無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2013/09

偽セキュリティソフトAntivirus Security Proに正規デジタル署名 Ingenieursbureau Matrix B.V.


偽セキュリティソフトのRogue:Win32/Winwebsecマルウェアファミリー


Antivirus Security Pro (アンチウイルスセキュリティプロ)
hxxps://www.virustotal.com/ja/file/6a352d4876938388d3deb8a876450fb5033bf93b59357720d004dd83dc61e8f7/analysis/


System Care Antivirus (システムケアアンチウイルス)
hxxps://www.virustotal.com/ja/file/f408acd1df39e68d38e422b2f9f16899257767cfd6e74823f7d4578c57352c9c/analysis/


の実行ファイルに、あろうことか正規のデジタル署名が付いてますか。


オンラインスキャンサイトVirusTotal では [ファイルの詳細] → [PE signature block] で確認できます。


http://i44.tinypic.com/2nknubt.png


発行者 VeriSign から オランダ企業 Ingenieursbureau Matrix B.V.


完全なるマルウェアなのに、盗まれたデジタル証明書を悪用され。。。 アカン。 イメージ 1


Antivirus Security Pro の感染経路をふさぐウイルス対策必ずっ!



  1. Java ← 旧バージョンはウイルス感染被害の最大原因

  2. Adobe Reader

  3. Adobe Flash Player

  4. Windows Update
このエントリーをはてなブックマークに追加

IEブラウザの脆弱性悪用ゼロデイ攻撃 × 47行政ジャーナル改ざん被害


Internet Explorerブラウザに存在する未知の脆弱性(CVE-2013-3893)を悪用したウイルス感染攻撃。。。 イメージ 1<セキュリティパッチなしなゼロデイ攻撃が発生!



当初から日本をターゲットに標的型攻撃が行われたというお話がでてて、実害の報告も。。。



21日に、セキュリティ会社FireEyeがかなり具体的な情報を出しました。



脆弱性の悪用で最初に感染することになるマルウェア(MD5 8aba4b5184072f2a50cbc5ecfe326701)、ファイルサイズ26,112バイト、タイムスタンプ8月19日。


hxxps://www.virustotal.com/ja/file/08755149dd935608602b21fa3ddd2ebe24ea6ba38909dc318ca96bd1b91eb711/analysis/1377870461/
(VirusTotal にアップロードされたのは8月30日)


hxxp://about-threats.trendmicro.com/malware.aspx?language=jp&name=TSPY_BZUB.KZ


FireEyeが紹介してるIPアドレス「180.150.228.102」で何となしにググったらブログが・・・




さて 伝言の伝言なのでちょっと遅れて入手しましたが、社内で注意のアナウンスメールが届きました。


共同通信などが運営してた「47行政ジャーナル」が、悪意のある第三者に改ざんされウイルス撒いてしまった事件の情報みたいで、他にも「210.176.3.130」「103.17.117.90」のIPアドレスが一致してます。




サイト改ざんによって不正なコードが埋め込まれており、マルウェアに感染する可能性があったという。8月12日以降、同サイトへアクセスしたユーザーに対して、ウイルス対策ソフトによるPCスキャンを行うよう呼びかけている。

このエントリーをはてなブックマークに追加

Antivirus Security Proウイルス駆除方法 セーフモードでPC再起動妨害!?


イメージ 2
Image いらすとや


Windows パソコンが感染ターゲットで、一般的に 偽セキュリティソフト として脅威分類されるマルウェアファミリー Rogue:Win32/Winwebsec の1つを観察してみましょう。

コンピュータウイルスであるにも書かわらず、ソフトウェア名はもっともらしく Antivirus Security Pro(アンチウイルス・セキュリティ・プロ) と名乗ってます。

イメージ 1
偽セキュリティソフト
Antivirus Security Pro ウィンドウ画面

手元の環境で Antivirus Security Pro の動作確認をしてみたら、2013年9月第三週(今週前半らへん) のバージョンからか、駆除を妨害する嫌がらせな挙動として Windows の セーフモード へ移行できなくなってます。

これは Windows のレジストリの項目で Userinit パラメータが、偽セキュリティソフト Antivirus Security Pro によって改ざんされるのが原因です。

【レジストリの位置】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

イメージ 3
正常時のレジストリの状態

C:\Windows\system32\userinit.exe,
(~ .exe の後ろコンマが1つアリ)

イメージ 4
レジストリを改ざんされた後の状態

C:\Windows\System32\userinit.exe,,[ウイルス本体パス].exe -sm,

Antivirus Security Pro ウイルス駆除方法

《対応案1》

Antivirus Security Pro ウイルスにアクティベートコードを入力して、意図的に購入した後の状態へと持っていき削除する方法です。

【1】

Antivirus Security Pro ウィンドウ右下にある [Buy Full Edition] をポチッとな

【2】

ショッピングウィンドウ左下にある [I already have activation key] ボタンをポチッとな

【3】

入力ボックスに赤文字のアクティベートコードを打ち込みます


> http://siri-urz.blogspot.com/2013/08/antivirus-security-pro.html


【4】

Windows のスタートメニュー → [すべてのプログラム] → [Antivirus Security Pro] → [Uninstall Antivirus Security Pro] でアンインストール作業が行なえます

【5】

無料ウイルス駆除ツール Microsoft Safety ScannerMalwarebytes Anti Malware でクイックスキャンを行います。

《対応案2》

Windows のセーフモード で [セーフモード と コマンドプロンプト] の方にアクセスして、改ざんされたレジストリの該当項目を修正作業する方法です。

【1】

セーフモードに入って最初の選択画面で [セーフモードとコマンドプロンプト] の方にアクセスします


【2】

黒い画面でユーザーの入力を待つ状態になったら、半角文字 「regedit」と打ち込んでエンターキーをポチッとな


【3】

上のレジストリのところのデータ欄を編集して元に戻す作業を行う


【4】

PCを再起動するには、半角文字「shutdown -r -t 0」(最後は数字ゼロ)と打ち込んでエンターキーをポチッとな、そして、再び Windows をセーフモードに移行させて ウイルス駆除作業 を行います
このエントリーをはてなブックマークに追加

↑このページのトップヘ