無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/01

| ✏️ Firefly

ランサムウェアCryptoLockerウイルスのファイルが日本国内サーバーに置かれ…



英語表記のスパムメールに添付されてるファイル(Win32/Fareit)をユーザーの自爆でもって感染したことから送り込まれるファイルの内の1つ「fF3krry.exe」。 イメージ 1


hxxps://www.virustotal.com/ja/file/59cb0eca818103244e9d3812600269cf57f6d341d3bdbbbe4d2f3dd26a476646/analysis/1390306882/


この実行ファイルは、ファイルを暗号化して身代金をせびるランサムウェアCryptoLockerウイルスだけれど、これの置かれた場所が第三者に乗っ取られたっぽい日本国内のサーバー… イメージ 2<ファイル置き場!


hxxp://urlquery.net/report.php?id=8865830
hxxp://www.aguse.jp/?url=119.245.150.94


先々週にはWin32/Zbot(Zeus)が置かれてたみたい。


hxxps://www.virustotal.com/ja/file/0d65f415c0c9ca1e8e1a1504f4f3dae84974d69177af6f2c092e6324378e926c/analysis/1389189856/
hxxps://www.virustotal.com/ja/file/d6a91f9772fe0079ac22ebfe057c012d9a63dc46df6b00d317b17b13f800feb6/analysis/1389364715/

このエントリーをはてなブックマークに追加

| ✏️ Firefly

フィッシング詐欺「RuneScape」「スクウェア・エニックスアカウントーー安全確認」メール



2013年から不特定多数にバラ撒かれてるスクエア・エニックス(スクエニ)を装った偽メールが久々に手元に… イメージ 1<アカウントハック目的のフィッシング詐欺



こんにちは
弊社は最近システム アップデートをしております。
アップデートの途中で、本システムはこのユーザが長期的に登録することがないと検出いたしました。
ご協力をいただいて、下のURLをクリックして確認してお願いします。
https://secure.square-enix.com/account/app/svc/Login?cont=account
(このリンクをコピーしてお願いします、ページが開かない場合、このリンクをWebブラウザのアドレス入力欄にペーストしてお願いします)
ご協力ありがとうございます。
スクウェア·エニックス公司
2014年1月21日



メールの表面上ではホンモノの「secure.square-enix.com」が記載されてるけれど、実際は飛び先は下のようなURLアドレスになってました。


http://secure.square-enix.com.o.zf-j.com/account/app/svc/Login.htm?cont=account


記事書いてる時点では、アクセスしても繋がらず。


迷惑メールとしての怪しさ臭が…


偽メールの差出人は偽装してあって「RuneScape (noreply@runescape.com)」。


RuneScape なんて言葉始めて聞くので検索したら、Wikipediaによるとイギリス Jagex Limitedなるところが開発してるオンラインゲームだそうで、「なぜここをスクエニに偽装しないの!」とツッコミを入れたいぐらい…


他にも、”スクウェア・エニックス公司”(公司は中国語、日本語でいう”会社”)とか、三菱東京UFJ銀行のフィッシングメールと比べると怪しさ臭がプンプン過ぎて… イメージ 2


このエントリーをはてなブックマークに追加

| ✏️ Firefly

角川kadokawa.co.jpが改ざんされウイルスばら撒く! 感染確認チェックするには…


セキュリティ会社シマンテックが指摘してた大手出版社のサイトが改ざんされウイルスを撒いたインシデントで、具体的な名指しの報道… イメージ 1<角川




改ざんされたのは、出版物の案内などを行う「KADOKAWA」のサイトのトップページです。

会社側の説明によりますと、このページは、今月7日午前1時前、何者かによって改ざんされ、ページを閲覧した人のパソコンが、ネットバンキングのIDやパスワードなどを盗み取るウイルスに感染するよう、仕組まれていたということです。


このページは、会社側が対策を済ませた8日午後1時すぎまで1日半にわたって外部に公開され、その間に、およそ1万回のアクセスがあったということです。

ウイルスには、閲覧した人のソフトが最新のものでないと、感染するようになっていたということですが、KADOKAWAは今回の改ざんについて、16日まで公表していませんでした。



  • 弊社ホームページ改ざんに関するお詫びとご報告 PDF
    ttp://ir.kadokawa.co.jp/topics/20140116_security-kdkw.pdf

改ざんされた証拠の例としてシマンテックがブログで挙げていたJavaScriptコードの画像はココ?


hxxp://www.kadokawa.co.jp/js/all_top_script.js


ターゲットはWindowsユーザーのみ、かつ『閲覧した人のソフトが最新のものでない』ってのは下の感染条件…



更新をすっぽかすことで感染条件に当てはまっていて、ショッピングサイト、Webメール、ネットバンクなどのアカウントを盗み取るウイルスに感染してるか手動で確認チェックするには


【1】 レジストリエディタを起動して、左側のツリーで下の場所までたどる


HKEY_LOCAL_MACHINE ¥ Software ¥ Microsoft ¥ Windows ¥ CurrentVersion ¥ Run


【2】 右側の一覧の中に『 sysplar 』という項目がもし存在したらアウトの可能性アリ


ハッシュ値 ⇒ MD5 不明


このエントリーをはてなブックマークに追加

↑このページのトップヘ