ここから本文です
サイトの改ざん、コンピュータウイルス・セキュリティ、検索エンジンYahoo!/Googleらへん...☆彡

書庫ウイルス・セキュリティ

 Windowsパソコンをターゲットに有名ソフトの旧バージョンにある欠陥(脆弱性:ぜいじゃくせい)を悪用したウイルス攻撃が流行中! 古いバージョンを入れっぱなしだと強制的にウイルス感染地獄!
(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) Adobe Readerを最新バージョンにする
  + [編集]メニュー→[環境設定]で[JavaScript]→[Acrobat JavaScriptを使用]のチェックを外す
(3) Adobe Flash Playerを最新バージョンにする
(4) Java(JRE)を最新バージョン版にする

 パソコンには、ウイルス対策ソフトを入れてください。「変なサイトには行ってない」「今まで感染したことがない」なんてな寝言は通用しません。どうしてもお金をかけたくないなら、ユーザーサポートがないですが無料ウイルス対策もどぞっ。

セキュリティソフトランキング ... 売れ筋人気製品
セキュリティソフト比較 ... 第三者評価機関、市場シェア
記事検索
検索

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

偽ウイルス対策「Security Tool」衣替え! 次は「Security Shield」

 今年2010年のインチキな偽ウイルス対策ソフトとして日本でもっとも猛威を振るった感じがする「Securyt Tool」。ガンブラー(Gumblar)改ざんやマイクロアド社の広告改ざんなど、危険はないと思われがちな一般の正規サイトを経由して、対策をちゃんとやってないWindowsパソコンをターゲットに広く散布されました・・・。
サイバー護身術 ドライブ・バイ・ダウンロードとは? (読売新聞)
Webページを見ただけで、ウイルスに感染してしまう危険性 − IPAの「今月の呼びかけ」 (マイコミジャーナル)

 んで、12月になって「Security Tool」は衣替えを行いました。その名も「Security Shield」。感染被害にあわれた方々(=ドライブバイ・ダウンロード対策をしてない方々)が・・・。

Security Shieldを削除方法 (Yahoo!知恵袋)
電脳清掃 (多摩在住ヨガインストラクターのアートなブログ)
ティンカーベルたかぴろ (Twitter)

 http://farm6.static.flickr.com/5168/5282211033_cef8570d48_b.jpg

 http://farm6.static.flickr.com/5207/5282211031_5186a08677_b.jpg

・アイコンや外観デザインの変更してるも、「Security Tool」の名残がひしひしと
・プロセスで動く実行ファイル名 8ケタ程度のランダムな数値 ⇒ 6文字のランダムなアルファベット
・対応言語がグレードダウン 25言語 ⇒ 5言語(英語/ドイツ語/スペイン語/フランス語/イタリア語)

★ Security Shield 駆除・削除方法 (英語)
How to remove Security Shield and SecurityShield (My Anti Spyware)

開くトラックバック(0)

偽セキュリティソフトAntivirus Action、寄生ウイルスRamnitに感染してみた

 前回の記事「JavaとQuickTimeが最新版じゃないと強制的にウイルス感染!」の続きです。 :)

 どっかの日本のNPOのホームページ(すでに閉鎖されたみたい)に挿入された2つの不正なIFRAMEタグに直接アクセスして、ソフトウェアの脆弱性を悪用して強制発動することになるウイルス(実行ファイル)をそれぞれ手動で回収、普通にダブルクリックして感染させてみました。 ;)
http://*****.com/mmmsss/fuduhqjnfqxwkokvgm2.php ... タイプA
http://*****.com/gizmod/start.php?id=vlnd ... タイプB
偽セキュリティソフト「Antivirus Action」
 まずタイプBの方から。こっちはsmilebananaさんでも紹介されてるインチキな偽セキュリティソフトに感染します。偽ウイルススキャンのウィンドウが表示され正規版を購入するようギャーギャーわめく以外にも、レジストリをいじられて普通のブラウザからのネット接続がブロックされてしまいます。
Antivirus Action 消したい・・・ (Yahoo!知恵袋)
Remove Antivirus Action (Uninstall Guide) (Bleeping Computer)

イメージ 1
 ネットワーク越しに攻撃を受けてるとかいう右下の警告も偽ポップアップだよん

寄生型ウイルス「Ramnit」
 次はタイプAです。こっちはハードディスク内に存在するすべてのEXEファイル、DLLファイル、HTMLファイルに不正なデータが引っ付いて自分自身を増殖するウイルスに感染します。上のインチキソフトと違って、こっちは目に見えて分からないので「あれ?」と気づいたときは後の祭り。
W32/Ramnitウイルスについての考察 (McAfee Labs Blog)

イメージ 2
 たとえば、感染後にHTMLファイルのサイズがなんでか200Kバイトぐらい増加しとる!

イメージ 3
 恐る恐る中身を見てみると、正しいデータの最後尾に不正なコードがキレーに挿入されてる寄生状態!

2つの感染で。。。 (^^;
 たとえば、目に見えて状況が分かる「Antivirus Action」の駆除に取り掛かるため、他のパソコンからUSBメモリで駆除ツールなりを持ってこようものなら、持ってきた駆除ツール自体が「Ramnit」により汚染され・・・(完)

開くトラックバック(0)

JavaとQuickTimeが最新版じゃないと強制的にウイルス感染!

 ガンブラー御大(8080 & Gumblar.x)は動きらしい動きなし。

Oracle Java は最新版かいな?
 IBM Tokyo SOC レポートさんが Java(JRE)の脆弱性を悪用する攻撃について警告してます。掲載されてる画像の攻撃コードが設置された不正なページへと強制誘導させられるコードは、日本の一般サイトでも複数確認してます。
Javaの脆弱性を悪用するドライブ・バイ・ダウンロード攻撃の増加を確認 (IBM Tokyo SOC Report)

 この記事を書いてる時点で、「Java 6 Update 22」が修正済みの最新バージョン。メーカー製パソコンにはJavaが最初からインストールされてることも多いので必ず確認を。

Apple QuickTime は最新版かいな?
 smilebananaさんのブログに日本のどっかのNPOのホームページが改ざんされてるという記事。
「ホームページを見ているだけ」でも感染しちゃう系 (smilebanana)

 どこのNPOなのかは探すのがめんどいのでスルーして、掲載されてる画像にある2つのIFRAMEタグに直接アクセスして攻撃コードをチェックしてきました。URLアドレスで検索してみると、12月2日ぐらいから報告があがってるようですな。

 IFRAMEタグで読み込まれるページには、それぞれ同じエクスプロイトキット(ブラウザ経由でウイルス感染させるWebアプリ)が設置されてます。これはマイクロアド広告の「Securiy Tool」感染騒動の時と同じものです。たた、QuickTimeの脆弱性(最新版なら修正済み)を悪用して強制ウイルス感染させる処理が追加されてる新バージョンとなってます。

 で、最終的に強制感染させられるウイルス(実行ファイル)は、IFRAMEタグごとに別々でした。smilebananaさんが続編「もしも無防備な状態でこのサイトにアクセスしちゃってたら一体どうなってたのよ!編」ってのをお送りするとのこと。こちらでそれぞれ実行して感染させてみましたが悲惨なことになる感じ。

100%被害を回避できる対策
 上の2つの事例は、下の対策(無料)を滞りなく済ませておくことで、改ざん被害を受けてる一般サイトを運悪く踏んでしまっても100%ウイルス感染を回避できます。この対策をきっちりやってくれるウイルス対策ソフトなぞこの世に存在しないのでご注意を〜! ;)
初心者必見! 究極の感染対策「6つの約束」を実行しよう (So-net セキュリティ通信)
ホームページからの感染を防ぐために (サイバークリーンセンター)

 バージョン情報を手軽に確認するには、「MyJVNバージョンチェッカ」が便利。対応環境は32ビットのWindowsパソコン(64ビットはダメ)。QuickTimeとJavaが導入されていて古いと判定されたら必ず更新してください。導入されてないなら、あえて新規にインストールする必要なし。

 あと、別のお手軽な確認手段としてFileHippo.com Update Checkerというツールもあります。

開くトラックバック(0)

ガンブラー(Gumblar)改ざん攻撃の報告書

 JPCERTコーディネーションセンターから「ガンブラー」(Gumblar)改ざん攻撃の報告書というのが公開されてました。去年からずっと追ってる人にしか分からんような情報が満載という感じ? :)
依然続くガンブラー型攻撃、サーバー管理者は対策を、JPCERT/CCが調査報告書 (INTERNET Watch)
【レポート】Gumblarは終息したのか? 今後の動向に注意が必要 - JPCERT/CC (マイコミジャーナル)
踏み台にされるWebサイト〜いわゆるGumblarの攻撃手法の分析調査〜 (JPCERT/CC)

(追記...)
AVAST softwareから「Kroxxu botnet」(= Gumblar.x)の報告レポート。
AVAST: Kroxxu botnet infects 100,000 domains without a money trail (AVAST Software)


ついで。
■ Internet Explorer の脆弱性ゼロデイ攻撃 (マイクロソフト セキュリティアドバイザリ
 先週後半あたりから本格的な攻撃になってきたのか海外で報告が。攻撃コードをいくつか見ましたが、IEブラウザのDEP機能が初期状態でオンになってないIE6&IE7に絞って狙う形。
Amnesty International Hong Kong Website Injected With Latest Internet Explorer 0-day (Websense Security Labs)
韓国内のCVE-2010-3962脆弱性を悪用する悪意のあるコードの増加 (AhnLab ASEC Threat Research)

開くトラックバック(0)

ウェブ魚拓がウイルス感染うんぬん? (メモ)

 「HTTP Malicious Toolkit IFrame Injection」 というのはNorton SafeWebのものですかね? このURLアドレスは、だいぶ前の2月にも同じ報告あり。

 コードが難読化してあるけれど、飛び先のロシアドメインに何かしら脆弱性を突くような攻撃コードが見当らず、有害といえる処理が見つけられないので何とも判断がね・・・。(^〜^;
http://megalodon. jp/contents/000/651/798.mime9 ← 難読化コード
 ↓
http://noion. ru/img/counter.gif
http://noion. ru/count/1.swf?u=/count/count_up.php?count= 〜
http://noion. ru/count/count_up.php?count= 〜
 ↓
http://noion. ru/count/404.php (404 Not Found で取得できず)

(追記...)
 「798.mime9」ファイルが「deleted.」に。
ウイルス正体判明 (株式会社アフィリティー お知らせ)

開くトラックバック(0)

全37ページ

[10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21]

[ 前のページ | 次のページ ]

Yahoo!ブログからのお知らせ

noooo_spam
noooo_spam
非公開 / 非公開
人気度
Yahoo!ブログヘルプ - ブログ人気度について
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
検索 検索
友だち(5)
  • Kerupani129
  • ★ピサロ★
  • 物知りマン
  • who
  • Cookies
友だち一覧

よしもとブログランキング

もっと見る
本文はここまでですこのページの先頭へ

[PR]お得情報

数量限定!イオンおまとめ企画
「無料お試しクーポン」か
「値引きクーポン」が必ず当たる!
ふるさと納税サイト『さとふる』
実質2000円で特産品がお手元に
11/30までキャンペーン実施中!

その他のキャンペーン

みんなの更新記事
前へ 次へ