ニコニコ動画などのマイクロアド提携広告から偽FlashPlayerをダウンロードさせられる件
Flashバージョンアップの警告が出た方、絶対にダウンロードして実行しないでください。現行のメジャーどころのウイルス対策ソフトは反応しない、比較的新しいウイルスのようです。電子署名されていますが、絶対実行は駄目です。
2014-06-19 02:14:12偽FlashPlayerをサンドボックスで解析した結果。レジストリを変更してWindowsの起動に合わせて立ち上がるようにしている。おそらく広告アプリなので、害は無さそう。 malwr.com/analysis/NGNjN…
2014-06-19 02:25:29あれ、ハッシュ自体が初期のレポートと違う。SHA-256 が 60ff... と初期のレポートにあるが、手元にあるのは 214c.... だ。
2014-06-19 02:41:29@sakra_yukikaze ダウンロードする度ハッシュ値変わってるっぽい。2 回ダウンロードして、例のマルウェアについて報告されてるブログのハッシュ値と一致しない。
2014-06-19 02:45:23最終的にダウンロードされてしまう場所はここ。 http://mpdotrk. com /mt/w254z254d4v233r234u2u254/&subid1=IMN-JP
2014-06-19 03:02:56で、clickid が多分 Cookie か何かベースでセットされてて、それでダウンロードされるファイルが決まる。どうも無尽蔵ではないにせよ相当な数があるらしく、1000 回ダウンロードしてユニークファイルが 972 個。
2014-06-19 03:10:23そうなると、犯人がタイムスタンプサービスを使わないということにも一定の合理性が見える。タイムスタンプサーバーにむざむざ証拠を残してしまうことになるからね。
2014-06-19 03:11:327-Zip で Nullsoft Installer は解凍できるので中身を見てみると、どうもエンコードされたファイルとそれをデコードするプラグインがセットになってるっぽい。
2014-06-19 03:21:42Bingが中途半端に中国語になってるのMacのFirefoxやChromeで見てもおなじだ。普段使わないからいつからなのか分からない
2014-06-19 02:51:24bing、ついさっきは何か凄い中国語がバンバン混ざってたけど今はちゃんと正しい言語で表示されているようにみえる。
2014-06-19 02:54:08@koizuka Cookie削除後全トップページ見ましたが、出ませんでした。最初に見つけた「もみあげチャ~シュ~」という2chまとめページでも出なくなったので、Yahooリスティング広告が対策したのかもしれません。
2014-06-19 03:27:35