無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/05

| ✏️ Firefly

メール添付jsファイル開いたらVirus Alertウィンドウ感染!? Lockyランサムウェアは?

文書が送られてきたかのよう装った英語表記の 迷惑メール(スパムメール) を受信したので、添付されてる不正な JavaScriptファイル(拡張子 .js) を開いてみると様子がヘン!

イメージ 1
wscript.exe の下にナゾの実行ファイルが起動するも?
件名 Emailing: DOC 05-18-2016, [数字] [数字] [数字]
Your message is ready to be sent with the following file or link attachments:
DOC 05-18-2016, [数字] [数字] [数字]
(~以下略~)
今まではファイルを暗号化して身代金の支払いを要求する ランサムウェア Locky がダウンロードされてきて感染するはずだけど、降ってきたのは 『Virus Alert』 といタイトルのウィンドウでした。

イメージ 2
「見知らぬメールの添付ファイルを開いちゃダメ」と警告
Virus Alert
! Do not enable content to allow the macro to run in Office deocuments.
You are reading this message
because you have opened a malicious file.
For your safety,
don't open unknown email attachments.
【英語の意味】
ウイルス警告
オフィス文書でマクロの動作を許可するコンテンツの有効化をしてはいけません。
あなたがこのメッセージを読んでるということは不正なファイルを開てます。
安全のため見知らぬメールの添付ファイルを開くな。

この実行ファイルのバイナリ内には、反戦スローガン 『Make love, not war』 をもじった 『MAKE LOVE NOT MALWARE <3 <3』 なるメッセージも確認できます。

イメージ 3

これはどうも Locky の実行ファイルがアップされてるサーバーに善意のホワイトハッカーが侵入し、ウイルスメールの手口に騙された被害者へ注意喚起する 無害な実行ファイル に差し替えて妨害してる模様です。

エフセキュアブログ : ハッキングされたLockyホストからの公共広告ペイロード
http://blog.f-secure.jp/archives/50769196.html

また、恐らく同じホワイトハッカーがサーバーにアップされてる Locky の実行ファイルを無害なテキストに差し替えるパターンも確認してます。

イメージ 4
MAKE LOVE NOT MALWARE ハートマーク

Lockyウイルスではないけど…

ところで、この無害な実行ファイルを BitDefender(Trojan.GenericKD.3242066) や Kaspersky(UDS:DangerousObject.Multi.Generic) は脅威扱いにしてるけどなぜ?

MD5 a24b28c47a307fa9754d2f64c81d7133
SHA1 826267180274c7274fd86b1ff0894eb9a3ea8deb
787,968 bytes
www.virustotal.com/en/file/ed1a6b7bd9c0db01bc49109f62ccde31500e1593b501261e44ab7a97beff7f6e/analysis/1463570739/


[追記...]

無害な実行ファイルを多数のセキュリティソフトが何だかんだドンドン脅威扱いにしてます。 <「FakeAlert」 ってな表現は的を得てるかも~

BitDefender(名前を変えて Application.FakeAlert.U)、ESET(Win32/FakeAlert.F)、McAfee(Generic.ys)、Microsoft(Trojan:Win32/FakeAlert)、Sophos(Troj/Locky-CZ)、Symantec(Trojan.Gen.2)、Trend Micro(Ransom_LOCKY.EB)
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Googleサーチコンソール「セキュリティの問題 有害なコンテンツ 悪意のあるコンテンツ」!?
 
Googleのウェブマスターツール Google Search Console より「セキュリティの問題-有害コンテンツ」として警告通知がっ。
 
イメージ 1
 
起こりうる侵害事例として
 
● Windowsパソコンがウイルス感染してFTPソフトからアカウント情報が流出した (たとえば、FileZilla はパスワード流出リスクが存在するし、FFFTPはマスターパスワードを利用しないと流出リスクがある)
 
● 悪意のある攻撃者が WordPress とか Joomla! など CMS がらみでサーバーに不正アクセスしてマルウェア置き場として悪用する
 
のではなく、だいぶ前に自分自身で作成し公開してた 無害Windows用実行ファイルを不正なプログラムとして検出してるのです。
セキュリティの問題
有害なコンテンツ
貴サイトのページの一部で有害なコンテンツが検出されました。できるだけ早くこのコンテンツを削除されることをおすすめします。コンテンツが削除されるまでの間、Google Chrome をはじめとする各ブラウザでは、サイトの訪問者や、サイトから特定のファイルをダウンロードしようとしたユーザーに対して警告が表示されるようになっています。詳細
悪意のあるコンテンツ
このページには有害なコンテンツが含まれています。残念ながら、このページ内の悪意のあるコードを隔離できませんでした。
やむを得ないのでファイルのダウンロードリンクを外し、ファイル名を別の名前に変更して、単にダウンロードリンクのURLアドレスを紹介する形に切り替え~。
 
んで、Googleサーチコンソールから再審査リクエストを出し解消させました。
タグ :
#WEBサイト・CGI
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Flash Player 21.0.0.242/21.0.0.241リリース ランサムウェアなどウイルス感染経路
 
イメージ 1Windowsパソコンをターゲットに旧バージョンがウイルス感染経路として悪用されてる無料ブラウザアドオン Adobe Flash Player の最新バージョンリリース♪
 
Chrome、Firefox、Windows Vista/7のIE バージョン 21.0.0.242
Windows 8/10のIE&Edge バージョン 21.0.0.241
 
事前に1件の脆弱性(CVE-2016-4117)を悪用した攻撃がすでに始まってるゼロデイ状態というアナウンスだったので、その修正を含むセキュリティアップデートのはずで、ウイルスが強制インストールされないよう最新版に更新するっ!
 
Security Advisory for Adobe Flash Player APSA16-02 (Adobe Security Advisory)
https://helpx.adobe.com/security/products/flash-player/apsa16-02.html
 
 
 
[13日 追記...] 
 
合計25件の脆弱性の修正~。
 
Security updates available for Adobe Flash Player APSB16-15 (Adobe Security Bulletin)
https://helpx.adobe.com/security/products/flash-player/apsb16-15.html
 
 
[14日 追記...]
 
Windows 8/10 用 Internet Explorer & Microsoft Edge 向けにリリースされたバージョン21.0.0.241は脆弱性(CVE-2016-4117)の修正を含まず、追ってリリースされた バージョン21.0.0.242 で対処されたそう。
 
apsb16-15 doesn't address Flash Player 21.0.0.241 (Adobe Community)
https://forums.adobe.com/thread/2153170
 
このゼロデイ状態だった脆弱性を Adobe に通報した米セキュリティ会社 FireEye によると、不正なFlashファイルを埋め込んだ Office Word文書を開かせる手口 の標的型攻撃を5月8日に確認したとしてます。
 
CVE-2016-4117: Flash Zero-Day Exploited in the Wild (FireEye Inc)
https://www.fireeye.com/blog/threat-research/2016/05/cve-2016-4117-flash-zero-day.html
 
 
[21日 追記...]
 
記入漏れ2件を追加があり計27件の脆弱性の修正っと。
 
 
[22日 追記...]
 
脆弱性(CVE-2016-4117)を悪用する攻撃処理がエクスプロイトキットの1つに積まれたそうで、標的型でない広く一般のWindowsユーザーがランサムウェアやネットバンキングウイルスの感染被害の影響受ける状況へ~。
 
Malware don't need Coffee: CVE-2016-4117 (Flash up to 21.0.0.213) and Exploit Kits
http://malware.dontneedcoffee.com/2016/05/cve-2016-4117-flash-up-to-2100213-and.html?m=1
 
 
[6月7日 追記...]
 
記入漏れ4件を追加があり計31件の脆弱性の修正っと。
関連するブログ記事
タグ :
#ソフトウェア
このエントリーをはてなブックマークに追加

↑このページのトップヘ