Windowsパソコンをターゲットに、Javaの旧バージョンにある脆弱性を突くドライブバイ・ダウンロード攻撃によって強制感染となるマルウェア…。 イメージ 1

MD5 4183829430d56b01a75ffb00edeca8f5
ttps://www.virustotal.com/ja/file/c5f7ae5d51ad2be4281bd55afe10f430a66170a77298851ee06672f2fd1c7eaf/analysis/1392266039/

これが↓別のマルウェアをダウンロードしてきます。

MD5 45ab6e9b8a051b153ea4c452164380dd
ttps://www.virustotal.com/ja/file/6550f887279b0699c6bd79495e8c384a403b85fa64aa2c69b3c43f644a82101c/analysis/1392287346/

このファイルをComodoのオンライン解析サイトに放り投げてみると、C&CのURLアドレスが確認できます。

ttp://camas.comodo.com/cgi-bin/submit?file=6550f887279b0699c6bd79495e8c384a403b85fa64aa2c69b3c43f644a82101c

HKCU\Software\Microsoft\Windows\CurrentVersion\Run|TcpIpCfg
Rundll32 C:\Users\[ユーザー名]\AppData\Roaming\(ランダム7文字?).dll MainThread

そこへ何となしにアクセスしにいってみたら、何ともイヤな日本語テキストデータが…

ttp://jsunpack.jeek.org/?report=4c7b19f3fa52686aff98004464c02eed689d7b63


ゆうちょダイレクト

★システムアップグレードにお知らせ★
ご注意、システムアップグレード原因で、個人資産の損害を防ぐため、「インターネット用暗証番号」の再認証を行ってください。問題を発見したら直ちにご連絡ください

インターネット用暗証番号

ゆうちょダイレクト利用申込書にご記入いただいた6桁から12桁の数字です。
(情報登録変更で変更が可能です。)

インターネット用暗証番号を忘れた場合には?

Copyright(C) JAPAN POST BANK Co.,Ltd. All Rights Reserved.

日本語がおかしいのが逆にリアル。。。

2013年に流行ったZbotウイルス感染 → 正規ネットバンキングにログインする時に偽画面や偽入力欄が表示される脅威とは違う別の手口?