無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2013/08

爆笑問題のタイタンホームページが改ざん被害でウイルス配信


お笑いコンビ爆笑問題が所属する芸能プロダクションタイタンのホームページ(www.titan-net.co.jp)が改ざんされたようで、Googleには『このサイトはコンピュータに損害を与える可能性があります。』の警告。。。


http://i40.tinypic.com/k9su36.png
Google の検索結果


先週から殺られてたみたい?



Twitter / qutre_air: タイタンライブのページに行こうとするとトロイの木馬って警告が ... (8月24日)
https://twitter.com/quatre_air/status/371493347921113089


改ざんに気づいて修正済みなのか分からんけれど、昨日30日にはこんな感じで不正なJavaScriptコードが挿入されてました。


http://i41.tinypic.com/2e1d95k.png
 サイト改ざん被害: Color改ざんの 0f868c


最終的に、エクスプロイトキットが設置されてるページをブラウザ内部で強制的に読み込まされて、マルウェアがドロップされるドライブバイ・ダウンロード攻撃!



  • Kore Exploit Kit → Win32/Urausy

hxxps://www.virustotal.com/ja/file/22ab9fbf9d44723e0d05d51ff2cb13463eb6be6a4bf8e40f78089a441214c6f2/analysis/1377827994/


ウイルス感染経路として悪用される旧バージョンの脆弱性は1系統。



  1. Java ← これだけ

  2. Adobe Reader

  3. Flash Player

  4. Windows Update


Malware don't need Coffee さんの情報だと最新のJavaの脆弱性を悪用となるようなので、Javaの最新版(Version 7 Update 25)以外の全バージョンがアウトとなります。



CVE-2013-2471 spotted in Kore Exploit Kit :
(aka Sibhost - Aka Urausy/BestAV EK)

このエントリーをはてなブックマークに追加

【危険】Orbit DownloaderにDDoS攻撃機能! ダウンロードソフトの裏の顔が明らかに
 
日本でも使い方や紹介サイトをわりと見かける、中国 Innoshock Team が提供する無料ダウンロード支援ソフト
 
 Orbit Downloader
(オービット ダウンローダー)
 
に危険な DDoS攻撃機能 が含まれてると、スロバキアのセキュリティ会社 ESET が『軌道減衰: 人気ファイルダウンロードツールの暗黒面(ダークサイド)』というタイトルで報告してます。
 

http://i44.tinypic.com/2eklyxe.png

 

Orbit Downloader 公式サイト hxxp://www.orbitdownloader.com/jp/
Orbital Decay: the dark side of a popular file downloading tool (ESET、2013年8月)
http://www.welivesecurity.com/2013/08/21/orbital-decay-the-dark-side-of-a-popular-file-downloading-tool/

日本で蔓延しているDDoS攻撃を行うウイルスへの対応について (キヤノンITソリューションズ)
http://canon-its.jp/supp/eset/notify20130823.html

人気動画ダウンローダーにDDoS攻撃用コンポーネント - 国内利用者も多数 (Security NEXT)
http://www.security-next.com/042625
2012年12月のバージョン4.1.1.14 や 2013年1月のバージョン 4.1.1.15以降から、現時点の最新バージョン4.1.1.18 に DDos攻撃機能 が含まれてるそうで…

Orbit Downloader の開発元 KORAM GAMES LIMITED

ところで、Orbit Downloader のインストーラ形式な実行ファルをダウンロードしてみたら、デジタル署名が「KORAM GAMES LIMITED」なんよねぇ...
 
ここは、あの中国のオンラインソフト紹介サイト BrotherSoft(ブラザーソフト) の運営元ですよっと。
 
フリーソフトの無断転載やら何かやらで前に一悶着あったことで有名(?)だし、アドウェアを送り込む広告インストーラを配布するサイトでもあります。

Orbit Downloaderが投下するDDos攻撃コンポーネント

ESET の指摘を受けてセキュリティ会社も対応の動き!
 
インストールすると常駐(?)する orbitdm.exe が落としこむDDoS攻撃機能を含む危険なDLLコンポーネントのウイルス検出名はコチラ!
 
> hxxps://www.virustotal.com/en/file/8d9d7e0dbcd9cc9de3b9b03b7166b22407d93c18447137211d8b1112de8cb91c/analysis/
 
【ウイルス検出名例】
Avira TR/Dldr.Orbit.A
avast Win32:OrbitDDOS-B
ESET Win32/DDoS.Orbiter.A
AVG DoS.CSA
McAfee DoS-FAA!809D5A4AF232
Microsoft DDoS:Win32/Orbit.A
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R0CBC0DHN13 (DDOS_TRIBO.AB)
 
また、海外のオンラインソフト紹介サイトも Orbit Downloader を削除する措置を取ってます。
  • CNET Download.com … ダウンロードリンクを削除し、紹介ページのみ存在
  • Softonic.com … ダウンロードリンクを削除 → いつの間にか紹介ページも消去
  • Softpedia 、MajorGeeks … 紹介ページを消去
     
  • Softonic.jp … 変化なし
  • Vector … 昔は紹介ページが存在したようだけど2012年あたりに消滅してる
  • 窓の杜 … 以前からから紹介ページが存在しない
<2015年5月 追記...>
 
Softonic.jp はDDoS攻撃機能を含む危険バージョンがダウンロードできる状態で放置されてたけど、2015年5月に紹介ページが消去されたのを確認しました。

日本でも前から怪しい挙動を指摘する声が

こんなおっかない Orbit Downloader の裏の顔が明るみになる前に、怪しげな挙動を指摘してる Twitter のつぶやきがいくつかりました。
 
■ Twitter / rikuta0209: おすすめのダウンローダーとしてOrbit Downloaderが説明されてることが多いが、あれの通信を監視してると、良くわからないところと通信をしてることが多い。割と常に。俺が使った時は、起動中常にインドかどっかのサーバと通信してた。
https://twitter.com/rikuta0209/status/295518127251402752

■ Twitter / siga117612: 家のネットワークを圧迫してたのはOrbit downloaderだったみたい。これが起動して少しバグった感じになったら秒速1Mパケットレベルのデータ量が送信される感じになってた
https://twitter.com/siga117612/status/339752921023533056

Twitter / ark6954: Orbit Downloaderが犯人と断定。ver.4.1.1.13にはしていたのだが… バージョン情報のマッチングのためか、何やらせっせとパケット送信してた。
https://twitter.com/ark6954/status/286798774360211456
 
あと、業務パソコンに社員が無断で Orbit Downloader をインストールしていたことが原因で起こった企業でのトラブル事例もありました。
 
【Orbit Downloader】ネットが通じなくなった【解決済み】 (フシギにステキな素早いヤバさ)
http://yaoki.hatenablog.com/entry/2013/09/06/131617
 
このエントリーをはてなブックマークに追加

Antivirus Security Proウイルス 偽セキュリティソフト感染被害原因と対策は?


「Rogue:Win32/Winwebsec」マルウェアファミリーの1つが数日前から外観デザインを切り替えて感染キャンペーンの再スタートをきったようです。



System Doctor システムドクター
 ↓
Attentive Antivirus アテンティブアンチウイルス
 ↓
Antivirus Security Pro アンチウイルスセキュリティプロ


http://i44.tinypic.com/2jezlt2.png


前回のタイプからあった、パソコン内に実在する画像ファイルの写真2枚を提示する通知ポップアップ演出は Antivirus Security Pro(アンチウイルスセキュリティプロ)ウイルスでも。。。


http://i43.tinypic.com/2ce5lae.png


”Trojan:Win32/Tobfy”なるウイルスがクレジットカード情報、個人的な写真、メールなんかの個人情報を引っこ抜こうとしてるから、阻止するための有償バージョンを決済するよう脅す文言になってます。


いちおう実在する Tobfy はそういう挙動ではなくランサムウェアです。


Antivirus Security Pro ウイルス感染被害の原因と対策は?


サイトの閲覧でウイルス感染となるドライブバイ・ダウンロード攻撃が感染手口になってるので、ネットバンキングの不正送金ウイルスと条件は同じです。


つまりは、ウイルス感染経路となる4系統のバージョン管理状況でもって感染するかどうかが決定されます。



  1. Java ← 旧バージョンは史上最凶のウイルス爆弾

  2. Adobe Reader

  3. Flash Player

  4. Windows Update

こういうセキュリティソフトがインストールされててても、肝心のウイルス感染経路が開いたままではサッパリ意味がないことになります。 イメージ 1<Javaの旧バージョンは危険






[追記...]
Antivirus Security Proウイルス駆除 セーフモードに入ると再起動の妨害!?
偽セキュリティソフトAntivirus Security Proに正規デジタル署名 (その1)
偽セキュリティソフトAntivirus Security Proに正規デジタル署名 (その2)

このエントリーをはてなブックマークに追加

↑このページのトップヘ