《ロミオ》 パスワード付き自己解凍書庫 x 偽セキュリティソフト 《ジュリエット》
マイクロソフトのブログによると、偽セキュリティソフト(Rogue:Win32/FakePAV)をパスワード付き自己解凍書庫(RAR形式)として内蔵させた実行ファイルを用意する手法を行ってるものがあるそうな。パスワードで保護されちゃっていて中身を見れないので、ウイルス対策ソフトの単純なファイルスキャンでは検知不能になる形。
・ A Rogue by any other name... (Microsoft Malware Protection Center)
www.virustotal.com/latest-report.html?resource=421f52eb9d2f3d1b3791c0fc1c3d5946
自己解凍書庫を展開する時の挙動を指定したパラメータやパスワード文字列やを含んだテキストデータは、シェイクスピアの「ロミオとジュリエット」の文章内にバラけて紛れ込ませてるとか。
・ FakePAV系 (S!Ri.URZ)
先月2月から「Windows ●●●● ▲▲▲▲」というスタイルですごい勢いで名前をコロコロ変えて投入してみたいねぇ。ウィンドウのデザインや雰囲気が騙されそうなマイクロソフト風味。日本での被害は出てなさそうなので、検体入手やわざと感染はやってません。
相変わらず後追いセキュリティソフトを過信して対策すっぽかしてる残念な人のパソコンにSystem Check、Internet Security、Security Shield、Smart Fortress・・・。
http://farm8.staticflickr.com/7150/6481658431_c825de1180_z.jpg