無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2013/12

| ✏️ Firefly

2013年11月に修正されたFlash Playerの脆弱性を悪用したウイルス感染攻撃

Windowsパソコンをターゲットにウイルスを強制インストールさせるWebアプリエクスプロイトキット
 
この1つに、先月11月リリースの Adobe Flash Player バージョン11.9.900.152) で修正された脆弱性 (CVE-2013-5329) を悪用する処理が積まれたそうな。
 
ちなみに、Flash Player は12月にセキュリティアップデートが行われてるので、記事を書いてる時点だと バージョン11.9.900.170 が最新版になりますな。 イメージ 1

バージョン確認ページ
http://www.adobe.com/jp/software/flash/about/

このエクスプロイトキット(Angler EK)…
 
 先月11月に Microsoft Silverlightの脆弱性を悪用 するというお話だったので、その後に見に行った時はこんな感じになってました。

http://i43.tinypic.com/mcxm4m.png
エクスプロイトキットの攻撃処理
  1. 《1》 Microsoft Silverlight
    《2》 Adobe Flash Player
    《3》 Java
  3. 旧バージョンがウイルス感染経路になってます!

これにより、身代金型ウイルスの1つ Trojan:Win32/Reveton をターゲットのWindowsパソコンへ強制的に配信するのに利用されてるみたいです。

このエントリーをはてなブックマークに追加

| ✏️ Firefly

危険 Video Performer広告インストーラでアドウェア寄生 騙しポップアップにご注意を!

Systweak RegClean ProUniblue SpeedUpMyPC のダウンロードページへ誘導する詐欺広告と同じ流れで、Video Performer (ビデオパフォーマー) なるナゾのプログラムのダウンロードページへ誘導する広告???

◆ Video Performer のインストーラでアドウェア盛り盛りぃ♪

Video Performer(ビデオパフォーマー) はイスラエルの PerformerSoft なるところが提供してる動画変換ソフトのようです。

手元で動かしてないのでVideo Performer(ビデオパフォーマー)そのものが危険かどうか評価は分からんけど、迷惑ソフト PC Performer(PCパフォーマー)と同じ出自です。

加えて、InstallBrainってな 広告をバンドルするインストーラ を手がけるイスラエル企業 iBario が背後にいるのがポイント!
 
Mevadeというボットネットの形成に一役買ってる!

Video Performer のアップデートを推奨します
Video Performer の更新をインストールしてください (推奨)

・ *.MKV *.FLV *.AVI *.3GP *.MPEG *.WMV *.SWF や、その他多くのフォーマットをサポートします
・ Video Performer は、主要ビデオオーデックライブラリーであるffmpegを使用してます
・ 変換プロセスは、数秒かかります 無題な濃いログ
・ インターフェースは速く、わかりやすオイため、使いやすくなっております

アップロードには数秒かかり、インストール後の再起動は不要です。
「アップデートを推奨」だの書いてありますが、単なる宣伝文句なウソであって、まさか『道に落ちてる食べ物を拾い食い』するユーザーさんはいないと思うけど…

VideoPerformerSetup.exe
hxxps://www.virustotal.com/ja/file/b95bc0335194a203c571193079f4c060789d9f5bb80c3925021b0548f512b8a6/analysis/1390035364/

ここで配られてる Video Performer を取り込ませるための実行ファイルでもって、Windowsパソコンをアドウェアの巣窟にする狙いがあります。 <ウイルスでなくグレー領域なファイルとなりセキュリティ製品は必ずしも警告せず!

◆ 広告を表示するアドウェアを取り込む経路もバンドルインストーラ?

Video Performer (ビデオパフォーマー)のダウンロードページへ誘導する広告を表示するアドウェアは、何かしらバンドルインストーラを起動して、インストーラ画面で何も考えずに右ボタン(=同意)をポンポン押してると

が勝手にではなく取り込まれるパターンが多い?

    《1》 複数の一般サイトの広告枠でもない位置に埋め込みバナー広告表示
    《2》 定期的にポップアップ広告が表示される、ブラウザが起動して広告ページが開く
    広告表示ソフトウェアの削除アドウェア駆除ツール Malwarebytes
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

PWS:Win32/Zbot.gen!ウイルス ネット銀行不正送金被害で暗躍するマルウェア
 
ニュースでも時たま報じられてるネット銀行(ネットバンキング)の不正送金被害に強く関連してるコンピュータウイルス・マルウェアを紹介します。 <Windowsパソコンが攻撃ターゲット!
 
Microsoft Security Essentials
Windows Defender
Microsoft Safety Scanner
 
 
~ ウイルス検出名 ~
PWS:Win32/Zbot!●
PWS:Win32/Zbot.gen!●
 
PWS:Win32/Zbot!rfn
PWS:Win32/Zbot.AJB
PWS:Win32/Zbot.GO
PWS:Win32/Zbot!VM
PWS:Win32/Zbot.gen!Y
PWS:Win32/Zbot.gen!AC
PWS:Win32/Zbot.gen!AF
PWS:Win32/Zbot.gen!AI
PWS:Win32/Zbot.gen!AJ
PWS:Win32/Zbot.gen!AK
PWS:Win32/Zbot.gen!AL
PWS:Win32/Zbot.gen!AM
PWS:Win32/Zbot.gen!AP
PWS:Win32/Zbot.gen!VM
など
 
ウイルス検出名に登場する単語の意味はこんな感じー。
  • PWS → パスワード スティーラー (Password Stealer
    PC内の機密情報を盗み取る機能があることを示してる
  • Win32 → Windows OS
  • Zbot → セキュリティ会社が名づけたウイルスの名称 ゼットボット
  • gen → 亜種検体を検知するジェネリック検出のこと
感染して常駐してる実行ファイルの位置
C:\Users\[ユーザー名]\AppData\Roaming\<ランダム>\<ランダム>.exe
 
ちなみに、だいぶ前の 2011年9~10月に Google Chrome の正規実行ファイル(chrome.exe)を Win32/Zbot と誤検出する事故が発生したことがあるけど、これはもはや過去のお話なので関係なし!
 

日本でネットバンキングウイルスとして有名な Zbot

 
このマルウェアは、Windows向けウイルス作成ツール ZeuS(ゼウス)、その派生である Citadel(シタデル) や KINS から、攻撃者たちによって亜種が無限に作成され続ける状態です。
 
《2015年 追記...》
ZeuS については、関与したロシア人男性を米FBIが指名手配していて、首には懸賞金300万ドルも掛けられてます。
 
ブラウザに保存されてるオートコンプリート情報(パスワード)が盗まれたり、ネットバンキングにログイン後に偽画面偽入力欄を表示して口座にある大事な預金が第三者へ不正送金させる、といった恐ろしいリスクが想定されます。
猛威を振るう Zbot ~ 不正送金を行うマルウェアにご注意ください (マイクロソフト)
http://blogs.technet.com/b/jpsecurity/archive/2013/08/29/3593366.aspx

2013年9月の呼びかけ インターネットバンキング利用時の勘所を理解しましょう (IPA)
https://www.ipa.go.jp/security/txt/2013/09outline.html

Zeus/Zbotウイルス感染経路と対策 ネットバンク不正送金被害で話題
http://tech.g1.xrea.com/notes/virus-zeus-zbot-spyeye.htm
そんなおっかない被害は、警察庁の発表によれば2013年(1~11月)に日本で何と1,125件、被害総額として約11億8400万円に及ぶとか。
 

PWS:Win32/Zbotウイルス の感染経路をふさぐ対策を!

このコンピュータウイルス・マルウェアの感染手口として特に多いと思われるのが、ネットサーフィン中にドライブバイ・ダウンロード攻撃を受けるものです。
 
ただ、この攻撃が成立するかどうかは、下の4条件のうち1つでも当てはまった時に限定されてます。
 
 
↓ ↓ ↓ ↓ ↓ 
当てはまると Zbot ウイルスに知らないうちに感染し住み着く悲劇!
 
この感染4条件に当てはまらない状態にして、Zbotウイルスの感染経路が存在しない状態を維持するウイルス対策がとても大事になるワケ。
 
 
有効で最強のウイルス対策(お金もかからない)をやっておくと、「PWS:Win32/Zbot!」「PWS:Win32/Zbot.gen!」ウイルスがそもそもパソコンにやって来る機会が激減するのです。
 

Zbotウイルス対策の注意点

企業や個人が運営する一般サイトやブログがウイルス配信サイト化!
 
アダルトサイトなど「怪しい危険なサイト」のみならず、正規の一般サイトやブログのハッキング被害が、困ったことに日本も含め世界中で日常茶飯事で起こってます。 <「お詫び 改ざん」というキーワードでググって!
 
ウイルス定義データを日々更新し続けるセキュリティソフトを導入する
 
セキュリティソフトが導入されてあっても、そもそもウイルス感染経路がふさがらないから根本的な対策になりません。 (上の感染4条件に当てはまれば被害に巻き込まれうるため)
 
 
Windows XP は2014年4月にマイクロソフトのサポート終了
 
上の4条件のうち [4] Windows Update が実施されてない への対処がどうにもこうにもいかなくなるはずで”詰み”状態へ!
 
タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ