偽セキュリティソフトPrivacy Protectionウイルス(Rogue:Win32/FakeRean)、偽パソコン診断ツールSystem Fixウイルス(Trojan:Win32/FakeSysdef)がだいぶお盛んみたいです。

ちょっと困ったことに、国内外の複数の一般サイトやブログが悪意のある第三者にハッキングされ、ウイルス散布サイトへと変貌してしまってます。 イメージ 1

感染させる手口はドライブバイ・ダウンロード攻撃

ちゃんとこういうセキュリティソフトを導入してたのにヤラレタ!?、というお話も見かけますが、そんなことは当たり前の話です。

感染原因はソフトの脆弱性(ぜいじゃくせい)を解消せず放置してるからだけど、セキュリティソフトはその脆弱性の解消なんぞいっさいやってくれません。

パソコンを使ってるユーザー自ら更新作業をやって感染経路を塞がないとダメなんですねぇ(詳細はコレ)。


  1. Java が古いバージョンのまま更新してない

  2. Adobe Reader が古いバージョンのまま更新してない

  3. Flash Player が古いバージョンのまま更新してない

  4. Windows Update が実施されてない
    ⇒ 1つでも当てはまると高確率で感染地獄へ・・・

http://img850.imageshack.us/img850/1203/88476314.png
とある日本のJPドメインの一般サイト。。。
第三者に改ざんされ不正なコードがページ内に挿入されてしまってる


http://www.*****.jp/ ← 普通の一般サイト

 ↓ 不正なコードによりブラウザ内部で攻撃サイトが強制的に読み込まれる

http://(攻撃サイト).ce.ms/main.php?page=7dc34c4bf2100d19

 ↓ 仮に脆弱性攻撃が成立すると、ウイルスの強制的なダウンロードと実行

http://(攻撃サイト).ce.ms/w.php?f=16&e=2 ← Privacy Protectionウイルス

このウイルスは単にパソコンにインストール(感染)させるだけで攻撃者に報酬金が入ります。

インストール台数が報酬額に反映されてるはずなので、ウイルス感染前にあろうことかセキュリティソフトが検知し駆除してしまっては儲けがでません。

なので、攻撃者は配信されるウイルス検体をものすごい勢いで回転させて、セキュリティソフトの対応がなるべく間に合わない状況を作り出してます。 イメージ 2

ファイルスキャンサイトでセキュリティソフトの検知状況バレバレ

あと、攻撃者は用意したウイルス検体がどのセキュリティソフトで検知されるのかもせんぶ把握されてます。

一括オンラインファイルスキャンサイトVirusTotalというサービスがありますが、これと同じような仕組みを持ったウイルス攻撃者専用の会員制サービスがアンダーグランドに複数存在します(URLはココ)。