ニコニコ動画などのマイクロアド提携広告から偽FlashPlayerをダウンロードさせられる件

米Yahoo!が提供しているマイクロアド社提携広告からマルウェアの配布サイトに誘導される被害が発生していました。 ニコニコ動画さんの対応は早いですね。
165
びわ @biwam

おやおや、完全偽物のFLASHサイトダウンロードページが出てしまった。

2014-06-19 00:22:30
ntddk @ntddk

ニコニコ動画でタグを辿ろうとするとdonwloads.cnmup .bizとやらに誘導されて明らかに偽物のFlashPlayerが落ちてくる。VirusTotalの検出率は11/54だった。ads.yahoo .comから飛ばされてる?

2014-06-19 01:41:45
ntddk @ntddk

6分前にまとめができていたけど情報量が少ない peercast.net/archives/2014_…

2014-06-19 01:44:08
ntddk @ntddk

ニコニコ動画からポップアップを通じてマルウェア配布サイトに誘導される問題、ads.yahoo .comからhuanqiutrack .comを経由してdownloads.cnmup .bizに飛んでいるのを確認した、と思ったらポップアップが出なくなった。何があったのか……。

2014-06-19 01:47:58
ntddk @ntddk

ニコニコ動画の問題ではなく広告側の問題なんですかね。

2014-06-19 01:54:48
okuoku @okuoku

おとといくらいにlivedoor blogで見たときは downloads\.player.net.wuz.club でした。気まずい広告が混ってたんですかね。@ntddk

2014-06-19 01:53:48
ntddk @ntddk

クッキーを削除してタグ表示(/VideoExplorer)で再現しますね。ニコニコ動画ではなくYahooリスティング広告がやられてる。

2014-06-19 02:01:25
びわ @biwam

Flashダウンロードしようとしたら、ESETにブロックされた。 twitpic.com/e6frqk

2014-06-19 00:35:18
拡大
ntddk @ntddk

ニコニコ動画からポップアップで飛ばされた先の偽FlashPlayerをVirusTotalに投げた結果 virustotal.com/ja/file/60ffd5…

2014-06-19 01:50:23
びわ @biwam

怪しげなCNMUP.BIZをWhoisしたら、パナマと出た。whoisguard.comとも出たので、証跡を消してるな。「91.236.116.83」を検索したら、スウェーデンか。Portlane Networkはホスティング。ふむふむ。

2014-06-19 00:42:15
びわ @biwam

Bingの広告でもわかるけど、Yahoo広告は嘘サイト、詐欺サイトへのポータル(ここでの意味は入り口)サイトと断言しても良いシステムなので、気をつけないといけない。

2014-06-19 00:48:53
びわ @biwam

VMwareの無防備PC(スナップショット取得済み)でさっきの偽Flashをキャプチャ。「COMODO Code Signing CA 2」でちゃんとデジタル署名されてる。署名者は「OUTBROWSE」洒落が効いてるな。

2014-06-19 01:07:16
Tsukasa #01 @a4lg

oO( 確かにこのマルウェア、電子署名こそされてるけど副書名にタイムスタンプがない。 )

2014-06-19 02:36:39
びわ @biwam

うちのFirefox環境では、もみあげチャ~シュ~はCookieを削除して再読み込みしたら、必ず偽Flashサイトに行くな。

2014-06-19 00:53:17
びわ @biwam

キャプチャしたsetup.exeをVirusTotalにアップロードしてみたら、McAfee、TrendMicro、Symantecは反応なし。検出率は「11 / 54」なるほど、確かに日本向のマルウェアだな。

2014-06-19 01:16:11
びわ @biwam

署名の署名日は2014/4/7 9:00有効期間が2015/4/8までだから、1年限定で活動する予定のマルウェアか。ふむふむ・・・・BZエディタで中見てみたけど、特に変なメッセージは無し。

2014-06-19 01:23:10
びわ @biwam

Qihoo-360(Malware.QVM06.Gen)、Sophos(OutBrowse Revenyou)、VIPRE(OutBrowse (fs)) 以上、今回のウイルス名。ヨーロッパ圏の対策ソフトが検出してるので、ヨーロッパの新型ウイルスを日本向けに持ってきたのか。

2014-06-19 01:29:50
びわ @biwam

日本の最大ウイルス対策ベンダと、カスペルスキー、Fortinetも検出しないウイルスとは久しぶりに進んでるウイルスキャプチャできた。とりあえず「もみあげチャ~シュ~」には近づかないことを推奨します。

2014-06-19 01:37:49
びわ @biwam

これはしかるべき機関がYahooリスティング広告に言って止めてもらうか、Yahooリスティング広告のリンク消さないと対策にならない。

2014-06-19 02:03:03
びわ @biwam

てっきりまとめサイトハックでもされたかと思ってたのに、調べてみると結構影響範囲広いなこれ。3大ウイルススキャン(McAfee、TrendMicro、Symantec)ではまだ検出できないので、脅威が怖い。

2014-06-19 02:04:39
KOIZUKA Akihiko @koizuka

確認のためにこころぴょんぴょんするか

2014-06-19 01:55:34
137P(ヒャクサンジュウナナ) @hyakusanjunana

@koizuka 狐29.0.1でも起こりました。初回閲覧時のみで、2回目以降は起こりませんでした。

2014-06-19 02:00:27
びわ @biwam

@koizuka ニコニココミュニティ→いきなり古いFLASH→偽サイト「cnmup.biz」に誘導。1回誘導されたら、成功失敗関係なく、2度と行かないです。再現させるためにはCookie削除してブラウザ再読み込みです。

2014-06-19 01:57:45
びわ @biwam

@koizuka ニコ生の場合adf.send.microad.jpです。中身に胡散臭いYahooリスティング広告埋め込まれてます。

2014-06-19 02:11:52
KOIZUKA Akihiko @koizuka

クッキー消して未ログインでニコ生トップ開いたら出た…!

2014-06-19 02:08:50
1 ・・ 4 次へ

いま話題のタグ

週刊少年ジャンプ3493 宝石の国107 氷河期世代131 台湾1283 りりちゃん6 艦これ9021 マンガ41362 アーマード・コア122 ネットスラング122 SF2384 ドラえもん896 ゲーム67961 海外2803 腐女子726 著作権2122