無題なブログ

Windowsパソコンをロックする身代金脅迫ランサムウェア型ウイルスの内部

Sun, 06 Jan 2013 15:38:26 +0900

フルスクリーン画面をドドーンと表示してWindowsパソコンを使えない状態にし、解放と引き換えにお金をせびってくるランサムウェア型のウイルス。

その攻撃者側の管理ページがあるってことで、中にちょっと入ってみました～。

ダッシュボード

感染ボット

実際の感染ユーザーが拝むことになるロック画面がこちら。

『Your Computer has been locked!』ってことで、International Police Association（国際警察協会）を騙って要求してくる身代金は50ユーロ or 100ユーロ。支払手段は、日本では流通してないUkashクーポンかプリペイドカードPaysafecardというものです。

感染手段はドライブバイ・ダウンロード攻撃による問答無用の強制インストールだけど、感染ターゲットになってない日本国内のユーザーがこの画面を目にする機会は今んとこないです。

Java 7 ゼロデイ脆弱性でウイルス強制感染攻撃（CVE-2012-4681）

Tue, 28 Aug 2012 20:59:09 +0900

　Windowsパソコンをターゲットにウイルスを強制的に感染させる経路として一番悪用されてるJava（JRE）のバージョン７系に未修正の脆弱性が見つかり、先週から標的型攻撃が始まってたようで騒ぎに・・・。Javaがバージョン７系だと最新版であっても対処されてないゼロデイ攻撃の状態です。

・ Javaに未解決の脆弱性が発覚、標的型攻撃に利用される（ITMedia）
・ Oracle Java 7に“超”危険な脆弱性、任意のOSコマンドが遠隔実行可能（ITpro）

　偽セキュリティソフト型ウイルス（Live Security Platinum）、スパイウェア、ルートキットあたりを強制的に感染させる攻撃で使われてるエクスプロイトキットに今日さっそく積まれてるのを確認してます。もう特定ユーザーだけ影響がある標的型攻撃じゃなくなってますよぉ。

　Javaの脆弱性を悪用する処理が２ヶ所あって、１つ目のファイルはすでにJava最新版で対処済み♪

33256.jar の影響を受けないJavaのバージョン
　Version 6 Update 33
　Version 6 Update 34 ← バージョン６系の最新版
　Version 7 Update 5
　Version 7 Update 6 ← バージョン７系の最新版

　２つ目のファイルがJavaバージョン７系でゼロデイ攻撃状態!!!

88770.jar の影響を受けるJavaのバージョン
　Version 7 Update 0～6

■ 安全なJavaのバージョンは？
　今のところ、ウイルス感染リスクが存在しないJavaは、バージョン６系の「Version 6 Update 33」「Version 6 Update 34」だけになります。

■ ブラウザのJavaを無効化する
　各ブラウザのJavaを無効化しておくことで攻撃はいちおう回避できます。ちなみに、名前が似てるJavaScript（Javaスクリプト）はまったく無関係ですぞ！

・ Opera
1. ブラウザのURLボックスに「opera:plugins」と入力して移動
2. 一覧リストから「Java(TM) Platform SE ～」「Java Deployment Toolkit ～」を無効化

・ Chrome
1. ブラウザのURLボックスに「about:plugins」と入力して移動
2. 一覧リストから「Java」を無効化

・ Firefox
1. ブラウザの「アドオンマネージャ」を開いて、左メニューの[プラグイン]を選択
2. 一覧リストから「Java(TM) Platform SE ～」「Java Deployment Toolkit ～」を無効化

・ Internet Explorer
1. ブラウザの「アドオンの管理」を開いて、中央左の[表示:]リストから「すべてのアドオン」を選択
2. 右側の一覧リストで、発行元が「Oracle America, Inc.」または「Sun Microsystems, Inc.」となってる項目群（「Deployment Toolkit」「Java Plug-in *.*.*_*」「Java(tm) Plug-In SSV Helper」など）を無効化

[追記...]

● Internet Explorer でJavaの無効化について追加情報

《Windows XP》
　Windowsのコントロールパネルにある「Java」項目をクリックし、[詳細]タブを選択して、「ブラウザのデフォルトのJava」→「Microsoft Internet Explorer」のチェックマークを外す。

《Windows Vista/7》
　エクスプローラで「C:\Program Files(x86)\Java\jre7\bin\」（32ビット環境「C:\Program Files\Java\jre7\bin\」）を開いて、「javacpl.exe」ファイルを右クリックメニューで[管理者として実行]。[詳細]タブを選択し、「ブラウザのデフォルトのJava」→「Microsoft Internet Explorer」のチェックマークを外す。（灰色状態でマウスだといじれないはずなので、項目を選択してスペースキーを押す）

● Javaを頻繁に使うため無効化なんてムリなら、バージョン７系をアンインストールして、影響を受けないバージョン６系の最新版をインストールできます。

・ Oracle Java 7の脆弱性を狙った攻撃について（エフセキュア）
・猛威を振る Java ゼロデイ攻撃コード（ソフォス）

[追記...]
　この脆弱性などを解消する「Java 7 Update 6」「Java 6 Update 35」を臨時リリース！
＞ http://www.java.com/ja/

英国ロンドン警視庁から罰金!? 警察を騙る身代金要求ランサムウェア型ウイルス

Sat, 25 Aug 2012 09:42:18 +0900

　英国ロンドン警視庁（Metropolitan Police）のサイバー犯罪合同捜査本部（Police Central e-crime Unit）から100ポンド（＝約1万2千円）の罰金をUkash（クーポン）かPaysafecard（プリペイドカード）で支払うよう要求されたー!?!? 『このIPアドレスは、ポルノ、児童ポルノ、動物性愛、児童虐待を含んだサイトの訪問に使われました。あなたのパソコンには、ポルノコンテンツ、暴力的内容、児童ポルノの動画ファイルもあります！』って理由。

Attention!!!
This operating system is locked due to the violation of the laws of the United Kingdom! Following violations were detected:
Your IP address is "＊.＊.＊.＊". This IP address was used to visit websites containing pornography, child pornography, zoophilia and child abuse. Your computer also contains video files with Pornographic content, elements of violence and child pornography! Spam-messages with terrorist motives were also sent from your computer. This computer lock is aimed to stop your illegal activity.

　”警察”を騙って、フルスクリーンのウィンドウをパソコン画面に最前面表示しロック状態にしてパソコンを人質にとって、解放してほしければ身代金を支払うよう脅迫してくるランサムウェア！感染ターゲットは主に西欧圏ユーザーでしたが、最近は米国ユーザー向けにFBIを騙るランサムウェアも投入されFBIから注意もでてます。

◆ 感染条件
・インストールされてる Java（JRE）を旧バージョンのまま放置してる
・インストールされてる Adobe Reader を旧バージョンのまま放置してる
・インストールされてる Adobe Flash Player を旧バージョンのまま放置してる
・ Windows Update してない

・ Google画像検索「Police Ransomware」
・フランス警察を騙ったランサムウェア FakePoliceAlert／Trojan:Win32/Ransom.FL

偽ウイルススキャンページ Viruses were found on your computer!

Thu, 19 Jul 2012 20:32:24 +0900

　前からハッキング被害を受けてる日本の企業サイトにアクセスしたら、偽ウイルススキャンページ「Viruses were found on your computer!」へ強制的にリダイレクトされるようになってたので紹介。

　まず、ブラウザの警告ダイアログが表示され、英語でウイルス感染してると言ってきます。

Viruses were found on your computer.
You need to clean your computer to prevent the system crash.

《翻訳こんにゃく》
あなたのコンピュータからウイルスが見つかりました。
システムのクラッシュを引き起こすので、コンピュータをクリーンにする必要があります。

　OKボタン（や×ボタン）を押すと、マイクロソフトが提供してる無料ウイルス対策ソフト「Microsoft Security Essentials」（MSE）にソックリ似せたニセのウイルス感染警告ダイアログが出現。実際にはダイアログでも何でもなく、単なる1枚の画像ファイルがブラウザ上に表示されてるだけですが・・・。

Microsoft Security Essentials Alerts
Potential threat details

Microsoft Security Essentials detected potential threats that migth compromise your privacy or damage your computer. You need to clean your computer immediately to prevent the system crash.

× Trojan-PSW.Win32.launch
！ HackTool:Win32/Welevate.A
× Adware.Win32 Fraud

　右下に見える[Clean computer]ボタンを押すと、”駆除ツール”を装った本物のウイルス（install.zip）のダウンロードとなります。ファイルは圧縮されてるので解凍すると、中には「setup.exe」という１つの実行ファイルが用意されてます。これをユーザー手動で実行して始めて感染状態となります。

　Yahoo!知恵袋で検索してみると、これに出会ったという報告が記事を書いてる時点で４件確認できます。そのうち１件はナンとまあ「setup.exe」を実行するところまで進んでます。パニック状態にさせたりウイルス感染と思い込ませる効果はあるようです。

■ ウイルスを実行して感染させてみる
　手元のパソコンで実行して感染させてみたとろ、外観デザインがマイクロソフト風なバリバリの偽セキュリティソフト型ウイルスでした。デタラメなウイルス感染警告を表示して、パソコンのあらゆる操作を妨害され、これを解決したいならクレカ番号を送信して有償版を買うよう脅してきます。

ワンクリックウェアを配信するアダルト動画サイトを装ったワンクリック詐欺サイト

Mon, 09 Jul 2012 22:57:09 +0900

　最近ぜんぜんチェックしてませんでしたが、マルウェア（ワンクリックウェア）を配信してるアダルト動画サイトを装った日本のワンクリック詐欺サイトにて、動画ファイルを装ったHTAファイルを実行してパソコンに感染させてみました。

[１] エッチな映像を再生する直前の規約同意のシーンです。

[２] 同意して再生ボタンを押すと、RLO拡張子偽装が施されたHTAファイルの起動を促されます。拡張子が「～.wmv」となっていて表面上は動画のWMVファイルのように装わせてありますが、単なるHTAファイルです。この段階で怪しいと気づける人がいればいいのですが、引っかかる人の頭の中は卑猥な映像を見ることしかないのでどうにもならないのでしょう。

[３] ファイルを開くと、Windows Media Playerが起動してエッチな映像が数分間再生された後にパソコン画面の中央にポップアップ画像が出現します。「動画の続きを視聴しますか？」という質問で『続きを視聴』『取り消す』の２択となってます。

　その下には「これより先に進みますと会員登録が完了し90日間定額制8,5000円の料金が発生します。なお登録と同時に登録確認画面が一定期間パソコン画面上に表示されます。また登録確認画面につきましては利用料金のご入会が確認できないと削除できません。」とあります。

[４] 『続きを視聴』ボタンを押してしまうと、これで無事にマルウェア（ワンクリックウェア）の感染状態となります。レジストリとタスクスケジューラの２ヶ所が不正に改ざんされ、「有料アダルトサイトへのご登録ありがとうございます」というポップアップ画像がパソコン画面の右下に出現し続けます。

・レジストリ → パソコンを起動した時に登録確認画面を表示させる目的で改ざんしてるようです。
・タスクスケジューラ → パソコンを起動してる最中に登録確認画面を継続的に表示させる目的で改ざんしてるようです。

[５] ポップアップ画像をクリックするとブラウザが開いて、料金や口座番号、請求の正当性を主張する説明ページが表示されます。通常利用価格85,000円が2日以内ならキャンペーン特別価格65,000円となっていて、早く払ってしまえば少し安く済むと錯覚させるワンクリック詐欺では定番の手法です。

・ワンクリック料金請求にご用心（警視庁）

某有名旅行会社パリ支店のサイトが改ざんされウイルス強制感染の恐れ

Sat, 23 Jun 2012 10:42:07 +0900

　某有名旅行会社のパリ支店の公式サイト（日本語表記）が改ざんされウイルス撒いているぅ～。

　某有名旅行会社を閲覧すると、ブラウザ内部では下のような流れで不正な処理が強制的に読み込まれていって、最終的に「Java」か「Adobe Reader」をちゃんと最新版に更新してないダメダメユーザーのWindowsパソコンは問答無用のウイルス強制感染となる恐れ。更新済みなら100％感染被害なし！

http://www.＊＊＊-＊＊＊.fr/parisTours/ ～ （某有名旅行会社 パリ支店）
　↓
http://www.＊＊＊＊＊.com/media.php （リダイレクター、ハッキングされてる一般サイト）
　↓
http://37.157.255.＊/29820006.html （エクスプロイトキット）
　↓
http://37.157.255.＊/55993.jar （Javaの脆弱性を悪用するファイル）
http://37.157.255.＊/98765.pdf（Adobe Readerの脆弱性を悪用するファイル）
　↓
http://37.157.255.＊/2.html （強制的に起動させられる実行ファイル）

・無料ウイルス対策 MyJVNバージョンチェッカでバージョン確認！

[追記...]
　上とまったく違うサイトだけど、こちらも同系統の改ざん。某有名出版社が発行してる月刊雑誌の公式サイト。

http://＊＊＊-＊＊＊.jp/ ～ （月刊雑誌）
　↓
http://＊＊＊＊＊.info/stats.php （リダイレクター）
　↓
http://37.157.255.＊/94923516.html （エクスプロイトキット）
　↓ あとは上と同じ

・ウイルス強制感染回避 MyJVNバージョンチェッカでバージョン確認！

Androidスマホ向けワンクリック詐欺アプリの業者逮捕（ウイルス供用）

Fri, 15 Jun 2012 20:35:46 +0900

　スマートフォン向けのアダルト動画サイトを装ったサイト（サイト名：「NEW」「NEW動画」）にて、Android端末用のワンクリック詐欺アプリ（ウイルス検出名：FakeTimer）を配信してた業者が逮捕されたそうです。
・５分おき請求…スマホアプリ詐欺、被害２千万円（読売新聞）

　IT関連会社の元役員らが、高機能携帯電話スマートフォン（スマホ）向けのアダルト動画アプリ（応用ソフト）に架空請求の画面が表示されるウイルスを組み込んだとされる事件で、全国の9000人以上がこのアプリをインストールし、個人情報を抜き取られていたことが警視庁幹部への取材でわかった。このうち211人は架空の料金を振り込んでおり、同庁は、被害総額は約2100万円に上るとみて捜査している。

　発表によると、13日に不正指令電磁的記録供用（ウイルス供用）と詐欺の疑いで逮捕されたのは、IT関連会社「ピクサー」（東京都中野区、解散）元役員、真砂千執（45）（和歌山県新宮市）、ＩＴ関連会社役員、蒔田和典（27）（江戸川区）、同、小山宏記（53）（世田谷区）ら6容疑者。蒔田容疑者が発案し、真砂容疑者がサイトの運営会社を設立。小山容疑者がウイルスを作成したという。同庁は、ウイルス作成容疑でも調べている。

　この詐欺アプリの存在は、振り返ると今年の1月5日に２ちゃんねるに投稿された被害報告から発覚しました。コチラは9日になってこの投稿をたまたま見かけて、配信されてるAndroidアプリ（APKファイル）を入手し中身をチェックしたら電話番号などの情報を抜く処理を確認したので記事にしました。
・スマホ版ワンクリック詐欺に不正Androidアプリ（ワンクリウェアウイルス）登場

　これで「めでたしめでたし・・・」かというと、”アダルト動画再生アプリ”という名目でワンクリック詐欺アプリを配信してるところは他にもいくつか存在してるんよ。Androidスマホは、エロを餌にした野良サイトの野良アプリに注意しないと！
・スマートフォンを狙った架空請求が激増!! アダルトサイトへの接続で個人情報が抜き取られ、高額な請求がきた（東京都）

ちゃんとした正規サイトからダウンロードしたと思ったらウイルス？

Thu, 31 May 2012 22:05:49 +0900

　ちょっと危ないねぇ、これ。
・ lcamtuf's blog: Yes, you can have fun with downloads

　ブラウザのURLボックスが「adobe.com」で、正規のアドビシステムズのページが表示されてるにもかかわらず、ダウンロードするよう促してくるファイルがまったく別のサーバーにあるものを提示してる形。

　Google（Chrome）、Microsoft（Internet Explorer）、Mozilla（Firefox）に報告済みなものの、何かいまいち反応が鈍いということで、この問題の危険性を体験できるデモサイトを用意したみたい。（あくまでデモなので、ファイル名をFlash Playerのアップデータと装わせたファイルはWindows電卓）

　IEとFirefoxはファイルの置き場所のURLがいちおう表示されるけれど、Chromeはなし。

一般サイト上に表示された謎のエラーダイアログ!? OKボタンでウイルスDL

Tue, 22 May 2012 21:24:57 +0900

　だいぶ前から改ざん被害を受けてた、日本のとある一般サイトのトップページに不審なJavaScriptタグが挿入されたのを確認しました。インドドメイン（.in）のJSファイルを読み込むようになってます。

　で、このサイトに普通にブラウザでアクセスしてみると、ページのど真ん中におかしな謎のエラーダイアログが突然出現っ！

Firefox
　　

Chrome
　　

Internet Explorer （表示される位置がバグってて最下部）
　　

An error occurred while checking for updates: Installation failed. Please try again.
Error code = 0x00000000.

訳： 更新チェック中にエラー（インストール失敗）が発生しました。もう一度試してください。

　謎のエラーダイアログの右下に[OK]ボタンがあるので押してみると、「winsetup.exe」なる怪しい実行ファイルをダウンロードするようブラウザのポップが表示されます。はたしてこれをうっかり踏んじゃう人がどのくらいいますかい？

www.virustotal.com/file/da54e6d51e9aca38cb83b12d6754c84c021368bff2a0e78a3f85c9382089f720/analysis/1337651975/

Androidスマホを狙うドライブバイダウンロード攻撃でウイルス感染？

Fri, 04 May 2012 10:13:10 +0900

Android OSを搭載するスマートフォン/スマホやタブレットをターゲットにしてるドライブバイダウンロード攻撃を確認したというニュースが…？

不正なインラインフレームタグ<iframe>が挿入されてる一般サイトを訪問すると、Androidアプリ（拡張子 .APK）のファイルが端末に自動的にダウンロードされてしまうそうです。

■ Security Alert: Hacked Websites Serve Suspicious Android Apps (NotCompatible) （Lookout）
https://blog.lookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/

■ Website Injection-Campaign Used in Conjunction with an Android Trojan （Symantec）
http://www.symantec.com/connect/blogs/website-injection-campaign-used-conjunction-android-trojan

ただ、この提供元不明なアプリをユーザーが手動でインストールしなければ感染状態とはならないということで、正確にはにドライブバイダウンロード攻撃ではなく、単にAndroidブラウザの仕様ですな。

攻撃者はこのアプリを Update.apk（パッケージ名 com.Security.Update）と名乗させて、セキュリティ更新に関連するファイルと誤認させて手動インストールを誘導する形を採用してるみたいで。

ところで、紹介されてる不正なタグに何か見覚えあるなぁと思ったらーコレだ！

ここはWindowsパソコン向けにウイルスを撒く日本語表記の個人サイトで、CGIが使えないFC2ホームページ上だから、恐らくサイト管理者のWindowsパソコンがウイルスに感染し、FTPアカウント情報が盗み取られてハッキングされた感じ？？？

先月、ページの最後尾に不正なインラインフレームタグが挿入されたので、アクセスしてみたけれど特に何も降ってこず『何コレ？』状態だったけど、ブラウザのユーザーエージェントに「Androdi」パラメータ文字列が含まれてるとアクセスできるそうだけど、手元で確認しても特になし。