限定公開でまとめを作れば、相互フォローやフォロワー限定でまとめを共有できます!

ニコニコ動画などのマイクロアド提携広告から偽FlashPlayerをダウンロードさせられる件

米Yahoo!が提供しているマイクロアド社提携広告からマルウェアの配布サイトに誘導される被害が発生していました。 ニコニコ動画さんの対応は早いですね。
インターネット bing マイクロアド ニコニコ動画 マルウェア
134498view 28コメント
158
びわ @biwam
おやおや、完全偽物のFLASHサイトダウンロードページが出てしまった。
あほ @ntddk
ニコニコ動画でタグを辿ろうとするとdonwloads.cnmup .bizとやらに誘導されて明らかに偽物のFlashPlayerが落ちてくる。VirusTotalの検出率は11/54だった。ads.yahoo .comから飛ばされてる?
あほ @ntddk
6分前にまとめができていたけど情報量が少ない peercast.net/archives/2014_…
あほ @ntddk
ニコニコ動画からポップアップを通じてマルウェア配布サイトに誘導される問題、ads.yahoo .comからhuanqiutrack .comを経由してdownloads.cnmup .bizに飛んでいるのを確認した、と思ったらポップアップが出なくなった。何があったのか……。
あほ @ntddk
ニコニコ動画の問題ではなく広告側の問題なんですかね。
okuoku @okuoku
おとといくらいにlivedoor blogで見たときは downloads\.player.net.wuz.club でした。気まずい広告が混ってたんですかね。@ntddk
あほ @ntddk
クッキーを削除してタグ表示(/VideoExplorer)で再現しますね。ニコニコ動画ではなくYahooリスティング広告がやられてる。
びわ @biwam
Flashダウンロードしようとしたら、ESETにブロックされた。 twitpic.com/e6frqk
 拡大
あほ @ntddk
ニコニコ動画からポップアップで飛ばされた先の偽FlashPlayerをVirusTotalに投げた結果 virustotal.com/ja/file/60ffd5…
びわ @biwam
怪しげなCNMUP.BIZをWhoisしたら、パナマと出た。whoisguard.comとも出たので、証跡を消してるな。「91.236.116.83」を検索したら、スウェーデンか。Portlane Networkはホスティング。ふむふむ。
びわ @biwam
Bingの広告でもわかるけど、Yahoo広告は嘘サイト、詐欺サイトへのポータル(ここでの意味は入り口)サイトと断言しても良いシステムなので、気をつけないといけない。
びわ @biwam
VMwareの無防備PC(スナップショット取得済み)でさっきの偽Flashをキャプチャ。「COMODO Code Signing CA 2」でちゃんとデジタル署名されてる。署名者は「OUTBROWSE」洒落が効いてるな。
Tsukasa #01 [要出典] @a4lg
oO( 確かにこのマルウェア、電子署名こそされてるけど副書名にタイムスタンプがない。 )
びわ @biwam
うちのFirefox環境では、もみあげチャ~シュ~はCookieを削除して再読み込みしたら、必ず偽Flashサイトに行くな。
びわ @biwam
キャプチャしたsetup.exeをVirusTotalにアップロードしてみたら、McAfee、TrendMicro、Symantecは反応なし。検出率は「11 / 54」なるほど、確かに日本向のマルウェアだな。
びわ @biwam
署名の署名日は2014/4/7 9:00有効期間が2015/4/8までだから、1年限定で活動する予定のマルウェアか。ふむふむ・・・・BZエディタで中見てみたけど、特に変なメッセージは無し。
びわ @biwam
Qihoo-360(Malware.QVM06.Gen)、Sophos(OutBrowse Revenyou)、VIPRE(OutBrowse (fs)) 以上、今回のウイルス名。ヨーロッパ圏の対策ソフトが検出してるので、ヨーロッパの新型ウイルスを日本向けに持ってきたのか。
びわ @biwam
日本の最大ウイルス対策ベンダと、カスペルスキー、Fortinetも検出しないウイルスとは久しぶりに進んでるウイルスキャプチャできた。とりあえず「もみあげチャ~シュ~」には近づかないことを推奨します。
びわ @biwam
これはしかるべき機関がYahooリスティング広告に言って止めてもらうか、Yahooリスティング広告のリンク消さないと対策にならない。
びわ @biwam
てっきりまとめサイトハックでもされたかと思ってたのに、調べてみると結構影響範囲広いなこれ。3大ウイルススキャン(McAfee、TrendMicro、Symantec)ではまだ検出できないので、脅威が怖い。
Akihiko Koizuka @koizuka
確認のためにこころぴょんぴょんするか
137P(ヒャクサンジュウナナ) @hyakusanjunana
@koizuka 狐29.0.1でも起こりました。初回閲覧時のみで、2回目以降は起こりませんでした。
びわ @biwam
@koizuka ニコニココミュニティ→いきなり古いFLASH→偽サイト「cnmup.biz」に誘導。1回誘導されたら、成功失敗関係なく、2度と行かないです。再現させるためにはCookie削除してブラウザ再読み込みです。
びわ @biwam
@koizuka ニコ生の場合adf.send.microad.jpです。中身に胡散臭いYahooリスティング広告埋め込まれてます。
Akihiko Koizuka @koizuka
クッキー消して未ログインでニコ生トップ開いたら出た…!
残りを読む(63)

コメント

ぽかーばるうづき @uzuky 2014-06-19 02:15:36
ポップアップぴょんぴょん
神凪あゆり @kry_nng 2014-06-19 02:30:31
IE,Fx,Chromeどれも問題なく飛ばされることを確認。ニコ生から飛ばされましたが、中間はadf.send.microadでしたね
MAK @mak017 2014-06-19 02:37:28
妙だと思ったらこれだった
にせすか@フォロー可能数限界上限状態@ツライさん @nisesuka 2014-06-19 02:40:50
こわくて日付変わってからニコニコは見てないですが、https://www.bing.com/ が02:39現在真っ白けなのは、何か関係があるのですかね? http://peercast.net/archives/2014_niconico_flash_player_fishing.html によると、”ブラウザのトップページがBINGに変更される”とのことですが…。
あほ @ntddk 2014-06-19 02:50:36
まとめを更新しました。偽FlashPlayerによって検索エンジンがBingに変更されるそうですが、当のBingは今のところ中国語が表示されます。
吊された男 @_HANGEDMAN_ 2014-06-19 03:20:34
Bing、3:17現在でところどころ中国語になる状態を確認。リロードすると状態がちょこちょこ変わる
てまりん @Temarin_PITA 2014-06-19 03:42:13
setup.exeは、NSIS系のインストーラでその中に悪意のあるスクリプトが組み込まれていると予想。 スクリプトの内容が何であるかは、不明。
Ryu @hachiken_4 2014-06-19 04:35:42
ニコ動見てたら変なとこに飛ばされたんだけどこれかな? ただ自分はダウンロードされてないと思う。 ただ、このウェブページにアクセスできませんって出たと思ったらノートン先生が「~からの侵入の試みを社団しました」って出て以来セキュリティ履歴が騒がしいことになってるが
ヨシダネ@皐月と佐世保鯖へ @yoshis7777 2014-06-19 07:01:57
この怪しいサイト誘導されてビックリしたわ アドレスですぐわかったし他の人にも注意できたからよかったけど
自転 @g_tenlow 2014-06-19 07:43:59
livedoorやニコ動ははっきりいって黒字化出来る策があるのに広告に頼ってるからこういう羽目になったのかなぁと勝手に推測。 この調子だとAndroidも最近はFLASHは使えないと言えども、入れてる人もまだまだ多いので標的に遭いそうな雰囲気。AdBlockPlusやAdAwayと言った広告拡張機能やアプリケーションを常に入れておくと良いと思います。
Ryu @hachiken_4 2014-06-19 08:26:41
まだ出てくるな。 今度はdownloads.wapck.bizになってやがる
カイリ@アセスルファムKは不味い @tkr_kairi 2014-06-19 08:41:40
うっかり踏んでしまったorz が、Unwanted-Program (0040f8191)で弾いた(ウイルスセキュリティ)。あっぶねぇ…
サイレントトラベラー @slpolient 2014-06-19 08:55:27
ニコニコ動画のトップから強制的に飛ばされて、自分も@tkr_kairiさんと同様に踏んでしまいましたダウンロードしかけましたが、ウイルスセキュリティに阻止されました。後になって冷静に見ればすぐにフィッシングだと分かるのですが、焦っているときやパニックになってる時には踏んでしまいそうです。これは怖い。
サイレントトラベラー @slpolient 2014-06-19 08:57:09
問題のサイトに飛ばされたのは8時半頃です。
SAS@3日目W-17a @SASNIKU 2014-06-19 08:58:10
ニコニコ静画を見てたら何かがウィルスセキュリティに阻止されてたので何事かと思ったけど、これだったのか
kou1tw @kou1tw 2014-06-19 10:13:58
急にFlashインストールに飛ばされたのはこれか…。
あほ @ntddk 2014-06-19 12:42:25
まとめを更新しました。今ではYahoo!プロモーション広告が正式名称のようです。
Mastodonを始めて2018 @haretter 2014-06-19 14:08:45
広告出して収益アップなんざ自然なことだしつけた側には文句言わんが、広告を斡旋する側のAhooとかその辺マジで最近どうかしてる。Flash以外にも前に似たようなことが何度もあった。
サイレントトラベラー @slpolient 2014-06-19 17:09:49
やはりフィッシングサイトの手口と振り込め詐欺の手口は非常に似ている。焦りやイライラを引き起こさせ、平常心を保っている状態では騙されない人をも騙してしまう。
neologcutter @neologcut_er 2014-06-19 17:21:19
firefoxでAdblock Plus使ってたから分からなかったが…
サイレントトラベラー @slpolient 2014-06-19 19:09:22
ソフトによってはページに飛ぶ前にブロックされたり、ダウンロードしようとしたらウイルス検出が表示されてダウンロードが阻止されたりしているわけですから、未知のウイルスではないと思いますが、詳しい方、何か見解をお教え願います。
あほ @ntddk 2014-06-19 23:32:24
まとめを更新しました。Yahoo!広告経由でしたが、マイクロアド社に原因があったようです。
自転 @g_tenlow 2014-06-20 09:32:06
一応騒動は収まったのかなコレで マルウェアのインストールは後処理が面倒ですからね
もねこ @mocomb 2014-06-20 12:46:56
adblockの優秀さがここでもまた証明されてしまったか
ナスカ-U / C95 [日]西ら-30a @Chiether 2014-06-20 15:00:43
ntddk 原因は、Yahoo側のAdExchangeじゃなくてです?
ナスカ-U / C95 [日]西ら-30a @Chiether 2014-06-20 15:23:27
ntddk (ツイッター上のやりとり省略) ははぁ、なるほど。私がプレスリリースを誤読したみたいですね。返信ありがとうございました。おかげで勘違いにすぐ気づけることができました。
さまるとりあ@車好き @hdr2ph 2014-06-22 14:37:39
昔何かあったよね、不快ウェアとか言われてた奴、あれと同じ穴の狢ってことでOK?
ログインして広告を非表示にする
ログインして広告を非表示にする