Video Playerの更新装って偽セキュリティソフトSecurity Defender感染手口
 
何かネットサーフィン中にいきなり転送され、目に飛び込んでくるかもしれん不正なページ見っけたので紹介ですます。
 
イメージ 1
上はIEだけど使用ブラウザに合わせたロゴマークが表示される
 
Please Update to the Latest Version
You are currently browsing the web with Internet Explorer and your Video Player might be outdated
 
あなたの「Video Player」が期限切れになってるということで、最新版に更新するよう促す内容になってます。
 
Accept and Install}ボタンを押して先へ進んでみると、ブラウザのダウンロード通知が表示されファイルの起動か保存となります。
 
イメージ 2
何かファイルのダウンロードへ…
 
Recommended
You are currently browsing the web with Internet Explorer and it is recommended that you update your video player to the fastest version available.
Please update to continue.
 
このファイルは、名前が「install_flashplayer16x32 ~」となってるので無料ブラウザアドオン Adobe Flash Player に関連するファイルと思わせたいようだけど、拡張子が *.vbs(VBScript)になってるのがミソ。
 
イメージ 3
 
中身のデータはこんな感じ。。。
 
イメージ 8
VBScriptはMicrosoft開発のスクリプト言語でWindows標準で利用できる

ファイルを起動したらウイルス感染!

このVBScriptファイルを仮にも起動してしまうと、ランダム英数字のファイル名が付けられたWindows向け実行ファイル(拡張子 *.exe)が裏でドロップされ動き出します。<感染!
 
イメージ 7
VBScriptを処理する wscript.exe からナゾの実行ファイルが吐き出される
 
この実行ファイルはトルコのサーバー(46.45.171.236)に接続して、ファイルのダウンロードなど やり取りを行います。
 
イメージ 6
このIPアドレスに接続するマルウェア検体たち
 
 
んで、最終的にこんなウィンドウがデスクトップ画面に出現して異変に気付くことになります。
 
イメージ 4
偽アクションセンターと偽セキュリティソフト
 
正体はマイクロソフトのウイルス検出名だと Rogue:Win32/Trapwot で、Microsoft Security Essentials / Windows Defender っぽいデザインに偽装した偽セキュリティソフトでした。
 
 
Rogue:Win32/Trapwot
Rogue:VBS/Trapwot
Rogue:Win32/Trapwot!plock Rogue:Win32/Trapwot!rfn
Behavior:Win32/Trapwot.A
 
表面上は「Security Defender」という如何にもなソフトウェアを名乗ってます。
 
イメージ 5
クレカ決済で価格69.95ドルの Defender PRO 2015 を購入させるのが狙い
 
この記事ではユーザーの意思が伴う自爆感染になるけど、ネットサーフィン中にドライブバイ・ダウンロード攻撃を食らって強制インストールされる手口の確認されてます。
タグ :
Windows