2010年5月25日火曜日

偽のWindowsセキュリティセンター警告

Posted by Olaiz


私達はWindowsセキュリティセンターからのメッセージになりすましているemailを受信し始めました。
このメールの件名は"Windows Security Center Alert!"です。メッセージに含まれるウインドウが、あなたのコンピュータが感染の被害に逢う可能性があることを知らせ、システムのスキャンを推奨します。
更に、このメッセージにはこれらの脅威をコンピューターから除去するためのプログラムへのリンクも含まれています。
メッセージは以下の通りです。
リンク先のWebサイトは、他にもありますが、以下のいずれかが表示されることが多いようです。

http://sterss-xxx-0mb.com/setup.zip
http://verno-xxx-0mb.com/setup.zip
http://juliedr-xxx-0mb.com/setup.zip

このSETUP.ZIPファイルは、解凍されるとAdware/DataProtectionとして検出されるroguewareを含んでいます。インストールされると、コンピュータのOS言語毎に異なるメッセージを表示します。このプログラムでは以下の言語でメッセージが表示されます。

French
Italian
German
Spanish
Norwegian
Polish
Czech
Ukrainian
Russian

I’m a bit ByteDefender

Posted by Olaiz

新しく配布され始めたrogueware(偽セキュリティプログラム)について注意したいと思います。これは私達が日々目にしているroguewareのサンプルとしては新しいものではありません。
このroguewareの名前は正規のアンチウイルス製品名に酷似しているため、本物と間違えそうになります。この偽アンチウイルスの場合はByteDefenderSecurity 2010という名前を使っており、BitDefenderを真似ようとしているようです。
以下のイメージは、システムがスキャンされている様子を見せる偽プログラムのインターフェイスです。

私達はこのブログで以前、MicrosoftのSecurity Essentialsを真似たSecurityEssentialsや、Panda Securityのものとそっくりと疑われるWebサイトのように、本物のセキュリティ製品を装った他のroguewareサンプルについてお話ししてきました。
サイバー犯罪者達は、インスピレーションの源が枯渇してしまい、もはや自分たちのプログラムの新しい呼び名を作ることができなくなったのかも知れません。私に言わせると、それは本物のセキュリティソリューションそっくりの名前を使う方が彼らのビジネスにより収益をもたらすからなんですが。

2010年5月21日金曜日

Twitterがマルウェアの拡散に使われる

Posted on 05/20/10 by Olaiz

新しいマルウェアがTwitter上で拡散され始めています。使われているメッセージは「haha this is the funniest video ive EVER SEEN!」で、ビデオへのリンクがつけられています。

サイバー犯罪者達は、ユーザーに最も検索されるコンテンツである"トレンド"というTwitter上のセクションで、このメッセージが上位を獲得するように操作しています。彼らはこのメッセージを時間を置いてtweetする多数のユーザーを作成し、それらをボットネットとして利用しています。
次のイメージは検索結果です。
このURLのどれかをクリックすると、"ドライブバイダウンロード"として知られるテクニックを使って悪意あるファイルがダウンロードされるWebサイトにリダイレクトされ、影響を受けたコンピュータ上で、ユーザーが気づかないうちにこのファイルが自動で実行されます。

悪意あるサイトのひとつは、http://pc-ttv/stickam/index2.html です。
以下の画像は、ビデオを見るために必要とされるJavaのcomplement(補完ファイル)がロードされているところです。

けれども、もしこのWebサイトのコードを見たら、これが実はマルウェアに属するEXE ファイルを呼び出していることがわかるでしょう。
コードは以下の通りです。

「LOST」最終回、「Ronnie James Dio の死」などが偽アンチウイルスをばら撒くネタに

Posted on 05/19/10 by Olaiz

ブラックハットSEO攻撃は、偽アンチウイルスをばら撒くためのごく普通の手段になっているように見えます。
様々な一連の件名が使われる偽セキュリティプログラムの MySecurityEngine の場合、人々の興味を惹いているのは、今月23日にアメリカで最終回を迎える大ヒットシリーズ"Lost"や、最近亡くなった歌手のRonnie James Dioなどです。
悪意あるWebサイトへ誘導するキーワードの例は以下の通りです。

TVドラマシリーズ
Lost New Episode April 27
Lost New Episode Time
Lost New Episode Online
Lost New Episode Tonight
Lost New Episode Stream
Lost New Episode Guide
Lost New Episode Preview

Friday Night Lights Season 4 Premiere On Tv
Friday Night Lights Season 4 Premiere Nbc Date
Friday Night Lights Season 4 Premiere Nbc
Friday Night Lights Season 4 Premiere Full Episode
Friday Night Lights Season 4 Premiere Date on Nbc
Friday Night Lights Season 4 Premiere Date
Friday Night Lights Season 4 Premiere Comcast
Friday Night Lights Season 4 Premiere Cable
Friday Night Lights Season 4 Premiere 2010
Friday Night Lights Season 4 Premiere
The Boondocks
Boondocks Season 3 Episode 1
Boondocks Season 3
The Hills Season 6 Episode 1 Online
The Hills Season 6 Episode 1 Part 1
The Hills Season 6 Episode 1 Mtv
The Hills Season Premiere 2010
Spencer Pratt Twitter
Glee Episode 16
Family Guy 150th Episode
Family Guy Wiki

映画
Iron Man 2 Imdb
Iron Man 2 Box Office Mojo
How Long is Iron Man 2
A Perfect Wolrd Trailer
Glory Road Movie
Harry Potter Quotes Imdb

歌手
Katy Perry California Gurls Lyrics
Katy Perry California Gurls Mediafire
Shania Twain Songs
A Z Lyrics Rihanna
A Z Lyrics Owl City
Shania Twain Songs Forever And For Always
Justin Bieber Kissing a Boy On The Lips
Brody Jenner And Avril Lavigne Pictures
Chely Wright Twitter
Chely Wright Facebook
Julie Roberts

Ronnie James Dioの死
Dio
Dio Death
Dio death by love
Dio Lyrics don´t talk to strangers
Dio Lyrics Heaven and Hell
Heaven and Hell Lyrics 2009
Heaven and Hell Lyrics Black Sabbath
Holy Diver Youtube
Rainbow in the Dark Meaning
Rainbow in the Dark Music Video
Rainbow in the Dark Video
Ronnie James Dio Cancer
Ronnie James Dio Cancer Update
Ronnie James Dio Death
Ronnie James Dio Died
Ronnie James Dio Hospitalized
Ronnie James Dio Lyrics
Ronnie James Dio Songs
Ronnie James Dio Wikipedia
Wendy Dio
Wendy Dio Management

女優
Sandra Bullock Baby
Sandra Bullock Adoption Movie
Sandra Bullock Adopts Black Boy
Natasha Richardson
Vanessa Redgrave Biography
Annie Parisse
Illeana Douglas

スポーツ
Seleccion Mexicana De Futbol
Players Championshop 2010 Wiki
Great Khali
Drew Mcintyre Theme Song Name
Drew Mcintyre Caw Svr 2010
Mike Bacsik
George Hughley Myspace
George Hughley Lacrosse
Johan Santana
Nj Marathon 2010
Nj Marathon Long Branch 2010

その他
Most Popular Baby Names of 2008
Most Popular Baby Names of 2009
Most Popular Baby Names of 2010
Most Popular Baby Names of The Decade
Top Baby Names 2010 Canada
How Many People Have My Name Quiz
World´s Tallest Man In History
World´s Tallest Man And Shortest Man

悪意ある検索結果のどれかのリンクをクリックすると、 www.1.saveppc2d.xorg.pl又は wwww.1.bestfast31p.xorg.pl といったようなWebサイトへリダイレクトされ、そこでAdware/MySecurityEngineとして検出されるPACKUPDATE_BUILD107_195.EXE
というファイルがダウンロードされます。

表示されるWebサイトは検索結果とは無関係です。そのかわりに、システムをスキャンした後に感染したという警告メッセージと一緒に「マイコンピュータ」に見せかけた画像が表示されます。


2010年5月19日水曜日

Navy Federal信用組合を装ったフィッシングメール

Posted on 05/17/10 by Olaiz


私たちが検出したフィッシングメッセージについて警告したいと思います。それはNavy Federal信用組合(総資産400億ドル、米国海軍関係者3百万人以上の組合員からなる、世界最大の信用組合)を装って、同社のサービスを使うためのユーザーの秘密情報やその他の個人情報を不正に取得するものです。

あなたがこの会社からと思われるメッセージをリンク付きで受け取り、もしそのリンクをクリックすると、オリジナルのWebサイトとそっくりなサイトへリダイレクトされます。
Webサイトの画像はこちらです。左が公式サイトで右が偽サイトです。

アドレスバーを見れば公式サイトとの違いがわかります。アドレス自体の違いはもちろん、https サイトとしてセキュリティロックされているところ、企業のアイコンがついているところが違います。
もしあなたがそれを知らずに偽サイトにログインすると別のページが表示されて、パスワードがロックされているのでそれを解除するために下記のフォームに入力する必要がある、と案内されます。

情報が入力されるとあなたは公式サイトにリダイレクトされます。あなたはおそらくだまされたことに気づかないでしょう。

2010年5月17日月曜日

友達を作ろう・・・

Posted on 05/13/10 by Olaiz


私は新しい友達からEmailでグリーティングカードを受け取り、とてもハッピーでした。誕生日でも聖人祝日でもなんでもないのに。

送られてきた素敵なカードをご覧下さい。
更に、これはカードを送ったりダウンロードしたりする合法的なサイトである123greetings(グリーティングカードサイト)から送られてきたもので、これは信用できるに違いありません。
私はメッセージの画像をクリックしてそのWeb ページ(http://luxxxx.googlegroups.com/web/setup.zip)にリダイレクトされました。しかし、私はどのグリーティングカードも見ることができませんでしたが、GoogleグループのWebサイトはリンクがあります・・・おそらく私はカードを見るためにリンクを追わなければいけないでしょう・・・。

ほかに方法はありません。私はDesktopSecurity2010というWindows用アンチウイルス製品を見ただけでした。それは、私のコンピュータが感染したのでマルウェアを駆除するためにライセンス料を支払わなければいけない、と教えてくれます。私は感染してしまっただけで、グリーティングカードも新しい友達も手に入れてはいません・・・。

さて、真面目な話、昨日私たちは、この偽アンチウイルスが配布されるためにどのようにGoogleグループの(悪意を持った)ユーザー達を使うかについてコメントしました。実際のところ、偽アンチウイルスがダウンロードされるURLは以下のとおりでした。

http://Google Groups user.googlegroups.com/web/setup.zip


そのユーザー達は、 felixss、gorlum、misterxyz などです。
Googleはこれに対応して、これらの悪意あるユーザーをブロックし始めています。ですからもしあなたがこれらの悪意あるユーザーが利用するどれかのURLにアクセスしようとすると、次のような「ユーザーは見つかりませんでした」というメッセージが表示されます。
それでもなお、おそらくいくつかの悪意あるアカウントは引き続きアクティブなので、このようなメッセージを信じてはいけません。またこのブログで以前に述べたどんなリンクもクリックしてはいけません。