Video Playerの更新装って偽セキュリティソフトSecurity Defender感染手口 : 無題なログ

Video Playerの更新装って偽セキュリティソフトSecurity Defender感染手口

何かネットサーフィン中にいきなり転送され、目に飛び込んでくるかもしれん不正なページ見っけたので紹介ですます。

上はIEだけど使用ブラウザに合わせたロゴマークが表示される

Please Update to the Latest Version
You are currently browsing the web with Internet Explorer and your Video Player might be outdated

あなたの「Video Player」が期限切れになってるということで、最新版に更新するよう促す内容になってます。

｛Accept and Install｝ボタンを押して先へ進んでみると、ブラウザのダウンロード通知が表示されファイルの起動か保存となります。

何かファイルのダウンロードへ…

Recommended
You are currently browsing the web with Internet Explorer and it is recommended that you update your video player to the fastest version available.
Please update to continue.

このファイルは、名前が「install_flashplayer16x32 ～」となってるので無料ブラウザアドオン Adobe Flash Player に関連するファイルと思わせたいようだけど、拡張子が *.vbs（VBScript）になってるのがミソ。

中身のデータはこんな感じ。。。

VBScriptはMicrosoft開発のスクリプト言語でWindows標準で利用できる

ファイルを起動したらウイルス感染！

このVBScriptファイルを仮にも起動してしまうと、ランダム英数字のファイル名が付けられたWindows向け実行ファイル（拡張子 *.exe）が裏でドロップされ動き出します。

＜感染！

VBScriptを処理する wscript.exe からナゾの実行ファイルが吐き出される

この実行ファイルはトルコのサーバー（46.45.171.236）に接続して、ファイルのダウンロードなどやり取りを行います。

このIPアドレスに接続するマルウェア検体たち

＞ https://www.virustotal.com/ja/search?query=46.45.171.236

んで、最終的にこんなウィンドウがデスクトップ画面に出現して異変に気付くことになります。

偽アクションセンターと偽セキュリティソフト

正体はマイクロソフトのウイルス検出名だと Rogue:Win32/Trapwot で、Microsoft Security Essentials ／ Windows Defender っぽいデザインに偽装した偽セキュリティソフトでした。

＞ http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Rogue:Win32/Trapwot

Rogue:Win32/Trapwot
Rogue:VBS/Trapwot
Rogue:Win32/Trapwot!plock Rogue:Win32/Trapwot!rfn
Behavior:Win32/Trapwot.A

表面上は「Security Defender」という如何にもなソフトウェアを名乗ってます。

クレカ決済で価格69.95ドルの Defender PRO 2015 を購入させるのが狙い

この記事ではユーザーの意思が伴う自爆感染になるけど、ネットサーフィン中にドライブバイ・ダウンロード攻撃を食らって強制インストールされる手口の確認されてます。

タグ：: #Windows

ファイルを起動したらウイルス感染！

「偽警告の消し方」 カテゴリの記事

「偽警告の消し方」カテゴリの記事