無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/08

| ✏️ Firefly

Dr.Web Light Macフリーから有償アプリ化に変更 OS Xウイルスチェックツール
 
ロシアのセキュリティ会社 Doctor Web の公式サイトと Apple App Store でフリーソフトとして公開されてたMac OS X向け Dr.Web Light がバージョン9から有償アプリに変更されてますか。 <Android版は関係なし
Dr.Web Light 9.0.0 for Mac OS X released
http://www.freedrweb.com/show/?i=4361
Dr.Web Light は常駐監視機能がなく、Macユーザーが手動で検査スキャンするタイプのウイルスチェックツールです。
 
Macのウイルス対策関連で無料アプリだと、VirusBarrier ExpressSymantec iAntivirus は今年2014年に開発終了となってます。
 
タグ :
#Macintosh
このエントリーをはてなブックマークに追加

| ✏️ Firefly

hudkud.com 怪しすぎ中国のゴルフ通販サイト 口コミ評判は捏造詐欺 偽造クラブか
 
詐欺サイトの見極め方に関連してゴルフ関連グッズを扱う怪しすぎな通販サイト…
 
 
があったけれど、今回のお題は…
 
イメージ 1
 
www.hudkud.com
 
hudkud」(ヒュドクッド?)ってなドメイン名の文字列自体が意味不明なワケですが、5つのチェックボイントで簡単に見分けることができます。
◆ 偽通販詐欺サイトの見分け方 5つのチェックポイントでダマされない 商品届かない! 購入代金盗まれる!
http://tech.g1.xrea.com/notes/shopping-fraud.htm
逆に、通販サイトの商品やその価格の安さにうっとり見とれ、見るべきところをチェックすることなく雰囲気やデザインだけで判断するとダマサれます!
【その1】
イメージ 2
いったいどこにある”会社”かサッパリ不明w
 
通販サイトとしての記載義務要件を満たしておらず、日本の法律を犯してることが分かります。 <うげぇ~
 
会社名 → 有限会社Hudkud
所在地 → 記載なし
責任者の氏名 → 記載なし
電話番号 → (市外局番に「505」なるものは存在せず)記載なし
 
もはや他のチェックポイントを確認する必要すらないレベルの論外サイトと容易に判断できます。 <メールアドレスも Google Gmail
【その2】
イメージ 3
URLアドレスがHTTPSでなし、南京錠(鍵)マーク確認できず
 
ゴルフ商品を通販カゴに入れて、いざ発送先となる個人情報を入力するシーンは↑ごらんの有様でアウトと分かります。
【その3】
ここは当てはまってません。
【その4】
aguse.jp でサイトをチェックしてみると複数確認できます。

・ 中国のアクセス解析 cnzz.com
・ 中国の危険クレジットカード決済 realypay.com & realypay-checkout.com
【その5】
イメージ 4
 
サーバーは日本ではなく、米国カリフォルニアです。
 
ちなみに、hudkud.com ドメインの所有者をWHOIS調査してみると、不自然な「Shonok Takashi」(しょのく? たかし)なる名義を確認できます。
 
イメージ 5
 
【危険! 関連してると考えられる大丈夫じゃないゴルフ通販サイトたち】
http://www.jokerad[.]com/
http://www.gorufuclubs[.]com/
http://www.gorufukurabu[.]com/
http://www.golfjponline[.]com/
http://www.gorufujp[.]com/
http://www.hudkud[.]com/

サイト内の伝言板に書かれた口コミ評価レビューは捏造詐欺!

イメージ 6
 
この通販サイトには、伝言板なるページが用意されていて、そこでは商品を購入されたユーザーさんが通販サイトを絶賛してます。
 
んが、検索してみると、楽天市場に投稿された本物の高評価レビューの文章をそのまま複製しパクってきてるみたいね。

安全! おすすめゴルフ用品通販サイト

日本国内の会社が運営してるゴルフ用品販売ストアさんです。無難で安心
 
<2015年 追記...>
 
このゴルフ用品販売サイト hudkud.com は、米国の執行機関や海賊版撲滅グループによりインチキな偽造ゴルフクラブ販売サイトと認定され、ドメインそのものを強制シャットダウンする措置が実施されました。
 
タグ :
#ゴルフ
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Win32/Gamarue WORM_GAMARUE ワーム型ウイルス ボットネット [メモ]
 
圧縮ファイル解凍後に下のような添付ファイルが出現する英語表記の迷惑メール(スパムメール)が着弾するする。 <ファイルの拡張子が *.exe や *.scr になってる!
 
イメージ 2
 
MD5 cee8b295bcd78785d24e75f2d553850f
 
イメージ 1
 
MD5 07b1a2b0f0a836e02f9dacdbbdb3e2f5
Andromeda C&C 208.115.105.39
http://arunews[.]ru/forum/adm[.]php
 
 
セキュリティ会社の一般的な検出名はGamarueでしょうか。
 
 
攻撃者側から見ると Andromeda という遠隔操作ウイルス作成キットとしてブラックマーケットで販売されてる商品(管理画面の画像)であり、このウイルスに乗っ取られたWindowsパソコンの集団はボットネットとして活動することになります。
  • Worm:Win32/Gamarue (Microsoft)
  • TROJ_GAMARUE WORM_GAMARUE (Trend Micro)

Win32/Gamarue (Microsoft Malware Protection Center)
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue

◆ ファイル&レジストリ
> %ALLUSERSPROFILE%\[ランダム文字列].exe
具体的には C:\ProgramData\[ランダム文字列].exe みたいな感じ

イメージ 3
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名前 → [ランダム数値]
値のデータ → ファイルパス ( C:\PROGRA~2\[ランダム文字列].exe など )
 
◆ Gamarue ウイルスの感染手口
 
http://www.microsoft.com/security/portal/images/worm_sized.png
1台の感染マシンから拡散する重要な役割を果たすUSBメモリ
(画像出典 Microsoft Malware Protection Center
 
【1】 ネットサーフィン中にドライブバイ・ダウンロード攻撃による強制インストール
【2】 英語表記のスパムメールに添付された実行ファイル(画像に偽装)の自爆感染
【3】 他のマルウェアがダウンロードしてきてインストールする

【4】 USBメモリ由来 (自動実行オートラン型 & ショートカットファイル型
 
USBメモリのオートラン機能は、2011年にWindows XP/Vista 向けにWindows Update経由で無効化パッチが配信済みで、Windows 7/8 はUSBメモリのオートラン機能自体が実装されてません。
 
タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ