Video Playerの更新装って偽セキュリティソフトSecurity Defender感染手口
何かネットサーフィン中にいきなり転送され、目に飛び込んでくるかもしれん不正なページ見っけたので紹介ですます。 


上はIEだけど使用ブラウザに合わせたロゴマークが表示される
Please Update to the Latest Version
You are currently browsing the web with Internet Explorer and your Video Player might be outdated
あなたの「Video Player」が期限切れになってるということで、最新版に更新するよう促す内容になってます。
{Accept and Install}ボタンを押して先へ進んでみると、ブラウザのダウンロード通知が表示されファイルの起動か保存となります。

何かファイルのダウンロードへ…
Recommended
You are currently browsing the web with Internet Explorer and it is recommended that you update your video player to the fastest version available.
Please update to continue.
このファイルは、名前が「install_flashplayer16x32 ~」となってるので無料ブラウザアドオン Adobe Flash Player に関連するファイルと思わせたいようだけど、拡張子が *.vbs(VBScript)になってるのがミソ。 


中身のデータはこんな感じ。。。

VBScriptはMicrosoft開発のスクリプト言語でWindows標準で利用できる
ファイルを起動したらウイルス感染!
このVBScriptファイルを仮にも起動してしまうと、ランダム英数字のファイル名が付けられたWindows向け実行ファイル(拡張子 *.exe)が裏でドロップされ動き出します。
<感染!


VBScriptを処理する wscript.exe からナゾの実行ファイルが吐き出される
この実行ファイルはトルコのサーバー(46.45.171.236)に接続して、ファイルのダウンロードなど やり取りを行います。

このIPアドレスに接続するマルウェア検体たち
んで、最終的にこんなウィンドウがデスクトップ画面に出現して異変に気付くことになります。 

正体はマイクロソフトのウイルス検出名だと Rogue:Win32/Trapwot で、Microsoft Security Essentials / Windows Defender っぽいデザインに偽装した偽セキュリティソフトでした。 

Rogue:Win32/Trapwot
Rogue:VBS/Trapwot
Rogue:Win32/Trapwot!plock Rogue:Win32/Trapwot!rfn
Behavior:Win32/Trapwot.A
表面上は「Security Defender」という如何にもなソフトウェアを名乗ってます。

クレカ決済で価格69.95ドルの Defender PRO 2015 を購入させるのが狙い
この記事ではユーザーの意思が伴う自爆感染になるけど、ネットサーフィン中にドライブバイ・ダウンロード攻撃を食らって強制インストールされる手口の確認されてます。 

コメント