10周年のSPコンテンツ!
160
びわ @biwam
おやおや、完全偽物のFLASHサイトダウンロードページが出てしまった。
ワイヤー・ヘチマール @ntddk
ニコニコ動画でタグを辿ろうとするとdonwloads.cnmup .bizとやらに誘導されて明らかに偽物のFlashPlayerが落ちてくる。VirusTotalの検出率は11/54だった。ads.yahoo .comから飛ばされてる?
ワイヤー・ヘチマール @ntddk
6分前にまとめができていたけど情報量が少ない peercast.net/archives/2014_…
ワイヤー・ヘチマール @ntddk
ニコニコ動画からポップアップを通じてマルウェア配布サイトに誘導される問題、ads.yahoo .comからhuanqiutrack .comを経由してdownloads.cnmup .bizに飛んでいるのを確認した、と思ったらポップアップが出なくなった。何があったのか……。
ワイヤー・ヘチマール @ntddk
ニコニコ動画の問題ではなく広告側の問題なんですかね。
okuoku @okuoku
おとといくらいにlivedoor blogで見たときは downloads\.player.net.wuz.club でした。気まずい広告が混ってたんですかね。@ntddk
ワイヤー・ヘチマール @ntddk
クッキーを削除してタグ表示(/VideoExplorer)で再現しますね。ニコニコ動画ではなくYahooリスティング広告がやられてる。
びわ @biwam
Flashダウンロードしようとしたら、ESETにブロックされた。 twitpic.com/e6frqk
拡大
ワイヤー・ヘチマール @ntddk
ニコニコ動画からポップアップで飛ばされた先の偽FlashPlayerをVirusTotalに投げた結果 virustotal.com/ja/file/60ffd5…
びわ @biwam
怪しげなCNMUP.BIZをWhoisしたら、パナマと出た。whoisguard.comとも出たので、証跡を消してるな。「91.236.116.83」を検索したら、スウェーデンか。Portlane Networkはホスティング。ふむふむ。
びわ @biwam
Bingの広告でもわかるけど、Yahoo広告は嘘サイト、詐欺サイトへのポータル(ここでの意味は入り口)サイトと断言しても良いシステムなので、気をつけないといけない。
びわ @biwam
VMwareの無防備PC(スナップショット取得済み)でさっきの偽Flashをキャプチャ。「COMODO Code Signing CA 2」でちゃんとデジタル署名されてる。署名者は「OUTBROWSE」洒落が効いてるな。
Tsukasa #01 [要出典] @a4lg
oO( 確かにこのマルウェア、電子署名こそされてるけど副書名にタイムスタンプがない。 )
びわ @biwam
うちのFirefox環境では、もみあげチャ~シュ~はCookieを削除して再読み込みしたら、必ず偽Flashサイトに行くな。
びわ @biwam
キャプチャしたsetup.exeをVirusTotalにアップロードしてみたら、McAfee、TrendMicro、Symantecは反応なし。検出率は「11 / 54」なるほど、確かに日本向のマルウェアだな。
びわ @biwam
署名の署名日は2014/4/7 9:00有効期間が2015/4/8までだから、1年限定で活動する予定のマルウェアか。ふむふむ・・・・BZエディタで中見てみたけど、特に変なメッセージは無し。
びわ @biwam
Qihoo-360(Malware.QVM06.Gen)、Sophos(OutBrowse Revenyou)、VIPRE(OutBrowse (fs)) 以上、今回のウイルス名。ヨーロッパ圏の対策ソフトが検出してるので、ヨーロッパの新型ウイルスを日本向けに持ってきたのか。
びわ @biwam
日本の最大ウイルス対策ベンダと、カスペルスキー、Fortinetも検出しないウイルスとは久しぶりに進んでるウイルスキャプチャできた。とりあえず「もみあげチャ~シュ~」には近づかないことを推奨します。
びわ @biwam
これはしかるべき機関がYahooリスティング広告に言って止めてもらうか、Yahooリスティング広告のリンク消さないと対策にならない。
びわ @biwam
てっきりまとめサイトハックでもされたかと思ってたのに、調べてみると結構影響範囲広いなこれ。3大ウイルススキャン(McAfee、TrendMicro、Symantec)ではまだ検出できないので、脅威が怖い。
Akihiko Koizuka @koizuka
確認のためにこころぴょんぴょんするか
137P(ヒャクサンジュウナナ) @hyakusanjunana
@koizuka 狐29.0.1でも起こりました。初回閲覧時のみで、2回目以降は起こりませんでした。
びわ @biwam
@koizuka ニコニココミュニティ→いきなり古いFLASH→偽サイト「cnmup.biz」に誘導。1回誘導されたら、成功失敗関係なく、2度と行かないです。再現させるためにはCookie削除してブラウザ再読み込みです。
びわ @biwam
@koizuka ニコ生の場合adf.send.microad.jpです。中身に胡散臭いYahooリスティング広告埋め込まれてます。
Akihiko Koizuka @koizuka
クッキー消して未ログインでニコ生トップ開いたら出た…!
残りを読む(63)

コメント

ぽかーばるうづき @uzuky 2014年6月19日
ポップアップぴょんぴょん
神凪あゆり @kry_nng 2014年6月19日
IE,Fx,Chromeどれも問題なく飛ばされることを確認。ニコ生から飛ばされましたが、中間はadf.send.microadでしたね
MAK @mak017 2014年6月19日
妙だと思ったらこれだった
にせすか@18-23大阪🚌 次は…🍵JRCP茶大好きパーソン @nisesuka 2014年6月19日
こわくて日付変わってからニコニコは見てないですが、https://www.bing.com/ が02:39現在真っ白けなのは、何か関係があるのですかね? http://peercast.net/archives/2014_niconico_flash_player_fishing.html によると、”ブラウザのトップページがBINGに変更される”とのことですが…。
ワイヤー・ヘチマール @ntddk 2014年6月19日
まとめを更新しました。偽FlashPlayerによって検索エンジンがBingに変更されるそうですが、当のBingは今のところ中国語が表示されます。
吊された男 @_HANGEDMAN_ 2014年6月19日
Bing、3:17現在でところどころ中国語になる状態を確認。リロードすると状態がちょこちょこ変わる
てまりん🍭旧垢 @Temarin_PITA 2014年6月19日
setup.exeは、NSIS系のインストーラでその中に悪意のあるスクリプトが組み込まれていると予想。 スクリプトの内容が何であるかは、不明。
🐲 @hachiken_4 2014年6月19日
ニコ動見てたら変なとこに飛ばされたんだけどこれかな? ただ自分はダウンロードされてないと思う。 ただ、このウェブページにアクセスできませんって出たと思ったらノートン先生が「~からの侵入の試みを社団しました」って出て以来セキュリティ履歴が騒がしいことになってるが
ヨシダネ@皐月病/甲甲甲 @yoshis7777 2014年6月19日
この怪しいサイト誘導されてビックリしたわ アドレスですぐわかったし他の人にも注意できたからよかったけど
自転 @g_tenlow 2014年6月19日
livedoorやニコ動ははっきりいって黒字化出来る策があるのに広告に頼ってるからこういう羽目になったのかなぁと勝手に推測。 この調子だとAndroidも最近はFLASHは使えないと言えども、入れてる人もまだまだ多いので標的に遭いそうな雰囲気。AdBlockPlusやAdAwayと言った広告拡張機能やアプリケーションを常に入れておくと良いと思います。
🐲 @hachiken_4 2014年6月19日
まだ出てくるな。 今度はdownloads.wapck.bizになってやがる
カイリ@アセスルファムKは不味い @tkr_kairi 2014年6月19日
うっかり踏んでしまったorz が、Unwanted-Program (0040f8191)で弾いた(ウイルスセキュリティ)。あっぶねぇ…
サイレントトラベラー@令和マイナス3×年生まれ @slpolient 2014年6月19日
ニコニコ動画のトップから強制的に飛ばされて、自分も@tkr_kairiさんと同様に踏んでしまいましたダウンロードしかけましたが、ウイルスセキュリティに阻止されました。後になって冷静に見ればすぐにフィッシングだと分かるのですが、焦っているときやパニックになってる時には踏んでしまいそうです。これは怖い。
サイレントトラベラー@令和マイナス3×年生まれ @slpolient 2014年6月19日
問題のサイトに飛ばされたのは8時半頃です。
SAS⋈夏コミ新刊委託販売中 @SASNIKU 2014年6月19日
ニコニコ静画を見てたら何かがウィルスセキュリティに阻止されてたので何事かと思ったけど、これだったのか
kou1tw @kou1tw 2014年6月19日
急にFlashインストールに飛ばされたのはこれか…。
ワイヤー・ヘチマール @ntddk 2014年6月19日
まとめを更新しました。今ではYahoo!プロモーション広告が正式名称のようです。
嬉野中川エリカちゃん☂2/8~2/11🇹🇼 @haretter 2014年6月19日
広告出して収益アップなんざ自然なことだしつけた側には文句言わんが、広告を斡旋する側のAhooとかその辺マジで最近どうかしてる。Flash以外にも前に似たようなことが何度もあった。
サイレントトラベラー@令和マイナス3×年生まれ @slpolient 2014年6月19日
やはりフィッシングサイトの手口と振り込め詐欺の手口は非常に似ている。焦りやイライラを引き起こさせ、平常心を保っている状態では騙されない人をも騙してしまう。
neologcutter @neologcuter 2014年6月19日
firefoxでAdblock Plus使ってたから分からなかったが…
サイレントトラベラー@令和マイナス3×年生まれ @slpolient 2014年6月19日
ソフトによってはページに飛ぶ前にブロックされたり、ダウンロードしようとしたらウイルス検出が表示されてダウンロードが阻止されたりしているわけですから、未知のウイルスではないと思いますが、詳しい方、何か見解をお教え願います。
ワイヤー・ヘチマール @ntddk 2014年6月19日
まとめを更新しました。Yahoo!広告経由でしたが、マイクロアド社に原因があったようです。
自転 @g_tenlow 2014年6月20日
一応騒動は収まったのかなコレで マルウェアのインストールは後処理が面倒ですからね
もこ @mocomb 2014年6月20日
adblockの優秀さがここでもまた証明されてしまったか
ナスカ-U-KWS-179 @Chiether 2014年6月20日
ntddk 原因は、Yahoo側のAdExchangeじゃなくてです?
ナスカ-U-KWS-179 @Chiether 2014年6月20日
ntddk (ツイッター上のやりとり省略) ははぁ、なるほど。私がプレスリリースを誤読したみたいですね。返信ありがとうございました。おかげで勘違いにすぐ気づけることができました。
さまるとりあ@車好き @hdr2ph 2014年6月22日
昔何かあったよね、不快ウェアとか言われてた奴、あれと同じ穴の狢ってことでOK?
ログインして広告を非表示にする
ログインして広告を非表示にする