📅 2015/07/27 | ✏️ Firefly

このサイトは不正あるいは危険であると判定？詐欺通販警告がYahoo!検索結果に

このサイトは不正あるいは危険であると判定？詐欺通販警告がYahoo!検索結果に

｛｛｛ 2016年7月更新｝｝｝

Yahoo! JAPAN が運営する Yahoo!検索 の検索結果に

『このサイトは不正あるいは危険であると判定されています』

なる警告メッセージが表示された日本語のホームページを発見！

＜Google の検索結果では表示されない

geqkabijinn株式会社 !?

ただ、ここは釣り関連商品を扱う通販ショップを装ってるけど、実際には海外のサイバー犯罪者が運営していて、ユーザーを騙して購入代金を盗みとることが目的のインチキ詐欺サイトだったりします。

＜誤判定じゃなし

違法な模倣品の販売をうたう通販サイトでも警告の効果あり！

https://www.google.co.jp/search?q=21fHF-kX6nA

ユーザーのアクセスを阻止する

試しに検索結果のリンクにクリックすると、次のような警告ページが表示されアクセスを阻止してくれる仕組みです。

アクセスをブロックされた時の警告ページ

Yahoo! JAPAN - セキュリティ警告
警告
このサイトは不正あるいは危険であると判定されています
他のサイトをご利用いただくか、別のキーワードで検索してみてください。
このままこのサイトにアクセスする場合は、コンピュータに損害が生じる可能性があることをご理解のうえ、ご自身の責任のもとで
http：//×××××/にアクセスしてください。

いちおう該当サイトへ自己責任でアクセスできるようにもなってます。

自分の安全なサイトで表示された場合

自分が運営するホームページやブログで、"不正" や ”危険” なコンテンツなぞ用意してないにも関わらず警告メッセージ『このサイトは不正あるいは危険であると判定されています』が表示されるなら？

可能性の1つとして、悪意のある第三者がサーバー内に不正アクセスされてる可能性も考えられます。

管理してるFTPアカウントが外部に流出してる
サーバー上で稼働するCMS関連の脆弱性を突かれる

自分が作成してない不審なページ（商品の紹介や販売ページ）がサイト内に勝手に作成されてないか、「 site:[URLアドレス] 」というキーワードで検索し確認してみましょう。

例 → site:https://blogs.yahoo.co.jp/fireflyframer/

[重要]dqxｷｬﾝﾍﾟｰﾝを騙るﾌｨｯｼﾝｸﾞ誘導メール!? 迷惑メールが注意喚起

[重要]dqxｷｬﾝﾍﾟｰﾝを騙るﾌｨｯｼﾝｸﾞ誘導メール!? 迷惑メールが注意喚起

「ドラクエ」や「ファイナルファンタジー」といった作品で知られるゲーム開発会社 スクエア・エニックス（スクエニ） のフィッシング誘導に注意を促すフィッシング詐欺メールが数日前からやって来ますかい。

＜まさに『お前が言うな！』

件名 [重要]dqxキャンペーンを語るフィッシング誘導メールについて

◆2015年7月2日(木)から開催しております「ネットカフェ夏キャンペーン2015」の情報が記載された「フィッシング詐欺」を目的としたメールが送信されている事を確認しております。現在、「ネットカフェ夏キャンペーン2015」に関するご案内については、直接お客様へメールを行う告知は行っておりませんので、不審なメールなどに記載されているリンク先にはアクセスしないよう、ご注意ください。
◆本人確認のための認証メールを送信いたします。
メールを受信して、記載されているURLをクリックしてください。 :
http：//hiroba.dqx.jp/

株式会社スクウェア・エニックス

先週はじめに「ネットカフェ夏キャンペーン2015開催」というフィッシング詐欺メールがバラ撒かれ、それを受けてスクエニが注意喚起のお知らせを発表しました。

今回は攻撃者がそこの注意喚起の文章を流用してきてるので、何とも変てこりんな状況に…。

＜追記始め＞

前からよく使われてる文面と、「dqxキャンペーンを語るフィッシング誘導メール」を組み合わせたタイプも。。。

件名 [重要]dqxキャンペーンを語るフィッシング誘導メールについて

◆既に報道されておりますが、オンラインサービスを提供している他社において数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。メールを受信して、記載されているURLをクリックしてください。 :

http：//secure.square-enix.com/
株式会社スクウェア·エニックス

＜追記終わり＞

誘導先はフィッシング詐欺目的の偽ページ

xyzドメインの偽サイトへ誘導しますが、当然ながらスクエニやドラゴンクエストXとは関係ない場所です。

偽「ドラゴンクエストX 目覚めし冒険者の広場」

http:// hiroba.dqx.jp.pv.hirobadqx[.]xyz/account/app/svc/login.html
http:// hiroba.dqx.jp.jj.dzac[.]xyz/account/app/svc/login.html
http:// hiroba.dqx.jp.ko.iopl[.]xyz/account/app/svc/login.html
http:// dqx.jp.bv.iopl.xyz/account/app/svc/login.html

見た目のデザインは本家の画像をコピーしてユーザーをダマし、スクエニのアカウントであるユーザーIDやパスワードを送信させる狙いがあります。

Ramnitウイルス対策は? サイト改ざんHTML変更や実行ファイル寄生現象

最終更新日 2017年7月1日

Ramnitウイルス対策は? サイト改ざんHTML変更や実行ファイル寄生現象

Ramnit（読み方ラムニット）と呼ばれてる Windows パソコンをターゲットにした ワーム型ウイルス に殺られてる日本の一般サイトを見つけました。

＜怪しいアダ＊トサイトとかではなく学校の同窓会サイト

HTMLソースを確認
→ 最後尾に不正な VBScript コード処理

【HTML に挿入される不正なコード例】
＜SCRIPT Language=VBScript＞＜!--
DropFileName = "svchost。exe"
WriteData = "英数字でかなり長いバイナリーコード"
Set FSO = CreateObject("Scripting。FileSystemObject"）
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True）
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript。Shell"）
WSHshell.Run DropPath, 0
//--＞＜/SCRIPT＞

Windows パソコンがひとたび Ramnit ウイルスに感染すると、次の拡張子を持つファイルが書き換えられます。

＜マルウェアの狙いは自分自身の拡散

HTML ファイル
ホームページなどサーバー上に公開されることで、Ramnit ウイルスを意図せず配信してしまう不正なサイトに変貌する（拡張子 .html .htm）
Windows 向け実行ファイル
PC 内のすべての実行ファイルが汚染したり、USBメモリ内の実行ファイルが Ramnit に寄生して別の PC に持ち運ばれて意図せず配布する（拡張子 .exe）

上で紹介しした同窓会サイトの改ざん事例は、恐らく運営者が使う Windows パソコンが Ramnit ウイルスに感染 → それに気づかないまま汚染された HTML ファイルがサーバーにアップロードされた可能性があります。

Ramnit ウイルス感染症状被害者の声

Ramnit ウイルスに感染した日本の Windows ユーザーさんのお話を Yahoo!知恵袋や Twitter から拾ってみました。

■ ホームページを作ってファイルをアップロードしたところ急激にhtmlファイルサイズが大きくなり以下の様な構文が勝手にhtmlに追加されてしまいました。
ウイルスの可能性があるかもしれません。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14118519984

■ 最近PCのウイルスがめっちゃ検知されます。VBS_RAMNIT.SMC というやつが全部です。明らかにウイルスじゃないファイルとかも検知されます。
前まで検知されなかったのに検知きます。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10134835715

■ DesktopLayer.exeというウイルスに感染してしまいOS再インストールをしても感染しています。
HDDは完全にフォーマットしています。多分、データーのバックアップのためにOS再インストール前のHDDから外付けにバックアップしてその感染したファイルを実行してしまったのが原因だと思います。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14126994624

■ 肝心なウイルスバスターは有効期限が過ぎてしまっているのですが、画面の右下で「すべての脅威が解決されました安全のため、一部のセキュリティ脅威が削除されました。検出された脅威:」という通知が永遠に出続けています。
詳細を見てみると、「ウイルス/脅威 : VBS_RAMNIT.SMC 感染源 : 不正プログラム処理 : 駆除済み」と表記されているのですが、調べてみてもどういったウイルスなのかもわかりませんでした。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11156334741

■ heat_thinkerさんのツイート: "w32 ramnit　とかいうウイルスにPCが感染していたらしく、ついさっきまで作成していたSTGbuidlerのファイルから東方まで全部削除されました"
https://twitter.com/Switch_foot2312/status/782460584029622272

Ramnit 感染によって目に見える異変は、無害で正当なファイルに寄生して不正なファイルと化す厄介な挙動です。

PC 内にある HTML ファイルのサイズが不自然に増加する現象や、実行ファイルが汚染してしまう現象です。

セキュリティ会社のウイルス検出名

《1》 Ramnitウイルスに寄生したHTMLファイル

ブラウザでネットサーフィン中に不正な VBScriptコード が挿入されてるウェブサイトを踏むと次のような検出名です。

【不正な VBScript コードのウイルス検出名】
avast! VBS:Dropper-DF VBS:ExeDropper-gen
Avira VBS/Ramnit.483893
BitDefender Trojan.HTML.Ramnit.A
ESET Win32/Ramnit.A
Kaspersky Trojan-Dropper.VBS.Agent.bp
McAfee W32/Ramnit.a!htm
Microsoft Virus:VBS/Ramnit.gen!A Virus:VBS/Ramnit.B
Symantec W32.Ramnit!html
Trend Micro VBS_RAMNIT.SMC HTML_RAMNIT.ALE

この HTML ファイルから作成される Windows 向け実行ファイルは、だいぶ時間が経過していて古いものが多いです。

そのため、セキュリティソフトが導入されていて、かつウイルス定義データを最新版に維持しているなら、たいてい脅威として検出できます。

MD5 ff5e1f27193ce51eec318714ef038bef
www.virustotal.com/ja/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/analysis/1280523635/

【不正な実行ファイルのウイルス検出名】
avast! Win32:GenMalicious-GOW [Trj]
Avira TR/Crypt.XPACK.AB
BitDefender Trojan.Zbot.IVF
ESET Win32/Ramnit.A
Kaspersky Packed.Win32.Krap
McAfee PWS-Zbot.gen
Microsoft Worm:Win32/Ramnit.A
Sophos W32/Ramnit-ET
Symantec Trojan.Zbot!gen9
Trend Micro BKDR_QAKBOT.SMC

別の改ざんサイトで確認したものです。

MD5 bccee9eddeda02aaed018f7df92608d6
www.virustotal.com/ja/file/4f051897980f60b55e55df30d19354d90f4198ba6092bc8718119ab39c13a176/analysis/1429281805/

【不正な実行ファイルのウイルス検出名】
avast! Win32:Virtu-A
Avira W32/Virut.Gen
BitDefender Win32.Virtob.Gen
ESET Win32/Virut.NBP
Kaspersky Packed.Win32.Krap
Microsoft Virus:Win32/Virut.BN
Sophos W32/Scribble-B
Symantec W32.Virut.CF
Trend Micro BKDR_QAKBOT.SMC

《2》 Ramnitウイルスに寄生した実行ファイル

無害な実行ファイルに寄生してウイルス化してる場合の検出名です。

【Ramnit 寄生した実行ファイルのウイルス検出名】
avast! Win32:RmnDrp
Avira W32/Ramnit.A
BitDefender Win32.Ramnit
ESET Win32/Ramnit.A
Kaspersky Virus.Win32.Nimnul.a
McAfee W32/Ramnit.a
Microsoft Virus:Win32/Ramnit.A
Symantec W32.Ramnit!inf W32.Ramnit.B!inf
Trend Micro PE_RAMNIT

対処方法は？

メインのセキュリティソフトが導入されたまま使用できる無料のウイルススキャンツール「Microsoft Sefety Scanner」「Kasperky Virus Removal Tool」をダウンロードしてウイルスチェックしましょう。

＜2017年追記...＞

セキュリティ会社トレンドマイクロによれば、2017年から Ramnit ウイルスに日本のクレジットカード会社の機密情報を盗み取る処理が実装されてることを確認してるそう。

＜クレジットカード不正利用のキッカケに

・ 金融機関の情報を窃取する「RAMNIT」、閉鎖後も不正活動を継続
http://blog.trendmicro.co.jp/archives/14493

・ 国内クレジットカード12社が標的、日本に矛先を向ける「RAMNIT」
http://blog.trendmicro.co.jp/archives/15252

この感染手口として、Windows ユーザーさんをターゲットにドライブバイ・ダウンロード攻撃が確認されてます。

ウイルス感染経路は、ネットサーフィン中に改ざんされてる一般サイトをたまたま閲覧したり、侵害された正規の広告配信サーバーが運悪く裏で読み込まれて、知らないうちに強制インストールされるパターンです。

毎月定例更新の Windows Update を実施せずに放置してる
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx
無料ブラウザアドオン Adobe Flash Player を更新せずに放置してる
https://get.adobe.com/jp/flashplayer/about/

ウイルス対策として「怪しいサイトにアクセスしない」という精神論ではサッパリ意味がなく、このウイルス感染条件2つに当てはまらないように維持する 無料ウイルス対策 が Ramnit の感染を防止するキモとなります。

2015/07