Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2014年6月19日

ニコニコ動画などのマイクロアド提携広告から偽FlashPlayerをダウンロードさせられる件

米Yahoo!が提供しているマイクロアド社提携広告からマルウェアの配布サイトに誘導される被害が発生していました。 ニコニコ動画さんの対応は早いですね。
163
びわ @biwam

おやおや、完全偽物のFLASHサイトダウンロードページが出てしまった。

2014-06-19 00:22:30
ntddk @ntddk

ニコニコ動画でタグを辿ろうとするとdonwloads.cnmup .bizとやらに誘導されて明らかに偽物のFlashPlayerが落ちてくる。VirusTotalの検出率は11/54だった。ads.yahoo .comから飛ばされてる?

2014-06-19 01:41:45
ntddk @ntddk

6分前にまとめができていたけど情報量が少ない peercast.net/archives/2014_…

2014-06-19 01:44:08
ntddk @ntddk

ニコニコ動画からポップアップを通じてマルウェア配布サイトに誘導される問題、ads.yahoo .comからhuanqiutrack .comを経由してdownloads.cnmup .bizに飛んでいるのを確認した、と思ったらポップアップが出なくなった。何があったのか……。

2014-06-19 01:47:58
ntddk @ntddk

ニコニコ動画の問題ではなく広告側の問題なんですかね。

2014-06-19 01:54:48
okuoku @okuoku

おとといくらいにlivedoor blogで見たときは downloads\.player.net.wuz.club でした。気まずい広告が混ってたんですかね。@ntddk

2014-06-19 01:53:48
ntddk @ntddk

クッキーを削除してタグ表示(/VideoExplorer)で再現しますね。ニコニコ動画ではなくYahooリスティング広告がやられてる。

2014-06-19 02:01:25
びわ @biwam

Flashダウンロードしようとしたら、ESETにブロックされた。 twitpic.com/e6frqk

2014-06-19 00:35:18
拡大
ntddk @ntddk

ニコニコ動画からポップアップで飛ばされた先の偽FlashPlayerをVirusTotalに投げた結果 virustotal.com/ja/file/60ffd5…

2014-06-19 01:50:23
びわ @biwam

怪しげなCNMUP.BIZをWhoisしたら、パナマと出た。whoisguard.comとも出たので、証跡を消してるな。「91.236.116.83」を検索したら、スウェーデンか。Portlane Networkはホスティング。ふむふむ。

2014-06-19 00:42:15
びわ @biwam

Bingの広告でもわかるけど、Yahoo広告は嘘サイト、詐欺サイトへのポータル(ここでの意味は入り口)サイトと断言しても良いシステムなので、気をつけないといけない。

2014-06-19 00:48:53
びわ @biwam

VMwareの無防備PC(スナップショット取得済み)でさっきの偽Flashをキャプチャ。「COMODO Code Signing CA 2」でちゃんとデジタル署名されてる。署名者は「OUTBROWSE」洒落が効いてるな。

2014-06-19 01:07:16
Tsukasa #01 @a4lg

oO( 確かにこのマルウェア、電子署名こそされてるけど副書名にタイムスタンプがない。 )

2014-06-19 02:36:39
びわ @biwam

うちのFirefox環境では、もみあげチャ~シュ~はCookieを削除して再読み込みしたら、必ず偽Flashサイトに行くな。

2014-06-19 00:53:17
びわ @biwam

キャプチャしたsetup.exeをVirusTotalにアップロードしてみたら、McAfee、TrendMicro、Symantecは反応なし。検出率は「11 / 54」なるほど、確かに日本向のマルウェアだな。

2014-06-19 01:16:11
びわ @biwam

署名の署名日は2014/4/7 9:00有効期間が2015/4/8までだから、1年限定で活動する予定のマルウェアか。ふむふむ・・・・BZエディタで中見てみたけど、特に変なメッセージは無し。

2014-06-19 01:23:10
びわ @biwam

Qihoo-360(Malware.QVM06.Gen)、Sophos(OutBrowse Revenyou)、VIPRE(OutBrowse (fs)) 以上、今回のウイルス名。ヨーロッパ圏の対策ソフトが検出してるので、ヨーロッパの新型ウイルスを日本向けに持ってきたのか。

2014-06-19 01:29:50
びわ @biwam

日本の最大ウイルス対策ベンダと、カスペルスキー、Fortinetも検出しないウイルスとは久しぶりに進んでるウイルスキャプチャできた。とりあえず「もみあげチャ~シュ~」には近づかないことを推奨します。

2014-06-19 01:37:49
びわ @biwam

これはしかるべき機関がYahooリスティング広告に言って止めてもらうか、Yahooリスティング広告のリンク消さないと対策にならない。

2014-06-19 02:03:03
びわ @biwam

てっきりまとめサイトハックでもされたかと思ってたのに、調べてみると結構影響範囲広いなこれ。3大ウイルススキャン(McAfee、TrendMicro、Symantec)ではまだ検出できないので、脅威が怖い。

2014-06-19 02:04:39
KOIZUKA, Akihiko @koizuka

確認のためにこころぴょんぴょんするか

2014-06-19 01:55:34
137P(ヒャクサンジュウナナ) @hyakusanjunana

@koizuka 狐29.0.1でも起こりました。初回閲覧時のみで、2回目以降は起こりませんでした。

2014-06-19 02:00:27
びわ @biwam

@koizuka ニコニココミュニティ→いきなり古いFLASH→偽サイト「cnmup.biz」に誘導。1回誘導されたら、成功失敗関係なく、2度と行かないです。再現させるためにはCookie削除してブラウザ再読み込みです。

2014-06-19 01:57:45
びわ @biwam

@koizuka ニコ生の場合adf.send.microad.jpです。中身に胡散臭いYahooリスティング広告埋め込まれてます。

2014-06-19 02:11:52
KOIZUKA, Akihiko @koizuka

クッキー消して未ログインでニコ生トップ開いたら出た…!

2014-06-19 02:08:50
残りを読む(63)

コメント

神凪あゆり @kry_nng 2014年6月19日
IE,Fx,Chromeどれも問題なく飛ばされることを確認。ニコ生から飛ばされましたが、中間はadf.send.microadでしたね
0
MAK @mak017 2014年6月19日
妙だと思ったらこれだった
0
にせすか@︎東京▶夏奇数月?🚌大阪 @nisesuka 2014年6月19日
こわくて日付変わってからニコニコは見てないですが、https://www.bing.com/ が02:39現在真っ白けなのは、何か関係があるのですかね? http://peercast.net/archives/2014_niconico_flash_player_fishing.html によると、”ブラウザのトップページがBINGに変更される”とのことですが…。
1
ntddk @ntddk 2014年6月19日
まとめを更新しました。偽FlashPlayerによって検索エンジンがBingに変更されるそうですが、当のBingは今のところ中国語が表示されます。
1
吊された男 @_HANGEDMAN_ 2014年6月19日
Bing、3:17現在でところどころ中国語になる状態を確認。リロードすると状態がちょこちょこ変わる
1
てまりん@旧垢 @Temarin_PITA 2014年6月19日
setup.exeは、NSIS系のインストーラでその中に悪意のあるスクリプトが組み込まれていると予想。 スクリプトの内容が何であるかは、不明。
0
🐲 @hachiken_4 2014年6月19日
ニコ動見てたら変なとこに飛ばされたんだけどこれかな? ただ自分はダウンロードされてないと思う。 ただ、このウェブページにアクセスできませんって出たと思ったらノートン先生が「~からの侵入の試みを社団しました」って出て以来セキュリティ履歴が騒がしいことになってるが
0
ヨシダネ @yoshis7777 2014年6月19日
この怪しいサイト誘導されてビックリしたわ アドレスですぐわかったし他の人にも注意できたからよかったけど
0
自転 @g_tenlow 2014年6月19日
livedoorやニコ動ははっきりいって黒字化出来る策があるのに広告に頼ってるからこういう羽目になったのかなぁと勝手に推測。 この調子だとAndroidも最近はFLASHは使えないと言えども、入れてる人もまだまだ多いので標的に遭いそうな雰囲気。AdBlockPlusやAdAwayと言った広告拡張機能やアプリケーションを常に入れておくと良いと思います。
1
🐲 @hachiken_4 2014年6月19日
まだ出てくるな。 今度はdownloads.wapck.bizになってやがる
0
カイリ@アセスルファムKは不味い @tkr_kairi 2014年6月19日
うっかり踏んでしまったorz が、Unwanted-Program (0040f8191)で弾いた(ウイルスセキュリティ)。あっぶねぇ…
1
サイレントトラベラー @slpolient 2014年6月19日
ニコニコ動画のトップから強制的に飛ばされて、自分も@tkr_kairiさんと同様に踏んでしまいましたダウンロードしかけましたが、ウイルスセキュリティに阻止されました。後になって冷静に見ればすぐにフィッシングだと分かるのですが、焦っているときやパニックになってる時には踏んでしまいそうです。これは怖い。
0
サイレントトラベラー @slpolient 2014年6月19日
問題のサイトに飛ばされたのは8時半頃です。
0
SAS⋈ @SASNIKU 2014年6月19日
ニコニコ静画を見てたら何かがウィルスセキュリティに阻止されてたので何事かと思ったけど、これだったのか
0
kou1tw @kou1tw 2014年6月19日
急にFlashインストールに飛ばされたのはこれか…。
0
ntddk @ntddk 2014年6月19日
まとめを更新しました。今ではYahoo!プロモーション広告が正式名称のようです。
0
嬉野中川エリカちゃん(NVMe) @haretter 2014年6月19日
広告出して収益アップなんざ自然なことだしつけた側には文句言わんが、広告を斡旋する側のAhooとかその辺マジで最近どうかしてる。Flash以外にも前に似たようなことが何度もあった。
1
サイレントトラベラー @slpolient 2014年6月19日
やはりフィッシングサイトの手口と振り込め詐欺の手口は非常に似ている。焦りやイライラを引き起こさせ、平常心を保っている状態では騙されない人をも騙してしまう。
0
neologcutter @neologcuter 2014年6月19日
firefoxでAdblock Plus使ってたから分からなかったが…
0
サイレントトラベラー @slpolient 2014年6月19日
ソフトによってはページに飛ぶ前にブロックされたり、ダウンロードしようとしたらウイルス検出が表示されてダウンロードが阻止されたりしているわけですから、未知のウイルスではないと思いますが、詳しい方、何か見解をお教え願います。
0
ntddk @ntddk 2014年6月19日
まとめを更新しました。Yahoo!広告経由でしたが、マイクロアド社に原因があったようです。
0
自転 @g_tenlow 2014年6月20日
一応騒動は収まったのかなコレで マルウェアのインストールは後処理が面倒ですからね
0
もこ @mocomb 2014年6月20日
adblockの優秀さがここでもまた証明されてしまったか
0
ナスカ(Nazka-U) @Chiether 2014年6月20日
ntddk 原因は、Yahoo側のAdExchangeじゃなくてです?
0
ナスカ(Nazka-U) @Chiether 2014年6月20日
ntddk (ツイッター上のやりとり省略) ははぁ、なるほど。私がプレスリリースを誤読したみたいですね。返信ありがとうございました。おかげで勘違いにすぐ気づけることができました。
0
さまるとりあ@車好き @hdr2ph 2014年6月22日
昔何かあったよね、不快ウェアとか言われてた奴、あれと同じ穴の狢ってことでOK?
0