📅 2015/07/25 | ✏️ Firefly

BrowserModifier:Win32/Diplugemとは？広告表示アドウェアがOutBrowseインストーラ経由で

BrowserModifier:Win32/Diplugemとは？広告表示アドウェアがOutBrowseインストーラ経由で

アドウェアの泉として知られる中東イスラエル発 MultiPlug （マルチプラグ）のウイルス検出名の紹介です。

＜それをもじった検出名に

＝ Win32/Diplugem ＝
BrowserModifier:Win32/Diplugem
BrowserModifier:Win32/Diplugem!rfn

Win32/Diplugem は何かしらソフトウェアの広告インストーラ（拡張子 *.exe）経由でユーザーが右ボタン（＝同意）を押し許可を与えた場合に限って堂々と導入されます。

■ Zscaler Research: Potentially Painful Programs Promising Pirated Products
http://research.zscaler.com/2015/06/potentially-painful-programs-promising.html

たとえば、広告インストーラの１つ OutBrowse （SoftwareBundler:Win32/OutBrowse、ADW_OUTBROWSE）と呼ばれる中東イスラエル発の実行ファイル経由で Win32/Diplugem が取り込まれるパターンが確認されてます。

・ ResEdit危険インストーラから同意ボタンで広告表示アドウェア感染被害？

・偽Flash Playerで同意ボタンを押したら不要ソフトてんこ盛り！ setup.exeの正体

ブラウザで表示するページが広告表示まみれに

Win32/Diplugem は↓らへんのウザイ挙動を行うブラウザのアドオン／拡張機能として活動します。

一般サイトに邪魔なバナー広告（Ads by ●●●）を挿入して表示する
ブラウザの新しいタブで不審な広告ページを強制的に開く

http://www.microsoft.com/security/encyclopedia/en-us/i/9db0bfa224547807.jpg

http://www.microsoft.com/security/encyclopedia/en-us/i/f8fd16193fb5a617.jpg

（画像出典 Microsoft Malware Protection Center）

■ BrowserModifier:Win32/Diplugem - Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=BrowserModifier:Win32/Diplugem

ちなみに、ウイルス検出名でググると、有償ウイルス駆除ツール SpyHunter の導入を誘導する宣伝広告ブログが検索結果に大量ヒットして邪魔すぎ。

> http：//uninstallpc-threat.uninstallvirusmalware[.]com/
> http：//remove-virus.removemalwarevirus[.]com/
> http：//easyviruskilling[.]com/
> http：//removevirusnow[.]com/
> http：//pcinfectionskiller[.]com/
などなど

・無料で使えるウイルス・アドウェア駆除ツール Malwarebytes Anti-Malware Free

タグ：: #Windows

📅 2015/07/25 | ✏️ Firefly

Brand World迷惑メール？詐欺通販サイトへ誘導するサイバー犯罪者

Brand World迷惑メール？詐欺通販サイトへ誘導するサイバー犯罪者

Brand World（ブランドワールド）

を名乗り、ブランド腕時計やブランドバックを販売する日本語表記の怪しい通販サイトへ誘導する迷惑メール（スパムメール）がバラ撒かれてますかいなー。

ブランド全品海外直接仕入れだから安くて安心！新商品随時更新中！

http：//www.amazon.co.jp.web_jp.brandoff-hk[.]com/
http：//www.brandworld-jp[.]com/
http：//www.brandoff-hk[.]com/
http：//www.brandoff-world[.]com/

中には、あの有名なショッピングサイト Amazon.co.jp に成りすました件名でメールが送信されてるものも確認してます。

【迷惑メールの件名例】
ロレックス腕時計最大90％OFF【Brand World】
最大90％Off！【Brand World】ロレックス腕時計！
最大90％Off ルイヴィトンバング・財布人気品ただいまタイムセール開催中！
最大90％Off！ニューバランス今だけ開催！！
Amazon.co.jp:【50％OFF】人気ブランドのバックパック/リュック!!
Amazon.co.jp:MAX 90%OFF 人気ブランドのバックパック/リュック!!

通販サイト Brand World の会社概要ページを確認してみると、↓のようになってました。

所在地の「東京都千代田区丸の内 1-9」は実は地理的に広い範囲で、「東京都千代田区丸の内 1-9-1」なら東京駅ビル内になるようだけど。

そして、致命的と言えるのが電話番号の記載がないところで、日本の法律（特定商取引法）で記載する義務があるにも関わらず、それを堂々と破っていて違法な状態と分かります。

＜こんなところで注文するなぞ危険すぎ！

ちなみに、無料で取得できるフリーメールのアドレス（Yahoo!メール）を記載してるところも不自然と判断できるポイントです。

Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】

Yahoo!ショッピング - Tポイントが貯まる！使える！ネット通販

> ここを見れば悪質な偽通販サイトを見極めできる！簡単な見分け方を伝授 <

ドメイン保有者の情報

こんなとこまで調べる必要ないけど Brand World に関連するドメイン保有者をWHOIS情報から引っ張ってくると…。

国 → 台湾
電話番号 → +886（台湾の国番号）
都市 → 米国 Parkville にあるストリート名？イギリスのストリート名？
メールアドレス → 中国本土のフリーメール 126.com sohu.com

んー、何かメチャクチャですよぅ。

タグ：: #ネットサービス

📅 2015/07/25 | ✏️ Firefly

Your order is approved迷惑メール航空券予約通知の偽装ウイルス付き

Your order is approved迷惑メール航空券予約通知の偽装ウイルス付き

実在する米航空会社アメリカン・エアライン／アメリカン航空（American Airlines）から送信されたかのよう装った英語表記の迷惑メール（スパムメール）を確認してます。

★ いちおメール上では America Airlines （アメリカ・エアライン）になってるけど

件名 Your order #[数字] is approved
件名 Your ticket order #[数字] approved
送信者 America Airlines
Dear customer,
Your payment was successfully processed, your credit card was charged.
Please print your e-ticket attached to this email.
Below you can find the order details and e-ticket information:
FLIGHT NUMBER - [便名]
DATE & TIME - [年月日時刻]
DEPARTING - [都市名]
TOTAL PRICE - $ 730.00
Thank you for flying with America Airlines.

件名 Your order #[数字] is approved
送信者 America Airlines
Dear customer,
Your payment has been processed and your credit card has been charged.
Please print your e-ticket attached to this email.
Order details and e-ticket information:
FLIGHT NUMBER / [便名]
DATE & TIME / [年月日時刻]
DEPARTING / [都市名]
TOTAL PRICE / $ 560.00
Thank you for choosing America Airlines.

件名 Your e-ticket #[数字]
送信者 America Airlines
Dear customer,
Your order was successfully processed.
Please check your e-ticket in the attachment to this e-mail.
Order summary:
FLIGHT NUMBER - [便名]
DATE & TIME - [年月日時刻]
DEPARTING - [都市名]
TOTAL PRICE - $ 720.00
Thanks for flying with America Airlines.

メールの中身は航空券のチケット予約購入やクレジットカード決済の通知を装っていて、添付ファイルを印刷・確認するよう誘導してます。

添付ファイルは拡張子.jsなウイルス

添付されてるのはZIP形式の圧縮ファイルで、解凍してみるとJavaScriptファイル（拡張子 *.js）が登場しましたー。

America_Airlines_Ticket_[数字].zip
[数字].zip
　↓ 解凍
America_Airlines_Ticket_[数字].doc.js
[数字].doc.js

このファイルをWindowsユーザーさんがうっかりダブルクリックして起動してしまうと、外部ネットワークからWindows向け実行ファイルを1～3個ダウンロードしてきて起動する不正な処理の発動となります。

ウイルス対策の基本であるファイルの拡張子によく注意を払わないと危なっ！

ちなみに、Mac OS や Android/iPhoneスマホらへんは動かないので、サッパリ攻撃対象外ですぞぃ。

ブラウザで表示するページが広告表示まみれに

ドメイン保有者の情報

添付ファイルは拡張子.jsなウイルス

関連するブログ記事