無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/12

安全?危険? Softonicソフトニックダウンローダーのウイルス対策ソフト対応状況

イメージ 2

欧州スペインのソフトウェア紹介サイト Softonic / ソフトニック が配布する ソフトニックダウンローダー(Softonic Downloader) とは?

※ ソフトニックダウンローダーはもはや入手不可 (最下部の追記を参照)

イメージ 1
ソフトニックダウンローダーが不要なソフトの同時導入提案

下のように分類される不必要なソフトを ユーザーに同意の上で導入する仕組み を持ったプログラムです。
ユーザーに導入する趣旨が提示されて、決して有無を言わさず勝手に強制インストールというワケではありません。

セキュリティ会社の対応は?

ソフトニックダウンローダーの実行ファイル(拡張子 .exe)をオンラインスキャンサイト VirusTotal にアップロードしてみると?

~ ファイル名 ~
SoftonicDownloader_for_[ソフトウェア名].exe
デジタル署名の名義 → Softonic International

ウイルス対策ソフトの対応状況を確認してみると、以前 と比べてセキュリティ会社が増えてる感じ?

> ttps://www.virustotal.com/ja/file/b17839037f1d7ca6366422f7f15f89b483647adf8d1c36637b5c604ebf529c67/analysis/1420017222/

> ttps://www.virustotal.com/ja/file/1b13fea902d5d80e2833804acd98e252e567de0db63acb8f68ae631c8ee15cd2/analysis/1420016785/
【ソフトニックダウンローダーの検出名の例】
AVG AdInstaller.Softonic
Avira APPL/Dldr.Softonic.373096
Dr.Web Trojan.Siggen6.26583
ESET a variant of Win32/SoftonicDownloader.G
Fortinet Riskware/Agent
G Data Win32.Adware.Softonic.A
K7AntiVirus Unwanted-Program ( 0040f81d1 )  ← ウイルスセキュリティ
Kaspersky not-a-virus:Downloader.Win32.Agent.bxib
Malwarebytes PUP.Optional.Softonic
McAfee Artemis!D6C6CC6B3669 Artemis!3D67806E0C71
Symantec Trojan.Gen.2
Trend Micro Suspicious_GEN.F47V1228 Suspicious_GEN.F47V1230 ← クラウド検出
日本で一般向けに市販されてる有償セキュリティ製品として、トレンドマイクロ、シマンテック、ソースネクスト ウイルスセキュリティ、ESET、カスペルスキー、マカフィー の販売シェア上位グループで対応されてしまってる状況です。

ノートンで知られるセキュリティ会社のシマンテックは、PUA(Potentially Unwanted Application、不必要な可能性のあるアプリ)として検出します。



プログラムの性質上は 「ウイルス」「スパイウェア」 という扱いにはなりません。



<追記...>

ソフトニックは2015年2月を持って広告インストーラ Softonic Downloader(ソフトニックダウンローダー) を介してアドウェアや迷惑ソフトなど不必要なソフトをユーザーの同意の上で導入させるスタイルを完全に廃止しました。

ソフトニックのソフトウェア紹介ページのダウンロードボタンを押すと、ソフトワエの開発元のページへ誘導されたりして、Softonic Downloader(ソフトニックダウンローダー) がダウンロードされる挙動はなくなってます。
このエントリーをはてなブックマークに追加

NCSOFTアンケートご協力のお願い迷惑メール‏‏ フィッシングサイト誘導に注意
 
{{{2015年1月7日 更新}}}
 
「常確認のお願い」という件名でスクエア・エニックスを名乗るメールは今月12月になっても相変わらずやって来てたけど、オンラインゲーム運営会社 NCSOFT を勝手に名乗る迷惑メール(スパムメール)が久々に着弾!
 
イメージ 2
NCSOFTを名乗って不特定多数にバラ撒かれる偽メール
件名 NCSOFT」アンケートご協力のお願い‏‏
件名 [11689-2]Re:[NCSOFT > アカウント盗用報告]
件名 NCSOFT会員の情報変更
差出人 NCSOFT  <account_cs@ncjapan.co.jp>

◆既に報道されておりますが、オンラインサービスを提供している他社において 数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :
http://www.ncsoft.jp/login/login?retURL=http%3A%2F%2Fwww.ncsoft.jp%2F
◆情報変更のお手続きにお心あたりのない場合お客様ご本人確認は本メールの認証キーを入力しない限り、完了いたしません。情報変更にお心当たりのない場合、アカウントとパスワードがハッキングされた可能性があります。お手数ですが、NCSOFT公式サイトにアクセスしお早めにパスワードを変更を行ってください。
◆何かご不明な点がある場合は、アカウントを記載の上、こちらのメールに折り返しご連絡ください。
メールの送信者のところが NCSOFT からさも送信されてきたかのよう 偽装 されてます。

「アンケートご協力」というタイトルなのに、メールの中身はアンケートの話はまったく登場せず、URLアドレスをクリックして踏むよう誘導する内容。

誘導先はフィッシング詐欺目的の偽ページ

NCSOFT の公式サイトからデザインや画像をパクって偽装されてる偽ログインページ「ようこそ、NCSOFTへ」が出現します。
 
イメージ 1
外観デザインを NCSOFT に偽装した偽ログインページ
 
http:// ncsoft.jp.logix.uwevw[.]com/index.html
http:// ncsoft.jp.login.mfznk[.]com/index.html
http:// ncsoft.jp.login.mcjal[.]com/index.html
http:// ncsoft.jp.logix.pmgwn[.]com/index.html
http:// ncsoft.jp.login.oakbv[.]com/index.html
http:// ncsoft.jp.login.qwyoa[.]com/index.html
http:// ncsoft.jp.login.hlrft[.]com/index.html
http:// ncsoft.jp.account.hlrft[.]com/index.html
http:// ncsoft.jp.account.jralv[.]com/index.html
http:// ncsoft.jp.accountn.ixbgz[.]com/index.html
http:// ncsoft.jp.accountv.rkwmj[.]com/index.html
http:// ncsoft.jp.account.rsajq[.]com/index.html
http:// ncsoft.jp.loginx.dlhau[.]com/index.html
http:// ncsoft.jp.login.nqbck[.]com/index.html
http:// ncsoft.jp.account.nslsh[.]com/index.html
http:// ncsoft.jp.login.hhjpo[.]com/index.html
http:// ncsoft.jp.login.orcih[.]com/index.html
http:// ncsoft.jp.account.hrwwo[.]com/index.html
http:// ncsoft.jp.logix.egxsg[.]com/index.html
http:// member.login-accounts[.]com/
http:// ncsoft.login-accounts[.]com/
http:// ncsoft.member.login-accounts[.]com/
http:// member.ncsoft1[.]com/
http:// ncsoft.jp.secure-member[.]com/
http:// plaync.secure-member[.]com/
http:// mail.plaync.jp.login.ryavc[.]com/index.html
http:// mail.plaync.jp.account.qpqil[.]com/index.html
 
ユーザーにユーザー名とパスワードを入力させて送信させるのが狙い! <フィッシング詐欺
フィッシング詐欺サイトにご注意ください (NCSOFTサポート)
http://www.ncsoft.jp/lineage2/news/notice/view?bbsNo=32801&articleNo=759

 
[12月29日 追記...]

迷惑メールはどこから送信されてる? メールのソースコードのヘッダー部分を見てみると…
 
イメージ 3
米国 サーバーレンタル会社 MULTACOM 216.127.180.44

イメージ 4
日本 インターネットプロバイダーUCOM 124.34.32.20
 
日本のは逆引きで 124x34x32x20.ap124.ftth.ucom.ne.jp となってて一般回線っぽく踏み台になってる?
 

 
[2015年1月1日 追記]
 
「アンケートご協力のお願い‏‏」ではなく、新たに「NCSOFT > アカウント盗用報告」という件名が付けられた迷惑メールも投入されてるようで。
このエントリーをはてなブックマークに追加

お金の運び屋マネーミュールを求人募集する英語の迷惑メールに注意
 
ネットバンキングの口座から盗まれた預金を海外の銀行口座へ移動させる役割を任されるお金の運び屋(マネーミュール)を求人募集する英語表記の迷惑メール(スパムメール)が不特定多数にバラ撒かれてます。
件名 Hiring to the position of Japanese representant
件名 Job Vacancy of Japanese representant
件名 Recruitment to the position of Japanese representa
件名 Some useful information for you
件名 Some information for you
件名 Useful for you
件名 We are in need of a faithful person in Japan
件名 We are in need of a trustworthy person (Japan)
件名 We are in need of an representative in Japan
件名 We are searching for a business agent
件名 We are searching for a top-manager
件名 We were suggested to invite you for the job


My name is [人名]. I work as a human resources new hires manager in a well-known international firm. We are currently looking for smart talented and reliable responsible employees new hires who could represent our company in Japan.

You don't need any special skills (Adverting, BTL, Promo, Adverting finance) or any investments to begin our partnership. In the beginning of your engagement partnership there is a training learning period of [日数]. You will also receive a diploma on completing the training in the framework of our firm. During this training period you will learn how to prepare put together the documents, prepare contracts and conduct carry out negotiations.

Our basic main demands for all applicants:
- Ideal English skills are not necessary but, of course, will be your advantage
- You will need just 3-5 hours a day per day to fulfil the whole volume of work.
- All trainings are completely free, no investments are required
- No criminal reports

In the beginning your salary will be JPY [金額], and your work schedule will be completely adjustable. Altogether, you will not spend more than [時間] hours a week.Then an training agreement will be prepared and we'll start doing serious business. Your income will depend on you, however there is a base pay of JPY[金額] bonuses a month + interest. You will have a guaranteed career growth and possibly we will eventually invite you to open a new branch in your region.

If you are wishing to participate in the selection process in this offer, please, e-mail us and we will reply you. Do not miss your chance of becoming a top manager in an international well-known company. All details you can obtain by writing us to the following email address : [フリーメールのアドレス]
最後部の連絡先となるメールアドは、Googleの「@gmail.com」か、米Yahoo! Incの「@yahoo.com」になってます。
 
海外送金サービスを悪用した不正送金アルバイトに注意! (警視庁)
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku430.htm
 
盗まれたお金の運び屋マネーミュールの逮捕摘発事例 捨て駒の末路
http://tech.g1.xrea.com/notes/money-mule-arrest.htm
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ