偽セキュリティソフトのクレジットカード送信画面の裏側を覗く Win32/FakePAVウイルス
 
セキュリティソフトを装ったウイルスの1つに、マルウェアファミリ Rogue:Win32/FakePAV というのが存在します。
 
 
2012年まで活動してたけれど、2013年はサッパリ動きがないまま1年以上経過した先月11月になって活動を再開し、新作名のコンピュータウイルスを随時投入してるようで。
 
イメージ 1
Windows Efficiency Console ウイルスのショッピング画面
  • Windows Efficiency Console
  • Windows Activity Booster
  • Windows Warding Module
  • Windows Active HotSpot
  • Windows Cleaning Toolkit
  • Windows Expert Console
 
現物のウイルス検体ファイルを入手したので、手元のWindowsパソコン上で起動して、偽セキュリティソフトの最終目的であるクレジットカード番号を送信させるショッピング画面の内部をチョイ覗いてみました。
 
MD5 ae0a705ff5561fdfa6ea79cfe901b98b
hxxps://www.virustotal.com/ja/file/e70bfb8861c3d9a079ba4d8c52a7a2fff88ccb9ae6754f7a4e37e8793fb42070/analysis/1387627335/

ND5 4d5e45133960ed9b99a24ff6da4c1d25
hxxps://www.virustotal.com/ja/file/deab8e5fb6dc9d47e3fd5598def21c4bd3e016e40add61b3103c23ce217f2541/analysis/1387606199/
 
http://i39.tinypic.com/xefzpw.png
hxxp://pastebin.com/A71yv8PR
 
2012年まで存在した共通のアクティベートコードというのがなくなったみたいで、2013年からは感染パソコンごとに有効なアクティベートコードが生成される仕組みになってる感じ?
 
■ スウェーデンの企業が運営してるオランダのサーバー C&C
http://www.aguse.jp/?url=94.185.80.155

偽セキュリティソフト型ウイルス感染経路

偽セキュリティソフト型ウイルスの感染経路として、ネットサーフィン中(サイトの閲覧)にドライブバイ・ダウンロードによる強制インストールが確認されてます。
 
つまり、次の4系統のソフトのバージョン管理状況で感染するかどうかが決まる運命を分けます。
  1. Java
  2. Adobe Reader
  3. Adobe Flash Player
  4. Windows Update
ユーザーさん自らパソコンの無料ウイルス対策をやらないで、市販されてる人気セキュリティソフトにぜんぶを託してしまうと、大変な目に遭います!