽セキュリティソフト型ウイルス(Live Security Platinum)、スパイウェア、ルートキットあたりを強制的に感染させる攻撃で使われてるエクスプロイトキットに今日さっそく積まれてるのを確認してます。もう特定ユーザーだけ影響がある標的型攻撃じゃなくなってますよぉ。  Javaの脆弱性を悪用する処理が2ヶ所あって、1つ目のファイルはすでにJava最新版で対処済み♪ 33256.jar の影響を受けないJavaのバージョン
Version 6 Update 33 Version 6 Update 34 ← バージョン6系の最新版 Version 7 Update 5 Version 7 Update 6 ← バージョン7系の最新版 2つ目のファイルがJavaバージョン7系でゼロデイ攻撃状態!!! 88770.jar の影響を受けるJavaのバージョン
Version 7 Update 0〜6 ■ 安全なJavaのバージョンは? 今のところ、ウイルス感染リスクが存在しないJavaは、バージョン6系の「Version 6 Update 33」「Version 6 Update 34」だけになります。 ■ ブラウザのJavaを無効化する 各ブラウザのJavaを無効化しておくことで攻撃はいちおう回避できます。ちなみに、名前が似てるJavaScript(Javaスクリプト)はまったく無関係ですぞ! ・ Opera 1. ブラウザのURLボックスに「opera:plugins」と入力して移動 2. 一覧リストから「Java(TM) Platform SE 〜」「Java Deployment Toolkit 〜」を無効化 1. ブラウザのURLボックスに「about:plugins」と入力して移動 2. 一覧リストから「Java」を無効化 1. ブラウザの「アドオンマネージャ」を開いて、左メニューの[プラグイン]を選択 2. 一覧リストから「Java(TM) Platform SE 〜」「Java Deployment Toolkit 〜」を無効化 1. ブラウザの「アドオンの管理」を開いて、中央左の[表示:]リストから「すべてのアドオン」を選択 2. 右側の一覧リストで、発行元が「Oracle America, Inc.」または「Sun Microsystems, Inc.」となってる項目群(「Deployment Toolkit」「Java Plug-in *.*.*_*」「Java(tm) Plug-In SSV Helper」など)を無効化 [追記...] ● Internet Explorer でJavaの無効化について追加情報 《Windows XP》 Windowsのコントロールパネルにある「Java」項目をクリックし、[詳細]タブを選択して、「ブラウザのデフォルトのJava」→「Microsoft Internet Explorer」のチェックマークを外す。 《Windows Vista/7》 エクスプローラで「C:\Program Files(x86)\Java\jre7\bin\」(32ビット環境「C:\Program Files\Java\jre7\bin\」)を開いて、「javacpl.exe」ファイルを右クリックメニューで[管理者として実行]。[詳細]タブを選択し、「ブラウザのデフォルトのJava」→「Microsoft Internet Explorer」のチェックマークを外す。(灰色状態でマウスだといじれないはずなので、項目を選択してスペースキーを押す) ● Javaを頻繁に使うため無効化なんてムリなら、バージョン7系をアンインストールして、影響を受けないバージョン6系の最新版をインストールできます。 |
>
>
>
|
英国ロンドン警視庁(Metropolitan Police)のサイバー犯罪合同捜査本部(Police Central e-crime Unit)から100ポンド(=約1万2千円)の罰金をUkash(クーポン)かPaysafecard(プリペイドカード)で支払うよう要求されたー!?!? 『このIPアドレスは、ポルノ、児童ポルノ、動物性愛、児童虐待を含んだサイトの訪問に使われました。あなたのパソコンには、ポルノコンテンツ、暴力的内容、児童ポルノの動画ファイルもあります!』って理由。 Attention!!! This operating system is locked due to the violation of the laws of the United Kingdom! Following violations were detected: Your IP address is "*.*.*.*". This IP address was used to visit websites containing pornography, child pornography, zoophilia and child abuse. Your computer also contains video files with Pornographic content, elements of violence and child pornography! Spam-messages with terrorist motives were also sent from your computer. This computer lock is aimed to stop your illegal activity.”警察”を騙って、フルスクリーンのウィンドウをパソコン画面に最前面表示しロック状態にしてパソコンを人質にとって、解放してほしければ身代金を支払うよう脅迫してくるランサムウェア! 感染ターゲットは主に西欧圏ユーザーでしたが、最近は米国ユーザー向けにFBIを騙るランサムウェアも投入されFBIから注意もでてます。 ◆ 感染条件
・ インストールされてる Java(JRE) を旧バージョンのまま放置してる ・ インストールされてる Adobe Reader を旧バージョンのまま放置してる ・ インストールされてる Adobe Flash Player を旧バージョンのまま放置してる ・ Windows Update してない |
>
>
>
|
前からハッキング被害を受けてる日本の企業サイトにアクセスしたら、偽ウイルススキャンページ「Viruses were found on your computer!」へ強制的にリダイレクトされるようになってたので紹介。 まず、ブラウザの警告ダイアログが表示され、英語でウイルス感染してると言ってきます。 Viruses were found on your computer. You need to clean your computer to prevent the system crash. 《翻訳こんにゃく》 あなたのコンピュータからウイルスが見つかりました。 システムのクラッシュを引き起こすので、コンピュータをクリーンにする必要があります。OKボタン(や×ボタン)を押すと、マイクロソフトが提供してる無料ウイルス対策ソフト「Microsoft Security Essentials」(MSE)にソックリ似せたニセのウイルス感染警告ダイアログが出現。実際にはダイアログでも何でもなく、単なる1枚の画像ファイルがブラウザ上に表示されてるだけですが・・・。 Microsoft Security Essentials Alerts Potential threat details Microsoft Security Essentials detected potential threats that migth compromise your privacy or damage your computer. You need to clean your computer immediately to prevent the system crash. × Trojan-PSW.Win32.launch ! HackTool:Win32/Welevate.A × Adware.Win32 Fraud右下に見える[Clean computer]ボタンを押すと、”駆除ツール”を装った本物のウイルス(install.zip)のダウンロードとなります。ファイルは圧縮されてるので解凍すると、中には「setup.exe」という1つの実行ファイルが用意されてます。これをユーザー手動で実行して始めて感染状態となります。 Yahoo!知恵袋で検索してみると、これに出会ったという報告が記事を書いてる時点で4件確認できます。そのうち1件はナンとまあ「setup.exe」を実行するところまで進んでます。パニック状態にさせたりウイルス感染と思い込ませる効果はあるようです。 ■ ウイルスを実行して感染させてみる 手元のパソコンで実行して感染させてみたとろ、外観デザインがマイクロソフト風なバリバリの偽セキュリティソフト型ウイルスでした。デタラメなウイルス感染警告を表示して、パソコンのあらゆる操作を妨害され、これを解決したいならクレカ番号を送信して有償版を買うよう脅してきます。 |
>
>
>
|
最近ぜんぜんチェックしてませんでしたが、マルウェア(ワンクリックウェア)を配信してるアダルト動画サイトを装った日本のワンクリック詐欺サイトにて、動画ファイルを装ったHTAファイルを実行してパソコンに感染させてみました。 [1] エッチな映像を再生する直前の規約同意のシーンです。 [2] 同意して再生ボタンを押すと、RLO拡張子偽装が施されたHTAファイルの起動を促されます。拡張子が「〜.wmv」となっていて表面上は動画のWMVファイルのように装わせてありますが、単なるHTAファイルです。この段階で怪しいと気づける人がいればいいのですが、引っかかる人の頭の中は卑猥な映像を見ることしかないのでどうにもならないのでしょう。 [3] ファイルを開くと、Windows Media Playerが起動してエッチな映像が数分間再生された後にパソコン画面の中央にポップアップ画像が出現します。「動画の続きを視聴しますか?」という質問で『続きを視聴』『取り消す』の2択となってます。 その下には「これより先に進みますと会員登録が完了し90日間定額制8,5000円の料金が発生します。なお登録と同時に登録確認画面が一定期間パソコン画面上に表示されます。また登録確認画面につきましては利用料金のご入会が確認できないと削除できません。」とあります。 [4] 『続きを視聴』ボタンを押してしまうと、これで無事にマルウェア(ワンクリックウェア)の感染状態となります。レジストリとタスクスケジューラの2ヶ所が不正に改ざんされ、「有料アダルトサイトへのご登録ありがとうございます」というポップアップ画像がパソコン画面の右下に出現し続けます。 ・ レジストリ → パソコンを起動した時に登録確認画面を表示させる目的で改ざんしてるようです。 ・ タスクスケジューラ → パソコンを起動してる最中に登録確認画面を継続的に表示させる目的で改ざんしてるようです。 [5] ポップアップ画像をクリックするとブラウザが開いて、料金や口座番号、請求の正当性を主張する説明ページが表示されます。通常利用価格85,000円が2日以内ならキャンペーン特別価格65,000円となっていて、早く払ってしまえば少し安く済むと錯覚させるワンクリック詐欺では定番の手法です。 ・ ワンクリック料金請求にご用心 (警視庁)
|
>
>
>
201911月| 日 |
月
|
火
|
水
|
木
|
金
|
土 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
最新のコメント
![[11]](https://s.yimg.jp/i/jp/blog/p3/images/paging_for2.gif){kind=small}
