無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2013/12

| ✏️ Firefly

偽セキュリティソフトのクレジットカード送信画面の裏側を覗く Win32/FakePAVウイルス
 
セキュリティソフトを装ったウイルスの1つに、マルウェアファミリ Rogue:Win32/FakePAV というのが存在します。
 
 
2012年まで活動してたけれど、2013年はサッパリ動きがないまま1年以上経過した先月11月になって活動を再開し、新作名のコンピュータウイルスを随時投入してるようで。
 
イメージ 1
Windows Efficiency Console ウイルスのショッピング画面
  • Windows Efficiency Console
  • Windows Activity Booster
  • Windows Warding Module
  • Windows Active HotSpot
  • Windows Cleaning Toolkit
  • Windows Expert Console
 
現物のウイルス検体ファイルを入手したので、手元のWindowsパソコン上で起動して、偽セキュリティソフトの最終目的であるクレジットカード番号を送信させるショッピング画面の内部をチョイ覗いてみました。
 
MD5 ae0a705ff5561fdfa6ea79cfe901b98b
hxxps://www.virustotal.com/ja/file/e70bfb8861c3d9a079ba4d8c52a7a2fff88ccb9ae6754f7a4e37e8793fb42070/analysis/1387627335/

ND5 4d5e45133960ed9b99a24ff6da4c1d25
hxxps://www.virustotal.com/ja/file/deab8e5fb6dc9d47e3fd5598def21c4bd3e016e40add61b3103c23ce217f2541/analysis/1387606199/
 
http://i39.tinypic.com/xefzpw.png
hxxp://pastebin.com/A71yv8PR
 
2012年まで存在した共通のアクティベートコードというのがなくなったみたいで、2013年からは感染パソコンごとに有効なアクティベートコードが生成される仕組みになってる感じ?
 
■ スウェーデンの企業が運営してるオランダのサーバー C&C
http://www.aguse.jp/?url=94.185.80.155

偽セキュリティソフト型ウイルス感染経路

偽セキュリティソフト型ウイルスの感染経路として、ネットサーフィン中(サイトの閲覧)にドライブバイ・ダウンロードによる強制インストールが確認されてます。
 
つまり、次の4系統のソフトのバージョン管理状況で感染するかどうかが決まる運命を分けます。
  1. Java
  2. Adobe Reader
  3. Adobe Flash Player
  4. Windows Update
ユーザーさん自らパソコンの無料ウイルス対策をやらないで、市販されてる人気セキュリティソフトにぜんぶを託してしまうと、大変な目に遭います!
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

【画像】偽Flash Player配布詐欺サイトが危険! アドウェア感染経路で被害あり

イメージ 6
Image いらすとや

Flash Player の更新!?

映像配信サイトやブラウザゲームの利用で必要となる無料ブラウザアドオン Adobe Flash Player の名前を悪用することで、Windows パソコンの懐へ入り込もうと企む嫌らしい詐欺ページを紹介しましょう。

まずは、ページの実物画像たちがコチラ♪

イメージ 1
最新バージョンFlash Video Playerが必要です!?
オーディオやビデオファイルを高品質でエンコード/デコード(再生)するためには、最新バージョンFlash Video Playerが必要です。 - 最新バージョンをダウンロードしインストール 無題な濃いログ
Install Flash Video Player
Flash Video Playerをアップデート (推奨)
Flash Video Playerをインストールしてください (推奨)
・Music Albums with user-friendly interface
・All Song Formats with easy access
・Leading Video Codec library
アップデートは1分以内に終わり、インストール後再起動は必要ありません
[ダウンロード] [インストール]
イメージ 2
新しいFlash Player ダウンロードページ???
Flash Playerのアップデート!
このページを読むために最新バージョンに更新してください 継続して更新してください
Flash Playerのアップデート! 新しいFlash Playerは、このページを表示するために必要です 無題な濃いログ
・100パーセント無償アップデート
・オンラインHD映画を鑑賞
・FLV/フラッシュをサポートしています
・美しいHDビデオ、高速なグラフィックスレンダリング、および高性能
ダウンロードは数分かかります
RECOMMENDED DOWNLOAD INSTALL
イメージ 3
「Adobe Flash Player Update!?」
Flash Player Update Recommended
Please install the new Flash Player (RECOMMENDED) FireflyFramer
・Based on ffmpeg the leading Audio/Video codec library
・Supports *.FLV, *.AVI, *.MPEG, *.MOV, *.MKV, *.SWF and more
・Super fast and user-friendly interface
・100% Free & Safe - share it with your friends
Updating takes a few seconds and no restart needed after installation.
UPDATE INSTALL
イメージ 4
「Update your Adobe Flash Player!」
Adobe Flash Player Update
Update your “Adobe Flash Player" FireflyFramer
The version of “Adobe Flash Player" on your system does not include the latest security updates and has been blocked. To continue using “Adobe Flash Player", download an updated version (Recommended)
[Download]
イメージ 5
「HD Video Player: 100%フリーダウンロード」
オーディオやビデオファイルを高品質でエンコード/デコード(再生)するためには、最新バージョンHD Video Playerが必要です。 - 最新バージョンをダウンロードしインストール 無題な濃いログ
HD Video Playerをアップデート (推奨)
HD Video Playerをインストールしてください (推奨)
NIX Video Playerをインストールしてください (推奨)
・フル1080HDでビデオを視聴
・Firefox、ChromeおよびInternet Explorerでは高速な再生とストリーミング
・安全にしてセキュア。
・広く使用されているファイルタイプのAVI、MOV、MP4、MPG、WMWなどと互換性があります
アップデートは1分以内に終わり、インストール後再起動は必要ありません
[ダウンロード] [インストール]
Flash Player のロゴマーク 「F」 でユーザーを釣ったり、「!」 マークでセキュリティ警告風の演出も見られます。

この手の詐欺ページは、海外の一般サイトをネットサーフィンしてる時にリダイレクト型広告コンテンツを介して突然転送されて移動させられるパターンも多いです。

配布ファイルは偽Adobe Flash Player

Adobe Flash Player など再生プレーヤーのインストールやアップデートを促す詐欺ページの狙いは?

多くが不審な 実行ファイル(拡張子 .exe) を ユーザーの意思のもとにダウンロードさせて起動させる ことです。 <決して強制的なインストールではない

記事書いてる時点の配布ファイルの1つは、デジタル署名の名義が Amonetize ltd. となっていて、これはアドウェア配信を手がける中東イスラエルの企業でした。

FlashPlayersetup__3873_i243747720_il3.exe
FlashPlayersetup__3873_i243605461_il3.exe
(デジタル署名 Amonetize ltd.)

公式サイトでダウンロードを

Adobe Flash Player の正規インストーラを安全にダウンロードできる場所は、開発元である URL  adobe.com からです。

道に落ちてる食べ物を拾い食い!
⇒ 危険

この実行ファイルを仮にも起動してしまうと、総じて 評判の悪い迷惑ソフト や ブラウザハイジャッカー が盛り盛りマル盛りぃ♪となってアドウェアの巣窟というオチです。

関連するブログ記事
タグ :
#その他コンピュータ
このエントリーをはてなブックマークに追加

| ✏️ Firefly

【危険】拡張子.cplファイル? コントロールパネルウイルス来襲の国は? ChePro

イメージ 1

ファイルの拡張子として .cpl というのが存在します。

これは Windowsパソコン の様々な設定を制御できる コントロールパネル(Control Panel) に付けられる拡張子だとか。

コントロールパネルの項目を使う機会はあっても、そのファイルの拡張子について意識することはほとんどないでしょう。

コントロール パネル ファイル (.cpl) の説明 - Microsoft
https://support.microsoft.com/ja-jp/help/149648/


ファイルのダブルクリックで起動!

.cpl ファイルのアイコンは、DLL ファイルと同じ歯車マークの図案になっていて、内部データには DLL ファイルに等しいです。

ただし、.dll ファイルと違って、.cpl ファイルの場合は Windows ユーザーさんがポチポチッとダブルクリックすると、それは ”起動” や ”実行” を意味します。

  • .dll ファイル → ダブルクリックしても起動しない

  • .cpl ファイル → ダブルクリックすると起動する

  • .exe ファイル → ダブルクリックすると起動する

拡張子 CPL なコントロールパネルウイルス!?

…ってことで、メールの添付ファイル、SNS経由のリンクでダウンロードさせることで、不正な CPL ファイルを起動させる攻撃手口が確認されてます。

地理的な位置だと、特に 南米ブラジル のユーザーを狙う時に採用されてるそう。

Trojan ChePro, the CPL Storm - Kaspersky
https://securelist.com/trojan-chepro-the-cpl-storm

不正なコントロールパネルファイルが添付されたスパムメールを確認 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/8348


コントロールパネル .cpl ウイルス

コントロールパネル .cpl のウイルス検体の実物を収集してみました。

イメージ 2
ファイルの種類 → コントロールパネル項目

ファイル名の言語に特徴があり、英語ではなく、ブラジルの公用語である ポルトガル語 が登場します。

  • Google ブラジル運営のSNS 「Orkut」 のアカウント情報を盗む
    (利用ユーザーのうち半数近くがブラジル人を占めるため)

  • ブラジルのネットバンキングの情報を盗み不正送金

セキュリティ会社カスペルスキーによると、攻撃者が cpl ファイルを好む理由は…

  1. cpl ファイルの危険性を Windows ユーザーさんが認識してない

  2. 一部のメールソフトは、添付ファイルの拡張子 .cpl をブロックしない

  3. 同一ファイルでも内部データの難読化・暗号化の処理で亜種を量産させて、セキュリティソフト の検出を迂回するのに都合がよい


日本では見かけないウイルス攻撃手口

日本の ウイルスメールの攻撃手口 として、アイコン画像を偽装した 実行ファイル(拡張子 .exe) や、スクリーンセーバー(拡張子 .scr) を開かせるのは、よく目にします。

一方、この cpl ファイルの攻撃は見かけた試しがない?

実行ファイルに注意を払うことはあっても、見慣れない cpl ファイルでは、何だかよく分からないが故にダブルクリックする危険性があって注意が必要です。

タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ