無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2015/01

Flash Player 16.0.0.296リリース ウイルス感染に悪用ゼロデイ脆弱性の修正
 
旧バージョンがウイルス感染経路の1つになってる無料ブラウザアドオンAdobe Flash Playerの最新バージョンがリリース!
 
16.0.0.296
 
Windowsパソコンをターゲットにウイルスを強制的にインストールさせるエクスプロイトキット(Angler Exploit Kit)に悪用する処理が確認されゼロデイ状態となっていた脆弱性(CVE-2015-0311)の修正が含まれてるとのこと。
UPDATED: Security Advisory for Adobe Flash Player (APSA15-01)
http://blogs.adobe.com/psirt/?p=1160
記事投稿時点では自動アップデート機能を有効にしてるユーザーに対して配信が始まってて、手動ダウンロードの方はまだ公開されておらず。
 
 

 
[26日 追記...]
 
アドビ サポート担当さんはTwitterを使っています: "【セキュリティ情報】先ほどのセキュリティ情報APSA15-01に追加です。24日以降、自動更新を有効にしている場合には、Flash Playerの最新バージョン「16.0.0.296」が自動的に適用されています。ダウンロードセンターからも日本時間1月28日より提供開始予定です。"
https://twitter.com/AdobeSupportJ/status/559646983376633858
 
[27日 21:30 追記...]
 
公式サイトから バージョン16.0.0.296 が手動ダウンロードできるようになりました。
 
バージョン確認ページ → http://www.adobe.com/jp/software/flash/about/
このエントリーをはてなブックマークに追加

掲示板でウイルスscr配布 オンラインゲームのアカウントハックが危険

イメージ 8
Image いらすとや

オンラインゲームの アカウントハック を目的に、ゲームをプレイしてる日本国内のユーザーを狙ったウイルス感染攻撃を確認してます。

掲示板にウイルスリンク

その攻撃手口は、ネクソン(Nexon) や NCSOFT の公式サイト内の掲示板に不正な投稿が行われるものです。

何かビミョーに変な日本語で 『ゲーム管理者だけが有する武器装備です。』 なるメッセージと、ファイルをダウンロードするリンクが投稿されてます。

イメージ 6
ネクソン公式サイトの掲示板に投稿されたウイルスリンク

イメージ 1
NCSOFT公式コミュニティに投稿されたウイルスリンク

また、ハンゲーム(Hangame) 内のユーザーページに、やはり同じように変な日本語のメッセージを確認できました。

イメージ 7

イメージ 2
ハンゲームのユーザーページに投稿されたウイルスリンク

blog.hangame[.]co.jp/arad198888/article/42352774/

攻撃者はどうもオンラインゲームのユーザーが保有してる正規アカウントに不正アクセスして、この変なメッセージを投稿してる感じ?

ファイルの正体はスクリーンセーバー

リンクからダウンロードできるのは zip形式やrar形式の圧縮アーカイブ です。

これを展開・解凍すると、中身は Windows 向け実行ファイル(拡張子 .exe)と内部データ的に同じである スクリーンセーバー拡張子 .scr)でした。

イメージ 3
bmp画像と誤認させるアイコン画像の偽装

ファイルの目的が スクリーンセーバー であると明示されてないのに、こんな風に拡張子 .scr のファイルが登場したら、怪しさ100%のマルウェアと判断する以外ありません。

有効なデジタル署名付き

ちなみに、このスクリーンセーバーのファイルには、ナゾの名義だけど 有効なデジタル署名 が付いてます。 <あんた誰?

イメージ 4
デジタル署名「善君 韦」

ゲームのパスワード盗む機能?

スクリーンセーバーのファイル内部のバイナリを確認してみると、次のオンラインゲームのアカウント情報を盗み取る処理と思しき文字列は確認できました。
  • ハンゲーム 「アラド戦記」
  • ネクソン、NCSOFT 「リネージュ」
イメージ 5
実行ファイルにオンラインゲーム関連の文字列?

 

ウイルスファイルのハッシュ値

ウイルス検出名 「Win32/PSW.OnLineGames.QUO」(ESET)、「BKDR_KIROB.A」(Trend Micro)といったところ。

【ウイルス検体】
lineagetwo20120121.bmp.scr
MD5 60631add7d448db305e9ae7a74d73128
www.virustotal.com/ja/file/d6db57241ffe4fb97b5d2e9628b629ee20956793d2c64efa1bdf37076a1d47da/analysis/1421837681/

ARAD20150121.bmp.scr
MD5 f3cb256225c34e5840f3632ecde78f8a
www.virustotal.com/ja/file/662f87646be372af726a589c89a93a415884815b5563e8d3af0ecf34a6c8af8c/analysis/1421846733/

lineage20150121.bmp.scr
MD5 a2b2a97e23f40542040c2b88b839d50e
www.virustotal.com/ja/file/09d95fb2d9bcc5cac8980189e43854a3727aef4858ed6a2f2b05a5dc42caba66/analysis/1426225163/

【C&Cサーバー】
hangame.lineage-jp[.]com
157.7.236.95
関連するブログ記事
このエントリーをはてなブックマークに追加

Flash Player 16.0.0.287緊急リリース 危険な脆弱性の修正ありウイルス対策のため更新を
 
旧バージョンがウイルス感染経路の1つになってる無料ブラウザアドオンAdobe Flash Playerの最新バージョンが緊急リリース! <定例外で
 
16.0.0.287
 
今日、最新版で対処されてないゼロデイ状態の脆弱性を悪用したウイルス感染攻撃が発覚したので、それの修正版なん???
Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler EK (Malware don't need Coffee)
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html?m=1

Adobe Flash Player に未確認のゼロデイ脆弱性 (Symantec)
http://www.symantec.com/connect/blogs/adobe-flash-player-0

Flash Greets 2015 With New Zero-Day (Trend Micro)
http://blog.trendmicro.com/trendlabs-security-intelligence/flash-greets-2015-with-new-zero-day/

Flash Player のバージョンを確認する&最新版をインストールしてアップデートする

 


 
<追記1...>
 
いちおう修正されたのは別の脆弱性(CVE-2015-0310)の1件で、上の問題は解決されておらずゼロデイ攻撃の状態が継続してるみたい。
APSB15-02 Security updates available for Adobe Flash Player (Adobe Security Bulletin)
http://helpx.adobe.com/security/products/flash-player/apsb15-02.html

AdobeがFlash Playerの臨時パッチを公開、なお未解決の脆弱性も (ITmedia)
http://www.itmedia.co.jp/enterprise/articles/1501/23/news051.html
<追記2...>
 
もう1つの未解決となってる脆弱性(CVE-2015-0311)の修正版は来週中に提供される予定だそう。 <早く更新してくれぇ~
● APSA15-01 Security Advisory for Adobe Flash Player (Adobe Security Bulletin)
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
このエントリーをはてなブックマークに追加

↑このページのトップヘ