ニコニコ動画などのマイクロアド提携広告から偽FlashPlayerをダウンロードさせられる件
-
- いいね!305
びわ
@biwam
Flashバージョンアップの警告が出た方、絶対にダウンロードして実行しないでください。現行のメジャーどころのウイルス対策ソフトは反応しない、比較的新しいウイルスのようです。電子署名されていますが、絶対実行は駄目です。
2014-06-19 02:14:12
ntddk
@ntddk
偽FlashPlayerをサンドボックスで解析した結果。レジストリを変更してWindowsの起動に合わせて立ち上がるようにしている。おそらく広告アプリなので、害は無さそう。 malwr.com/analysis/NGNjN…
2014-06-19 02:25:29
Tsukasa #01
@a4lg
あれ、ハッシュ自体が初期のレポートと違う。SHA-256 が 60ff... と初期のレポートにあるが、手元にあるのは 214c.... だ。
2014-06-19 02:41:29
Tsukasa #01
@a4lg
@sakra_yukikaze ダウンロードする度ハッシュ値変わってるっぽい。2 回ダウンロードして、例のマルウェアについて報告されてるブログのハッシュ値と一致しない。
2014-06-19 02:45:23
Tsukasa #01
@a4lg
最終的にダウンロードされてしまう場所はここ。 http://mpdotrk. com /mt/w254z254d4v233r234u2u254/&subid1=IMN-JP
2014-06-19 03:02:56
Tsukasa #01
@a4lg
で、clickid が多分 Cookie か何かベースでセットされてて、それでダウンロードされるファイルが決まる。どうも無尽蔵ではないにせよ相当な数があるらしく、1000 回ダウンロードしてユニークファイルが 972 個。
2014-06-19 03:10:23
Tsukasa #01
@a4lg
そうなると、犯人がタイムスタンプサービスを使わないということにも一定の合理性が見える。タイムスタンプサーバーにむざむざ証拠を残してしまうことになるからね。
2014-06-19 03:11:32
Tsukasa #01
@a4lg
7-Zip で Nullsoft Installer は解凍できるので中身を見てみると、どうもエンコードされたファイルとそれをデコードするプラグインがセットになってるっぽい。
2014-06-19 03:21:42
もちぶり
@peta_okechan
Bingが中途半端に中国語になってるのMacのFirefoxやChromeで見てもおなじだ。普段使わないからいつからなのか分からない
2014-06-19 02:51:24
大隊長は中程度の知性を有する焼き鳥です。
@8492Squadron
bing、ついさっきは何か凄い中国語がバンバン混ざってたけど今はちゃんと正しい言語で表示されているようにみえる。
2014-06-19 02:54:08
びわ
@biwam
@koizuka Cookie削除後全トップページ見ましたが、出ませんでした。最初に見つけた「もみあげチャ~シュ~」という2chまとめページでも出なくなったので、Yahooリスティング広告が対策したのかもしれません。
2014-06-19 03:27:35